Security Awareness mit Mängeln

Security Awareness ist wichtig, aber fordernd. Laut einer Studie des SANS Institute wird diese aber oft nur mit halber Kraft betrieben. Mehr als 75 Prozent der Security-Awareness-Fachkräfte gehen dieser Tätigkeit in Teilzeit nach. Sie verbringen weniger als die Hälfte ihrer Zeit mit Security Awareness. Die Daten zeigen, dass die Verantwortung für Security Awareness sehr häufig Mitarbeitern mit einem hochtechnischen Hintergrund zugewiesen wird, denen möglicherweise die Fähigkeiten fehlen, ihre Mitarbeiter in einfach zu verstehenden Begriffen effektiv zu informieren.

Die beiden am häufigsten genannten Herausforderungen beim Aufbau eines ausgereiften Awareness-Programms sind der Mangel an Zeit, um das Programm zu verwalten, und der Mangel an Personal, um das Programm zu bearbeiten und umzusetzen.

Awareness-Programme, die eine effektive Verhaltensänderung bewirken, erforderten mindestens 2,5 FTEs (Vollzeitbeschäftigte, Full-Time Employees), die sich um die Verwaltung ihres Awareness-Programms kümmerten. Diejenigen, die einen Einfluss auf die Kultur haben und über ein metrisches Rahmenwerk verfügen, hatten im Durchschnitt 3,5 FTEs.

Um menschliche Risiken effektiv zu managen, müssen Führungskräfte langfristige, strategische Investitionen in Fachkräfte vornehmen, genau wie bei anderen Sicherheitsmaßnahmen. Aber die Mehrheit der Programmleiter sind Techniker und verfügen nicht über Fähigkeiten wie Kommunikation und Marketing.

SANS rät dazu, dass ein Awareness-Programm verwaltet wird von einer engagierten Vollzeitkraft, die Teil des Sicherheitsteams ist. Dies bedeutet nicht, dass die Person notwendigerweise über maximale technische Fähigkeiten verfügt, aber es bedeutet, dass sie in die Sicherheit involviert ist. Diese sollte verantwortlich sein für die Identifizierung, Verwaltung und die Messung aller menschlichen Risiken der Organisation. Es geht darum, Richtlinien, Prozesse, Verfahren und Sicherheitsankündigungen zu vereinfachen und zu kommunizieren.