Cybersecurity is steeds meer mensenwerk geworden. Maar waar we jarenlang hebben ingezet op awareness, trainingen en beleid, zien we nu een nieuw probleem ontstaan. Security Fatigue. Wat betekent dat? Werknemers haken af. Niet omdat ze security onbelangrijk vinden, maar omdat het simpelweg te veel wordt. Te veel prompts, te veel regels en te veel verplichtingen. En dat is natuurlijk riskant. Want hoe meer mensen afhaken, hoe groter de kans dat ze onbewust fouten maken. Wij nemen je mee in wat Security Fatigue precies is en hoe je betrokkenheid weer opbouwt.
Met Remco van Santen, TISO bij Innvolve.
“Medewerkers worden moe van trainingen, meldingen, restricties en steeds nieuwe regels. Veel trainingen worden als verplichting gezien, niet als waardevol.”
De opkomst van Security Fatigue
Security Fatigue ontstaat niet omdat mensen niet willen, maar omdat ze vaak niet zien hoe de securitymaatregelen aansluiten bij, of van toepassing zijn op, hun dagelijkse werk.
En dat begint bij vier veelvoorkomende oorzaken:
1. Te veel of te saaie trainingen
Een jaarlijkse training kan prima zijn, maar als medewerkers elk kwartaal een verplichte e-learning moeten doorklikken, daalt de motivatie snel. Zeker als het telkens dezelfde stof is. Medewerkers herkennen patronen, klikken sneller door en onthouden minder. De training is dan geen bewustwording meer, maar een verplichting.
2. Security alerts die het werk in de weg zitten
Wanneer elke handeling een pop-up veroorzaakt, ontstaan frustraties. Wat bedoelen we met zo’n pop-up? Een browser die bij elke download vraagt om bevestiging. Een MFA-prompt die verschijnt wanneer iemand even van wifi is gewisseld. Policies die blokkeren, melden of afdwingen zonder rekening te houden met context. Uiteindelijk levert dat maar één ding op: een medewerker die snel op OK drukt.
3. Policies die niet logisch worden uitgelegd
Regels zonder toelichting zijn geen regels, maar irritaties. Zo werkt het nou eenmaal vaak. Werknemers snappen niet waarom iets niet mag, waarom toegang wordt beperkt of waarom documenten niet op een bepaalde plek mogen worden opgeslagen. Daarom is uitleg en redengeving zo belangrijk. Zodat werknemers weten waarom ze iets wel of juist niet moeten doen.
Hoe creëer je die betrokkenheid toch?
Hoe draai je dat patroon om? Niet door meer regels te maken, maar door slimmer te communiceren en vooral: door security menselijk te maken. En hoe doe je dat dan weer? We hebben een aantal concrete tips:
1. Relevante en aantrekkelijke informatie
Het is belangrijk om trainingen aan te bieden die interessant zijn, vaak wanneer ze gaan over praktische cases die in het dagelijkse werk herkenbaar zijn. Zo gaat een onderwerp niet alleen meer leven, maar is het ook interessanter om naar te luisteren. Je wil dat een training niet als verplichting voelt, maar een sessie is die niet te frequent wordt gegeven, nieuwe informatie brengt en praktisch goed toepasbaar is.
2. Minder verplichting, meer motivatie
Mensen doen graag dingen waar ze zelf voordeel van zien. Laat zien hoe veilig gedrag hén helpt. Minder risico op datalekken, minder stress bij incidenten, minder kans op gedoe. Maak het persoonlijk en relevant.
3. Uitleg vóór beleid
Niet “vanaf morgen mag dit niet meer”, maar “we voeren dit in omdat we de afgelopen maanden deze bedreigingen zagen”. Context is ontzettend belangrijk. Als mensen begrijpen waarom iets gebeurt, volgt acceptatie bijna vanzelf.
Hoe kan je security voor werknemers makkelijk maken?
