Kennis over cybersecurity groeit, maar praktijk blijft achter

De kennis over informatieveiligheid in de onderwijs- en onderzoeksector neemt toe, maar de toepassing in de praktijk kan verder worden versterkt. Dat blijkt uit de sectorrapportage security- en privacy-awareness 2024 van SURF en BDO Cybersecurity, gebaseerd op een meting onder 27 instellingen.

De rapportage laat zien dat veel medewerkers behoefte hebben aan duidelijke instructies voor het verwerken van gevoelige gegevens en het gebruik van toegestane tools. Ook geven zij aan niet altijd te weten hoe zij security-incidenten en datalekken kunnen melden.

Belang duidelijk, urgentie ontbreekt

Hoewel respondenten het belang van informatiebeveiliging inzien, voelen veel van hen te weinig urgentie om er concreet iets mee te doen. Dit komt onder andere door het ontbreken van een sterke security-cultuur. Een deel van de respondenten zegt dat het zou helpen als security- en privacyregels minder vrijblijvend zijn.

Concrete adviezen voor instellingen

Met de volgende adviezen uit de rapportage kun je binnen je instelling direct aan de slag om het bewustzijn rondom cybersecurity te vergroten: 

• Stem awarenesscampagnes af op het dagelijkse werk van je medewerkers, zodat ze situaties herkennen.
• Maak het melden van incidenten of datalekken zo makkelijk mogelijk, bijvoorbeeld door het plaatsen van korte instructies op werkplekken. 
• Investeer in trainingen over specifieke thema’s, zoals het omgaan met persoonsgegevens, en versterk daarmee de security-cultuur.
• Maak security en privacy een vast onderdeel van het onboardingsproces van nieuwe medewerkers.

Over het onderzoek

In 2024 namen ruim 6.300 medewerkers van 27 instellingen (wo, hbo, mbo, bibliotheken en onderzoeksinstituten) deel aan de vierde awarenessmeting van SURF en BDO Cybersecurity. De gemiddelde score was een 6,7, tegenover 6,5 in 2023 en 5,9 in 2022.