22.07.2019

Najnowszy raport SANS Institute „The Rising Era of Awareness Training”

SANS Institute opublikował najnowszy raport dotyczący realizacji programów uświadamiających i budowania kultury bezpieczeństwa w organizacjach na całym świecie.

SANS Institute opublikował najnowszy raport dotyczący realizacji programów uświadamiających i budowania kultury bezpieczeństwa w organizacjach na całym świecie.

Raport zrealizowano w oparciu o wyniki ankiet wśród 1570 respondentów. Pokazuje najważniejsze problemy związane z wdrożeniem skutecznych programów oraz trendy dotyczące dalszego ich rozwoju. Raport odnosi się również do danych historycznych (z poprzednich badań w okresie 5 lat). Jest to świetny materiał pokazujący stan na dzisiaj i tendencje dotyczące przyszłości. Bardzo cenne są informacje dotyczące problemów i błędów w budowaniu kultury bezpieczeństwa w organizacjach.

Z przykrością musimy stwierdzić (głównie na podstawie własnych obserwacji, ponieważ badań w tym zakresie w Polsce po prostu nie ma), że rodzimy krajobraz programów podwyższających świadomość użytkowników w zakresie bezpieczeństwa jest przynajmniej 3 lata za tym przedstawionym w raporcie i przed nami mnóstwo pracy. Jaka jest zatem wartość tego raportu dla nas? Opisywane są tam problemy i błędy, których można uniknąć wyciągając wnioski już teraz, na początku drogi i dlatego naprawdę warto z tym raportem się zapoznać.

SANS Institute stosuje model dojrzałości programów podwyższania świadomości / budowy kultury bezpieczeństwa (Security Awareness / Security Culture), który wygląda jak poniżej:

Non-Existent (nie istniejący)

Na tym etapie brak jest jakichkolwiek działań uświadamiających a pracownicy w większości przypadków nie mają pojęcia, że są celem ataków cybernetycznych i socjotechnicznych. Skuteczność programu – brak.

Compliance Focused (skoncentrowany na zgodności z przepisami)

Program został zaprojektowany i wdrożony w celu spełnienia określonych wymogów wynikających z przepisów. Szkolenia ograniczono do doraźnego (jednego) lub corocznego. Świadomość pracowników w dziedzinie cyberzagrożeń jest niska a cel szkoleń nie jasny. Skuteczność programu – bardzo niska.

Promoting Awareness & Behavior Change (Promowanie zmian świadomości i zachowań)

Na tym etapie program identyfikuje tematy szkoleniowe, które mają największy wpływ na wspieranie misji organizacji i skupia się na tych kluczowych tematach. Program realizowany jest w sposób ciągły i obejmuje ciągłe wzmacnianie przekazu przez cały rok. Treść jest przekazywana w interesujący i pozytywny sposób, który zachęca do zmiany zachowania w pracy i w domu. W rezultacie ludzie rozumieją i przestrzegają zasady bezpieczeństwa w organizacji oraz aktywnie rozpoznają i zgłaszają incydenty bezpieczeństwa. Skuteczność programu – średnia/wysoka.

Long-Term Sustainment & Culture Change (Długoterminowe podtrzymywanie świadomości i zmiana kultury zachowań)

Program ma procesy, zasoby i wsparcie zarządu w celu zapewnienia długoterminowego cyklu życia, w tym co najmniej roczny przegląd i aktualizacja programu. W rezultacie program i cyberbezpieczeństwo stanowią uznaną część kultury organizacji. Skuteczność programu –bardzo wysoka.

Robust Metrics Framework (Pomiar kultury bezpieczeństwa)

Jeżeli istnieje solidna i powtarzalna metoda pomiaru, istnieje możliwość śledzenia postępów i mierzenia wpływu realizowanych działań na organizację. W rezultacie program stale się poprawia i zwrot z inwestycji jest wyraźny. Nie oznacza to, że pomiary są ograniczone do ostatniego etapu modelu. Pomiar jest ważną częścią każdego etapu, ale na tym etapie mierzy się większą ilość parametrów, które pokazują zmianę całej organizacji. Skuteczność programu –najwyższa.

 

A teraz proszę szanowny czytelniku spróbuj zastanowić się na którym etapie jest aktualnie Twoja organizacja.

 

Poniżej przedstawiamy dane z raportu, które odzwierciedlają aktualny stan głównie w USA i Europie Zachodniej. Życzylibyśmy sobie, aby za rok w Polsce dane były zbliżone co oznaczać będzie, że w końcu obraliśmy właściwy kierunek.

Raport pobrać można bezpłatnie ze stron SANS Institute pod adresem: https://www.sans.org/security-awareness-training/reports/2019-security-awareness-report

W artykule wykorzystano zestawienia z oryginalnego raportu w celu promocji raportu. Dane i wykorzystane grafiki są własnością SANS Institute.