Actueel

30 september 2021

‘Bijna de helft van de Nederlandse werknemers omzeilt cybersecuritysystemen’

Cisco heeft een onderzoek uit laten voeren naar de blik op en kennis van cybersecurity bij bedrijven in zes landen, waaronder Nederland. Daaruit blijkt dat maar liefst 42 procent van de (Nederlandse) ondervraagden om securitymaatregelen heen werkt om hun werk af te krijgen. Het onderschrijft de noodzaak voor een goed security awareness programma.

Security awareness en menselijk gedrag

Het onafhankelijke, geanonimiseerde onderzoek van Cisco analyseerde de antwoorden van 1500 hybride werkenden (flexibel thuis- en kantoorwerkend) in zes landen: België, Denemarken, Nederland, Noorwegen, Zweden en Zwitserland. Uit het onderzoek blijkt onder andere dat meer dan de helft (63 procent) van de ondervraagden sinds de start van de pandemie een cybersecuritytraining heeft gekregen, waarvan 25 procent in de afgelopen zes maanden. Daarnaast gaf 22 procent aan nog nooit een dergelijke training aangeboden te hebben gekregen van hun huidige werkgever. Het thuiswerken als gevolg van de pandemie heeft meer kwetsbaarheden blootgelegd en dus zijn deze trainingen juist nu ontzettend belangrijk.

“Cyberveiligheid is net zo afhankelijk van menselijk gedrag als van technologie”, zegt Michel Schaalje van Cisco Nederland. “Als een van deze pijlers wegvalt worden bedrijven kwetsbaarder voor aanvallen. Mensen zijn hierin de zwakste schakel en hier zijn cybercriminelen maar al te goed van op de hoogte. Omdat de beveiliging van netwerken en apparaten steeds beter wordt, richten cybercriminelen hun aandacht op mensen en de fouten die zij maken om ongemerkt systemen binnen te dringen.”

Awareness en bedrijfscultuur

“Wat je in deze resultaten vooral ziet, is de sociale norm”, zegt Maarten Timmerman, directeur van AWAREWAYS, als we op zoek gaan naar psychologische duiding. “Het feit dat er om belangrijke maatregelen heen gewerkt wordt, geeft aan dat informatieveilig werken expliciet geen onderdeel is van de bedrijfscultuur.”

“Organisaties waar veilig werken écht onderdeel is geworden van het dagelijks werken, daar wordt de tijd en moeite genomen om die belemmeringen te nemen om veilig te werken. Het is namelijk ook een investering. Het is belangrijk dat er binnen organisaties gezegd wordt: je mag de tijd nemen om op de juiste manier te werken. Maar in de praktijk zit de beloning vaak in andere factoren, en spelen zaken zoals tijd, efficiëntie en resultaten een te grote rol. De maatregelen op het gebied van informatieveilig, die broodnodig zijn, worden dan helaas als hindernis gezien. En dan krijg je deze percentages.”

De bedrijfscultuur aanpakken kun je doen door het belang van de maatregelen specifiek te maken. Het is nu te algemeen, en niet gekoppeld aan resultaat of cultuur. “Vergelijk dat maar met gezond eten of voldoende sporten; iets belangrijk vinden is niet voldoende voor het bijbehorende gedrag. Kennis is een voorwaarde, maar geen garantie. Je kunt wel een kookboek met gezonde recepten in huis halen, maar als dat vervolgens in de kast staat levert het uiteraard niets op. Het is vaak duurder, lastiger te bereiden, er zijn minder kant-en-klaar mogelijkheden, noem maar op. Hoe ga je die recepten daadwerkelijk gebruiken? Dát is de vraag weer we onze interventies op insteken.”

Volgens Schaalje is het verontrustend dat bijna de helft van de respondenten hun securitysysteem omzeilt om hun werk te doen. In begin 2020, voor de pandemie, was dat nog 66 procent. Hoewel er dus sprake is van een verbetering zou dit, zeker nu hybride werk voor velen de standaard is, helemaal niet meer moeten gebeuren. Cisco roept daarom werkgevers in alle sectoren op om hun werknemers van de juiste training te voorzien om de hybride werkplek van de toekomst (cyber)veiliger te maken.

42 procent omzeilt securitymaatregelen

De Nederlandse bevindingen komen in grote lijnen overeen met de gemiddelde bevindingen van het onderzoek in alle deelnemende landen. Specifiek voor Nederland vind je onderstaande de voornaamste resultaten, die zonder uitzondering het belang van een goed security awareness programma onderschrijven.

