Mens en Gedrag

Cybersecurity awareness: van weten naar doen 

Bij cybersecurity denken we meestal aan firewalls, encryptie of antivirussoftware. Toch is techniek zelden de zwakste schakel: in 68 % van de incidenten speelt menselijk handelen een rol (Verizon DBIR 2024). Wie de digitale weerbaarheid echt wil vergroten, moet dus verder kijken dan de techniek. SURF ontwikkelde daarom – samen met vijf onderwijsinstellingen – een proces voor cybersecurity awareness dat menselijk gedrag centraal zet en continu wordt verbeterd. In dit artikel lees je hoe het proces werkt, wat het oplevert en hoe je er vandaag nog mee kunt starten. 

Waarom een procesmatige aanpak? 

Losse campagnes leveren vaak korte termijn kennis op, maar zelden blijvende gedragsverandering. Het nieuwe proces verankert cybersecurity awareness in de Plan-Do-Check-Act-cyclus. Zo zorgt het proces voor continue verbetering én aansluiting bij bredere organisatiedoelen, zoals het versterken van de cyberweerbaarheid en het verhogen van het cybersecurityvolwassenheidsniveau – in lijn met kaders als SURFaudit, NIS 2 en het NBA-toetsingskader. 

Cybersecurity awareness

Het awareness proces in vier stappen 

Stap 1 – Plan: thema’s en doelgroepen bepalen


Startpunt is het vaststellen van de belangrijkste cybersecurityrisico’s voor je instelling. Op basis daarvan bepaal je de thema’s voor het awarenessprogramma. Met behulp van een risicomatrix koppel je deze thema’s aan de doelgroepen die het meeste risico lopen. Zo krijgt het programma focus en sluit het aan op waar de urgentie het hoogst is. 

Stap 2 – Do: campagnes uitvoeren en gedrag stimuleren


In deze stap voer je het awarenessprogramma uit. Dit kan bestaan uit campagnes, trainingen en gerichte gedragsinterventies, vaak samen met verschillende stakeholders binnen de organisatie. Belangrijk is dat je niet alleen informatie overbrengt, maar ook inspeelt op factoren die gedrag beïnvloeden, zoals motivatie en de omgeving. Hierbij helpt het gebruik van gedragsmodellen zoals COM-B om effectieve interventies te ontwerpen. 

Stap 3 – Check: meten en evalueren van effectiviteit


Om te bepalen of je programma werkt, is het essentieel om de impact te meten. Dit doe je door vooraf en achteraf metingen uit te voeren, bijvoorbeeld met enquêtes of interviews. De resultaten bieden inzicht in het bewustzijn en gedrag van je doelgroepen en laten zien welke onderdelen van het programma effectief zijn en welke verbetering nodig hebben. 

Stap 4 – Act: bijsturen en continu verbeteren


Op basis van de evaluatie pas je het programma aan. Dit zorgt voor een cyclische verbetering waarbij het awarenessproces steeds beter aansluit bij de behoeften en risico’s van de organisatie. Ook bereid je hiermee de volgende cyclus voor. Zo wordt awareness een structureel onderdeel van de organisatiecultuur. Tegelijkertijd groeit de cyberweerbaarheid van je instelling. 

Van bewustzijn naar gedragsverandering 

Kennis alleen leidt niet automatisch tot ander gedrag. Onderzoek toont aan dat mensen die slachtoffer zijn van fraude vaak bovengemiddelde kennis hebben. Dit geldt ook voor cybersecurity. Traditionele bewustwordingscampagnes missen vaak de vertaalslag naar duurzame gedragsverandering. 

Met behulp van intern onderzoek – bijvoorbeeld nulmetingen, interviews of vragenlijsten – worden de factoren geïdentificeerd die bepalen of iemand het gewenste gedrag vertoont. Via gedragsmodellen zoals COM-B worden factoren zoals capaciteit, omgeving en motivatie onderzocht. Vervolgens worden per thema technische, organisatorische en procedurele aanpassingen gedaan om het gewenste gedrag mogelijk te maken en te stimuleren. Het meten van awareness is hierbij een integraal onderdeel van alle processtappen. 

Bewezen in de praktijk 

Twee proof-of-concepts laten zien dat het model flexibel is: 

  • Fontys Hogescholen gebruikt het proces om het awarenessprogramma voor een heel jaar te structureren. 
  • Erasmus Universiteit Rotterdam past het centraal toe, terwijl faculteiten eigen accenten leggen. 

Resultaten en feedback vloeien terug in een jaarlijkse update, zodat het proces meegroeit met nieuwe inzichten. 

Breed toepasbaar 

Binnen de onderwijs- en onderzoekssector wordt kennis en ervaring gedeeld via de SCIPR en SCIRT communities. Deze sector is bij uitstek geschikt om het proces toe te passen, omdat samenwerking en kennisdeling noodzakelijk zijn om het op de lange termijn effectief te maken. 

Het proces voor awareness is daarmee een model dat actief en langdurig wordt ingezet. Het is echter ook geschikt voor organisaties buiten onderwijs en onderzoek. Daarom worden de materialen en het procesmodel zo veel mogelijk openbaar gepubliceerd. 

Wat maakt dit model uniek? 

  • Wetenschappelijk onderbouwd – gebaseerd op recente studies naar awareness en gedrag. 
  • Praktisch – inclusief templates, voorbeeldmaterialen en (vanaf september 2025) een basistraining voor awarenessprofessionals. 
  • Flexibel – instellingen kunnen het aanpassen aan hun eigen context. 
  • Meetbaar – elke stap bevat heldere KPI’s voor bewustzijn én gedrag. 
  • Open beschikbaar – via de CSY-toolkit en binnenkort in het Engels voor alle Europese NRENs (GÉANT). 

Proces voor awareness in de CSY toolkit 

In de CSY toolkit vind je het procesmodel uitgewerkt in de vier stappen, inclusief de subonderdelen. Ook is er een PowerPoint-presentatie met voorbeelden van invulling per stap beschikbaar. De komende tijd worden templates, materialen en hulpmiddelen verder ontwikkeld en geordend binnen de processtappen. Vanaf september 2025 start de ontwikkeling van een basistraining gebaseerd op dit procesmodel. Het model wordt bovendien in Europees verband door Géant in het Engels beschikbaar gesteld aan alle NRENs. 

Ga naar de CSY Toolkit

Gerelateerde artikelen