Security en privacy awareness in onderwijs en onderzoek nog niet goed genoeg

De security en privacy awareness in onderwijs en onderzoek is momenteel 6,5. Dat is een verbetering ten opzichte van de 5,9 van 2022 maar zit nog onder het gewenste niveau van 7,0. Dat blijkt uit een meting van SURF en BDO onder 70 instellingen. De meting wordt dit jaar voor de derde keer gehouden.

COM-B gedragsmodel voor security en privacy awareness

Om informatieveilig en privacybewust gedrag in kaart te brengen maakten de onderzoekers gebruik van het COM-B gedragsmodel van Susan Michie. Het model stelt dat gedrag en gedragsverandering beïnvloed wordt door drie componenten: bekwaamheid (capability), gelegenheid (opportunity) en motivatie (motivation). In het onderzoek werden drie vragen gesteld met oog op security en privacy awareness in onderwijs:

• In hoeverre willen medewerkers informatieveilig en privacybewust werken (motivatie)?
• In hoeverre worden medewerkers in staat gesteld om informatieveilig en privacybewust te werken (gelegenheid)?
• In hoeverre kunnen medewerkers informatieveilig en privacybewust werken (bekwaamheid)?

Overeenkomsten en verschillen

Opvallend is dat de verbetering overall (van 5,9 naar 6,5) even groot is als de verbetering per component. Bij motivatie steeg het van 5,9 naar 6,5; bij gelegenheid van 6,1 naar 6,7 en bij bekwaamheid van 5,8 naar 6,4.

Er zijn ook verschillen per categorie. MBO scoort overall met 6,3 het laagste; Overig scoort met 6,9 het hoogste. Ertussen in zitten HBO met 6,6 en WO met 6,8.

De onderzoekers beschouwen 7,0 als minimaal streefdoel. Vanaf deze score is er binnen de organisatie voldoende basis op het gebied van motivatie, bekwaamheid en gelegenheid om privacybewust en informatieveilig te werken. Anders gezegd: de medewerkers zijn bij een 7,0  gemiddeld redelijk weerbaar tegen mensgerichte cyberaanvallen en security-incidenten. De meeste instellingen voldoen (nog) niet aan deze score.

Conclusies

De onderzoekers komen tot de volgende zes conclusies:

1. Over de hele linie zijn de resultaten beter dan vorig jaar, maar deze zijn nog niet voldoende en men is minder positief over de voorbeeldrol van leidinggevenden.

2. Men is nog steeds overtuigd van het belang, maar beperkt gemotiveerd om aandacht te besteden aan security en privacy.

3. Er is redelijke tevredenheid over faciliteiten, maar een sterke security-cultuur ontbreekt.

4. De kennis over informatieveiligheid is matig tot redelijk, er is vooral behoefte aan helderheid en ondersteuning.

5. Gedragsmeting: er is een zeer beperkt verband tussen COM-B en daadwerkelijk veilig gedrag.

6. De doelgroep IT-ondersteuning behaalt de hoogste resultaten.

Aanbevelingen

De onderzoekers doen ook een achttal aanbevelingen:

1. Zorg dat awarenessinstrumenten aansluiten bij het dagelijkse werk van medewerkers.

2. Neem barrières voor veilig werken weg.

3. Investeer in een sterke security-cultuur.

4. Focus in metingen en interventies op daadwerkelijk gedrag van medewerkers.

5. Maak security en privacy een vast onderdeel van onboarding.

6. Houd rekening met de sceptici.

7. Investeer extra in docenten, onderzoekers en leidinggevenden.

8. Focus op specifieke thema’s zoals veilige software, delen en opslaan van persoonsgegevens en datalekken.

Bron: SURF.