Security en privacy te vaak vrijblijvende thema’s bij onderwijsinstellingen

Volgens veel medewerkers zijn security en privacy nu te vrijblijvende thema’s bij onderwijs- en onderzoeksinstellingen. Daarom willen ze een verplichte training. Dat blijkt uit het onderzoek “Ik denk dat ik veilig werk, maar weet het niet zeker”; Sectorrapportage 2022 over security- en privacy-awareness in onderwijs en onderzoek dat BDO deed in opdracht van SURF. Voor het onderzoek werden 26 instellingen benaderd. 4600 medewerkers vulden de vragenlijst in. Ook werden er interviews afgenomen.

Uit de metingen komt naar voren dat de respondenten overtuigd zijn van het belang van security en privacy, maar beperkt gemotiveerd zijn om hiermee aan de slag te gaan. Verder is een krappe minderheid van de respondenten tevreden met de ondersteuning die zij van instellingen op deze thema’s krijgen. Veel respondenten zeggen dat het onduidelijk is wat hun instelling precies van medewerkers verwacht op het gebied van security en privacy en dat hun leidinggevenden hier geen actieve rol in spelen. Deelnemen aan awarenesstrainingen is meestal niet verplicht. Een deel van de respondenten zou beter ondersteund willen worden met instructies, software, tools en andere middelen. Andere bevindingen zijn dat de kennis over security en privacy nog verbetering behoeft en dat ondersteunend personeel meer bewust is van het belang van security en privacy dan docenten en onderzoekers.

Privacybewust gedrag

BDO heeft op basis van de bevindingen en conclusies een aantal adviezen voor instellingen:

• Maak duidelijk aan medewerkers wat de verwachtingen zijn wat betreft informatieveilig en privacybewust werken.
• Onderzoek barrières voor veilig werken verder en neem ze – indien mogelijk – weg.
• Sluit bij het ontwikkelen van awareness-instrumenten goed aan bij de risico’s en dagelijkse werkzaamheden van de betreffende doelgroep.
• Een training dient relevant te zijn voor de ontvanger. De volgende thema’s verdienen hierbij aandacht: wachtwoorden, phishing, social engineering, datalekken, beveiligd thuisnetwerk, ict-tools, verwerken persoonsgegevens, privacy en security bij nieuwe diensten en projecten, meldpunten en security en privacycontactpersonen voor overleg.
• Onderzoek de mogelijkheden om trainingen verplicht te maken, zodat awareness minder vrijblijvend wordt.
• Besteed in het awarenessprogramma extra aandacht aan docenten, onderzoekers en leidinggevenden.
• Meet het informatieveilige en privacybewuste gedrag van de medewerkers regelmatig.

Schud de mensen wakker

De respondenten die aangeven dat security en privacy nu te vrijblijvende thema’s zijn, hebben een duidelijke boodschap: schud de mensen wakker, bijvoorbeeld met regelmatig terugkerende phishing-testen. Vraag een mystery guest om te kijken of het lukt om beveiligde zones binnen te komen, om toegang te krijgen tot vertrouwelijke gegevens. Of laat diegene bellen met medewerkers, om te zien of deze vertrouwelijke informatie geven. Confronteer medewerkers vervolgens, op organisatie- of afdelingsniveau, met hun eigen gedrag.

Bron: BDO