SoSafe genoemd als Strong Performer in The Forrester Wave™: Human Risk Management Solutions, Q3 2024. Meer informatie.

Contact
Languages
Een vrouw houdt een tablet vast met als overlay grafische iconen die Human Risk Management aanduiden met op de achtergrond een wazige kantooromgeving.

Human Risk Management

HRM is een holistische benadering van beveiliging die zich richt op het identificeren, kwantificeren, actief beheren en uiteindelijk verminderen van menselijke risico’s waar het gaat om cybersecurity. Deze aanpak legt de nadruk op resultaten en gedragsfactoren om een beveiligingscultuur te bevorderen waarin veilig gedrag een tweede natuur wordt.

20 min read
Terug naar woordenlijst

Human risk management is een essentieel onderwerp geworden nu organisaties wereldwijd te maken krijgen met een alarmerende toename van cybercriminaliteit. Dit is geen toeval.

Cyberaanvallen worden steeds geavanceerder. Niet alleen door de opkomst van AI-tools, maar ook door de creatieve manieren waarop cybercriminelen zich via social engineering richten op de menselijke factoren om geavanceerde technologische verdedigingsmechanismen te omzeilen. Volgens Verizon’s Data Breach Investigations Report was in 2023 tot 74% van de inbreuken het gevolg van menselijke factoren. Forrester voorspelt dat dit in 2024 zelfs kan oplopen tot 90%. 

Afbeelding met de informatie dat 90% van alle datalekken in 2024 te maken zullen hebben met menselijke fouten.

Deze cijfers maken een belangrijke kloof zichtbaar. In het verleden richtten bedrijven zich voornamelijk op het verbeteren van hun technische beveiligingsmaatregelen, maar verwaarloosden vaak de rol van hun medewerkers. Hoewel sterke technische beveiliging essentieel is, is dit alleen niet voldoende om de geavanceerde tactieken van moderne cybercriminelen te bestrijden. Zij omzeilen die technische beschermingsmaatregelen door gebruik te maken van het menselijke element.

Quote van Dr. Katrin Suder waarin ze zegt dat bedrijven de afgelopen 10 jaar meer hebben geïnvesteerd in technologie dan in mensen. Inmiddels hebben ze ingezien dat technologie niet alles is en dat social engineering een echt probleem vormt.

Oplossingen voor beveiligingsbewustzijn en -training (oftewel security awareness and training solutions, SA&Ts) werden geïntroduceerd om dit probleem aan te pakken en compliance kaders hebben deze omarmd. De nadruk lag daarbij echter te veel op het snel overbrengen van informatie in plaats van op het realiseren van gedragsverandering. De huidige dreigingsomgeving toont aan dat alleen voldoen aan wet- en regelgeving niet langer voldoende is.

Daarom pleiten analisten en beveiligingsleiders voor een meer holistische benadering van beveiliging, die menselijk risico identificeert, kwantificeert, actief beheert en uiteindelijk vermindert. Ze willen een aanpak die kijkt naar gedragsdrijfveren en -gevolgen om een beveiligingscultuur te bevorderen waarin veilig gedrag een tweede natuur wordt. Deze benadering noemen we  Human Risk Management.

Maar voordat we verder ingaan op wat human risk management inhoudt, beginnen we bij de basis en willen we duidelijk maken waarom we verder moeten kijken dan SA&T.

Laten we beginnen met de basis: Wat is security awareness en training, en waarom is dit niet meer voldoende?

Security awareness en training (SA&T) is de term die in de industrie wordt gebruikt om te verwijzen naar programma’s en initiatieven binnen organisaties die medewerkers opleiden in de verschillende aspecten van informatiebeveiliging.

Het is lastig precies te zeggen wanneer de term ‘security awareness en training’ (SA&T) voor het eerst werd genoemd of geformaliseerd. Het concept kreeg echt aandacht in de vroege jaren 2000, tijdens de opkomst van het internet en de toename van cyberaanvallen. Een voorbeeld hiervan is de publicatie van de Special Publication 800-50, ‘Building an Information Technology Security Awareness and Training Program,” van het National Institute of Standards and Technology (NIST) in 2003. Dit document bood richtlijnen voor het opzetten van effectieve IT SA&T-programma’s, wat een belangrijke stap was in het formeel erkennen van deze initiatieven binnen cybersecurity.

In de beginperiode was de effectiviteit van die vroege trainingsprogramma’s echter beperkt. Ze misten vaak de boeiende en interactieve elementen die nodig zijn om de aandacht vast te houden en gedragsverandering op lange termijn te stimuleren. Hoewel modernere benaderingen later phishing simulaties en geavanceerde nudging-methoden begonnen te integreren, bleef de industrie tot begin 2020 grotendeels ouderwets, met omvangrijke maar generieke videobibliotheken en een sterke focus op naleving. In november 2021 schreef Jinan Budge, VP en Principal Analyst bij Forrester, een artikel over dit specifieke probleem.

