Säkerhetschefer i Europa kräver nya strategier för att hantera cyberrisker

Många informationssäkerhetschefer i Europa uttrycker att traditionell utbildning i säkerhetsmedvetenhet har nått sin gräns. Ny forskning visar att 78 procent av cheferna anser att utbildningen måste utvecklas och att det är en brådskande fråga. En undersökning från MetaCompliance visar att nuvarande metoder misslyckas med att hantera mänskliga cyberrisker.

Studien involverade 200 säkerhetschefer från Storbritannien, Sverige, Tyskland och Frankrike. Resultaten visar att 81 procent av cheferna anser att dagens medvetandeprogram misslyckas, då de ser mänsklig cyberrisk som en utbildningsfråga istället för ett bredare riskhanteringsproblem. 68 procent av företagen identifierar medarbetarna som sin största säkerhetsrisk, vilket påvisar en bestående sårbarhet i företagens säkerhetssystem.

Företagen investerar betydligt i medvetenhetsprogram och avsätter i genomsnitt 15 procent av sina årliga säkerhetsbudgetar för säkerhetsutbildning. 79 procent genomför utbildningar minst varannan vecka, men resultaten är varierande. En fjärdedel av företagen har svårt att fånga medarbetarnas uppmärksamhet. 24 procent uppger att de inte lyckas integrera säkert beteende i det dagliga arbetet, vilket återspeglar att utmaningen är både organisatorisk och beteendemässig.

Denna klyfta beror på ett föråldrat synsätt, där många säkerhetschefer tror att deras organisationer har avancerat bortom grundläggande nivåer av säkerhetsmedvetenhet. 33 procent beskriver sitt tillvägagångssätt som beteendestyrt, men dessa framsteg leder inte till meningsfull förändring. James Mackay, VD på MetaCompliance, säger:
– Förtroendet ökar, men det betyder inte att riskerna minskar. Många företag gör misstaget att betrakta genomförd säkerhetsutbildning som faktisk säkerhet.

Han tillägger:
– Detta skapar en farlig kombination. Företagen känner sig säkrare, men medarbetarna är fortfarande den största riskkällan. Hoten blir mer sofistikerade, med AI som gör angrepp baserade på social manipulation mer utbredda och målmedvetna. Utan att adressera dessa brister kommer företagen att utsättas för allt mer intensiva angrepp.

Av den anledningen efterfrågar säkerhetscheferna en mer strategisk modell. Nästan fyra av fem (79 procent) vill rikta sina insatser mot att hantera mänskliga risker genom att identifiera högriskindivider och skräddarsy sina insatser. 83 procent anser att riktade insatser skulle minska risken snabbare, med 80 procent som tror att säkerhetsmeddelanden fungerar bäst när de integreras i arbetsflödet.

Företagen står inför ett ökat tryck att modernisera sina skyddsåtgärder i ett förändrat hotlandskap. Under nästa år planerar många att öka åtgärdsfrekvensen (27 procent) och skräddarsy insatser mot högriskindivider (24 procent) som svar på AI-genererad social manipulation. James Mackay påpekar:
– Mänskliga cyberrisker måste hanteras som andra affärsrisker: mätbart, målinriktat och med kontinuerlig styrning. Det handlar om att nå en genuin förändring i beteendet.