SANS 2021 Security Awareness Report vergleicht den Reifegrad von Awareness-Programmen weltweit, schlüsselt die durchschnittlichen Gehälter auf und gibt Handlungsempfehlungen

sans-institute-ft

SANS Security Awareness, der weltweit führende Anbieter von Security-Awareness-Trainings und eine Abteilung des SANS Institutes, veröffentlicht den 2021 Security Awareness Report: Managing Your Human Cyber Risk. Dieser jährliche Bericht analysiert die Daten von über 1.500 Security-Awareness-Experten aus der ganzen Welt, um zu bewerten, wie Unternehmen mit menschlichen Risiken umgehen, und liefert datengestützte Ergebnisse, wie sich Awareness-Programme entwickeln.

2021 erscheint der SANS Security Awareness Report zum sechsten Mal. In den Jahren 2020 bis 2021 erlebte die Branche tiefgreifende und schnelle Veränderungen in der Art und Weise, wie und wo Mitarbeiter arbeiten. Diese Veränderungen haben zu einer beispiellosen Entwicklung geführt, nicht nur bei der Technologie, die wir nutzen, sondern auch bei der Art und Weise, wie wir sie nutzen, insbesondere, weil so viele von zu Hause aus arbeiten. Einfach ausgedrückt: Es war noch nie so wichtig wie heute, eine cybersichere Belegschaft und eine lebendige Sicherheitskultur zu schaffen und zu erhalten.

„Bei der Cybersicherheit geht es nicht mehr nur um Technologie, sondern um Menschen, um das Management menschlicher Risiken. Awareness-Programme ermöglichen es Sicherheitsteams, genau das zu tun, indem sie nicht nur die Art und Weise beeinflussen, wie Menschen über Sicherheit denken, sondern auch, wie sie handeln, vom Vorstand an abwärts”, sagt Lance Spitzner, SANS Security Awareness Director und Co-Autor des Reports. „Dieser Bericht ermöglicht es Sicherheitsexperten, datengestützte Entscheidungen darüber zu treffen, wie sie die Belegschaft am effektivsten einbinden und menschliche Risiken managen können.“

Wesentliche Ergebnisse:

  • Arbeitskräfte: Mehr als 75 Prozent der Security-Awareness-Fachkräfte gehen dieser Tätigkeit in Teilzeit nach. Sie verbringen weniger als die Hälfte ihrer Zeit mit Security Awareness, was bedeutet, dass Awareness zu oft eine Teilzeitbeschäftigung ist. Die Daten zeigen, dass die Verantwortung für Security Awareness sehr häufig Mitarbeitern mit einem hochtechnischen Hintergrund zugewiesen wird, denen möglicherweise die Fähigkeiten fehlen, ihre Mitarbeiter in einfach zu verstehenden Begriffen effektiv zu informieren.
  • Entlohnung: Das gemeldete Durchschnittsgehalt lag bei 103.000 US-Dollar für Security Awareness-Trainer, die Vollzeit arbeiten. Der Bericht stellt fest, dass die Gehälter für Mitarbeiter mit technischem Hintergrund höher und für Mitarbeiter mit nicht-technischem Hintergrund im Durchschnitt bis zu 10.000 US-Dollar niedriger sind.
  • Meistgenannte Herausforderungen: Die beiden am häufigsten genannten Herausforderungen beim Aufbau eines ausgereiften Awareness-Programms sind der Mangel an Zeit, um das Programm zu verwalten, und der Mangel an Personal, um das Programm zu bearbeiten und umzusetzen.
  • Engagiertes Personal: Awareness-Programme, die eine effektive Verhaltensänderung bewirken, hatten mindestens 2,5 FTEs (Full-Time Employees), die sich um die Verwaltung ihres Awareness-Programms kümmerten. Diejenigen, die einen Einfluss auf die Kultur haben und über ein metrisches Rahmenwerk verfügen, um dies zu beweisen, hatten im Durchschnitt 3,5 FTEs.

„Security-Awareness-Programme haben sich von einem begrenzten Compliance-Fokus zu einem wichtigen Teil der Fähigkeit einer Organisation entwickelt, menschliche Cyber-Risiken zu managen“, sagt Dan deBeaubien, SANS Security Awareness Director und Co-Autor des Reports. „Während Security-Awareness-Programme die Unterstützung von Führungskräften gewinnen, ist es noch ein langer Weg, bis genügend Personal, Ressourcen und Tools für diese Bemühungen bereitgestellt werden.“

Für eine detailliertere Analyse und Handlungsempfehlungen zur Verbesserung einer Awareness-Strategie steht der SANS Security Awareness Report 2021 hier zum Download bereit.