Cybersecurity draait allang niet meer alleen om firewalls, tools en detectiesystemen. De mens blijft één van de belangrijkste factoren in het voorkomen van incidenten. Toch wordt awareness in veel organisaties nog steeds gezien als een verplicht jaarlijks traininkje.

Volgens Remco van Santen, TISO bij Innvolve, is dat simpelweg niet genoeg:

“Een training van twee uur waarin iemand een verhaal vertelt? Dat werkt niet. Na een dag is iedereen het weer vergeten.”

Waarom die jaarlijkse training onvoldoende effect heeft

Het belangrijkste principe van awareness is herhaling. Wanneer je mensen iets maar één keer vertelt, blijft het nauwelijks hangen. Onderzoek laat zien dat informatie pas echt blijft wanneer je deze vijf tot zes keer herhaalt, dan stijgt de kennisretentie van 10% naar ongeveer 80%.

Remco ziet dit dagelijks terug in de praktijk:

“Als medewerkers maar één moment per jaar iets horen over cybersecurity, creëer je geen gedrag. Bewustzijn ontstaat pas wanneer je het regelmatig terug laat komen.”

Standaardpakketten missen motivatie en relevantie

Veel bedrijven vertrouwen op generieke micro-learning modules: korte video’s of quizjes die iedereen doorloopt. Handig, maar vaak niet effectief. Ze missen de aansluiting met het werk van de gebruiker.

Zonder herkenning is er geen urgentie. En zonder urgentie verandert gedrag niet.

“Standaardcontent werkt alleen op papier. In de praktijk herkennen mensen zich er niet in, en dan motiveert het niet.”

Awareness als continu proces

Echte awareness is geen project, maar een cyclus. Het moet aansluiten op wat medewerkers meemaken, hun vakgebied en de risico’s waaraan ze worden blootgesteld.

Dat betekent:

1.      Actualiteit betrekken: Phishing rond feestdagen, drukke periodes of veelbesproken externe incidenten. Wanneer je aansluit op wat er speelt, worden mensen automatisch alerter.

2.      Scenario’s die passen bij de branche: Een zorgmedewerker heeft met totaal andere dreigingen te maken dan iemand op kantoor. Je kunt mensen pas echt bereiken als ze denken: hé, dit herken ik.

3.      Terugkoppeling van resultaten: Laat zien wat er in de organisatie gebeurt: klikgedrag bij phishingtests, trends en concrete leerpunten. Als je data deelt, worden medewerkers onderdeel van het verbeterproces. Dat werkt vele malen beter dan alleen zenden.

4.      Praktische, echte ervaringen: Een oefening met een nep-wifi-hotspot, een simulatie van een phishing-aanval of een werkplekinspectie zorgt ervoor dat het kwartje valt.

Van verplichting naar bewust gedrag

Wanneer organisaties awareness slim inrichten, verschuift het van “iets dat moet” naar “iets dat logisch voelt”. Medewerkers herkennen verdachte situaties sneller, handelen veiliger en melden eerder afwijkingen.

Remco vat het mooi samen:

“Awareness werkt pas als mensen begrijpen waarom het belangrijk is en het kunnen toepassen. Dáár ligt de winst.”

Conclusie

Kortom, Awareness in cybersecurity werkt pas als het een continu proces is dat herhaling, relevante scenario’s en praktische ervaring combineert. Zo ontwikkelen medewerkers écht bewust gedrag, herkennen ze risico’s sneller en handelen ze veiliger in de praktijk.

Hoe ga je hiermee om en hoe creëer je awareness? Onze security-experts kijken graag met je mee. Neem gerust contact met ons op en vraag eventueel naar Remco.

 

 Over de auteur

Remco van Santen is Technical Information Security Officer in het security-team van Innvolve. Voor klanten én intern werkt hij aan sterke cybersecurity-oplossingen om moderne cyberaanvallen geen enkele kans te geven.

 

Benieuwd naar de rest van de serie?

Blog 2. Hoe herken je de nieuwe generatie aanvallen?

Blog 3. Cultuur van veiligheid: hoe krijg je medewerkers intrinsiek betrokken?

Blog 4. Security Fatigue: van mensen die afhaken naar processen die ondersteunen