Awarenessmeting Onderwijs en onderzoek
Mens en Gedrag

Awarenessmeting onderwijs en onderzoek 2023: bed awareness organisatiebreed in

In opdracht van SURF heeft BDO voor het derde jaar op rij de awarenessmeting onderwijs onderzoek 2023 uitgevoerd. Deze meting laat zien in hoeverre medewerkers binnen onderwijs- en onderzoeksinstellingen cyberveilig en privacybewust werken. De resultaten zijn gebundeld in een nieuwe sectorrapportage awareness. Het belangrijkste advies: bed awareness organisatiebreed in.

Awareness meting onderwijs onderzoek 2023 en het COM-B model

De awarenessmeting onderwijs onderzoek 2023 is gebaseerd op het COM-B model voor gedragsverandering: kunnen (bekwaamheid), willen (motivatie) en gelegenheid (facilitering). De meting bestaat uit online vragenlijsten voor medewerkers en acht interviews.

Nieuw dit jaar is een extra gedragsmeting door onderzoekers van de Haagse Hogeschool. Deze bevat twee testen:

  1. Het aanmaken van een veilig wachtwoord.
  2. Het delen van persoonlijke informatie.

Het doel is om het verband te onderzoeken tussen de COM-B-resultaten en daadwerkelijk gedrag..

Resultaten awarenessmeting onderwijs onderzoek 2023

Dit jaar hebben 70 instellingen meegedaan met de meting, met in totaal ruim 12.000 respondenten.  Gemiddeld scoren instellingen een 6.5, wat een verbetering is ten opzichtte van een 5.9 gemiddeld in 2022. De gewenste score voor awareness is een 7.5 of hoger.

Medewerkers zijn nog steeds overtuigd van het belang van cyberveilig en privacybewust gedrag, maar zijn beperkt gemotiveerd om aandacht te besteden aan security en privacy. Dit komt doordat zij binnen hun instelling ondersteuning missen en het gebrek aan helderheid wat veilig werken in de praktijk inhoud. Zij zijn redelijk tevreden over de faciliteiten die zij tot hun beschikking hebben maar een sterke security awareness cultuur ontbreekt. Respondenten waren minder positief over de voorbeeldrol van leidinggevenden in vergelijking met vorig jaar.

Verband tussen COM-B en daadwerkelijk gedrag

De kennis over informatieveiligheid is redelijk, er is behoefte aan helderheid en ondersteuning. Met de gedragsmeting is te zien dat er een zeer beperkt verband is tussen het COM-B model en daadwerkelijk gedrag. Dit komt waarschijnlijk doordat er veel meer factoren een rol spelen, die moeilijk meetbaar zijn. Hiermee tonen we aan dat kennis, motivatie en gelegenheid over informatieveiligheid niet automatisch tot het gewenste gedrag leidt. 

Binnen de doelgroepen is een verschil te zien. IT-ondersteuners scoren gemiddeld een 7.5 en behalen daarmee het minimaal gewenste awareness niveau. Onderzoeks- en onderwijs medewerkers scoren gemiddeld een 6.3, hier valt dus nog wat te verbeteren. 

Aanbevelingen

Zorg dat awareness activiteiten en materialen aansluiten bij het dagelijkse werk in onderwijs- en onderzoek. Investeer in een sterke security awareness cultuur door awareness structureel, organisatie breed en op alle hiërarchische lagen in te bedden. Bijvoorbeeld door security en privacy een vast onderdeel te maken bij de onboarding van nieuwe medewerkers. 

Leg bij metingen en interventies de focus op het daadwerkelijke gedrag van de medewerker. Om de inzet op een cultuurverandering tot een succes te maken is het belangrijk om rekening te houden met de sceptici. Investeer extra in awareness voor docenten, onderzoekers en leidinggevenden om ook deze groep mee te krijgen. Bijvoorbeeld door bijeenkomsten of activiteiten te organiseren die over hun dagelijkse praktijk gaat. Specifieke thema’s waar veel respondenten behoefte aan hebben zijn bijvoorbeeld veilige software, het delen en opslaan van persoonsgegevens en hoe om te gaan met datalekken en incidenten. 

Download het volledige rapport

Gerelateerde artikelen

Cybersecurity awareness: van weten naar doen 

Ontdek hoe het procesmatige cybersecurity awareness model van SURF helpt mensgerichte cyberrisico’s structureel te verkleinen. Verhoog de cyberweerbaarheid met effectieve gedragsverandering.

Mens en Gedrag