Een quote van Jinan Budge waarin zij haar kritiek uit over de gedateerde cybersecurity leveranciersbriefings van 2018 en 2019. Daarin was geen aandacht voor gedragsverandering en werden geen bruikbare ROI metrics geboden. Daarop komt zij tot de conclusie dat de veiligheidsbewustzijns en -trainingsmarkt echt achter is gebleven.

In 2022 leek er al meer bewustwording te zijn over het feit dat bedrijven verder moeten gaan dan alleen voldoen aan compliance eisen en zich moeten richten op het positief beïnvloeden van het beveiligingsgedrag van werknemers, het ontwikkelen van een beveiligingscultuur en het beheren van menselijk risico. Gartner-experts benadrukten ook dat leiders in beveiliging hun programma’s moeten heroriënteren op resultaten van human risk management, in plaats van zich alleen te richten op regelgeving en audits. Maar is de tijd van trainingen die gericht zijn op het afvinken van verouderde en verwarrende compliance-eisen echt voorbij?

Het antwoord is: nog niet. Een onderzoek van NIST toonde aan dat 56% van de beveiliging executives compliance nog steeds beschouwt als de belangrijkste succesindicator voor SA&T. Hoewel ze erkennen dat compliance belangrijk is, geven ze ook toe dat dit niet per se leidt tot daadwerkelijke gedragsverandering. Toch meten de meeste organisaties succes nog steeds op basis van het afronden van trainingen (84%) en klikpercentages bij phishing simulaties (72%).

Plaatje dat laat zien dat 56% van beveiliging professionals gelooft dat compliance de belangrijkste indicator is van SA&T succes.

Dit laat zien dat er nog veel werk te doen is om organisaties wereldwijd te laten kijken naar beveiliging op een holistische manier, en verder te gaan dan enkel compliance. Natuurlijk is compliance niet slecht, het is zelfs noodzakelijk. Het probleem ontstaat wanneer dit het hoofddoel wordt. SA&T zou een middel moeten zijn, geen doel op zich. Door over te stappen naar een holistische benadering van human risk management en strategieën te ontwikkelen die echt gedragsverandering en risicoreductie meten, kunnen we onze weerbaarheid versterken.

Dat is waar human risk management om draait: het is nog niet de realiteit waarin we volledig leven, maar het is de poging van de hele industrie om ervoor te zorgen dat we allemaal zo snel mogelijk die kant op bewegen om beter beschermd te zijn.

Maar wat is menselijk risico precies?

We hebben het begrip menselijk risico al meerdere keren genoemd omdat het een belangrijk onderdeel is van de human risk management-aanpak. Maar snappen we echt wat menselijk risico inhoudt?

Om het volledig te begrijpen, moeten we naar twee kernbegrippen kijken: kwetsbaarheid en dreiging. In de context van menselijk risico verwijst kwetsbaarheid naar de vatbaarheid van individuen voor gedrag dat kan leiden tot beveiligingsincidenten. Dit kan te wijten zijn aan een gebrek aan bewustzijn, technische beperkingen, slechte keuzes, of simpelweg menselijke fouten. Bijvoorbeeld, een medewerker kan kwetsbaar zijn voor phishing aanvallen door een gebrek aan kennis over hoe deze werken. Dreiging daarentegen verwijst naar een potentiële oorzaak van een ongewenst incident, dat schade kan toebrengen aan een systeem of organisatie. In termen van menselijk risico kunnen dreigingen social engineering-tactieken omvatten die gericht zijn op het misleiden van individuen, zoals phishing, spear phishing of pretexting. Maar laten we eerst nog een concreet voorbeeld bekijken voordat we verdergaan.

Afbeelding waarop ‘Kwetsbaarheid’ wordt beschreven als het gebruik van slechte wachtwoorden en ‘Dreiging’ als hackers die misbruik kunnen maken van deze kwetsbaarheden.

Menselijk risico bevindt zich tussen deze twee concepten. Het meet hoe kwetsbaar een organisatie is voor verlies, schade of andere ongewenste gebeurtenissen die ontstaan wanneer een menselijke kwetsbaarheid wordt misbruikt door een dreiging. Met andere woorden:

Definitie van het menselijk risico: de mate waarin de beveiligingsbewustwording, gedragskeuzes en ernst van fouten en nalatigheden van medewerkers van een organisatie kunnen leiden tot potentieel verlies of schade door beveiligingsinbreuken.

Een nieuwe marktcategorie: Wat is human risk management?

