De druk op organisaties om hun security programma’s te optimaliseren is hoger dan ooit. Zo rapporteerde ENISA in 2024 een stijging van 30% in het aantal gemelde cyberincidenten in Europa. Tegelijkertijd zijn de kosten van een datalek volgens IBM gestegen naar gemiddeld $4,45 miljoen. Met strengere regelgeving en het feit dat 82% van de bestuurders security als topprioriteit ziet (mede door de aantocht van NIS2), is het meten en verbeteren van security programma’s bedrijfskritisch geworden. Geen bijzaak dus. Maar hoe verhoog je daadwerkelijk de effectiviteit van security programma’s? En hoe meet je dat succes? Die vragen legden we voor aan CISO’s.
Wat definieert ‘succes’ in een security programma?
Het percentage voltooiing van trainingen, phishing-responspercentage, en aantal gemelde beveiligingsincidenten, je hoeft de literatuur er maar op na te slaan en je ziet een lange lijst met KPI's om awareness te meten. En toch kijkt elke CISO hier anders tegenaan, merken we in de praktijk.
Zo kiest Fleur van Leusden in plaats van vage KPI’s voor SMART-doelen: ze meet het werkelijke platformgebruik vóór en ná de security campagne, en evalueert direct met deelnemers. Met een mix van sprekers, puzzels en gadgets raakt ze verschillende zintuigen en leerstijlen. Door telkens feedback te verwerken, versterkt ze de effectiviteit en borgt ze continuïteit. Zoals ze zelf aangeeft: “Meetbare doelen stellen: niet ‘geen datalekken’, maar ‘toename gebruik van ons beveiligde platform’. Drie activiteiten in één week, met live seminars, evaluaties en concrete leermomenten zorgen dat medewerkers zien wat ze écht geleerd hebben.”
Een andere aanpak is om het inkoopproces met security checks te omkaderen en sleutelfiguren jaarlijks bij te scholen. Zo borg je dat security niet een incidenteel onderdeel is, maar een onmisbaar element in elke contractbeslissing. Dit ‘train-and-check’-model zorgt ervoor dat awareness en eigenaarschap verankerd raken bij degenen die besluiten nemen. Rick Meints, CISO bij de Gemeente Alkmaar, geeft aan: “We integreerden security-vragen in onze aanbestedingsprocessen: sleutelfiguren (contracteigenaren) volgen jaarlijks een korte training en tekenen pas contracten als ze de risico’s begrijpen en afgewogen hebben.”
Succes in een security programma betekent niet alleen het afvinken van taken of het bereiken van compliance, maar vooral het aantonen van een verbeterde veiligheidscultuur en verantwoorde gedragingen bij medewerkers én leveranciers. Dit vereist meetbare, impactvolle doelen die daadwerkelijk bijdragen aan het versterken van de algehele veiligheid.
Is compliance een graadmeter voor security awareness?
De praktijk laat zien van niet: er zijn organisaties op papier compliant, waarbij het toch misgaat. Maar het helpt wel. Compliance-standaarden zoals ISO 27001 kunnen namelijk meer zijn dan een lijst met de welbekende verplichte ‘vinkjes’. Wat als je het ziet als een kans om ook andere security initiatieven beter te organiseren, met meer draagvlak, budget en betrokkenheid? Compliance kan juist worden gebruikt om draagvlak te creëren en budget vrij te maken voor je security awareness programma.
Hans Quist, CISO bij de Provincie Zeeland, illustreert dit door ISO 27001 niet alleen als doel, maar als mandaat te gebruiken: “Zij willen dat ik CISO ben, dus het is C van Chief, en we halen sámen dat certificaat.” Door ISO 27001 als strategisch instrument te benutten, zorgt hij ervoor dat security niet alleen op papier staat, maar een centraal punt wordt in de bedrijfscultuur. Het creëert eigenaarschap, waardoor de hele organisatie betrokken raakt bij het behalen van securitydoelen.
