Security awareness: van training naar aantoonbaar gedrag

Security awareness is geen verplichte cursus die je eenmaal per jaar afvinkt. Het is de meetbare schakel tussen beleid en dagelijks gedrag – de plek waar een informatiebeveiligings-managementsysteem (ISMS) zichtbaar wordt in de praktijk. ISO 27001:2022 maakt dat concreet in clause 7.3 en Annex A 6.3: medewerkers moeten begrijpen hoe hun handelingen bijdragen aan de veiligheid en wat de gevolgen zijn van non-conformiteit. Dat gaat dus verder dan “kennis hebben van het beleid”; het gaat om gedrag dat je kunt aantonen.

De actualiteit onderstreept dat. Met de invoering van de NIS2-richtlijn en de DORA-verordening wordt security awareness een verplicht onderdeel van governance. Organisaties moeten laten zien dat iedereen – ook het management – voldoende is getraind en dat de training past bij de rol en het risico. Deze wet- en normkaders vragen dus om een structureel programma met duidelijke KPI’s en audit-evidence.

Het is verstandig om te beseffen dat de scope altijd meer omvat dan alleen IT-systemen. Het primaire zorgproces staat centraal, en dat betekent dat je ook moet kijken naar processen, personeel en leveranciers. Een goede checklist werkt dus als een routekaart door het hele ISMS (Information Security Management System).

Hulp nodig met Security awareness?

Onze consultants helpen je graag verder.

Neem contact op

Framework & compliance-mapping: van norm naar gedrag

Om security awareness niet te laten verworden tot een losse campagne, is het nodig de programmastructuur te verankeren in bestaande controls.

ISO 27001:2022

  • Clause 7.3 (Awareness) vereist dat medewerkers aantoonbaar begrijpen welke relevante informatiebeveiligings­beleidspunten voor hen gelden en wat hun bijdrage is aan het ISMS.
  • Annex A 6.3 (Awareness, education and training) eist een doorlopend programma dat rol- en risicogebaseerd is, en dat de effectiviteit periodiek meet.

NIS2

NIS2 gaat nog verder: training is verplicht voor alle medewerkers én het management. Organisaties moeten aantonen hoe vaak en op welke thema’s ze trainen, en hoe de kennis actueel blijft. In de Nederlandse context adviseert het Nationaal Cyber Security Centrum (NCSC-NL) om voorbij de traditionele e-learning te gaan en te focussen op veilig gedrag in de praktijk. Dat betekent meer situatiegerichte oefeningen, kortere leerinterventies en feedbackloops.

DORA

In de financiële sector schrijft DORA (artikel 13, lid 6) voor dat alle medewerkers én het senior management regelmatig getraind moeten worden in ICT-security en resilience. De inhoud moet aansluiten op hun rol en het operationele risico. Daarmee wordt security awareness een governance-verantwoordelijkheid, geen HR-activiteit.

Door deze normen te mappen op concrete gedrags­indicatoren – zoals het aantal gemelde phishingpogingen of de tijd tussen een incident en de melding (Time-to-Report) – ontstaat een directe link tussen training en risicoreductie. Steeds meer organisaties werken met dashboards die deze KPI’s koppelen aan ISMS-doelen en audit-evidence.

Programma-architectuur & vendor-criteria

Een security-awarenessprogramma is pas volwassen wanneer het niet draait om losse trainingen, maar om een gestructureerd systeem dat gedrag duurzaam beïnvloedt. De basis ligt in drie ontwerpkeuzes: relevantie, herhaling en meten.

Een effectieve aanpak begint met rol- en risicogebaseerde inhoud. Medewerkers die toegang hebben tot gevoelige data of operationele technologie hebben andere leerdoelen dan iemand in een ondersteunende functie. Veel organisaties kiezen daarom voor korte, herhaalbare micro-modules, aangevuld met just-in-time-training: korte aanwijzingen direct na risicovol gedrag, zoals het openen van een verdachte link. Deze methode blijkt de retentie aanzienlijk te verbeteren.

Daarnaast hoort bij moderne awareness een gedragsdashboard. De tijd dat alleen het klikpercentage bij phishing-simulaties telde, is voorbij. Organisaties meten nu report-rate (hoe vaak een verdachte mail wordt gemeld) en time-to-report (de snelheid van die melding). Samen tonen die cijfers of mensen niet alleen risico’s herkennen, maar er ook actief op handelen.

Bij de keuze van een leverancier telt meer dan de prijs of de hoeveelheid content. Kijk of de aanbieder voldoet aan het CCV-keurmerk Cybersecurity Awareness Training, dat in Nederland kwaliteitsrichtlijnen geeft voor didactiek, privacy en aantoonbaarheid. Controleer ook of de rapportages aansluiten op je eigen ISMS-structuur, zodat audit-evidence automatisch kan worden opgenomen.

