Nieuws

Security- en privacy-awarenessmeting in onderwijs en onderzoek 2022: maak awareness minder vrijblijvend

BDO heeft begin 2022 in opdracht van SURF bij 26 instellingen een security- en privacy-awarenessmeting gedaan. Daaruit blijkt onder andere dat medewerkers vinden dat structurele aandacht voor security en privacy noodzakelijk is om als instelling weerbaar te zijn. Een aantal daarvan vraagt om minder vrijblijvendheid waar het awareness betreft.
Cover publicatie awarenessmeting security en privacy 2022

Verplichte trainingen en phishingtesten als stok achter de deur

De respondenten zijn het eens dat structurele aandacht voor security en privacy onontbeerlijk is om een weerbare organisatie te zijn, en dat medewerkers hier een belangrijke rol in spelen. Een aantal van hen geeft aan dat security en privacy nu te vrijblijvende thema’s zijn. Zij pleiten daarom voor het invoeren van bijvoorbeeld verplichte trainingen en phishingtesten. Zij zien het als een stok achter de deur, omdat ze tegelijkertijd ook aangeven beperkt gemotiveerd te zijn, vanwege werkdruk, onduidelijke regels en gebrek aan interesse.

Wees duidelijk over wat de instelling van medewerkers verwacht

Uit de meting blijkt verder dat respondenten vinden dat het onduidelijk is wat de instelling van hen verwacht als het gaat om privacybewust en informatieveilig werken. Zorg daarom dat de security- en privacy-richtlijnen aansluiten bij de werksituatie van de medewerkers, en differentieer eventueel per doelgroep. Stel de richtlijnen op in beknopte en heldere taal en zorg dat de richtlijnen op een toegankelijke locatie staan.

Ondersteunend personeel meer bewust dan docenten en onderzoekers

Het ondersteunend personeel, bibliotheek en de doelgroep ‘overig’ scoren op alle componenten van de meting hoger dan docenten en onderzoekers. Dit kan te maken hebben met de ervaren werkdruk, die onder docenten en onderzoekers hoger is dan bij het ondersteunende personeel. Voor het ondersteunende personeel is het wellicht meer vanzelfsprekend om security en privacy als onderdeel van hun kerntaken te zien, omdat hun andere taken ook ondersteunend zijn aan het primaire proces. Voor docenten en onderzoekers geldt mogelijk het omgekeerde.

Aanpak onderzoek

Begin 2022 hebben 26 instellingen (wo, hbo, mbo, overig – onder andere bibliotheken en onderzoeksinstituten) gehoor gegeven aan de oproep van SURF om mee te doen aan een cybersecurity-awareness-meting in het kader van de SURF-dienst Cybersave Yourself (CSY). De meting – opgezet in samenwerking met BDO, een organisatie gespecialiseerd in het verbeteren van digitale weerbaarheid van organisaties – omvatte het invullen van een online vragenlijst op het gebied van privacy en security. De deelnemende instellingen hebben de vragenlijst zelf binnen een deel van hun eigen organisatie verspreid. De respondenten kregen direct feedback na het invullen van de lijst. Ook is een aantal diepte-interviews gehouden. De deelnemende instellingen hebben ieder een eigen rapport ontvangen.

Download het rapport