Cybersave Yourself: maak medewerkers en studenten bewust van internetgevaren

Wil je medewerkers en studenten beter bewust maken van internetgevaren? Gebruik dan Cybersave Yourself (CSY), een campagne waarmee je op een ludieke manier het bewustzijn van je medewerkers en studenten vergroot op het gebied van security en privacy. De campagne bestaat uit een website en een online toolkit met kant-en-klaar materiaal.

Cybersave Yourself - CEO-fraude

Security- en privacy-awarenessmeting in onderwijs en onderzoek: awarenessniveaus van instellingen zijn vergelijkbaar

SURF en BDO hebben begin 2021 bij 26 instellingen een security- en privacy-awarenessmeting gedaan in het kader van de dienst Cybersave Yourself. Daaruit blijkt dat de awarenessniveaus om privacybewust en informatieveilig te werken bij instellingen vergelijkbaar zijn. Wel is focus nodig op de groep docenten en onderzoekers. Lees meer over de meting.

Awareness belangrijk in het voorkomen incidenten

Veel security-incidenten zijn gerelateerd aan handelingen van medewerkers. Ze klikken bijvoorbeeld op een phishing e-mail, verliezen een harde schijf met onderzoeksgegevens, of zetten in een gevoelige mail per ongeluk alle ontvangers in de cc in plaats van bcc. Het is daarom belangrijk dat medewerkers privacy- en security-bewust zijn. De resultaten van deze meting bieden je inzicht om de awareness binnen je eigen instelling te verhogen.

Awarenessniveaus vergelijkbaar, motivatie is − naar eigen zeggen − hoog

Uit de meting blijkt dat de awarenessniveaus van de medewerkers die aan de meting hebben meegedaan vergelijkbaar zijn. De gemiddelde score is 6,8. Een totaalscore van 7 of hoger is voldoende basis om privacybewust en informatieveilig te werken. Er is dus nog enige verbetering nodig. In de meting is onderzocht hoe gemotiveerd medewerkers zijn om informatieveilig en privacybewust te werken, in hoeverre ze daartoe in staat worden gesteld en of ze voldoende kennis en vaardigheden hebben. Medewerkers zijn - naar eigen zeggen - zeer gemotiveerd om privacybewust en informatieveilig te werken.

Focus op docenten en onderzoekers noodzakelijk

Opvallend is dat docenten en onderzoekers achterblijven in vergelijking met medewerkers in ondersteunende functies (OBP), zowel in deelname aan deze meting als in resultaten. Dit zou door de hoge werkdruk kunnen komen. Privacybewust en informatieveilig werken krijgt daardoor wellicht minder prioriteit. Een andere oorzaak kan zijn dat de werksituatie, vooral bij onderzoekers, minder eenduidig is te vatten in een set regels of richtlijnen. Zij werken vaak in (internationale) samenwerkingsverbanden, waarin de regels en richtlijnen van de instelling niet zonder meer opgevolgd kunnen worden. Het onderzoeksconsortium bepaalt welke tooling er wordt gebruikt, en dat kan haaks staan op de richtlijnen van de instelling.

Stel vast wat privacybewust en informatieveilig werken inhoudt

Een van de aanbevelingen uit het rapport is dat instellingen duidelijk(er) moeten zijn in wat ze van medewerkers verwachten als het gaat om privacybewust en informatieveilig werken. Wees daarbij realistisch: tools of activiteiten verbieden als er geen redelijke alternatieven zijn is niet werkbaar. Medewerkers hebben daarnaast behoefte aan korte en bondige richtlijnen, opgesteld in heldere taal en die makkelijk te vinden zijn.

Aanpak onderzoek

Begin 2021 hebben 26 instellingen (wo, hbo, mbo, overig – onder andere bibliotheken en onderzoeksinstituten) gehoor gegeven aan de oproep van SURF om mee te doen aan een cybersecurity-awareness-meting in het kader van de dienst Cybersave Yourself (CSY).

De meting – opgezet in samenwerking met BDO, een organisatie gespecialiseerd in het ontwikkelen van een aanpak om gedragsveranderingen bij medewerkers te realiseren – omvatte het invullen van een online vragenlijst op het gebied van privacy en security. De deelnemende instellingen hebben de vragenlijst zelf binnen een deel van hun eigen organisatie verspreid. De respondenten kregen direct feedback na het invullen van de lijst. De deelnemende instellingen hebben ieder een eigen rapport ontvangen.

Lees het rapport over de security- en privacy-awarenessmeting