Uit het onderzoek blijkt dat de meeste organisaties wel op een bepaalde vorm aan Security Awareness doen. De manier waarop dat gebeurt verschilt heel erg per type organisatie. Er zijn een aantal uitdagingen gevonden die gerapporteerd en/of bevestigd zijn door meerdere ondervraagde organisaties. De volgende uitdagingen zijn gevonden:
- Negatieve gebruikerservaring: Security Awareness-activiteiten kunnen een negatieve ervaring hebben op eindgebruikers als ze negatieve effecten op hun werkprestaties, werklast of werkomgeving ervaren.
- Tijdrovend proces: Security Awareness kan een tijdrovend proces zijn. Denk aan het creëren en geven van trainingen, het maken en uitsturen van simulaties en het schrijven en het vertalen van communicatiemateriaal.
- Managementprioriteit: Bij veel organisaties is Security Awareness geen managementprioriteit. Dit kan verschillende redenen hebben. Soms is de directie zelf nog niet overtuigd van het belang van (cyber)security. Daarnaast besteden sommige lijnmanagers hun tijd liever aan kernprocessen, dan aan het verbeteren van security awareness binnen hun team of afdeling.
- Cultuur en gedrag: Veel organisaties worstelen met het feit dat ze verschillende doelgroepen moeten trainen. Deze doelgroepen kijken allemaal op een andere manier naar IT en veiligheid. Een op maat gemaakt programma voor de organisatie helpt deze uitdadingen overeenkomen, maar kost ook meer tijd om te implementeren.
- Budget en middelen: Naast dat het implementeren van een Security Awareness programma tijdrovend is, kost het organisaties ook veel geld en/of middelen om de implementatie te verwezenlijken. Het adagium hierbij is dat veel organisaties menen dat Security Awareness duur is, maar dat hoeft het niet te zijn. Organisaties maken het vaak erg duur omdat ze fancy tools willen, in plaats van dat ze focussen op het verlagen van het menselijk risico.
Deze uitdagingen, gepaard met succesverhalen, geleerde lessen en trends en ontwikkelingen in cyber security in het algemeen en security awareness hebben geleid tot de volgende succesfactoren voor het implementeren van een Security Awareness programma in je organisatie.
In hoofdstuk 4 lees je welke succesfactoren een belangrijke rol spelen