And now that we have defined SA&T, vulnerability, threat, and human risk, we are better prepared to fully understand what human risk management is. You might have also heard it referred to as “Security behavior and culture programs” (SBCPs) or “Human detection and response,” but the exact term “human risk management” as a new industry category has been coined by Forrester in an article, “The Future Is Now: Introducing Human Risk Management,” and has been defined as follows:

De definitie van HRM door Forrester is als volgt: "Oplossingen die cyberveiligheidsrisico's, veroorzaakt door en voor mensen, beheren en verminderen door: 1) Het detecteren en meten van menselijk veiligheidsgedrag en het kwantificeren van het menselijk risico; 2) Het initiëren van beleids- en trainingsinterventies op basis van het menselijk risico; 3) Het onderwijzen en in staat stellen van de medewerkers om zichzelf en hun organisatie te beschermen tegen cyberaanvallen; 4) Het opbouwen van een positieve beveiligingscultuur."

Deze definitie impliceert dezelfde boodschap die we hierboven hebben besproken: Basisinspanningen voor bewustwording zijn op zichzelf onvoldoende en kunnen geen echte risicoreductie realiseren. Terwijl traditionele bewustwordingsprogramma’s zich richten op het creëren van bewustzijn en het overbrengen van kennis – het informeren van individuen over potentiële dreigingen en hen uitleggen hoe zij hierop moeten reageren – schieten ze in de huidige dynamische omgeving vaak tekort. Het evoluerende landschap vraagt om een verschuiving naar een holistische aanpak van human risk management, waarbij prioriteit wordt gegeven aan de gevolgen en de drijfveren van gedrag. Dit betekent dat we gedrag, de oorzaken en manifestaties moeten begrijpen. Het gaat niet alleen om kennisoverdracht. Het draait om het bevorderen van een beveiligingscultuur waarin veilig gedrag een tweede natuur wordt, waarbij specifieke gedragswetenschappelijke methoden worden geïntegreerd en technologie wordt ingezet om deze inspanningen te ondersteunen.

Met andere woorden: Human Risk Management (HRM) is een op bewijs gebaseerde methode om mensen te trainen en actie te ondernemen op basis van hun risicoprofiel. Deze methode maakt gebruik van empirische gegevens en onderzoek om echt te begrijpen waar mensgerelateerde kwetsbaarheden zich bevinden. Het gebruikt onder andere data van eerdere beveiligingsincidenten, monitort gebruikersactiviteiten op het netwerk en identificeert terugkerend gedrag dat het risico verhoogt.

Laten we elk van de vier elementen in Forrester’s definitie doorlopen om alle dimensies van deze categorie volledig te begrijpen.

De eerste stap: Het detecteren en meten van menselijk beveiligingsgedrag en het kwantificeren van menselijk risico

Traditionele oplossingen voor beveiligingsbewustzijns training zijn lange tijd gericht geweest op beperkte activiteitstatistieken om risico’s te meten. Daarbij werd vaak de cruciale noodzaak over het hoofd gezien om te evalueren in hoeverre dergelijke trainingen kwetsbaarheden voor werkelijke cyberdreigingen verminderen. Hoewel het bijhouden van afrondingspercentages en testresultaten inzicht geeft in betrokkenheid en kennisopname, is dit niet per se een indicatie van gedragsverandering of risicoreductie. Daarom streeft HRM ernaar verder te gaan dan eenvoudige activiteitsstatistieken door meer genuanceerde en zinvolle risico-indicatoren op te nemen die de effectiviteit van training meten bij het verminderen van reële cybersecurity dreigingen.

De definitie van HRM door Forrester is als volgt: "Oplossingen die cyberveiligheidsrisico's, veroorzaakt door en voor mensen, beheren en verminderen door: 1) Het detecteren en meten van menselijk veiligheidsgedrag en het kwantificeren van het menselijk risico; 2) Het initiëren van beleids- en trainingsinterventies op basis van het menselijk risico; 3) Het onderwijzen en in staat stellen van de medewerkers om zichzelf en hun organisatie te beschermen tegen cyberaanvallen; 4) Het opbouwen van een positieve beveiligingscultuur."

Bij SoSafe hebben we onze Human Risk Score (HRS) ontwikkeld om nauwkeurig de cyberbeveiligingsrisico’s die verband houden met mensen binnen een organisatie te kwantificeren. Dit doen we door menselijk beveiligingsgedrag en de bijbehorende risico’s te detecteren. Door de gebieden met het hoogste risico te identificeren, waaronder verschillende groepen binnen je organisatie, kunnen CISO’s ingrijpen met gerichte maatregelen om deze risico’s te verminderen. Bijvoorbeeld door gevaarlijk gedrag te detecteren in specifieke afdelingen, zoals het invoeren van persoonsgegevens in generatieve AI, het delen van gevoelige gegevens via onbeveiligde netwerken, of het gebruik van zwakke, of op meerdere plaatsen gebruikte wachtwoorden, kunnen gerichte interventies worden ontwikkeld om gedragsverandering te versnellen.