Implementatieplan met audit-proof KPI’s

Een plan zonder meetpunten blijft intentie. Een goed awareness-programma maakt resultaten aantoonbaar – zodat audits niet draaien om meningen, maar om bewijs.

De implementatie start met een nulmeting: een cultuurscan en een analyse van risico’s per functiegebied. Die data vormen de basis voor een jaarplan met duidelijke doelen per afdeling. Binnen ISO 27001 en DORA worden deze plannen gekoppeld aan control-objectives, zodat de relatie met governance zichtbaar blijft.

Vervolgens volgt de operationele cyclus: maandelijkse phishing-simulaties met variërende moeilijkheidsgraad, gekoppeld aan directe feedback. Fouten leiden tot korte herhaalleermomenten, niet tot afstraffing. Zo blijft het programma gericht op verbetering, niet op schuld.

Om voortgang te bewaken, gebruiken veel organisaties drie kern-KPI’s:

  • Report-rate – het percentage meldingen van verdachte berichten.
  • Time-to-report – de gemiddelde tijd tussen ontvangst en melding.
  • Resilience-ratio – de verhouding tussen correcte meldingen en fouten.

Deze meetwaarden geven een realistischer beeld dan alleen een klikpercentage. In combinatie met SIEM-data of ticket-systemen ontstaat bovendien een directe koppeling tussen menselijk gedrag en feitelijke incidentrespons.

Tot slot is governance essentieel. Documenteer elk onderdeel in het ISMS: het awareness-plan, de trainingskalender, de KPI-rapportages en de bijbehorende interviews of steekproeven. Zo wordt security awareness niet alleen zichtbaar in dashboards, maar ook in de audit-trail.

Best-practice-patronen & pitfalls

Wie security awareness serieus neemt, richt zich niet op kennis maar op gedrag. Toch blijkt in de praktijk dat veel organisaties blijven hangen bij het afvinken van cursussen. Uit publicaties van SANS en het NCSC-NL blijkt dat programma’s succesvoller zijn wanneer ze aansluiten bij de praktijk van de medewerker en niet alleen bij het beleid.

Een herkenbaar patroon bij organisaties met een volwassen awareness-cultuur is het gebruik van rolspecifieke content. Medewerkers in operationele technologie of softwareontwikkeling krijgen andere scenario’s dan administratieve functies. Het gaat erom dat iemand risico’s herkent in zijn eigen werkomgeving – niet in een generieke testomgeving.

Een tweede patroon is de integratie van managementtrainingen. Richtlijnen zoals DORA en NIS2 benadrukken dat leiderschap het voorbeeld moet geven. Awareness wordt dan onderdeel van strategische besluitvorming, niet alleen van de IT-afdeling.

Daarnaast maken veel organisaties de overstap naar multichannel-training. In plaats van alleen e-mailmodules worden ook chat- en mobiele kanalen gebruikt, inclusief scenario’s voor smishing en QR-misleiding. Zo blijft het programma realistisch en relevant.

Wat minder goed werkt, is de fixatie op de klikratio. Het aantal medewerkers dat in een simulatie op een link klikt, zegt weinig over de alertheid van de organisatie. Pas wanneer je meet hoeveel mensen verdachte berichten melden en hoe snel dat gebeurt, ontstaat inzicht in veerkracht.

Een ander veelvoorkomend probleem is overbelasting: te veel content in te weinig tijd. De beste programma’s verdelen leren over het jaar, met korte interventies en regelmatige feedbackmomenten.

Checklist: audit-proof security awareness

Deze checklist helpt om security awareness structureel te verankeren in beleid en audit-evidence:

  • Scope en governance: benoem een verantwoordelijke en beschrijf de doelstellingen, middelen en rapportagecyclus.
  • Normmapping: koppel elke activiteit aan ISO 27001 (7.3 en A 6.3), NIS2 en DORA-artikelen.
  • Programma: ontwerp rolgebaseerde trainingen, simulatierondes en just-in-time-interventies.
  • Metingen: registreer report-rate, time-to-report en resilience-ratio.
  • Evidence: verzamel rapportages, interviewnotities, opleidingslogboeken en management-updates.
  • Kwaliteit: werk met leveranciers die voldoen aan het CCV-keurmerk en bewaak dat privacy-regels worden nageleefd.

Door deze onderdelen te combineren, ontstaat een volledig beeld dat niet alleen voldoet aan wet- en normkaders, maar ook aan de dagelijkse behoefte aan meetbare veiligheid.