Security awareness staat bij veel organisaties op de agenda. Medewerkers volgen trainingen, behalen certificaten en er worden regelmatig campagnes uitgerold om bewustzijn te vergroten. Op papier lijkt het onderwerp daarmee goed geborgd.
Toch verandert het resultaat nauwelijks. Phishing blijft werken, accounts blijven gecompromitteerd worden en dezelfde fouten blijven zich herhalen. Ondanks alle inspanningen blijft het effect beperkt.
Dat is geen toeval. Het is het gevolg van een fundamenteel verkeerde aanname: dat kennis automatisch leidt tot gedrag.
De illusie van de eenmalige training
Veel awarenessprogramma’s zijn ingericht als een project. Medewerkers volgen één keer per jaar een training, maken een toets achteraf en daarmee is het onderwerp formeel afgedekt richting compliance.
Op papier klopt dat. In de praktijk verandert er weinig.
Mensen vergeten wat ze niet regelmatig toepassen. Dreigingen ontwikkelen zich sneller dan het trainingsmateriaal wordt bijgewerkt. En gedrag wordt in de dagelijkse praktijk niet gestuurd door kennis, maar door context en druk.
Een medewerker die een phishingmail opent, is zelden ongetraind. In veel gevallen weet hij precies waar hij op moet letten. Maar op dat moment is hij afgeleid, staat hij onder tijdsdruk of is hij ervan overtuigd dat het bericht legitiem is.
Dat is geen kennisprobleem. Dat is een gedragsprobleem.
Phishing is geen test, maar een signaal
Phishing-simulaties worden in veel organisaties nog steeds verkeerd ingezet. Ze fungeren als controlemechanisme, als manier om zogenaamd zwakke gebruikers te identificeren en soms zelfs als middel voor naming en shaming.
Dat werkt averechts. Het doel van phishing is niet om mensen te laten falen, maar om inzicht te krijgen. Inzicht in patronen, in welke afdelingen kwetsbaar zijn en in welk type berichten daadwerkelijk effect heeft.
Phishing is geen examen waarin medewerkers moeten slagen of zakken. Het is een meetinstrument dat laat zien hoe mensen reageren onder druk. En juist dat gedrag bepaalt het werkelijke risico.
Waarom mensen blijven klikken
Niet omdat mensen onkundig zijn, maar omdat aanvallen inspelen op menselijke factoren zoals vertrouwen, urgentie en routine. Berichten lijken afkomstig van een collega, een leverancier of de directie. Ze creëren druk met deadlines, betalingen of wijzigingen. En ze sluiten naadloos aan op dagelijkse processen.
Aanvallers misbruiken daarmee niet alleen techniek, maar vooral bestaande werkwijzen. Daarom faalt een puur technische benadering. E-mailfilters missen context, blokkeren is nooit volledig en er blijft altijd iets doorheen komen.
Uiteindelijk blijft de gebruiker de laatste verdedigingslinie.
Wat structurele training anders maakt
Effectieve awarenessprogramma’s hebben drie duidelijke kenmerken.
Allereerst is er continuïteit. Het gaat niet om een jaarlijkse piek, maar om doorlopende training. Korte modules, regelmatige herhaling en actuele inhoud zorgen ervoor dat kennis blijft hangen en onderdeel wordt van het dagelijks handelen.
Daarnaast is context essentieel. Training moet aansluiten op de rol, de afdeling en de specifieke risico’s die daarbij horen. Een medewerker op de finance-afdeling wordt geconfronteerd met andere dreigingen dan iemand in IT, en dat vraagt om een andere benadering.
Tot slot is feedback onmisbaar. Gedrag moet gemeten en teruggekoppeld worden, bijvoorbeeld via phishingresultaten, meldgedrag en trends over tijd. Alleen door inzicht te krijgen in daadwerkelijk gedrag ontstaat er ruimte voor verbetering.
Zonder feedback is er geen ontwikkeling, maar alleen herhaling.
Van “niet klikken” naar “melden”
Veel awarenessprogramma’s focussen op voorkomen. Medewerkers krijgen de boodschap om niet op verdachte links te klikken en voorzichtig te zijn met onbekende afzenders.
Maar dat is onvoldoende. Volwassen organisaties verschuiven de focus naar melden. Niet alleen voorkomen, maar actief signaleren wat verdacht is. Daarmee wordt detectie niet langer afhankelijk van één individu, maar onderdeel van de organisatie als geheel.
Dit heeft directe voordelen. Incidenten worden sneller zichtbaar, omdat signalen eerder worden gedeeld. Twijfel wordt niet bestraft, maar juist benut als waardevolle input voor detectie en analyse.
Een gemelde phishingmail levert meer op dan een perfect scorende training. Het laat zien dat gedrag daadwerkelijk bijdraagt aan de verdediging.
De rol van tooling
Platforms zoals KnowBe4 ondersteunen dit proces door middel van doorlopende trainingen, realistische phishing-simulaties en uitgebreide rapportage met trendanalyse. Daarmee bieden ze de middelen om awareness structureel te organiseren en meetbaar te maken.
Maar net als bij andere security-oplossingen geldt dat tooling op zichzelf niet voldoende is.
Zonder duidelijke strategie blijft het gebruik oppervlakkig. De effectiviteit hangt niet af van de functionaliteit van het platform, maar van hoe het wordt ingezet, wat er daadwerkelijk gemeten wordt en wat er vervolgens met die inzichten gebeurt.
Daar zit het verschil tussen activiteit en verbetering.
NIS2 en awareness: vorm vs effect
NIS2 verplicht organisaties om medewerkers te trainen en awareness te verhogen. Dat is terecht, omdat menselijk gedrag een belangrijke factor blijft binnen cybersecurity.
Maar ook hier zit een belangrijk onderscheid. Het uitvoeren van een training betekent niet automatisch dat gedrag verandert. Het behalen van een certificaat zegt niets over daadwerkelijke weerbaarheid in de praktijk.
Compliance kan aantonen dat iets gedaan is. Het laat zien dat een organisatie voldoet aan de vereisten. Maar het zegt niets over de effectiviteit van die maatregelen op het moment dat het ertoe doet.
Wat je jezelf concreet moet afvragen
De belangrijkste vragen zijn vaak ook hier confronterend.
Wordt er structureel getraind, of alleen incidenteel? Wordt gedrag daadwerkelijk gemeten, of alleen deelname geregistreerd? Wordt melden van verdachte situaties gestimuleerd, of voelen medewerkers dat fouten impliciet worden afgestraft? En is er inzicht in waar de grootste menselijke risico’s binnen de organisatie liggen?
Dit zijn geen vragen over compliance, maar over effectiviteit.
Als deze vragen niet scherp beantwoord kunnen worden, is awareness waarschijnlijk geen verdedigingsmechanisme, maar een formaliteit.
Conclusie
Security awareness werkt niet wanneer het wordt behandeld als een verplicht nummer. Zolang het wordt gezien als een eenmalige activiteit of een compliance-eis, blijft de impact beperkt.
Het werkt alleen wanneer de focus verschuift van kennis naar gedrag.
Mensen zijn geen zwakke schakel, maar een sensor binnen de organisatie. Ze signaleren afwijkingen, herkennen context en kunnen vroegtijdig reageren op verdachte situaties. Maar dat gebeurt alleen als ze ook zo worden behandeld.
Organisaties die awareness serieus nemen, richten hun aanpak daarop in. Ze trainen continu, meten gedrag en stimuleren actief het melden van verdachte situaties.
De rest blijft vertrouwen op herkenning en hoopt dat de volgende phishingmail wel wordt doorzien.
Dat is geen strategie.