SoSafe's data dashboard showing the risk score based on different parameters such as awareness, behavior, and culture.

SoSafe’s data dashboard 

Nu we weten welke interventies mogelijk zijn, kunnen we kijken naar het tweede deel van de definitie dat daar over gaat.

Ontwikkelen van beleid en trainingsinterventies op basis van het menselijk risico

Het kwantificeren van risico’s is slechts een deel van de puzzel. Deze wordt vollediger wanneer we interventies ontwerpen die direct inspelen op de geïdentificeerde kwetsbaarheden en dreigingen, waardoor er sprake is van proactieve beveiligingsmaatregelen. Als het dashboard bijvoorbeeld een kennistekort en risicovol gedrag bij een bepaalde groep laat zien, kunnen CISO’s de leerervaring aanpassen met gerichte interventies, zoals nudges via een gespreksbot. Phishing simulaties kunnen ook worden aangepast op basis van risico en gedrag. Bij SoSafe bieden we bijvoorbeeld gepersonaliseerde phishing simulaties voor hoog risico gebruikersgroepen zoals financiën, HR, beveiliging, senior management en techniek. Maar dit is slechts het topje van de ijsberg. Er zijn net zoveel interventies als potentiële risico’s en de meest efficiënte manier om dit aan te pakken is door interventies op risico te prioriteren. Deze screenshot toont een voorbeeld van vier verschillende interventies die kunnen worden geregistreerd en geactiveerd via het SoSafe-platform.

Smartphone displaying SoSafe's interventions hub.

SoSafe’s interventie hub 

Gebruikmaken van integraties voor diepere gedragsinzichten

Het is echt bijna revolutionairs als je beveiliging holistisch bekijkt en probeert om zoveel mogelijk inzicht te krijgen in het veilige gedrag van medewerkers. Het verzamelen van gegevens uit andere bronnen is een volgende stap in dat proces. Daarbij zorgen we ervoor dat we alle beschikbare technologieën gebruiken om de risico’s voor elke organisatie te identificeren en kwantificeren. Deze inspanning om verschillende beveiligingstools te verbinden en te gebruiken, heeft geleid tot een concept dat Gartner heeft benoemd als ‘cyber security mesh’ of ‘cyber security mesh architecture (CSMA)’.

Deze geïntegreerde aanpak vertegenwoordigt een belangrijke verschuiving naar een meer samenwerkingsgerichte en onderling verbonden beveiligingsstructuur door de kracht van integratie over een verspreid netwerk van beveiligingstools en -controles te benadrukken. Door het beheer van data en controlemechanismen te centraliseren, stelt CSMA deze tools in staat om naadloos samen te werken. Het resultaat is een robuuste beveiligingsinfrastructuur die geavanceerdere detectiemogelijkheden kan bieden, de respons op dreigingen kan stroomlijnen, zorgt voor consistent beheer van beleid, posities en playbooks en meer adaptieve, gedetailleerde toegangscontroles kan implementeren.

Human Risk Management omarmt deze filosofie en raadt aan om elk HRM-platform te integreren met de rest van je technologische ecosysteem. Dat geeft je een holistisch beeld van de beveiligingscultuur binnen je organisatie en de mogelijkheid van noodzakelijke interventies om menselijk risico te verminderen. Volgens dit principe integreert het SoSafe-platform bijvoorbeeld met:

  • Microsoft 365 voor samenwerking en gedrag rondom dataverliespreventie (bijv. het delen van persoonlijke informatie) en het reageren op echte phishing simulaties;
  • Microsoft Entra voor identiteitsevenementen (bijv. reizen, imitatie) en authenticatiegedrag (bijv. MFA ingeschakeld, password spray, enz.);
  • en Microsoft Defender voor onder andere gedrag waar het gaat om endpoint bescherming (bijv. antivirus).

Medewerkers opleiden en in staat stellen om zichzelf en hun organisatie te beschermen tegen cyberaanvallen

Er is simpelweg geen andere manier om het te doen. Human Risk Management benadrukt hoe teams worden getraind en in staat gesteld om zichzelf te beschermen. Dit is iets waar we al lange tijd voor pleiten. Het toepassen van de principes van psychologie en gedragswetenschap in elke leerervaring die je aan je medewerkers aanbiedt is een van de grootste hefboommechanismen die je kunt gebruiken om ervoor te zorgen dat training effectief is en dat je je beveiligingscultuur doorlopend beheert en verbetert. Deze aanpak biedt vele voordelen. Maak je geen gebruik van deze aanpak, dan loop je onnodig veel risico.

