Start maken?
Wat is er nodig om je organisatie Security Aware te maken?
Gepubliceerd op
28/7/2025
Flowerbed Engineering
Giving organizations full control over IT with minimum risk and maximum safety.
%20(1).png)
Geschreven door: Justin van den Berg – Lead Business Services Consultant
Maatregelen nemen op het gebied van security en compliance eindigt vaak in een papieren werkelijkheid die losstaat van de dagelijkse praktijk. Recent schreef ik hier al over in een blog* op mijn persoonlijke LinkedIn-profiel. Daarnaast valt me vaak iets anders op: cybercriminaliteit tegengaan wordt nog te vaak gezien als ‘iets technisch’, waarbij een consultant even snel een tool installeert waar de organisatie achteraf niets aan heeft. Terwijl er mijns inziens (veel) meer nodig is om je organisatie echt veilig te maken.
Security awareness, we moeten er iets mee, maar hoe?
In veel gevallen is dat de eerste vraag waarmee klanten naar ons toekomen. Het lukt niet om de organisatie bewust te maken van de risico’s. Soms vanwege capaciteitsproblemen (andere projecten krijgen prioriteit) of doordat de boodschap onvoldoende overkomt. En dat terwijl cyberaanvallen steeds geavanceerder worden en menselijk gedrag nog altijd de zwakste schakel vormt.
Daarom geef ik graag alvast een eerste tip: betrek ook de HR-afdeling bij dit onderwerp. Het gaat immers over mensen, jouw medewerkers. Ik zeg dat omdat het thema cybersecurity vaak blijft steken bij de IT-manager, terwijl het in feite de verantwoordelijkheid is van iedere medewerker. Mijn tweede tip: vergeet ook externe partijen, zoals ingehuurde zzp’ers, niet. Ook zij moeten je securitybeleid begrijpen en deelnemen aan security awareness-trainingen. Alleen zo voorkom je dat er via onverwachte hoeken onveilige ingangen ontstaan.
Security Awareness as a Service: de opstartfase
De eerste fase is er een van veel werk. We starten altijd met een strategische sessie, waarin we aan de voorkant zoveel mogelijk te weten willen komen. Bijvoorbeeld hoe de organisatiecultuur in elkaar zit, wat de doelstellingen zijn, welke certificeringseisen gelden (zoals ISO of NEN), hoe volwassen de organisatie is op het gebied van security, hoe er intern wordt gecommuniceerd en of er sprake is van externe partijen of meerdere talen binnen de organisatie.
Differentiatie op doelgroepniveau: de verdieping
Een organisatie security aware maken lukt alleen als je mensen aanspreekt met voorbeelden die herkenbaar zijn voor hun dagelijkse praktijk. Dat vergroot de betrokkenheid aanzienlijk. Zo zullen CFO’s of CEO’s bijvoorbeeld gevoelig zijn voor het onderwerp identiteitsfraude. Cybercriminelen sturen regelmatig nepberichten uit naam van deze functies naar administratieve medewerkers, met het verzoek om een groot bedrag over te maken. In HR-afdelingen komt het voor dat criminelen zich voordoen als sollicitant en een besmette bijlage meesturen, denk aan een Word- of PDF-bestand met macro’s. Zodra de HR-medewerker het bestand opent, wordt er malware geïnstalleerd.
0-meting
Om te weten waar de organisatie nu staat op het gebied van security awarenes en om later resultaat te kunnen meten is het belangrijk om een nulmeting uit te voeren. Dat doen we met behulp van onze Security Culture Survey.
De inrichting van een Security Awareness Platform
Na een grondige inventarisatie kunnen we het Security Awareness Platform inrichten. Hiervoor gebruiken we de technologie van KnowBe4. Dit platform helpt medewerkers om cyberdreigingen te herkennen en beter te voorkomen. Ook in deze fase gebeurt er veel. Denk aan het inrichten van gebruikersgroepen via EntraID, het toevoegen van phishing buttons, het bepalen van de juiste tone of voice in de communicatie en het instellen van rapportages. Alles is erop gericht om een human firewall te creëren.
Security awareness in beheer nemen
Wanneer alles staat, kunnen we security awareness in beheer nemen. Dat noemen we Security Awareness as a Service. Elk kwartaal hebben we overleg, bespreken we de resultaten, doen we verbetervoorstellen en passen we de content aan waar nodig, bijvoorbeeld bij nieuwe medewerkers of gewijzigde doelgroepen.
Wat er nodig is om je organisatie Security Aware te maken?
Veel! Maar we doen het elke dag met veel plezier.
Justin van den Berg
*Mijn gerelateerde blog is hier terug te vinden en connecteren met elkaar stel ik op prijs.