News

Security- en privacy-awarenessmeting in onderwijs en onderzoek: awarenessniveaus van instellingen vergelijkbaar

Tijdens de cybersecurity-awarenessmaand presenteren SURF en BDO de resultaten van de security- en privacy-awarenessmeting in onderwijs en onderzoek. Deze meting, gedaan onder 26 instellingen in het kader van de dienst Cybersave Yourself, laat onder andere zien dat de awarenessniveaus bij instellingen vergelijkbaar zijn.
Illustratie van een laptop waarop persoongegevens met een haak worden weggehaald

Awareness belangrijk in het voorkomen incidenten

Veel security-incidenten zijn gerelateerd aan handelingen van medewerkers. Ze klikken bijvoorbeeld op een phishing e-mail, verliezen een harde schijf met onderzoeksgegevens, of zetten in een gevoelige mail per ongeluk alle ontvangers in de cc in plaats van bcc. Het is daarom belangrijk dat medewerkers privacy- en security-bewust zijn. De resultaten van deze meting bieden je inzicht om de awareness binnen je eigen instelling te verhogen.

Awarenessniveaus vergelijkbaar, motivatie is − naar eigen zeggen − hoog

Uit de meting blijkt dat de awarenessniveaus van de medewerkers die aan de meting hebben meegedaan vergelijkbaar zijn. De gemiddelde score is 6,8. Een totaalscore van 7 of hoger is voldoende basis om privacybewust en informatieveilig te werken. Er is dus nog enige verbetering nodig. In de meting is onderzocht hoe gemotiveerd medewerkers zijn om informatieveilig en privacybewust te werken, in hoeverre ze daartoe in staat worden gesteld en of ze voldoende kennis en vaardigheden hebben. Medewerkers zijn - naar eigen zeggen - zeer gemotiveerd om privacybewust en informatieveilig te werken.

Focus op docenten en onderzoekers noodzakelijk

Opvallend is dat docenten en onderzoekers achterblijven in vergelijking met medewerkers in ondersteunende functies (OBP), zowel in deelname aan deze meting als in resultaten. Dit zou door de hoge werkdruk kunnen komen. Privacybewust en informatieveilig werken krijgt daardoor wellicht minder prioriteit. Een andere oorzaak kan zijn dat de werksituatie, vooral bij onderzoekers, minder eenduidig is te vatten in een set regels of richtlijnen. Zij werken vaak in (internationale) samenwerkingsverbanden, waarin de regels en richtlijnen van de instelling niet zonder meer opgevolgd kunnen worden. Het onderzoeksconsortium bepaalt welke tooling er wordt gebruikt, en dat kan haaks staan op de richtlijnen van de instelling.

Stel vast wat privacybewust en informatieveilig werken inhoudt

Een van de aanbevelingen uit het rapport is dat instellingen duidelijk(er) moeten zijn in wat ze van medewerkers verwachten als het gaat om privacybewust en informatieveilig werken. Wees daarbij realistisch: tools of activiteiten verbieden als er geen redelijke alternatieven zijn is niet werkbaar. Medewerkers hebben daarnaast behoefte aan korte en bondige richtlijnen, opgesteld in heldere taal en die makkelijk te vinden zijn.
 

"Onderwijs is vaak improviseren en pragmatisch. (…) Een activerende quiz, doodle, creative break of whiteboardsessie kan niet zonder externe tools. Regels en richtlijnen staan ver weg van deze noden."
Quote van een van de respondenten

Over de meting

Begin 2021 hebben 26 instellingen (wo, hbo, mbo, overig – onder andere bibliotheken en onderzoeksinstituten) meegedaan aan een cybersecurity-awareness-meting in het kader van de SURF-dienst Cybersave Yourself. in samenwerking met BDO, een bedrijf dat organisaties helpt om gedragsveranderingen bij medewerkers te realiseren.

Download het rapport van de awarenessmeting

Over de cybersecurity-awarenessmaand

Naast techniek op orde hebben, is awareness een belangrijk onderdeel van het voorkomen van security-incidenten. Oktober is cybersecurity-awarenessmaand. Deze hele maand vragen diverse organisaties, wereldwijd, aandacht voor cybersecurity(awareness). Ook SURF doet hier aan mee. Lees meer over de cybersecuritymaand.