Een van de belangrijkste redenen om over te stappen naar deze aanpak is dat traditionele methoden voor cyberbeveiligingstraining, zoals een gestandaardiseerd trainingsprogramma of een vast curriculum, niet langer voldoende zijn. Ze leiden vaak tot een snelle afname van de betrokkenheid en een significante afname van kennisretentie, zoals aangetoond in de vergeetcurve van Dr. Ebbinghaus. De grafiek laat zien aan hoe leerlingen binnen de eerste zeven dagen 90% vergeten van wat ze leren. Dit percentage van informatieverlies neemt toe wanneer leerlingen hun leerroutine en frequentie onderbreken.

Ebbinghaus’s Forgetting Curve

Er bestaan echter strategische benaderingen die het terughalen van informatie kunnen verbeteren en de trainingsinspanningen kunnen versterken. Gespreide training, die consistent wordt geleverd via verschillende kanalen zoals e-mail en samenwerkingstools, stelt leerlingen in staat om te herhalen en wat ze hebben geleerd beter te onthouden. Een voorbeeld is onze gespreksbot, die multichannel nudges biedt en bijdraagt aan het versterken van de beveiligingscultuur door met medewerkers in gesprek te gaan. 

Gelegenheidsleren is een ander element in op gedrag gebaseerde beveiligingstraining dat overeenkomsten vertoont met nudging, omdat het leren in real-life scenario’s ondersteunt. In een wereld die verzadigd is met informatie en waar tijd vaak schaars is, is het leveren van kleine leermodules op kritieke momenten essentieel. Een leerpagina die verschijnt na het klikken op een phishing-simulatie-e-mail is een perfect voorbeeld. Deze korte, vijf minuten durende fragmenten van security awareness-training zijn naadloos te integreren in een drukke werkdag en faciliteren continu leren zonder de leerling te overweldigen. Maar er is meer aan incidenteel leren dan dat. Onderzoekgegevens laten zien dat mensen sneller leren van fouten dan van theorie. Dat maakt phishing simulaties een veilige manier voor mensen om fouten te maken en daarvan te leren.

Gamificatie: Een andere krachtige tool in elke gedragswetenschappelijke toolkit

Door traditionele sessies om te zetten in interactieve ervaringen, wordt leren niet alleen informatief, maar ook leuk en boeiend. De flow-theorie, ontwikkeld door Csikszentmihalyi, ondersteunt deze bewering omdat het uitlegt dat mensen een staat van verhoogde concentratie en onderdompeling ervaren in activiteiten die zowel uitdagend als plezierig zijn. Gamificatie-elementen die overeenkomen met het vaardigheidsniveau van de leerling kunnen helpen deze flow-toestand op te wekken. Dat maakt leren aangenamer en effectiever. Bovendien gaf meer dan 80% van de respondenten in een Talent LMS-enquête aan dat gamificatie hun leren verbeterde en ervoor zorgde dat ze een sterkere verbinding kregen met de inhoud.

In wezen is het essentieel om leren te transformeren in een ervaring die zowel educatief als plezierig is. Op die manier zorg je ervoor dat motivatie en cyberbeveiliging evenredig groeien. Onze eigen productgegevens ondersteunen dit: pakkende storytelling en diepe gamificatie verhogen de gebruikersbetrokkenheid tot wel 54%.

Graph on the average activation rate in months since start.

Gepersonaliseerd leren om de tijd tot bewustzijn te versnellen en de gebruikerservaring te vereenvoudigen

Om een veilige cultuur te creëren, zijn gepersonaliseerde trainingsprogramma’s die de specifieke risico’s en rollen binnen een organisatie aanpakken ook heel belangrijk. Neem bijvoorbeeld managers die vaak zakelijke mobiele telefoons gebruiken. Zij hebben trainingssessies nodig die hen trainen in de risico’s van mobiele dreigingen en hoe ze daar goed mee om kunnen gaan. De IT-afdeling heeft daarentegen specifieke beveiligingskennis nodig die irrelevant is voor andere eindgebruikers.

Het afstemmen van trainingsinhoud op de unieke uitdagingen en veiligheidsbewustzijn van iedereen maakt leren niet alleen effectiever, maar ook boeiender. Onderzoek van Towards Maturity toont aan dat 77% van de leerlingen inhoud zoekt die relevant is voor hun werk. Daarom richt deze op gedrag gebaseerde benadering zich op de medewerkers, pakt hun unieke uitdagingen aan en biedt inhoud die specifiek is voor hun rollen, profielen en bewustzijnsniveaus.