Hoe je met ambassadeurs awareness programma’s effectiever maakt
Een krachtige manier om security awareness organisatiebreed te versterken, is het opzetten van een ambassadeursprogramma met collega’s die zélf gemotiveerd zijn om bij te dragen aan een veilige werkomgeving. Denk aan medewerkers die het leuk vinden om anderen mee te nemen in veilig gedrag, vanuit interesse of betrokkenheid bij het onderwerp. Door deze intrinsiek gemotiveerde ambassadeurs te betrekken – en het programma bijvoorbeeld speels te maken met gamification – ontstaat er een positief sneeuwbaleffect. Hans werkt bij Provincie Zeeland al met zo’n programma en legt in de video hieronder uit waarom dat zo goed werkt:
Tips voor het opzetten van een ambassadeursprogramma:
- Kies de juiste ambassadeurs: Selecteer medewerkers met invloed en – nog belangrijker – enthousiasme voor security. Laat hen eerst de cultuur ervaren, bijvoorbeeld via een laagdrempelige inlooptest. Zorg dat hun rol leuk blijft en de acties die je van ze verwacht behapbaar zijn. Focus daarnaast niet alleen op kennis, maar ook op gedrag. Dat kun je bijvoorbeeld meten met de Cyber Barometer. Zo werk je aan een duurzaam en effectief programma.
Tip: werf ambassadeurs uit verschillende afdelingen en clusters en investeer in het laten groeien van dit netwerk. Zo creëer je waardevolle voelsprieten door de hele organisatie heen.
- Bied training en middelen: Voorzie jouw ambassadeurs van de juiste kennis en tools om hun rol effectief uit te voeren, betrek ze bij nieuwe ontwikkelingen op security gebied.
- Geef vrijheid en verantwoordelijkheid: Laat ambassadeurs eigen initiatieven ontwikkelen, en stel duidelijke doelen.
- Meet impact: Volg de effectiviteit van het programma door bijvoorbeeld deelname en gedragsveranderingen te monitoren.
Het effect van security meten: hoe ga je verder dan alleen cijfers?
Veel organisaties meten het succes van hun security programma’s door incidenten bij te houden, zoals het aantal gedetecteerde dreigingen of het aantal datalekken. Deze cijfers geven echter slechts een beperkt beeld van de effectiviteit van het programma. Succes in security gaat verder dan alleen het afvinken van incidenten; het draait om daadwerkelijke veranderingen in gedrag, betrokkenheid en de algehele veiligheidscultuur binnen de organisatie.
Het is daarom belangrijk om ook engagement metrics te meten, zoals het gebruik van beveiligde platforms, deelname aan securitytrainingen en de mate van gedragsverandering bij medewerkers. Deze metrics geven een dieper inzicht in hoe goed medewerkers de veiligheidsmaatregelen omarmen en implementeren in hun dagelijkse werk. Dit geeft meer context dan alleen het aantal incidenten.
Optimaliseer je security programma continu
Laten we maar meteen met de deur in huis vallen: securityprogramma’s zijn nooit ‘af’. Ze moeten continu geëvalueerd en verbeterd worden om effectief te blijven in een dynamisch securitylandschap én een werkomgeving die constant verandert – denk aan hybride werken, nieuwe technologieën en maatschappelijke ontwikkelingen. Wat vandaag werkt, is misschien niet genoeg voor de bedreigingen (en de CISO) van morgen. Daarom is het van groot belang om je security programma’s voortdurend bij te sturen en te verbeteren op basis van nieuwe inzichten en ervaringen.
Feedback en iteratie spelen een enorm belangrijke rol in dit proces. Het regelmatig verzamelen van feedback – zowel van medewerkers als van de resultaten van je programma’s – helpt om te begrijpen wat wel en niet werkt. Dit stelt je in staat om het programma aan te passen en te optimaliseren, waardoor je de effectiviteit keer op keer blijft vergroten en het programma relevant blijft voor jouw organisatie.