Awarenessmeting onderwijs en onderzoek 2023: bed awareness organisatiebreed in
In opdracht van SURF heeft BDO voor het derde jaar op rij security- en privacy-awarenessmetingen uitgevoerd bij onderwijs- en onderzoeksinstellingen. De metingen bestaan uit online vragenlijsten voor de medewerkers en 8 interviews. Op basis van deze metingen is er een nieuwe sectorrapportage awareness uitgebracht.
Gedragsverandering meten
De meting is gebaseerd op het COM-B model voor gedragsverandering. Kort gezegd luidt deze: om te veranderen is het nodig dat mensen kunnen (bekwaamheid), willen (motivatie) en gefaciliteerd worden (gelegenheid).
Er is dit jaar een extra meting toegevoegd, een gedragsmeting door onderzoekers van de Haagse Hogeschool. De gedragsmeting bevat twee testen. Deze gaan over 1) het aanmaken van een veilig wachtwoord en 2) het delen van persoonlijke informatie. Het doel is om te kijken wat de relatie is tussen de resultaten van de ‘basismeting’ (op basis van COM-B) en het daadwerkelijk gemeten gedrag.
Resultaten
Dit jaar hebben 70 instellingen meegedaan met de meting, met in totaal ruim 12.000 respondenten. Gemiddeld scoren instellingen een 6.5, wat een verbetering is ten opzichtte van een 5.9 gemiddeld in 2022. De gewenste score voor awareness is een 7.5 of hoger.
Medewerkers zijn nog steeds overtuigd van het belang van cyberveilig en privacybewust gedrag, maar zijn beperkt gemotiveerd om aandacht te besteden aan security en privacy. Dit komt doordat zij binnen hun instelling ondersteuning missen en het gebrek aan helderheid wat veilig werken in de praktijk inhoud. Zij zijn redelijk tevreden over de faciliteiten die zij tot hun beschikking hebben maar een sterke security awareness cultuur ontbreekt. Respondenten waren minder positief over de voorbeeldrol van leidinggevenden in vergelijking met vorig jaar.
Verband tussen COM-B en daadwerkelijk gedrag
De kennis over informatieveiligheid is redelijk, er is behoefte aan helderheid en ondersteuning. Met de gedragsmeting is te zien dat er een zeer beperkt verband is tussen het COM-B model en daadwerkelijk gedrag. Dit komt waarschijnlijk doordat er veel meer factoren een rol spelen, die moeilijk meetbaar zijn. Hiermee tonen we aan dat kennis, motivatie en gelegenheid over informatieveiligheid niet automatisch tot het gewenste gedrag leidt.
Binnen de doelgroepen is een verschil te zien. IT-ondersteuners scoren gemiddeld een 7.5 en behalen daarmee het minimaal gewenste awareness niveau. Onderzoeks- en onderwijs medewerkers scoren gemiddeld een 6.3, hier valt dus nog wat te verbeteren.
Aanbevelingen
Zorg dat awareness activiteiten en materialen aansluiten bij het dagelijkse werk in onderwijs- en onderzoek. Investeer in een sterke security awareness cultuur door awareness structureel, organisatie breed en op alle hiërarchische lagen in te bedden. Bijvoorbeeld door security en privacy een vast onderdeel te maken bij de onboarding van nieuwe medewerkers.
Leg bij metingen en interventies de focus op het daadwerkelijke gedrag van de medewerker. Om de inzet op een cultuurverandering tot een succes te maken is het belangrijk om rekening te houden met de sceptici. Investeer extra in awareness voor docenten, onderzoekers en leidinggevenden om ook deze groep mee te krijgen. Bijvoorbeeld door bijeenkomsten of activiteiten te organiseren die over hun dagelijkse praktijk gaat. Specifieke thema’s waar veel respondenten behoefte aan hebben zijn bijvoorbeeld veilige software, het delen en opslaan van persoonsgegevens en hoe om te gaan met datalekken en incidenten.