security awareness training: medewerkers in een phishing simulatie sessie

Security awareness training werkt niet. Dit wel..

Security awareness training is het meest ingekochte security-programma van Nederland. Vrijwel elke organisatie met meer dan honderd medewerkers heeft er een. Jaarlijks klikken duizenden medewerkers zich door modules over phishing, wachtwoordhygiene en clean desk policies. De completion rate is hoog. De compliance-afdeling is tevreden. En toch verandert er in de praktijk bijna niets.

Onderzoek van de Universiteit Leiden, gepubliceerd in een meta-analyse van 69 studies, concludeert dat security awareness training kennis en houding verbetert, maar dat daadwerkelijke gedragsverandering nauwelijks meetbaar is. Gartner bevestigt het beeld: 70% van de medewerkers die een security awareness training hebben afgerond, vertoont nog steeds onveilig gedrag. Dat roept een vraag op die CISO’s en HR Managers zichzelf vaker zouden moeten stellen: als het programma niet werkt, waarom doen we het dan nog op dezelfde manier?

Dit artikel laat zien waar traditionele awareness-programma’s falen, wat het alternatief is, en hoe organisaties een cybersecurity cultuur bouwen die verder gaat dan vinkjes.

Waarom security awareness training faalt

Het probleem met de meeste awareness-programma’s is niet de inhoud. Het is het model. De standaardaanpak werkt als volgt: een keer per jaar krijgen medewerkers een online module, ze beantwoorden een quiz, en het systeem registreert of ze het hebben afgemaakt. De organisatie kan vervolgens aantonen dat de training is gegeven. Dat is compliance, geen gedragsverandering.

30% van de medewerkers vindt de training saai, 27% vindt dat het niet vaak genoeg plaatsvindt, en 24% ervaart de inhoud als te generiek. Die cijfers komen uit een grootschalig onderzoek van Infrascale onder bijna 59.000 IT-leiders. Het beeld is eenduidig: de training voelt als een verplichting, niet als iets dat relevant is voor het dagelijkse werk.

Daar komt een psychologisch effect bij dat onderzoekers ‘moral licensing’ noemen. Medewerkers die de training hebben afgerond, voelen zich gerechtvaardigd om daarna minder voorzichtig te zijn. Ze hebben immers ‘hun deel gedaan’. Het resultaat is paradoxaal: de security awareness training produceert een vals gevoel van veiligheid in plaats van echte weerbaarheid.

Ondertussen groeit de dreiging sneller dan het bewustzijn. Aanvallers sturen dagelijks 3,4 miljard phishing-berichten, steeds vaker aangevuld met AI-gegenereerde deepfakes en hypergepersonaliseerde spear phishing. Nieuwe medewerkers zijn 71% meer geneigd om op phishing-links te klikken in hun eerste 90 dagen. Medewerkers onder tijdsdruk zijn drie keer zo vatbaar. In die realiteit is een jaarlijkse module met een kennistoets geen verdediging. Het is een ritueel dat niemand beschermt behalve de compliance-afdeling.

Het verschil tussen weten en doen

De kern van het probleem zit in een aanname die de hele awareness-industrie doordringt: als mensen weten wat gevaarlijk is, zullen ze zich veiliger gedragen. Die aanname klopt niet. Onderzoekers van de Universiteit van Oxford concludeerden al in 2019 dat kennis een voorwaarde is voor gedragsverandering, maar op zichzelf niet voldoende. Mensen nemen beslissingen op basis van tijdsdruk, gewoontes, sociale druk en gemak. Niet op basis van een quiz die ze zes maanden geleden hebben gemaakt.

Dat verklaart waarom medewerkers gemiddeld 21 seconden nodig hebben om op een phishing-link te klikken na het openen van een kwaadaardig e-mail. De kennis is er, de reflex niet. Een effectief security training alternatief richt zich daarom niet op kennis overdragen, maar op reflexen trainen. Het verschil zit in de methode: niet vertellen wat phishing is, maar medewerkers confronteren met phishing in een realistische context waarin ze moeten handelen.

Security awareness training vervangen door scenario-gebaseerd leren

Wat wel werkt, is training die aansluit op de dagelijkse werkomgeving van medewerkers. Niet generiek, maar rolspecifiek. Niet jaarlijks, maar doorlopend. Niet gebaseerd op theorie, maar op scenario’s die medewerkers dwingen om onder druk beslissingen te nemen.

KnowBe4 rapporteert dat organisaties die overstappen op doorlopende, simulatie-gebaseerde training het percentage medewerkers dat op phishing trapt met 86% terugbrengen. Dat is een ander resultaat dan de traditionele aanpak, die nauwelijks meetbaar gedrag verandert. Het verschil zit niet in meer training, maar in een ander type training.

Scenario-gebaseerd leren werkt omdat het de omstandigheden nabootst waarin fouten daadwerkelijk worden gemaakt. Een financieel medewerker die dagelijks betalingsverzoeken verwerkt, heeft een heel ander risicoprofiel dan een developer die met code repositories werkt. Effectieve programma’s passen de simulaties aan op die context. Dat is precies het verschil dat ook terugkomt in hoe cybersecurity cursussen zich verhouden tot simulaties: theorie leert je wat een dreiging is, simulatie leert je hoe je reageert als de dreiging voor je neus staat.

