Zeit-, Budget- und Ressourcenmangel behindern Security Awareness

Der SANS 2018 Security Awareness Report zeigt den Reifegrad der Security Awareness-Programme in Unternehmen auf und bietet praktische Handlungsempfehlungen auf Basis neuer Erkenntnisse. [...]

Lance Spitzner, Leiter des Security Awareness-Programms des SANS Institutes. (c) SANS
Lance Spitzner, Leiter des Security Awareness-Programms des SANS Institutes. (c) SANS

SANS Security Awareness, Anbieter im Bereich Security Awareness Training und eine Abteilung des SANS Institutes, gibt die Ergebnisse des Security Awareness Reports 2018 „Building Successful Security Awareness Programs“ bekannt. Die Studie zeigt, dass sich Programme zur Sensibilisierung für Cybersicherheit in den Unternehmen immer stärker durchsetzen, allerdings die für die Umsetzung verantwortlichen Fachleute aufgrund von Zeit, Budget und Ressourcen-Mängeln herausgefordert werden. Die Ergebnisse belegen einen klareren Zusammenhang zwischen dem Grad der Unterstützung für Security Awareness durch die Unternehmensführung und den Reifegrad der Programme.

„Angesichts der jüngsten Vorfälle, wie sie Equifax und Yahoo! getroffen haben, des WannaCry-Ransomware-Angriffs auf den National Health Service, sowie neuer Vorschriften wie der EU-Datenschutzgrundverordnung, die den Datenschutz in den Mittelpunkt stellen, gibt es ein neues Bewusstsein für die Dringlichkeit der Cybersicherheit. Das stärkt sowohl die Unterstützung als auch den Wandel“, erklärt Lance Spitzner, Leiter des Security Awareness-Programms des SANS Institutes. „Security Awareness kann eine Herausforderung sein, ist aber notwendig und die Mühe lohnt sich.“

Die Studie wurde in Zusammenarbeit mit den Forschern des Kogod Cybersecurity Governance Center (KCGC), einer Initiative der Kogod School of Business (KSB) an der American University, durchgeführt und zeigt:

  • 58 Prozent der Befragten Security Awareness-Fachkräfte berichten, dass ihre Arbeit bereits eine positive Auswirkung auf die Sicherheit in ihrem Unternehmen gezeigt hat.
  • Die Rüstungsindustrie ist die reifste mit über 10 Prozent auf der höchsten Stufe des Security Awareness-Reifegradmodells, während die verarbeitende Industrie mit nur 2 Prozent am wenigsten weit fortgeschritten ist.
  • Finanz- und Betriebsabteilungen sind mittlerweile die größten Hindernisse für den Aufbau oder die Weiterentwicklung eines Security Awareness-Programms. In den vergangenen Jahren gaben die Studienteilnehmer noch an, dass die Kommunikationsabteilungen ihre Sicherheits-Anstrengungen am meisten stören würden. Die Ergebnisse legen aber nahe, dass die Fachleute es geschafft haben, zu den Kommunikationsteams Brücken aufzubauen und sie zu sensibilisieren.
  • Die Mehrheit der Fachkräfte für Security Awareness kommen aus dem technischen Bereich. Weniger als 20 Prozent stammen aus nicht-technischen Bereichen wie der Unternehmenskommunikation, Marketing, Recht oder HR.

„Die Studie zeigt, dass eine klare Mehrheit (80 Prozent) der Sicherheitsexperten ihre Aktivitäten bezüglich des Awareness-Programms als nur einen Teil ihrer Gesamtverantwortung sehen“, sagt Dan DeBeaubien, Product Director für SANS Security Awareness. „Viele behaupten, kein Budget für ein Sensibilisierungsprogramm zu haben oder nicht zu wissen, wieviel Budget sie dafür haben (76 Prozent). Den meisten Verantwortlichen fehlen die Fähigkeiten oder der Hintergrund, um das Programm effektiv zu kommunizieren und mit der Belegschaft in Kontakt zu treten.“

Hintergrundwissen für wirkungsvolle Security Awareness-Programme

  • Die meisten Security Awareness-Programme benötigen mindestens 1,9 Vollzeitäquivalente, um das Verhalten der Belegschaft grundlegend zu ändern. Die ausgereiftesten Programme, die sowohl kulturelle Auswirkungen als auch ein Rahmenwerk haben, um den Erfolg zu messen, benötigen durchschnittlich 3,6 Vollzeitäquivalente.
  • Die Awareness-Beauftragten müssen sowohl das Budget als auch Partnerschaften nutzen, um die Zeit, die sie für die Verwaltung ihrer Programme haben, optimal zu nutzen.
  • Soft Skills wie Kommunikation und Marketing sind der Schlüssel, um das Verhalten der Mitarbeiter zu beeinflussen und zu verändern. Es sollte deshalb sichergestellt werden, dass mindestens eine Person der Security Awareness über diese Soft Skills verfügt oder eine Partnerschaft mit anderen Personen eingeht, die diese Kenntnisse mitbringen.
  • Während die Unterstützung für Sensibilisierungsprogramme weiter zunimmt, sind die Finanz- und Betriebsabteilungen die größten Blockierer. Die Security Awareness Teams müssen deshalb den Wert und die Wirkung ihres Programms unter unternehmerischen Aspekten kommunizieren und wichtige Abteilungen von Anfang an einbeziehen. Wer früh beteiligt wurde, wird eher zur Zusammenarbeit neigen, während spät einbezogene Personen eher kritisieren.
  • Um den Zeitmangel auszugleichen, sollte überlegt werden, sich Zeit zu erkaufen: Wer den Etat hat, kann beispielsweise darauf verzichten, den Newsletter selbst zu erstellen und andere beauftragen oder Material von anderen Anbietern lizenzieren. Je mehr delegiert wird, umso mehr Zeit bleibt für strategische Partnerschaften und den Aufbau des Kernprogramms.

Der SANS Security Awareness Report wurde entwickelt, um Sicherheitsexperten in die Lage zu versetzen, datengestützte Entscheidungen zur Verbesserung ihrer Security Awareness-Programme zu treffen und diese mit anderen Programmen zu vergleichen. Das Ziel ist zu zeigen, was große Security Awareness-Programme zu einem Erfolg macht. In diesem Jahr geben die Daten von über 1.718 Befragten einen noch besseren Einblick in die Bewertung und Weiterentwicklung eines Security Awareness Programms.

Werbung

Mehr Artikel

Auf Einladung von Huawei Technologies Austria besuchten auch mehr als 30 Partner und Kunden von mehr als 15 österreichischen Kooperationsunternehmen das Fach-Event in Shanghai. (c) Huawei
News

Huawei Connect 2018: Mit KI zur Smart City

Mitte Oktober 2018 fand in Shanghai die Technologie-Fachmesse „Huawei Connect“ mit Fokus auf Künstliche Intelligenz und smarte Stadtentwicklung statt. Mehr als 30 Kunden und Partner von rund 15 österreichischen Kooperationsunternehmen folgten der Einladung von Huawei Austria und erhielten tiefe Einblicke in die neuesten Technologien – von der „Reisinnovation“ bis zum urbanen Nervensystem. […]

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.