Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Human factor

Concepten

Menselijke factor. Als er iets misgaat in de cybersecurity, komt dat regelmatig ook door een menselijke factor: iemand maakt een fout. Vaak heeft deze persoon zelf niet door dat hij een fout maakt.

De human factor verwijst naar de rol van menselijk gedrag bij het ontstaan van beveiligingsincidenten in cybersecurity. Technische beveiligingsmaatregelen zoals firewalls, encryptie en endpointbeveiliging vormen een stevige basis, maar de effectiviteit ervan staat of valt bij de mensen die ermee werken. Wanneer een medewerker op een kwaadaardige link klikt, een wachtwoord deelt via een onbeveiligd kanaal of een verdachte bijlage opent, worden zelfs geavanceerde technische verdedigingslagen omzeild. De menselijke factor is daarmee niet zozeer een zwakte die moet worden geaccepteerd, maar een risicovector die actief beheerd en verkleind kan worden door gerichte maatregelen op het gebied van bewustwording, procedures en organisatiecultuur.

Waarom is de human factor belangrijk?

Uit onderzoek blijkt dat menselijk handelen betrokken is bij 60 tot 95 procent van alle datalekken en beveiligingsincidenten. Deze cijfers zijn al jaren consistent en laten zien dat technologie alleen niet voldoende bescherming biedt. Aanvallers richten zich bewust op mensen als toegangspoort tot systemen, omdat het manipuleren van een persoon vaak eenvoudiger en goedkoper is dan het doorbreken van technische beveiliging.

Social engineering is de overkoepelende term voor aanvalstechnieken die inspelen op menselijk gedrag. Dit omvat methoden zoals phishing, vishing (voice phishing), pretexting en baiting. Bij elk van deze methoden wordt het vertrouwen, de nieuwsgierigheid of de hulpvaardigheid van het doelwit misbruikt om toegang te verkrijgen tot gevoelige informatie of systemen. De opkomst van AI-gestuurde phishingcampagnes heeft de dreiging vergroot: AI-gegenereerde phishingberichten hebben een 42 procent hoger slagingspercentage dan conventionele varianten.

De financiele impact is aanzienlijk. De gemiddelde kosten van een datalek bedragen wereldwijd 4,4 miljoen dollar, en aanvallen via social engineering kosten organisaties gemiddeld 130.000 dollar per incident aan gestolen data of financieel verlies. In Nederland hebben incidenten bij gemeenten, zorginstellingen en financiele dienstverleners aangetoond dat de menselijke factor een structureel risico vormt dat sectoroverstijgend is.

Regelgeving versterkt het belang van aandacht voor de menselijke factor. De AVG vereist dat organisaties passende technische en organisatorische maatregelen treffen. De NIS2-richtlijn stelt aanvullende eisen aan risicobeheer, waaronder expliciet aandacht voor bewustwording en training van personeel. Organisaties die de menselijke factor negeren, lopen daarmee niet alleen operationeel risico maar ook juridisch en financieel risico door mogelijke boetes en aansprakelijkheid.

Hoe de human factor aanpakken?

Effectief omgaan met de menselijke factor vereist een gelaagde aanpak die verder gaat dan een jaarlijkse e-learning module. De basis ligt bij het ontwikkelen van een structureel security awareness programma dat is afgestemd op de specifieke risico's en context van de organisatie. Dit programma combineert meerdere elementen die elkaar versterken.

Training en simulaties vormen de kern. Regelmatige phishingsimulaties laten medewerkers in een veilige omgeving oefenen met het herkennen van verdachte berichten. Onderzoek toont aan dat regelmatige training de vatbaarheid voor phishing met 23 procent verlaagt, terwijl een eenmalige training slechts 8 procent verbetering oplevert. De frequentie en actualiteit van trainingen bepalen in grote mate de effectiviteit ervan.

Procedures en processen moeten zo worden ingericht dat menselijke fouten worden beperkt. Het vier-ogen-principe bij financiele transacties, verplichte verificatie bij verzoeken om gevoelige informatie en automatische waarschuwingen bij risicovol gedrag zijn voorbeelden van organisatorische maatregelen die de impact van individuele fouten verkleinen. Tweefactor authenticatie is een technische maatregel die direct inspeelt op de menselijke factor door de gevolgen van gestolen of zwakke wachtwoorden te beperken.

Een open meldcultuur is essentieel. Medewerkers die vrezen voor repercussies wanneer zij een fout melden, zullen incidenten verbergen of vertragen. Dit vergroot de schade en bemoeilijkt tijdige respons. Organisaties die investeren in een cultuur waarin melden wordt gestimuleerd en beloond, detecteren incidenten sneller en beperken de impact effectiever.