Concreet betekent dat: een finance-team traint op BEC-aanvallen (Business Email Compromise) met nagemaakte betalingsverzoeken van de CFO. Een IT-afdeling oefent met gecompromitteerde service accounts en verdachte inlogpogingen. Een HR-afdeling krijgt simulaties met nep-sollicitaties die malware bevatten. Elke afdeling leert reageren op de dreigingen die ze in hun eigen werkdag tegenkomen. Dat is het fundamentele verschil met een generiek e-learning programma dat dezelfde module aan de hele organisatie voorschotelt.

Van security awareness training naar cybersecurity cultuur

Het echte doel is niet dat medewerkers een training afmaken. Het doel is dat security onderdeel wordt van hoe mensen werken. Dat vraagt om een cybersecurity cultuur waarin veilig gedrag de norm is, niet de uitzondering.

Een cybersecurity cultuur ontstaat niet door een programma uit te rollen. Het ontstaat als leiderschap het onderwerp serieus neemt, als security-gedrag zichtbaar wordt gemaakt en gewaardeerd, en als medewerkers voelen dat ze vragen mogen stellen zonder zich dom te voelen. Uit het Fortinet 2025 Security Awareness Report blijkt dat 96% van de bestuurders gelooft dat meer training cyberaanvallen kan verminderen, maar dat slechts 10% van de leiders zich actief uitspreekt over het onderwerp. Die kloof tussen overtuiging en gedrag op managementniveau is veelzeggend.

Organisaties die information security structureel willen verbeteren, combineren technische maatregelen met een aanpak die de mens centraal stelt. Niet door nog een e-learning uit te rollen, maar door security-oefeningen op te nemen in teamprocessen, door feedbackloops in te richten na incidenten, en door medewerkers te betrekken bij het verbeteren van procedures.

Wat werkt als security training alternatief

Als de traditionele security awareness training niet het gewenste resultaat oplevert, wat dan wel? Organisaties die wel meetbare resultaten boeken, delen een paar kenmerken.

Ten eerste: frequentie boven intensiteit. Korte, regelmatige interventies werken beter dan een jaarlijkse kennissessie. Wekelijkse phishing-simulaties met directe feedback veranderen meer gedrag dan een uitgebreide module die een keer per jaar wordt afgespeeld.

Ten tweede: rolspecifieke inhoud. Niet iedereen hoeft hetzelfde te weten. De risico’s voor een receptionist zijn anders dan voor een systeembeheerder. Effectieve programma’s differentieen op basis van functie, afdeling en risiconiveau. Slechts 7,5% van de awareness-programma’s personaliseert de training op individueel risiconiveau, terwijl onderzoek laat zien dat 8% van de medewerkers verantwoordelijk is voor 80% van de incidenten. Daar zit de winst.

Ten derde: meten op gedrag, niet op completion rate. Hoeveel medewerkers herkennen een phishing-poging? Hoeveel melden deze correct? Hoe snel gebeurt dat? Die metrics vertellen meer over je security-weerbaarheid dan het percentage dat de e-learning heeft afgerond.

Voor organisaties die hun operationele security-teams willen versterken, gaat het security training alternatief nog een stap verder: werken met realistische aanvalssimulaties onder tijdsdruk. Dat is de aanpak die Trivian hanteert voor bedrijven die hun teams trainen op incident response en dreigingsherkenning in omstandigheden die de werkelijkheid nabootsen.

De keuze: vinkjes of gedragsverandering

Security awareness training zal niet verdwijnen. Compliance vereist het, en het heeft een basiswaarde als bewustwordingstool. Maar wie zich afvraagt waarom het phishing-percentage niet daalt ondanks jaarlijkse training, moet eerlijk zijn: het programma doet niet wat je ervan verwacht.

De organisaties die het verschil maken, stoppen niet met trainen. Ze trainen anders. Minder generiek, vaker, en dichter bij de praktijk. Ze meten resultaten in gedrag, niet in vinkjes. En ze behandelen cybersecurity cultuur als iets dat je bouwt met je team, niet als iets dat je uitbesteedt aan een e-learning platform.

Voor CISO’s die verantwoording moeten afleggen over de effectiviteit van hun security-programma, is de verschuiving van security awareness training naar gedragsgerichte methodes niet optioneel. Bestuurders vragen steeds vaker om bewijs dat trainingsbudget daadwerkelijk risico verlaagt. Completion rates overtuigen niemand meer. Wat wel overtuigt: een daling in het klikpercentage op phishing-simulaties, een stijging in het meldingspercentage, en aantoonbare verbeteringen in de responstijd bij echte incidenten. Dat zijn de metrics die laten zien dat je security awareness training resultaat oplevert, en het zijn precies de metrics die traditionele programma’s niet kunnen leveren. Wil je weten welk type training past bij jouw organisatie? Plan een gratis adviesgesprek of lees meer over de praktijkgerichte trainingsmogelijkheden van Trivian.