De meeste bedrijven die wij spreken hebben ooit wel eens geïnvesteerd in een security-warenesscampagne om de interne bewustwording te versterken. Op zichzelf is dat helemaal niet verkeerd. Het geeft aan dat je het onderwerp serieus neemt en bereid bent om te investeren in je digitale weerbaarheid.
Wat je echter moet beseffen, is dat cybersecurity veel verder gaat dan een verplichte e-learning of een losse bewustwordingscampagne. Medewerkers trainen om cyberdreigingen te herkennen is een goed begin, maar leidt niet automatisch tot veilig gedrag in de praktijk. Het Nationaal Cyber Security Centrum (NCSC) publiceerde onlangs een uitgebreide gids met leidende principes om organisaties te helpen digitaal veilig gedrag structureel te bevorderen. Voor bedrijven die serieus werk willen maken van cybersecurity en onder de NIS2-richtlijn vallen, is dit essentieel.
Waarom e-learning alleen niet genoeg is
Uit onderzoek blijkt dat kennis over cyberdreigingen niet direct resulteert in veiliger gedrag. Veel onveilig gedrag ontstaat niet uit onwil, maar uit gemak, tijdsdruk of onduidelijke richtlijnen. Denk aan medewerkers die privéapparaten op het bedrijfsnetwerk aansluiten of wachtwoorden hergebruiken. Wil je echt impact maken, dan moet veilig digitaal gedrag ingebed worden in de bedrijfscultuur, ondersteund door beleid en techniek.
De zes leidende principes voor een veiligere organisatie
De NCSC-publicatie introduceert zes belangrijke principes die organisaties helpen om cybersecurity structureel te verbeteren:
-
Meten is weten
Start met een 0-meting: waar staan je medewerkers nu qua digitaal veilig gedrag? Phishingtests alleen zijn niet voldoende; gesprekken, enquêtes en monitoring van werkprocessen kunnen waardevolle inzichten bieden. Door gedrag continu te meten, kun je gerichte interventies ontwikkelen en het effect van maatregelen volgen.
-
Baseer je op je risico’s
Niet elk bedrijf heeft dezelfde dreigingen. Een gedragsprogramma moet aansluiten op de daadwerkelijke cyberrisico’s binnen jouw organisatie. Breng in kaart waar de grootste kwetsbaarheden zitten, bijvoorbeeld door een risicoanalyse, en stem trainingen en maatregelen hierop af. Dit voorkomt dat tijd en middelen worden besteed aan irrelevante risico’s.
-
De gehele organisatie moet mee
Cybersecurity is geen taak van alleen de IT-afdeling. Van directie tot medewerkers, iedereen moet de urgentie begrijpen en meewerken aan een veilige digitale werkomgeving. Dit betekent dat leiderschap een voorbeeldfunctie heeft en dat er een gedeelde verantwoordelijkheid is. Door interne ambassadeurs aan te stellen en successen te delen, vergroot je de betrokkenheid.
-
Laat de gedragswetenschap voor je werken
Veilig gedrag kun je stimuleren door principes uit de gedragswetenschap toe te passen. Bijvoorbeeld door veilige keuzes makkelijker te maken en onveilige keuzes te ontmoedigen. Denk aan nudging: kleine aanpassingen in de werkomgeving die veilig gedrag vanzelfsprekender maken. Ook helpt het om positieve feedback te geven bij goed gedrag en barrières voor veilig werken weg te nemen.
-
Maatwerk is een must
Wat werkt bij de ene organisatie, hoeft niet te werken bij de andere. Stem interventies af op de specifieke cultuur, structuur en behoeften van jouw bedrijf. Dit kan variëren van interactieve workshops tot gerichte coaching en gamification. Betrek medewerkers actief bij het vormgeven van de aanpak, zodat de maatregelen beter aansluiten bij hun dagelijkse praktijk.
-
Het is een continu en integraal proces
Veilig gedrag is geen eenmalige actie, maar een doorlopend proces. Regelmatige evaluatie en bijsturing zorgen voor blijvende verbeteringen. Dit betekent dat cybersecurity geïntegreerd moet worden in bestaande processen, zoals HR-beleid en IT-beheer. Door periodieke awareness-trainingen en realistische scenario-oefeningen blijft de organisatie alert en weerbaar.
Hoe IRIS one helpt bij structurele digitale weerbaarheid
Bij IRIS one geloven we dat cybersecurity meer is dan alleen techniek en compliance. Het gaat om een cultuur van bewustzijn, verantwoordelijkheid en slimme preventie. Met onze expertise helpen we organisaties niet alleen met technische beveiliging, maar ook met het implementeren van effectieve gedragsprogramma’s.
Wil je weten hoe jouw organisatie structureel veiliger kan werken? Neem contact met ons op en ontdek hoe wij je kunnen helpen om digitale weerbaarheid te verankeren in je organisatie.
Bron: NCSC
