Technologie kan veel beveiligen. Firewalls, encryptie, multifactorauthenticatie — het zijn allemaal effectieve lagen. Maar geen enkele technische maatregel beschermt je tegen een medewerker die op een phishing-link klikt, een wachtwoord deelt of een USB-stick in een laptop steekt die hij op de parkeerplaats vond. De mens is en blijft de grootste risicofactor in informatiebeveiliging. ISO 27001 verplicht je dan ook een structureel bewustzijnsprogramma op te zetten.
Wat vereist ISO 27001 voor security awareness?
Control 6.3 van Bijlage A stelt expliciet dat medewerkers bewustzijnstraining moeten ontvangen, afgestemd op hun functie en de risico’s waarmee ze in aanraking komen. De norm is bewust breed geformuleerd: er is geen minimale frequentie of verplicht format. Wat de norm wel vereist:
- Bewustwording van het informatiebeveiligingsbeleid en de doelstellingen van het ISMS
- Begrip van hun eigen bijdrage aan de effectiviteit van de informatiebeveiliging
- Kennis van de gevolgen van het niet naleven van de beveiligingsvereisten
- Bewustzijn van specifieke dreigingen die relevant zijn voor hun rol
Naast bewustwording vereist de norm ook competentie (hoofdstuk 7.2): medewerkers die beveiligingstaken uitvoeren, moeten aantoonbaar de benodigde kennis en vaardigheden hebben. Denk aan de IT-beheerder die verantwoordelijk is voor patchmanagement, of de functionaris gegevensbescherming die privacywetgeving toepast.
| Doelgroep | Minimale awareness-inhoud | Extra voor de functie |
|---|---|---|
| Alle medewerkers | Phishing, wachtwoorden, melden, beleid | – |
| IT-medewerkers | Bovenstaande + patchbeheer, incidentrespons | Technische dreigingen |
| Management | Bovenstaande + NIS2, bestuurlijke aansprakelijkheid | Risicobeheer |
| HR en finance | Bovenstaande + social engineering, CEO-fraude | Fraudepatronen |
Waarom eenmalige training niet werkt
De meeste organisaties die hun eerste security awareness training organiseren, doen dat eenmalig: een presentatie van een uur of een e-learningmodule die medewerkers afvinken. Het probleem is dat eenmalige training nauwelijks beklijft. Onderzoek naar het vergeetcurve van Ebbinghaus toont aan dat mensen binnen een week 70 procent van nieuwe informatie vergeten als het niet herhaald wordt.
Effectief bewustzijn vereist een continu programma, geen eenmalige exercitie. Dat hoeft niet complex of duur te zijn. Microlearning — korte, gerichte berichten of video’s van twee tot vijf minuten — werkt aantoonbaar beter dan lange sessies.
Een effectief jaarprogramma voor een MKB-organisatie ziet er zo uit:
- Jaarlijkse basistraining voor alle medewerkers (phishing, wachtwoorden, beleid, melden)
- Kwartaalse microlearning via e-mail of intranet (actuele dreigingen, specifieke scenario’s)
- Phishing-simulaties twee tot vier keer per jaar
- Rolspecifieke verdieping voor IT, HR, finance en management
- Onboarding voor nieuwe medewerkers (eerste week)
Tip: Koppel phishing-simulaties aan directe feedback. Een medewerker die op een gesimuleerde phishing-link klikt, krijgt onmiddellijk een korte uitleg te zien: “Je hebt op een phishing-link geklikt. Zo herkent je echte phishing-mails.” Dat leert meer dan een e-mail achteraf.
Hoe bouwt je een effectief bewustzijnsprogramma?
Stap 1: breng rollen en risico’s in kaart Niet elke medewerker loopt hetzelfde risico. Een receptionist loopt risico via telefonische social engineering; een financieel medewerker is doelwit van CEO-fraude; een IT-beheerder kan slachtoffer zijn van gerichte phishing. Pas de inhoud aan op de rollen.
Stap 2: kies het juiste format E-learning past goed voor basistraining die op een zelf gekozen moment kan worden gevolgd. Klassikale sessies werken beter voor management en voor rolspecifieke verdieping. Phishing-simulaties zijn het meest effectief als aanhaker bij de praktijk.
Stap 3: meet effectiviteit Registreer wie welke training heeft gevolgd en wanneer. Meet ook het klikpercentage bij phishing-simulaties — niet om medewerkers te bestraffen, maar om te zien of het bewustzijn verbetert. Een daling van het klikpercentage over meerdere simulaties is een aantoonbaar resultaat dat je kunt presenteren aan de auditor.
Stap 4: houd het actueel Dreigingen veranderen. Voeg jaarlijks nieuwe scenario’s toe die aansluiten bij actuele aanvalstechnieken — deepfake audio, QR-code phishing, AI-gegenereerde phishing-mails. Een programma dat drie jaar oud is en nooit is bijgewerkt, voldoet niet aan de geest van ISO 27001.
Bewijs voor de auditor
Control 6.3 vereist aantoonbare training. Zorg voor:
- Trainingsregistraties: naam medewerker, datum, gevolgde module, voltooiingsstatus
- Aanwezigheidslijsten van klassikale sessies
- Exportbestanden uit je e-learningplatform met voltooiingsstatus
- Resultaten van phishing-simulaties inclusief klikpercentages per simulatie
Bewaar deze registraties minimaal over de bewijsperiode voorafgaand aan de audit. De auditor zal steekproeven nemen en vragen wie de training heeft gevolgd en wanneer.
FAQ
Mag ik gratis bewustzijnsmateriaal van internet gebruiken voor ISO 27001? Ja, de norm schrijft geen specifieke leverancier of format voor. Gratis materiaal van het NCSC, het Centrum voor Cybersecurity België of andere betrouwbare bronnen is prima bruikbaar. Zorg wel dat het materiaal actueel is en aansluit bij je risicolandschap, en dat je de trainingsregistraties bijhoudt.
Hoe ga ik om met medewerkers die de training niet voltooien? De norm vereist dat alle medewerkers met relevante rollen aantoonbaar training hebben ontvangen. Maak in je beleid duidelijk dat security awareness training verplicht is. Stel herinneringen in en escaleer indien nodig via de leidinggevende. Documenteer ook de opvolging van niet-voltooiing — dit toont de auditor dat je handhaving serieus neemt.
Security awareness is de menselijke firewall van je organisatie. Technische maatregelen stoppen aanvallen die geen menselijke interactie vereisen; een bewuste medewerker stopt de aanvallen die dat wel doen. Investeer in je mensen en je investeert in de sterkste schakel van je beveiligingsketen.
Klaar om te starten? Control One begeleidt je door het hele implementatieproces.
Klaar om te starten met ISO 27001?
Control One begeleidt je stap voor stap door het volledige implementatieproces. Van gap-analyse tot certificeringsaudit — inclusief alle templates en werkstromen.