Många informationssäkerhetschefer i Europa har åsikten att traditionell utbildning i säkerhetsmedvetenhet har gjort sitt. Ny forskning visar att 78 procent av cheferna anser att utbildningen i säkerhetsmedvetenhet måste utvecklas och att det är bråttom. En ny undersökning från MetaCompliance belyser den utbredda oron för att nuvarande metoder inte förmår hantera mänskliga cyberrisker.

Studien omfattade 200 säkerhetschefer i Storbritannien, Sverige, Tyskland och Frankrike. Den visade att 81 procent av cheferna anser att dagens program för att höja medvetenheten misslyckas, eftersom de behandlar mänsklig cyberrisk som en utbildningsfråga snarare än ett bredare riskhanteringsproblem. Samtidigt identifierar 68 procent av företagen medarbetarna som sin största säkerhetsrisk. Detta belyser en bestående och olöst sårbarhet i hjärtat av företagens säkerhetssystem.

Företagen investerar kraftigt i medvetenhetsprogram. De avsätter i genomsnitt 15 procent av sina årliga säkerhetsbudgetar på utbildning i säkerhetsmedvetenhet, och 79 procent håller utbildningar minst varannan vecka. Trots detta förblir resultaten mycket varierande. En fjärdedel (25 procent) av företagen säger att de måste kämpa för att fånga medarbetarnas uppmärksamhet. 24 procent rapporterar att de inte lyckas integrera säkert uppträdande i det dagliga arbetet, och ytterligare 24 procent har svårt att samordna intressenter över företagets olika funktioner. Detta visar tydligt att utmaningen är lika mycket organisatorisk som beteendemässig.

Denna klyfta beror på ett föråldrat synsätt. Många säkerhetschefer tror att deras organisationer har gått bortom ”bocka av”-nivån när det gäller säkerhetsmedvetenhet. 33 procent beskriver sitt tillvägagångssätt som beteendestyrt och 24 procent säger att de integrerar mänsklig riskhantering. Ändå genererar dessa upplevda framsteg inte en meningsfull förändring.

James Mackay, VD på MetaCompliance:

– Förtroendet ökar, men det betyder inte att riskerna minskar. Många företag gör misstaget att betrakta genomförd säkerhetsutbildning som faktisk säkerhet. Men det är inte givet att de underliggande mänskliga sårbarheterna har förändrats av utbildningen.

– Detta skapar en farlig kombination. Företagen känner sig säkrare, men medarbetarna är fortfarande den största riskkällan. Samtidigt blir hoten mer sofistikerade, med AI som gör angrepp baserade på social manipulation allt mer omfattande och målmedvetna. Om de beskrivna bristerna inte åtgärdas, kommer företagen att bli allt hårdare angripna. 

Därför efterlyser säkerhetscheferna en mer strategisk modell. Nästan fyra av fem (79 procent) vill inrikta ansträngningarna på att hantera mänskliga risker, med fokus på att identifiera högriskindivider och skräddarsy insatser baserade på enskilda personers uppträdande, och samtidigt utveckla en företagsövergripande kollektiv säkerhetskultur. Hela 83 procent av cheferna anser att riktade insatser skulle minska risken snabbare, och 80 procent svarade att säkerhetsmeddelanden fungerar bäst när de levereras i arbetsflödet.

Detta skifte kommer i en tid när företagen står inför ett växande tryck att modernisera sina skyddsåtgärder på grund av det föränderliga hotlandskapet. Under de kommande 12 månaderna planerar företagen att öka åtgärdsfrekvensen (27 procent), visa mätbar avkastning på säkerhetsinsatserna (25 procent) och skräddarsy insatser riktade mot högriskindivider (24 procent) – särskilt som svar på AI-genererad social manipulation (24 procent).

James Mackay:

– Mänskliga cyberrisker måste hanteras som andra affärsrisker: mätbart, målinriktat och med kontinuerlig styrning. Det innebär att gå bortom medvetenhet och nå en genuin beteendeförändring. Företag måste tänka om i termer av hur de hanterar cybersäkerhet, och utnyttja insikter och mål i realtid för att nå rätt personer med rätt information vid rätt tillfälle. Det är så man minskar de mänskliga cyberriskerna i stor skala.

BIld av Tung Lam