Securityregels naleven hoeft echt geen blok aan je been te zijn. Sterker nog: er zijn moderne securitytools die het heel makkelijk kunnen maken en werknemers juist kunnen ontlasten. We nemen je mee in een selectie daarvan:
Report Phishing in Outlook
Een medewerker die twijfelt over een mail zou geen ingewikkelde procedure hoeven volgen. Eén klik op de report-knop in Outlook en de melding gaat direct naar de juiste plek. Doordat je deze drempel heel laag legt, zorg je ervoor dat ook bij twijfel een melding sneller wordt gemaakt. En dat is wat je wil.
Filters die al vóór de inbox problemen oplossen
Microsoft Defender for Office 365, Exchange Online Protection en vergelijkbare oplossingen onderscheppen verdachte e-mails nog voordat een medewerker ze ziet. Dat scheelt heel wat werk.
Automatische meldstromen
Er zijn tools die automatisch alerts naar IT of Security kunnen sturen. Dit neemt een grote drempel weg, omdat werknemers ze niet hoeven te bellen, formulieren hoeven in te vullen of screenshots hoeven te maken. Het is met die inregeling ook niet nodig om uit te zoeken naar wie dit eigenlijk precies moet.
Policies die context begrijpen
Tools zoals Microsoft Entra ID, Conditional Access, Defender for Endpoint en Intune kunnen beleid toepassen op basis van de context. Dat is dynamisch, dus. Geen MFA-prompt op een vertrouwd device op een vertrouwde locatie, maar pas extra checks als er afwijkend bedrag wordt herkend. Dit voorkomt irritatie omdat het systeem wéét wanneer streng zijn logisch is en wanneer het vooral vervelend is.
Samenhang in tooling
Het is belangrijk dat tools niet los van elkaar werken. Microsoft Security-suite of vergelijkbare platformen bieden geïntegreerde signalen. Dat maakt het mogelijk om minder prompts te tonen, zonder af te doen aan de beveiliging.
Balans tussen Security Fatigue en Security Awareness
De kunst is balans. Niet meer maatregelen, maar beter afgestemd op de context en het gedrag van de gebruiker. Het is met name belangrijk dat security moet voelen als iets dat vanzelfsprekend is binnen je werk. Want daar moet het namelijk naartoe. Die balans kan je bereiken door drie dingen op elkaar af te stemmen:
- Mens. Awareness, motivatie en cultuur;
- Proces. Duidelijke afspraken en heldere toelichting aan de voorkant;
- Technologie. Ondersteuning die beschermt zonder het dagelijks werk in de weg te zitten.
Wanneer die drie samenkomen, verdwijnt Security Fatigue. Geen pop-ups, policies en verplichte modules wat alleen maar als “lastig” wordt ervaren, maar een securitystrategie die als vanzelfsprekend en belangrijk wordt gezien binnen het werk. Gebruikers krijgen daardoor vertrouwen in de systemen, begrijpen het waarom en voelen zich onderdeel van de oplossing.
Conclusie
Security Fatigue komt regelmatig voor en is ook zeker niet altijd te vermijden. Het is in zo’n geval vooral belangrijk dat bewustwording wordt gecreëerd door duidelijk en begrijpelijk beleid. Betrokkenheid van werknemers, en begrip voor het belang van Cyber Security, is namelijk één van de belangrijkste aspecten om je organisatie goed te beveiligen tegen de huidige cyberdreigingen. De uitdaging is om dit goed in balans te brengen met werknemers die gewoon hun werk ongestoord willen uitvoeren.
Hoe ga je hiermee om en hoe creëer je awareness? Onze security-experts kijken graag met je mee. Neem gerust contact met ons op en vraag eventueel naar Remco.
Over de auteur
Remco van Santen is Technical Information Security Officer in het security-team van Innvolve. Voor klanten én intern werkt hij aan sterke cybersecurity-oplossingen om moderne cyberaanvallen geen enkele kans te geven.
Benieuwd naar de rest van de serie?
Blog 1. Cybersecurity Awareness – méér dan een jaarlijks traininkje
Blog 2. Hoe herken je de nieuwe generatie aanvallen?
Blog 3. Cultuur van veiligheid: hoe krijg je medewerkers intrinsiek betrokken?
Meer innformatie?
Wil je meer weten over Security Fatigue: van mensen die afhaken naar processen die ondersteunen, neem dan contact met ons op.
