“Organisaties: train je werknemers en maak fouten bespreekbaar om cyberdreigingen het hoofd te bieden”

Het zijn uitdagende tijden voor kmo’s op het gebied van IT. Gemeentes en provincies zijn massaal doelwit van cyberaanvallen en kmo’s krijgen te maken met cyberdreigingen die de dagelijkse werkzaamheden ontwrichten. Voor deze organisaties is het meer dan ooit van belang hun IT-beveiliging op orde te hebben, maar ook oog te hebben voor de ‘menselijke factor’: “beveiligingsmaatregelen zijn alleen succesvol als werknemers binnen een organisatie zich aan deze maatregelen houden en doordrongen zijn van het belang ervan”, vertelt Wilbert Hendriks van Sharp Electronics Benelux.

Organisaties kunnen veel meer doen om hun werknemers te betrekken bij maatregelen omtrent cyberdreigingen, zo luidt de conclusie van onderzoek uitgevoerd door Censuswide in opdracht van Sharp Europe onder maar liefst 11.000 werknemers bij middelgrote organisaties in Europa. Minder dan een derde (27%) van de werknemers zegt dat het voldoende vertrouwen heeft in zichzelf als het gaat om het spotten of vermijden van cyberdreigingen op de werkvloer, zoals risico’s die ontstaan door AI of phishing. Voor organisaties is hier een belangrijke taak weggelegd. Wat kunnen ze doen?

Trainen

Een eerste stap is training. Organisaties kunnen hun werknemers beter trainen, zodat ze zich meer opgewassen voelen tegen cyberdreigingen. Uit het onderzoek blijkt dat een groot deel van de werknemers de afgelopen twee jaar geen training heeft gehad op het gebied van cybersecurity en een kwart zegt zelfs nog nooit een training te hebben gekregen van de werkgever hierover.

Informatie

Verder kunnen organisaties hun werknemers veel beter betrekken bij de ontwikkelingen die in het bedrijf plaatsvinden met betrekking tot IT. Zo werd het afgelopen jaar amper één op de vijf werknemers in het onderzoek geïnformeerd over een veiligheidslek binnen hun bedrijf of sector. Minder dan één op de drie werknemers is op de hoogte als er sprake is van nieuwe software-updates (31%) of wordt geïnformeerd over nieuwe veiligheidsprocessen (27%) in het afgelopen jaar.

Hendriks: “Dat werknemers nauwelijks worden geïnformeerd over belangrijke ontwikkelingen en nieuws rond cybersecurity, kan erop wijzen dat er niets te melden is. Maar dat lijkt weinig waarschijnlijk, gezien het grote aantal beveiligingsproblemen in de media en de razendsnelle ontwikkelingen waar organisaties mee te maken hebben. Het is waarschijnlijker dat er wél updates, maatregelen en incidenten zijn, maar dat deze simpelweg niet of onvoldoende met medewerkers worden gedeeld.”

Datzelfde vermoeden lijken de werknemers zelf ook te hebben: dat hun organisatie wel degelijk maatregelen treft rondom cybersecurity, maar dat zij er gewoonweg niet over geïnformeerd worden. Bijna twee derde (60%) denkt namelijk dat zijn werkgever wel degelijk voldoende voorbereid is op het afhandelen van een IT-veiligheidsdreiging.

Gebrek aan verantwoordelijkheid

“Als organisaties wel maatregelen treffen, maar vervolgens niet hun werknemers hierbij betrekken, lopen zij het risico dat werknemers te weinig verantwoordelijkheid gaan voelen, terwijl werkelijke IT-veiligheid dus valt of staat met de mate waarin zij zich aan de afspraken houden, updates uitvoeren en veilige wachtwoorden kiezen”, aldus Hendriks.

Dit risico is terug te zien in het onderzoek: bijna een kwart (24%) van de werknemers geeft aan dat ze voorzichtiger omspringen met data in de privéomgeving, dan in werksferen, want het bedrijf heeft tenslotte toch betere securitysoftware (34%), en de kans dat een cyberdreiging daadwerkelijk door die securitysoftware weet te komen is klein, denkt een kwart (24%). 22% zegt dan weer dat het niet als hun verantwoordelijkheid voelt en 8% zegt zelfs dat het ze simpelweg niet kan schelen.

Fouten maken is menselijk

Volgens het onderzoek bestaat er verder ook nog zoiets als ‘wel weten dat het niet verstandig is, maar het toch doen en er dan later spijt van hebben of met de gevolgen geconfronteerd worden’. Zoals werknemers die tóch inloggen op een onbeveiligd wifi-netwerk (19%) of een website die als ‘onveilig’ wordt vermeld (20%). Ook geven werknemers aan wel eens een update niet te hebben uitgevoerd en er dan later last van te hebben gehad (17%).

En wat te denken van werknemers die wel weten dat ze niet op een link mogen klikken, maar het per ongeluk toch doen als ze moe zijn, zoals aan het einde van de week (23%), of als ze gestrest zijn (32%). “Het is belangrijk dat organisaties een open sfeer creëren waar werknemers geen belemmering voelen om zulke foutjes te melden”, zegt Hendriks. Uit het onderzoek blijkt namelijk dat 69% van de werknemers wel eens een update niet gedraaid heeft, ergens op geklikt heeft of iets geopend heeft en daarmee risico heeft genomen, maar het liever geheimhoudt voor de leidinggevende.

Andere voorbeelden die de werknemers noemen, zijn: niet goed uitloggen bij een werkaccount, software downloaden zonder toestemming of hun laptop uitlenen aan iemand anders. “Werknemer zijn net mensen”, knipoogt Hendriks. “Behandel ze dan ook zo. Een foutje kan iedereen overkomen dus je kunt het maar beter bespreekbaar maken.”

Doen wat kan

“Informeren en trainen zijn belangrijke handvatten voor de werkgever als het gaat om het betrekken van de werknemer bij IT-veiligheid binnen een bedrijf. Er zijn in deze spannende tijden al zoveel factoren waar organisaties geen invloed op hebben, dat het extra belangrijk is dat ze draaien aan de knoppen die ze wèl tot hun beschikking hebben”, zegt Hendriks.

Het onderzoek is uitgevoerd door onafhankelijk onderzoeksbureau Censuswide in opdracht van Sharp Europe. Aan het onderzoek namen 11.003 werknemers deel, die werkzaam zijn bij middelgrote bedrijven (50-250 werknemers) in 11 Europese landen: België, Duitsland, Frankrijk, Italië, Nederland, Oostenrijk, Polen, Spanje, Verenigd Koninkrijk, Zweden en Zwitserland. Het onderzoek vond plaats in november 2024.