BDO heeft begin 2022 in opdracht van SURF bij 26 instellingen een security- en privacy-awarenessmeting gedaan. De uitkomsten van deze awarenessmeting onderwijs en onderzoek vind je in dit artikel.

Verplichte trainingen en phisingtesten als stok achter de deur

De respondenten van de awarenessmeting onderwijs en onderzoek zijn het eens dat structurele aandacht voor security en privacy onontbeerlijk is om een weerbare organisatie te zijn, en dat medewerkers hier een belangrijke rol in spelen. Een aantal van hen geeft aan dat security en privacy nu te vrijblijvende thema’s zijn. Zij pleiten daarom voor het invoeren van bijvoorbeeld verplichte trainingen en phishingtesten. Zij zien het als een stok achter de deur, omdat ze tegelijkertijd ook aangeven beperkt gemotiveerd te zijn, vanwege werkdruk, onduidelijke regels en gebrek aan interesse.

Awarenessniveaus vergelijkbaar, motivatie is − naar eigen zeggen − hoog

Uit de awarenessmeting onderwijs en onderzoek blijkt dat de awarenessniveaus van de medewerkers die aan de meting hebben meegedaan vergelijkbaar zijn. De gemiddelde score is 6,8. Een totaalscore van 7 of hoger is voldoende basis om privacybewust en informatieveilig te werken. Er is dus nog enige verbetering nodig. In de meting is onderzocht hoe gemotiveerd medewerkers zijn om informatieveilig en privacybewust te werken, in hoeverre ze daartoe in staat worden gesteld en of ze voldoende kennis en vaardigheden hebben. Medewerkers zijn - naar eigen zeggen - zeer gemotiveerd om privacybewust en informatieveilig te werken.

Focus op docenten en onderzoekers noodzakelijk

Opvallend is dat docenten en onderzoekers achterblijven in vergelijking met medewerkers in ondersteunende functies (OBP), zowel in deelname aan deze meting als in resultaten. Dit zou door de hoge werkdruk kunnen komen. Privacybewust en informatieveilig werken krijgt daardoor wellicht minder prioriteit. Een andere oorzaak kan zijn dat de werksituatie, vooral bij onderzoekers, minder eenduidig is te vatten in een set regels of richtlijnen. Zij werken vaak in (internationale) samenwerkingsverbanden, waarin de regels en richtlijnen van de instelling niet zonder meer opgevolgd kunnen worden. Het onderzoeksconsortium bepaalt welke tooling er wordt gebruikt, en dat kan haaks staan op de richtlijnen van de instelling.

Stel vast wat privacybewust en informatieveilig werken inhoudt

Een van de aanbevelingen uit het rapport is dat instellingen duidelijk(er) moeten zijn in wat ze van medewerkers verwachten als het gaat om privacybewust en informatieveilig werken. Wees daarbij realistisch: tools of activiteiten verbieden als er geen redelijke alternatieven zijn is niet werkbaar. Medewerkers hebben daarnaast behoefte aan korte en bondige richtlijnen, opgesteld in heldere taal en die makkelijk te vinden zijn.

Aanpak onderzoek n.a.v awarenessmeting onderwijs en onderzoek

Begin 2021 hebben 26 instellingen (wo, hbo, mbo, overig – onder andere bibliotheken en onderzoeksinstituten) gehoor gegeven aan de oproep van SURF om mee te doen aan een cybersecurity-awareness-meting in het kader van de dienst Cybersave Yourself (CSY).

De meting – opgezet in samenwerking met BDO, een organisatie gespecialiseerd in het ontwikkelen van een aanpak om gedragsveranderingen bij medewerkers te realiseren – omvatte het invullen van een online vragenlijst op het gebied van privacy en security. De deelnemende instellingen hebben de vragenlijst zelf binnen een deel van hun eigen organisatie verspreid. De respondenten kregen direct feedback na het invullen van de lijst. De deelnemende instellingen hebben ieder een eigen rapport ontvangen.

Lees het rapport over de security- en privacy-awarenessmeting