Gedragsanalyse met behulp van technologie biedt aanvullende bescherming. User and Entity Behavior Analytics (UEBA) monitort patronen in gebruikersgedrag en signaleert afwijkingen die kunnen duiden op een gecompromitteerd account of een insider threat. Deze technologie fungeert als vangnet voor situaties waarin menselijke alertheid tekortschiet.

In de praktijk

Nederlandse banken voeren structureel phishingsimulaties uit en koppelen de resultaten aan gerichte vervolgtrainingen. Medewerkers die herhaaldelijk op gesimuleerde phishinglinks klikken, ontvangen aanvullende begeleiding in plaats van sancties. Deze aanpak heeft geleid tot een meetbare daling in het aantal succesvolle phishingpogingen over meerdere kwartalen.

Overheidsorganisaties integreren de menselijke factor in hun informatiebeveiligingsbeleid conform de Baseline Informatiebeveiliging Overheid (BIO). Dit omvat verplichte awareness-trainingen voor alle medewerkers, periodieke risico-inventarisaties die de menselijke component expliciet meenemen en oefeningen rond CEO-fraude en business email compromise.

Zorginstellingen besteden bijzondere aandacht aan de menselijke factor vanwege de gevoeligheid van patientgegevens en de operationele druk waaronder medewerkers werken. Gerichte trainingen die aansluiten bij de dagelijkse werkpraktijk van zorgprofessionals blijken effectiever dan generieke security-trainingen. Het gebruik van korte, scenariogebaseerde modules die inspelen op herkenbare situaties in de zorgomgeving vergroot de betrokkenheid en het leereffect.

Het MKB staat voor specifieke uitdagingen bij het adresseren van de menselijke factor. Beperkte budgetten en het ontbreken van een dedicated security-afdeling maken het lastig om structurele programma's op te zetten. Externe partijen bieden security awareness as a service aan, waarmee ook kleinere organisaties toegang krijgen tot professionele trainingsplatformen, gesimuleerde phishingcampagnes en voortgangsrapportages zonder grote interne investeringen.

Gamification wordt steeds vaker ingezet om betrokkenheid bij awareness-programma's te vergroten. Door competitie-elementen, beloningen en interactieve scenario's toe te voegen, wordt security-training minder als verplichting ervaren en meer als onderdeel van de dagelijkse werkpraktijk. Organisaties die gamification toepassen rapporteren hogere deelnamepercentages en betere kennisretentie bij medewerkers.

Veelgestelde vragen

Welk percentage van datalekken wordt veroorzaakt door menselijke fouten?

Afhankelijk van het onderzoek en de gehanteerde definitie ligt dit percentage tussen de 60 en 95 procent. Het Verizon Data Breach Investigations Report noemt menselijk handelen consequent als de meest voorkomende factor bij datalekken wereldwijd.

Wat is het verschil tussen security awareness en security culture?

Security awareness richt zich op kennis en herkenning van dreigingen. Security culture gaat verder en omvat de houding, normen en het gedrag van medewerkers ten aanzien van informatiebeveiliging. Een sterke security culture betekent dat veilig werken vanzelfsprekend is, niet alleen wanneer er getraind wordt.

Hoe vaak moeten medewerkers security-training volgen?

Continue training is effectiever dan een jaarlijks moment. Maandelijkse of tweemaandelijkse korte sessies gecombineerd met periodieke phishingsimulaties leveren de sterkste gedragsverandering op. Een eenmalige training levert slechts 8 procent verbetering in phishing-herkenning, tegenover 23 procent bij regelmatige herhaling.

Wat is een insider threat?

Een insider threat is een beveiligingsdreiging die uitgaat van personen binnen de organisatie, zoals medewerkers, contractors of zakenpartners. Dit kan onopzettelijk zijn, zoals het per ongeluk delen van vertrouwelijke informatie, of opzettelijk, zoals het bewust stelen van data.

Helpt alleen technologie niet tegen de menselijke factor?

Technologie biedt een noodzakelijke maar onvoldoende verdedigingslaag. Tools zoals spamfilters, endpoint detection en UEBA verkleinen het aanvalsoppervlak, maar kunnen niet voorkomen dat een geautoriseerde gebruiker bewust of onbewust een fout maakt. De combinatie van technologie, training en procedures biedt de sterkste bescherming.

Vergelijk aanbieders van security awareness en training via IBgidsNL. Ga naar Training and Awareness.