Ga naar de hoofdinhoud
Support Neem contact op

Waarom security awareness structurele aandacht vraagt

Security awareness gaat over gedrag. Techniek blokkeert veel, maar niet alles. Phishing, social engineering en hergebruik van wachtwoorden blijven primaire aanvalsroutes omdat menselijk handelen moeilijk volledig te automatiseren is.

Matthijs Paling

De aanleiding

Veel incidenten starten met een e-mail: een link, een bijlage of een verzoek dat “net echt genoeg” lijkt. Aanvallers gebruiken actuele thema’s, lookalike-domeinen en interne context (namen, afdelingen, lopende projecten). Tegelijkertijd verschuift werk naar cloud en SaaS, waardoor inloggegevens vaker het doelwit zijn dan endpoints.

Losse awareness-sessies leveren zelden blijvend effect op. Zonder herhaling, meting en opvolging verdwijnt aandacht, en keert risicogedrag terug.

Onze kijk

Security awareness moet meetbaar en herhaalbaar zijn. Uitgangspunten:

  • Continu programma in plaats van een eenmalige training
  • Meten op gedragsindicatoren (klikratio, data-invoer, rapportagegedrag)
  • Risico-gestuurd: focus op afdelingen/rollen met hogere exposure
  • Korte feedbackloops: resultaten bespreken en direct bijsturen

Uitvoering middels periodieke trainingsmodules en actieve phishingcampagnes. Na campagnes volgt gezamenlijke analyse van resultaten en vastlegging van een verbeterplan met concrete acties, eigenaren en termijnen. Beheer en uitvoering door BLOKES IT.

Wat betekent dit in de praktijk?

Een werkbaar programma bevat doorgaans:

  • Baseline-meting: startniveau per team/afdeling
  • Campagnes op vaste cadans: variatie in moeilijkheid en thema’s
  • Microtraining na misser: direct leren op het moment van fout gedrag
  • Rapportage: trends per periode, herhaalde risico’s, rapportagegraad
  • Verbeterplan: technische en procesmaatregelen naast training
  • Awareness wordt gevraagd door accountants en ISO 

Voor organisaties levert dit aantoonbare risicoreductie op: minder succesvolle phishing, snellere melding van verdachte berichten en duidelijker inzicht in waar extra beheersmaatregelen nodig zijn (bijvoorbeeld MFA-adoptie, conditional access, mailfilter-tuning, procedure voor betaalverzoeken).

Benieuwd wat dit betekent voor jouw organisatie?

Plan een kennismaking