Positieve bevestiging is de enige manier om medewerkers sterker te maken

In traditionele trainingsbenaderingen en opvattingen over de menselijke rol in beveiliging werd de mens vaak gezien als de zwakste schakel in de cyberbeveiliging van een organisatie. Dit heeft geleid tot een lange traditie van slachtofferbeschuldiging en angst. Psychologie leert ons echter dat dit kan leiden tot aangeleerde hulpeloosheid, een concept ontwikkeld door Seligman. Volgens deze theorie worden mensen die geloven dat ze slachtoffers zijn van hun omstandigheden en daardoor geen controle hebben over hun situatie, passief en depressief. Ze handelen niet en worden geen deel van de oplossing omdat ze niet geloven dat het mogelijk is en leven in voortdurende angst. Bij SoSafe geloven we in het bekrachtigen van medewerkers door positieve versterking in de vorm van gepersonaliseerde, relevante en interactieve training, regelmatige feedbackloops en erkenning.

Door constructieve, boeiende en situationele training te bieden, kunnen organisaties een proactieve beveiligingscultuur ontwikkelen waarin individuen zich verantwoordelijk voelen en uitgerust zijn om tegen dreigingen op te treden. Deze bekrachtigingsstrategie is gebaseerd op de overtuiging dat mensen eerder positieve actie ondernemen wanneer ze zich bekwaam en gewaardeerd voelen. Via gegamificeerde leerervaringen en simulaties uit de echte wereld, verwerven medewerkers niet alleen de nodige cyberbeveiligingsvaardigheden, maar bouwen ze ook vertrouwen op in hun vermogen om bij te dragen aan de veiligheid van de organisatie. Regelmatige feedbacksessies dienen om hun voortgang te bevestigen, hun bijdragen te erkennen en hen te begeleiden in gebieden die verbetering behoeven. Hierdoor ontstaat een gevoel van prestatie en verbondenheid.

Daarnaast moedigen we medewerkers door het bevorderen van een open en ondersteunende omgeving aan om hun ervaringen te delen en van elkaar te leren. We geloven dat door mensen niet te beschuldiging maar te bevestigen, we het menselijke element kunnen transformeren van een aansprakelijkheid naar een krachtige bondgenoot in de strijd tegen cyberdreigingen.

Meer beveiligingskampioenen creëren om digitale bekwaamheid te versnellen

Bandura legde ook in zijn Sociaal-cognitieve Leertheorie uit dat mensen leren door observatie, imitatie en het modelleren van andere individuen. In de context van cyberbeveiliging verbeteren positieve gedragsmodellen het leren en de adoptie van veilige gedragingen, bijvoorbeeld collega’s die goede beveiligingspraktijken demonstreren. Bij SoSafe geloven we in de kracht van deze theorie en daarom identificeren we via ons analytics-dashboard opvallende presteerders in jouw organisatie, zodat je deze beveiligingskampioenen kunt erkennen, de samenwerking kunt bevorderen en beveiliging ieders verantwoordelijkheid kunt maken.

Screenshot of SoSafe's dashboard showing click behavior by user group.

Creëer beveiligingskampioenen met het SoSafe dashboard

Beveiligingscultuur als een belangrijk ingrediënt voor effectief beheer van menselijk risico

Dit komt allemaal neer op één ding: het ultieme doel van het opbouwen van een sterke beveiligingscultuur waarmee je menselijk risico effectief kunt beheren. Veilige gewoonten beschermen je organisatie. Denk bijvoorbeeld aan het vergrendelen van het scherm bij het verlaten van een bureau, het melden van beveiligingsincidenten aan IT en het controleren van e-mails op verdachte inhoud. Het versterken van deze dagelijkse digitale gewoonten wordt bepaald door de cultuur die je hebt weten te creëren. Hoe kunnen we dan definiëren wat een beveiligingscultuur is?

Definitie van cybersecurity cultuur als ‘een set van waarden, overtuigingen en gedragingen die een organisatie aanneemt om cyberbeveiliging prioriteit te geven.‘

Bij SoSafe hebben we het Behavioral Security Model ontwikkeld om verder te gaan dan traditionele beveiligingsbenaderingen door medewerkers centraal te stellen in de cyberbeveiligingsstrategie. Deze aanpak erkent dat een duurzame beveiligingscultuur alleen kan worden bereikt wanneer medewerkers niet zozeer worden gezien als potentiële risico’s of het zwakste element, maar als sleutelspelers in de verdediging van hun organisatie.

Het Behavioral Security Model is gebaseerd op vier dimensies: kennis, context, motivatie en gedrag. Deze dimensies worden niet als afzonderlijke entiteiten gezien, maar als een verweven systeem dat medewerkers aanmoedigt om proactief te zijn. De holistische aanpak van dit model is gericht op het versterken van elk aspect van hoe medewerkers omgaan met cyberbeveiliging. De interactie tussen deze vier dimensies creëert een sterke verdediging die zowel de individuele als collectieve beveiliginspanning bevordert.