  • 48 procent van de Nederlandse ondervraagden geeft aan dat cybersecurity een belangrijke prioriteit moet zijn. Daarentegen zegt 33 procent dat hun bedrijf cybersecurity niet serieus genoeg neemt;
  • 45 procent wil dat zijn organisatie meer aandacht besteedt aan cybersecurity en het beveiligen van de online omgeving;
  • 42 procent van de ondervraagden werkt om de securitymaatregelen heen, begin 2020 was dit 66 procent;
  • Slechts 20 procent van de Nederlanders heeft de afgelopen zes maanden een cybersecuritytraining gevolgd.

Verschillen in industrieën

Het onderzoek van Cisco keek ook naar de status van cybersecurity in verschillende industrieën. Hoewel de respondenten per industrie ver uiteenliepen, viel een aantal resultaten op:

  • Vooral in de zorg (38 procent) en in de sales, media en marketingsector (75 procent) gaven respondenten aan dat ze sterk van mening zijn dat hun organisatie cybersecurity niet serieus genoeg neemt;
  • In de IT & Telecomsector geven respondenten niet verrassend aan dat hun organisatie cybersecurity wel serieus neemt (51 procent), maar zij geven ook vaak aan dat de werkgever cybersecurity serieuzer kan nemen (46 procent);
  • Het meeste verschil tussen de sectoren komt naar voren in de resultaten over cybersecuritytrainingen. Werknemers in de kunst- en cultuursector (50 procent nog nooit), de reissector (53 procent nog nooit) en het onderwijs (58 procent nog nooit), sectoren waar traditioneel minder met computers wordt gewerkt, ontvingen de minste cybersecuritytrainingen;
  • In elke sector wordt ‘soms’ of ‘af en toe’ om cybersecuritymaatregelen heen gewerkt om het werk te kunnen doen. Vooral in de IT-sector (52 procent), in de juridische sector (57 procent), in HR (60 procent) en in de reissector (73 procent) geven veel ondervraagden aan dat zij dit ‘zeer zelden’ tot ‘nooit’ doen.

“Het is belangrijk dat elke werknemer in Nederland goed op de hoogte is van de noodzaak van cybersecurity”, zegt Schaalje. “Cybercriminelen worden steeds sluwer en zeker in het onderwijs hebben we de afgelopen jaren verschillende grote cyberaanvallen gezien, denk maar aan ROC Mondriaan. De kennis over cybersecurity in Nederland kan en moet beter zijn, als wij ons willen wapenen tegen de criminelen van de toekomst.”

Wat is security awareness?

Security Awareness is de mate waarin mensen risico’s herkennen en zich ervan bewust zijn dat deze de veiligheid van informatie in gevaar kunnen brengen. In de basis hebben we het dan over: welke gegevens verwerken we dagelijks, hoe kwetsbaar en waardevol is die informatie – en vooral, hoe kunnen we daar voorzichtiger mee omgaan?

Security Awareness is de basis voor informatieveiligheid, maar blijvende cultuurverandering is het doel. Dat vereist een investering in tijd, geld, kennis en een management dat het goede voorbeeld geeft. Informatiebeveiliging is geen keuze, of iets wat je als optie toevoegt aan een personeelstraining. Het is een van de fundamenten van verantwoord ondernemen, en het belangrijkste onderdeel van personeelsmanagement waar een bedrijf in kan investeren.

Security Awareness programma

Awareness trainingen zijn de sleutel om het informatiebewustzijn in jouw organisatie op het juiste niveau te krijgen – mits ze op de juiste manier worden ingezet. Security en privacy awareness zijn namelijk geen producten die losse oplossingen vragen, maar processen die een holistische aanpak vereisen. AWAREWAYS biedt daarom een optimale mix van interventies, afgestemd op jouw bedrijfscultuur en security awareness maturity, en gericht op effectieve gedragsverandering.

AWAREWAYS benadert security en privacy awareness vanuit onder meer psychologie en gamification met als doel: veranderen van gedrag en cultuur. We helpen onze klanten met het neerzetten van een overkoepelende strategie zodat medewerkers de sterkste schakel worden in de beveiligingsketen van hun organisatie.

Onze Security Awareness trainingen zijn interactieve programma’s mét begeleiding – monitoring, rapportage en bijsturing – en ondersteunende communicatie. De tailor-made programma’s wijzen op kwetsbaarheden, reiken oplossingen aan en belonen veiliger gedrag. Door de inzet van experts in psychologie, gamification, didactiek en informatiebeveiliging dringen we door tot de kern en boeken we meetbaar resultaat. | Lees meer over onze security awareness programma’s

Meer weten?

Wil je meer weten over onze visie en aanpak, of de mogelijkheden bespreken? Neem dan contact op!

Op zoek naar referenties over onze dienstverlening? Bekijk onze praktijkvoorbeelden om te zien welke organisaties je zoal voorgingen.