Security awareness training: wat werkt, wat verspilling van tijd is

Jaarlijkse 60-minuten security-video is verspilling. Driemaandelijks 10 minuten specifiek materiaal werkt wél. Hier het programma dat doeltreffend blijkt.

Mensen vergeten binnen 2 weken 80% van wat ze in een jaarlijkse training hebben gehoord. Daarom is een andere aanpak beter dan "video kijken en klaar".

Wat werkt wel

• Kort en vaak: 10-15 minuten per kwartaal, niet 60 minuten per jaar.
• Contextueel: nieuwe phishing-voorbeelden die intern zijn waargenomen, niet generieke voorbeelden uit 2019.
• Interactief: phishing-simulaties die ze zelf tegenkomen. Knowbe4, Cofense, KnowBe4.
• Direct feedback: wie klikt krijgt meteen (vriendelijk) feedback, geen collectieve blame-email.
• Rolgericht: finance krijgt invoice-fraud-training, HR krijgt social-engineering-voor-new-hires-training.

Wat werkt niet

• Jaarlijks verplicht een 60-minuten-video "kijken voor Q4".
• Tests die voornamelijk gericht zijn op naleving ("laat zien dat we training hebben gedaan") ipv leren.
• Blame-culture na phishing-tests.
• Generieke content zonder link naar eigen bedrijfs-context.

Onboarding

Elke nieuwe medewerker krijgt een 30-min intro-sessie met security-basics + korte herhaling na 30 dagen. Beter onthouden dan grote dose op dag 1.

Meetbaar

• Phishing-click rate: startwaarde meten, doel na 6 maanden halveren.
• Melding-rate: hoeveel phishing-tests meldt men? Doel: > 70% meldt binnen 2 uur.
• Incident-response-tijd: bij echt incident, hoe snel melden mensen? Betere metric dan alleen tests.

Zie ook: phishing herkennen, security-pillar.