Afbeelding met de belangrijkste componenten van een sterke beveiligingscultuur: context, kennis, gedrag en motivatie.

Onderstaand een overzicht van de vier dimensies, elk uitgewerkt met de psychologische theorieën en concepten die we eerder bespraken. Door deze vier te combineren, ontstaat er een sterke beveiligingscultuur met de nadruk op de aanpak van het menselijke risico. Als je meer wilt lezen over het model, lees dan onze blogpost: ‘How to create a security culture: The Behavioral Security Model’:

  • Kennis houdt in dat je cyberbeveiligingsdreigingen en best practices begrijpt die je met een goed trainingsprogramma met continue, contextuele kennisoverdracht zijn aangedragen.
  • Context verbindt beveiligingsacties met de dagelijkse taken van de medewerker, waarbij de kennis gepersonaliseerd en relevant moet zijn voor hun werk.
  • Motivatie stimuleert medewerkers om veilige gedrag aan te leren door middel van positieve versterking, zoals beloningen of erkenning.
  • Gedrag richt zich op het integreren van deze beveiligingsacties in dagelijkse routines, waardoor veilige gewoonten binnen de organisatie worden gecreëerd.

Hoe kan SoSafe je helpen bij het beheren en verminderen van je menselijk risico?

SoSafe is het toonaangevende platform voor human risk management, gebouwd op de basis van psychologie en mensgericht ontwerp, waardoor veilig gedrag een tweede natuur wordt. Wij geloven dat mensen het juiste willen doen, maar hulp nodig hebben om succesvol te zijn. In tijden van een escalerend en hoog geprofessionaliseerd AI-gedreven dreigingslandschap is dat belangrijker dan ooit. Daarom streven we ernaar om beveiligingsculturen te creëren die de digitale zelfverdediging versterken, waarbij mensen betrokken worden om menselijk risico te verminderen.

Om zo’n cultuur te creëren, is het cruciaal dat medewerkers relevante kennis hebben, in de juiste context worden getraind, gemotiveerd zijn om betrokken te raken en veilig gedrag als dagelijkse routine aannemen. SoSafe ondersteunt organisaties bij de praktische implementatie van de vier belangrijke dimensies van het Behavioral Security Model, waarbij cybersecurity e-learning de beveiligingsvaardigheden van iedereen aanscherpt via gepersonaliseerde, gegamificeerde e-learningmodules. Onze gepersonaliseerde phishing simulaties uit de praktijk omvatten ook gedetailleerde stapsgewijze uitleg, ontworpen door leerspecialisten, wat de training effectiever maakt. In combinatie met voortdurende scholing helpen deze simulaties medewerkers veilige gewoonten te ontwikkelen in hun dagelijkse werk. Naarmate deze gewoonten routine worden, neemt het risico voor de organisatie af en stijgt het vermogen om snel op incidenten te reageren.

Met tools zoals de Phishing Report Button stelt SoSafe medewerkers in staat om hun kennis effectief in de praktijk te brengen, waardoor ze actief bijdragen aan de bescherming van de hele organisatie. Maar er is meer: onze gespreksbot Sofie, stelt je in staat om snel contact te leggen met je medewerkers via samenwerkingstools. Hierdoor kun je snel microleren inzetten om opkomende dreigingen aan te pakken. Doordat je medewerkers door middel van Sofie 24/7 toegang hebben tot eerstelijns beveiligingsondersteuning, worden zij je sterkste verdediging.

Daarnaast helpt ons Risk Scoring en Culture Automation-dashboard je om data van ons eigen platform en die van derde partijen te verwerken, activiteiten en risicokengetallen bij te houden, menselijk risico te beoordelen, kwetsbaarheden te identificeren en datagestuurde beslissingen te nemen. En dat alles op één plek.

Infographic met SoSafe’s belangrijkste functionaliteiten om een sterke beveiligingscultuur te bouwen: Teach, Transfer, Act en Connect.

Dit is onze enige kans om de burn-outcrisis waarmee beveiligingsteams te maken hebben te verlichten

Zoals eerder vermeld, is Human Risk Management in ons leven gekomen op een moment waarop organisaties wereldwijd te maken hebben met een alarmerende toename van cybercriminaliteit. Bovendien is er sprake van een periode waarbij beveiligingsteams onder ongekende druk staan.

Quote van Stéphane Duguin van het CyberPeace Institute waarin hij zegt dat de grootste uitdaging in de cybersecurity sector op dit moment burn-out is: er zijn te veel data, te veel incidenten en niet genoeg tijd.

