Uit de nieuwste editie van het jaarlijkse Security Awareness Report van het SANS Institute blijkt dat 80 procent van de organisaties social engineering als grootste risico ziet op het gebied van menselijk gedrag. Vooral phishing blijft de meest gebruikte aanvalsmethode, gevolgd door smishing en vishing, die steeds geavanceerder worden.
De bevindingen zijn gebaseerd op antwoorden van ruim 2.700 security awareness-professionals uit meer dan zeventig landen. De tiende editie van het rapport heeft als titel Embedding a Strong Security Culture en richt zich op de rol van menselijk gedrag binnen cyberbeveiliging. Opvallend is dat het verkeerd omgaan met gevoelige data dit jaar op de tweede plaats staat als risicofactor, terwijl dat eerder nog lager op de lijst stond. Zwakke wachtwoorden en gebrekkige authenticatie staan respectievelijk op de derde en vierde plaats. Deze verschuiving geeft volgens het rapport aan dat dreigingen evolueren en dat training niet alleen gericht moet zijn op kennis, maar ook op gedrag.
Tekort aan capaciteit
Gebrek aan tijd en personeel blijft het grootste knelpunt voor awareness-teams. Veel organisaties geven aan moeite te hebben om voldoende capaciteit vrij te maken om programma’s effectief te beheren. Het rapport wijst op het toenemende belang van ondersteunende technologie, waaronder AI, om teams te helpen met schaalvergroting en impact. Volgens de gegevens uit het rapport zijn awareness-programma’s effectiever naarmate ze langer bestaan en beter bemenst zijn. Voor merkbare gedragsverandering is gemiddeld een team van 2,8 fte nodig. Wil een organisatie een daadwerkelijke cultuurverandering realiseren, dan is minimaal vier fte vereist. Ook langdurige inzet blijkt een succesfactor: hoe langer een programma actief is, hoe groter de kans op verbeterde processen, meer betrokkenheid en sterkere samenwerking.
Loopbaan en beloning
Security awareness ontwikkelt zich ook als professioneel domein. Wereldwijd ligt het gemiddelde jaarsalaris voor deze functies op 99.000 euro. In Europa is dat gemiddeld 80.000 euro. Het rapport bevat ook informatie over doorgroeimogelijkheden, vereiste competenties en opleidingsniveaus voor awareness-professionals. De opkomst van AI, deepfakes en andere technologische ontwikkelingen maken het voor aanvallers makkelijker om mensen te misleiden. Organisaties worden volgens het rapport geconfronteerd met een complexer dreigingslandschap, waarbij de menselijke factor kwetsbaar blijft. Security awareness-programma’s moeten daarom voortdurend worden aangepast aan nieuwe realiteiten.
