KnowBe4-onderzoek: kennis over online veiligheid en wenselijk gedrag in Nederland is ver ondermaats

Uit een nieuw rapport van KnowBe4 blijkt dat het gedrag waarmee medewerkers de online veiligheid van hun organisatie beïnvloeden sterk varieert binnen Europa. Met een score van 73 op een schaal van totaal 100 punten boekt Europa een wereldwijd gemiddelde score op deze zogenoemde ‘Security Culture-index’. Nederland scoort met 69 punten zelfs ondergemiddeld. Hoewel medewerkers in sommige organisaties goed geïnformeerd zijn over de procesmatige kant van de securitystrategie, valt hier voor veel organisaties nog aardig wat winst te behalen. Het sturen van veilig gedrag is hierin een bepalende factor.

 Wat is security culture?

Security culture wordt gedefinieerd als "de ideeën, gebruiken en sociale gedragingen van een groep die de veiligheid van een organisatie beïnvloeden”. Hoe sterk de security culture van een organisatie is, wordt bepaald aan de hand van de zeven dimensies: houding, gedrag, kennis, communicatie, regelnaleving, normen en verantwoordelijkheden. Op basis daarvan wordt de Security Culture Index (SCI) score toegekend. Een SCI van 0 - 59 is slecht, 60 - 69 is ondermaats, 70 - 79 is gemiddeld, 80 - 89 is goed en 90 - 100 is uitstekend. De Europese dataset voor het KnowBe4-onderzoek over 2023 werd verzameld bij in totaal 673 organisaties en 162.688 personen.

Minder kennis en communicatie, wel meer proactiviteit

Vergeleken met wereldwijde organisaties is er bij Europese medewerkers gemiddeld minder kennis over het securitybeleid en de mate waarin zij bepaalde richtlijnen moeten volgen (regelnaleving-dimensie). Daarnaast is er minder begrip, kennis en bewustzijn van beveiligingsgerelateerde zaken en activiteiten (kennisdimensie). Ook scoren Europese organisaties slechter op het gebied van communicatie. Deze dimensie kan versterkt worden door het verbeteren van communicatiekanalen en het aanmoedigen van open en directe communicatie, wat ook een positief effect heeft op de regelnaleving- en de kennisdimensie.

Organisatiegrootte is bepalend voor security culture

Opvallend genoeg laten Europese respondenten in middelgrote en kleine organisaties veiliger gedrag zien dan mensen die bij grotere (wereldwijde) organisaties werken. Uit het rapport blijkt dat medewerkers eerder geneigd zijn om direct of indirect te handelen naar manieren die de veiligheid van hun organisatie verbeteren. Dit kan komen doordat de communicatie als beter wordt ervaren, er een sterker gevoel van verbondenheid is en er meer ondersteuning is voor security issues. Bij dergelijke proactieve security cultures erkennen medewerkers dat veilig gedrag verder gaat dan alleen de deelname aan phishingsimulaties. Medewerkers zijn intrinsiek gemotiveerd om een positieve bijdrage te leveren aan de beveiligingspositie van hun organisatie.

“Hoewel er een opmerkelijke opwaartse trend is in security awareness binnen de meest gedigitaliseerde sectoren van Europa, verschillen het begrip en de implementatie van security culture sterk per land. Het is duidelijk dat veel organisaties nog steeds achterlopen met het opzetten van een efficiënte security culture. Hindernissen aanpakken in organisaties waar cybersecurity niet wordt erkend als een gezamenlijke inspanning van alle afdelingen is dus noodzakelijk”, zegt Dr. Martin J. Kraemer, Security Awareness Advocate bij KnowBe4.

Klik hier voor een exemplaar van KnowBe4's 2024 Security Culture Report.