Een belangrijke factor die deze druk verergert, is het tekort aan geschoolde arbeidskrachten in de sector. Volgens het meest recente rapport van ISC2 zijn er wereldwijd 3,9 miljoen onbezette cyberbeveiligingsfuncties. Maar dat is nog niet alles. Volgens een studie van ISACA heeft 59% van de organisaties een tekort aan cyberbeveiligingspersoneel, wat de werklast voor bestaande teams dramatisch verhoogt en beveiligingsfunctionarissen regelmatig aan de rand van burn-out of zelfs ontslag drijft.

Een enquête onder meer dan duizend leden van beveiligingsteams in de VS en Europa bevestigt dit: 66% van de respondenten lijdt aan aanzienlijke werkstress, 51% heeft medicatie voorgeschreven gekregen voor mentale gezondheid en 19% consumeert meer dan drie alcoholische dranken per dag als copingmechanisme. Maar het gaat veel verder dan een persoonlijke last. Het kan er ook voor zorgen dat teams belangrijke details over het hoofd zien, wat hun vermogen om effectief op dreigingen te reageren beïnvloedt en het risico op beveiligingsinbreuken in hun organisaties aanzienlijk vergroot. Dit risico wordt nog groter door het feit dat cybercriminelen hun technieken voortdurend ontwikkelen en hun aanvallen verfijnen, zoals we eerder al hebben kunnen lezen.

Cirkeldiagram met een bijna gelijke verdeling van de antwoorden op een enquêtevraag of een arts ooit medicatie heeft voorgeschreven voor de mentale gezondheid van betreffende persoon. 50.08% beantwoordde deze vraag met ‘ja’ en 49.2% met ‘nee’.

In deze dynamische en uitdagende omgeving is het essentieel dat organisaties investeren in hun beveiligingsteams om het welzijn van hun medewerkers veilig te stellen en te bevorderen. Het gebruik van het juiste Human Risk Management-platform kan echt een verschil maken door hen te helpen risico’s te identificeren en te beheren, interventies op basis van risico’s te prioriteren en duurzame en effectieve trainingsoplossingen te bieden die ervoor zorgen dat medewerkers zich sneller bewust worden van de gevaren.

We kunnen de realiteit niet ontkennen: beveiligingsteams zijn overweldigd en hebben eenvoudige en effectieve oplossingen nodig om menselijke risico’s te verminderen. Daarom is het belangrijkste doel van SoSafe om de last van beveiligingsleiders en teams te verlichten door efficiëntie te verbeteren en het werk te vereenvoudigen waar anderen het ingewikkeld maken.

Vraag een demo aan

Ontdek hoe ons platform jouw medewerkers in staat stelt om cyberdreigingen doorlopend af te wenden en zo je organisatie veilig te houden. Vraag een demonstratie aan, dan neemt een van onze specialisten snel contact met je op.

Compliance en beveiliging

ISO 27001
TISAX
GDPR

Industrie erkenning

G2 Europe Leader Winter 2025 G2 Leader Winter 2025

Ervaar onze producten uit eerste hand

Gebruik onze online testomgeving om te zien hoe ons platform je kan helpen om je team in staat te stellen om cyberbedreigingen voortdurend af te wenden en je organisatie veilig te houden.

G2 Europe Leader Winter 2025 G2 Leader Winter 2025
Producten

Gepersonaliseerd microleren

Ontwikkel veiligere gewoontes met gepersonaliseerde, gegamificeerde leerervaringen met een duidelijke verhaallijn.

Slimme aanval simulaties

Verbeter het meldgedrag van je medewerkers en versnel je dreigingsdetectie.

Permanent ingeschakelde beveiligingscopilot

Transformeer je medewerkers in een proactieve verdedigingslinie met onze door AI gedreven conversatie chatbot Sofie.

Proactief human risk management

Menselijk risico voortdurend en realtime monitoren, meten en mitigeren met het Human Risk OS platform.

Ontdek onze oplossingen met onze productrondleidingen

Start virtuele rondleidingen
Oplossingen

Voldoe aan beveiligingsvoorschriften

Automatiseer en versnel compliance

Ontwikkel een beveiligingscultuur

Integreer veilig gedrag in het DNA van je organisatie

Ontdek de succesverhalen van onze klanten

Lees verder
Prijzen
Resources

Lees

Rapporten Guides Cyberlexicon Voordelen Klantverhalen

Beleef

Evenementen Human Firewall Conference

Probeer

Danger Lab Phishing spel

Uitgelichte bronnen

Human Risk
Review 2024

Het voortbestaan van onze organisaties hangt af van het radicaal versterken van onze menselijke verdediging. In dit rapport lees je hoe.

Lees verder
Bedrijf

Word een cyberheld

Ben je op zoek naar een missie met impact? Sluit je bij ons aan en maak de wereld veiliger.

Sluit je bij ons aan en maak de wereld veiliger.

Meld je aan
Partners
Contact Login
Languages