Undersøgelsen omfattede 200 sikkerhedschefer i Storbritannien, Sverige, Tyskland og Frankrig. Den viste, at 81 procent af lederne mener, at nutidens programmer til at øge sikkerhedsbevidstheden fejler, fordi de behandler menneskelig cyberrisiko som et uddannelsesspørgsmål frem for et bredere risikostyringsproblem. Samtidig identificerer 68 procent af virksomhederne medarbejderne som deres største sikkerhedsrisiko. Det understreger en vedvarende og uløst sårbarhed i hjertet af virksomhedernes sikkerhedssystemer, ifølge undersøgelsen.

Satser på træning

Virksomhederne investerer massivt i programmer for sikkerhedsbevidsthed. De afsætter i gennemsnit 15 procent af deres årlige sikkerhedsbudgetter til træning i sikkerhedsbevidsthed, og 79 procent gennemfører træning mindst hver anden uge. På trods af dette varierer resultaterne fortsat betydeligt. En fjerdedel (25 procent) af virksomhederne siger, at de kæmper for at fastholde medarbejdernes opmærksomhed. 24 procent rapporterer, at de ikke lykkes med at integrere sikker adfærd i det daglige arbejde, og yderligere 24 procent har vanskeligheder med at koordinere interessenter på tværs af virksomhedens funktioner. Det viser tydeligt, at udfordringen er lige så organisatorisk som adfærdsmæssig.

Denne kløft skyldes et forældet synspunkt. Mange sikkerhedschefer mener ifølge rapporten, at deres organisationer er kommet videre end blot “afkrydsningsøvelser”, når det gælder sikkerhedsbevidsthed. 33 procent beskriver deres tilgang som adfærdsstyret, og 24 procent siger, at de integrerer håndtering af menneskelige risici. Alligevel skaber disse oplevede fremskridt ikke nogen reel forandring.

– Selvtilliden vokser, men det betyder ikke, at risikoen falder. Mange virksomheder begår den fejl at betragte gennemført sikkerhedstræning som reel sikkerhed. Men det er ikke givet, at de underliggende menneskelige sårbarheder er blevet ændret af træningen, siger James Mackay, administrerende direktør i Metacompliance, og fortsætter:

– Det skaber en farlig kombination. Virksomhederne føler sig mere sikre, men medarbejderne er fortsat den største risikokilde. Samtidig bliver truslerne mere sofistikerede, hvor AI gør social engineering-angreb stadig mere omfattende og målrettede. Hvis de beskrevne mangler ikke bliver løst, vil virksomhederne blive udsat for stadig hårdere angreb.

Mere strategisk model

Derfor efterlyser sikkerhedscheferne en mere strategisk model. Næsten fire ud af fem (79 procent) ønsker at fokusere indsatsen på håndtering af menneskelige risici med vægt på at identificere højrisikopersoner og skræddersy indsatser baseret på den enkelte persons adfærd, samtidig med at der opbygges en fælles sikkerhedskultur på tværs af virksomheden. Hele 83 procent af lederne mener, at målrettede indsatser vil reducere risikoen hurtigere, og 80 procent svarer, at sikkerhedsbudskaber fungerer bedst, når de leveres direkte i arbejdsprocesserne.

Dette skifte sker på et tidspunkt, hvor virksomhederne står over for et stigende pres for at modernisere deres sikkerhedsforanstaltninger som følge af det foranderlige trusselsbillede. I løbet af de næste 12 måneder planlægger virksomhederne at øge hyppigheden af sikkerhedsforanstaltninger (27 procent), dokumentere målbar effekt af sikkerhedsindsatsen (25 procent) og skræddersy indsatser mod højrisikopersoner (24 procent) – især som reaktion på AI-genereret social engineering (24 procent).