Programma Cyberveiligheid mbo

Security- en privacy-awarenessmeting

Waarom is LinkedIn een security risico? Hoe belangrijk vind jij informatieveiligheid voor jouw instelling? Mag je video-opnamen maken van een les of online vergadering? Dit zijn enkele vragen uit de security- en privacy-awarenessmeting van het programma Cyberveiligheid mbo.

De security- & privacy-awarenessmeting is in april en mei 2023 als een van onze nulmetingen afgenomen bij 41 mbo-instellingen. De online vragenlijst bevat zo’n twintig meerkeuzevragen die door een kleine 6000 mbo-medewerkers (uit alle lagen van de organisatie) is ingevuld. De meting is uitgevoerd door onderzoeksbureau BDO, dat de gegevens heeft geanalyseerd en verwerkt in de mbo-brede sectorrapportage.

Awareness in beeld

Door mee te doen aan deze meting krijgen de scholen een beeld van in hoeverre de medewerkers informatieveilig (kunnen) werken. Iedere instelling ontvangt een eigen rapportage met bevindingen, op basis waarvan ze de security- & privacy-awareness gericht kan verbeteren. Via het mbo-brede sectorbeeld is het daarbij mogelijk om de eigen resultaten te vergelijken met de gemiddelde resultaten van de andere mbo-instellingen. En het mbo-sectorbeeld is weer te vergelijken met het hoger onderwijs, omdat SURF in diezelfde periode de awarenessmeting heeft uitgevoerd binnen de hogescholen en universiteiten. Lees meer hierover in de overkoepelende sectorrapportage voor mbo en het hoger onderwijs, die door SURF is gepubliceerd.

Opzet van de meting

De security- en privacy-awarenessmeting bevat twee soorten vragen: meningvragen en quizvragen. Met het eerste type vragen achterhaal je in hoeverre respondenten privacy en security belangrijk vinden en in hoeverre zij zich gesteund voelen in het informatieveilig werken. De quizvragen toetsen de kennis op het gebied van privacy en security.

COM-B gedragsmodel

Het COM-B gedragsmodel van Susan MichieDe meting laat daarmee zien in hoeverre medewerkers bekwaam zijn, gemotiveerd zijn en worden gefaciliteerd om informatieveilig te werken. Deze drie termen komen uit het COM-B gedragsmodel van Susan Michie. Dit model stelt dat bekwaamheid, gelegenheid en motivatie aanwezig moeten zijn om gedragsverandering te laten plaatsvinden. Vaak zijn deze componenten met elkaar verweven. Als mensen de juiste competenties hebben en goed gefaciliteerd worden, is de kans groot dat zij ook meer gemotiveerd raken om zorgvuldig met vertrouwelijke gegevens om te gaan. Omgekeerd geldt dat als medewerkers niet gemotiveerd zijn om informatieveilig te werken, het weinig zinvol is om met de zoveelste e-learning aan vaardigheden te werken. Je moet dan inzetten op andere maatregelen. Kortom, door alle drie componenten te adresseren en oog te hebben voor hun onderlinge afhankelijkheid, verhoog je de kans op een succesvolle gedragsverandering.

Wat betekent dit voor het programma Cyberveiligheid mbo?

De security- & privacy-awarenessmeting helpt om scherper in beeld te krijgen op welke gebieden we sectorbrede activiteiten kunnen inzetten om de scholen te helpen de security- en privacy-awareness te verbeteren. Het algemene beeld is dat er door scholen al veel aandacht wordt besteed aan trainingen op het gebied van kennis, maar dat de motivatie en de ondersteuning van de medewerkers extra aandacht verdient. We onderzoeken hoe we dit samen met SURF, bijvoorbeeld binnen het programma Cybersave Yourself verder kunnen uitwerken in concrete activiteiten.

Contactpersoon

Neem contact op met Martijn Bijleveld voor meer informatie.