Cybersecurity awareness: te weinig mensen en te veel managers

In dit artikel:

Uit het nieuwste SANS Security Awareness-rapport, gebaseerd op input van meer dan 2.753 awareness-professionals uit ruim zeventig landen, blijkt dat menselijke factoren de grootste bedreiging vormen voor de digitale veiligheid van organisaties. Social engineering—zoals phishing, ransomware-gerelateerde manipulatie en spoofing—wordt genoemd als het grootste risico (meer dan 40%). Onzorgvuldig omgaan met gevoelige data volgt op afstand (circa 25%), terwijl verkeerd gebruik van AI al op 14% staat en daarmee snel aan belang wint.

Awareness-teams kampen vooral met gebrek aan tijd, personeel en budget; deze drie factoren vormen samen meer dan de helft van hun frustraties. Ook is onduidelijk waar security awareness organisatorisch thuishoort: vaak wordt het bij cybersecurity of compliance geplaatst, en slechts één op de zestien organisaties koppelt het aan risicomanagement — hoewel dat daar inhoudelijk goed bij zou passen.

Interne blokkades vormen een extra drempel: middle management wordt door respondenten gezien als het grootste obstakel omdat teamleiders cybersecurity vaker als rem op bedrijfsdoelen zien en moeilijk rechtstreeks te bereiken zijn. Finance volgt als tweede, omdat budgetten voor awareness vaak als kostenpost in plaats van investering in risicoreductie worden gezien. Het rapport adviseert onder meer gerichte trainingen voor middle management.

Toch blijven veel professionals gemotiveerd: 53% geeft aan tevreden te zijn in het vak, terwijl ongeveer een derde overweegt van werkgever te wisselen. Een belangrijke leerpunt uit praktijkprogramma’s is om te focussen op de basis — medewerkers zijn kwetsbaarder dan vaak wordt gedacht, en effectieve lessen richten zich op een beperkt aantal essentiële risico’s.

Aanvullend: Cybersec Netherlands vindt plaats op 10–11 september in de Jaarbeurs Utrecht.