Van awareness naar gedrag: mensgerichte cyber resilience in de praktijk

Onze actuele casus rond het programma ‘De Heus Protector Challenge’ laat zien hoe een moderne cyber resilience-strategie zich richt op menselijk gedrag als cruciale (lees: bepalende) factor in security, privacy en integrity. Er is daarin namelijk een verschuiving gaande: de techniek is steeds minder vaak het doelwit, en de mens juist steeds vaker.

In lijn met het Cybersecuritybeeld Nederland (CSBN) 2025, waarin de NCTV waarschuwt voor de toenemende focus van aanvallers op de menselijke factor via AI-gestuurde social engineering, kiezen De Heus en Awareways voor een strategie die de medewerker centraal stelt als cruciale verdedigingslinie. In plaats van louter technische maatregelen zetten we in op een geïntegreerde aanpak waarin meten, trainen, communiceren en simuleren doorlopend worden gecombineerd. Dat begint bij onze Cultuurscan (=nulmeting) om inzicht te verkrijgen in risico’s en gedrag. Vervolgens worden gerichte interventies (communicatiecampagnes, phishing simulaties en een intensieve challenge met microlearnings) ingezet die voor blijvende gedragsverandering zorgen, met een meetbaar sterkere securitycultuur als gevolg.

Door security niet langer als IT-probleem, maar als gedragsuitdaging te behandelen, bouwt De Heus aan een cultuur die resistent is tegen de dreigingen van nu. Hiermee voldoet de organisatie bovendien proactief aan de verzwaarde zorgplicht uit de nieuwe Cyberbeveiligingswet (NIS2), die sinds dit voorjaar (2026) van kracht is. De ‘Protectors’-aanpak (gebaseerd op zichtbaarheid en activatie van medewerkers) maakt security, privacy, integriteit en AI toegankelijk en bespreekbaar in de dagelijkse praktijk. Zo worden risico’s eerder herkend, incidenten gemeld en informatie zorgvuldiger behandeld.

Samenvatting:

· Continue risicodetectie via metingen en simulaties
· Gedragsgerichte bescherming van systemen en data
· Actieve detectie en melding van afwijkingen door medewerkers
· Snelle opvolging en structurele borging via processen en training
· Minder incidenten, lagere herstelkosten en minder verstoring van processen
→ De meetbare verbeteringen tonen aan dat deze aanpak leidt tot meer bewustzijn en een weerbare, toekomstbestendige securitycultuur waarin veiliger gedrag vanzelfsprekend is.

De dagelijkse risico’s op het gebied van informatieveiligheid worden in de basis inzichtelijk gemaakt door een datagedreven aanpak. De cultuurscan als startpunt van de interventies levert inzicht op in gedrag, kwetsbaarheden en weerbaarheid van medewerkers. De presentatie van die inzichten zorgt vervolgens voor draagvlak op boardlevel, waarbij op C-level een video wordt gemaakt ter markering van de start van het programma. Die sociale norm heeft een positieve invloed op deelname.

Bescherming van kritische applicaties en data gebeurt indirect maar effectief door:

· het verhogen van bewustzijn rondom veilig gedrag
· het trainen van medewerkers in het herkennen van dreigingen
· het toepassen van beleid en best practices in dagelijks gedrag

Een cultuurverandering – een omslag waarin informatie veilig werken een organisch onderdeel wordt van de organisatiecultuur in plaats van opgelegd vanuit compliance – zorgt ervoor dat er bewuster veilig met informatie omgegaan wordt, dat phishing en social engineering beter herkend worden, en dat incidenten vaker worden gemeld. De Heus bevestigt de duidelijke signalen dat de aanpak werkt. Phishing-simulaties laten verbetering zien: medewerkers klikken minder en melden vaker verdachte e-mails. “We zien dat mensen liever te veel dan te weinig melden – en dat is precies wat je wil”, zegt Michel Teuwen, Group Security Manager (CISO) bij De Heus; “een berichtje terwijl er net niéts aan de hand is, in plaats van het omgekeerde: geen reactie wanneer er juist wèl op een foute link is geklikt.”

Aan de IT- en organisatiekant is er een combinatie van security teams en programmamanagement, duidelijke monitoring via dashboards en snelle opvolging van incidenten en technische issues. De Heus ontwikkelde met de API van Awareways een dashboard om de voortgang per business unit te monitoren en gericht bij te sturen, inclusief specifieke acties op basis van risicoprofiel van de doelgroep of business units en micro-learnings over nieuwe onderwerpen. Daarnaast wordt gewerkt aan integratie met het nieuwe HR-systeem, waarmee trainingen structureel kunnen worden opgenomen in het onboarding- en leertraject. Onboarding en trainingen worden structureel geïntegreerd in HR-processen, en er is doorlopend herhaling – belangrijk voor borging – van kennis en de toepassing daarvan, waardoor veilig gedrag een standaard onderdeel wordt van werken.

PLAN (Cultuurscan/nulmeting, strategie)
DO (training, simulaties, communicatiecampagnes)
CHECK (bijsturen op basis van data en meetbare voortgang)
ACT (programma verbeteren, nieuwe training, 1-meting)

Versterken van gedrag binnen (ie)de(re) organisatie is de kern van de cyber resilience-strategie. Door medewerkers bewuster en alerter te maken, neemt het aantal incidenten af en wordt de kans op succesvolle phishing-aanvallen en menselijke fouten kleiner. Uitval of vertraging van productie is funest, dus het gaat bij externe aanvallen niet alleen om de foutjes, maar ook om de gevolgen. Het gemiddelde rendement op investeringen in awareness training is 276 procent (bron: Forrester).

Hogere compliance is een tweede aantoonbaar voordeel vanuit bijvoorbeeld de Cyberbeveiligingswet (NIS2) en strengere wetgeving, omdat beleid niet alleen bestaat op papier, maar ook daadwerkelijk gedragen wordt door de organisatiecultuur. De financiële impact is evident: minder beveiligingsincidenten, lagere kosten voor herstel en minder verstoringen van bedrijfsprocessen. Bovendien worden (risico’s op) boetes en andere compliance-gerelateerde sancties beperkt. Ook heeft de strategie een duidelijke meerwaarde op het gebied van reputatie – informatieveilig werken wordt ook maatschappelijk steeds meer gewaardeerd en soms zelfs geëist – en het voorkomen van reputatieschade. Medewerkers gaan zorgvuldiger om met data, zijn beter voorbereid op de dreigingen van de toekomst, incidenten worden sneller herkend en gemeld, en security wordt steeds meer een vanzelfsprekend onderdeel van de organisatiecultuur. De impact wordt concreet met behulp van dashboards, participatiecijfers en gedragsmetingen, waardoor zowel effectiviteit als return on investment aantoonbaar zijn.

De aanpak is vernieuwend omdat de focus niet op de techniek ligt, maar op de menskant. Niet met complexe IT-oplossingen, maar met menselijk gedrag wordt het verschil gemaakt. Die inzet volgt uit specialisatie in psychologie, didactiek en communicatie. In plaats van (alleen) systemen te versterken, wordt er gewerkt aan bewustwording en gedragsverandering bij medewerkers. Security wordt bovendien zichtbaar en zelfs tastbaar gemaakt door creatieve concepten zoals het Protector-narratief en het kledinglabel dat is ontstaan waarmee de thema’s ook letterlijk worden uitgedragen, waardoor het onderwerp een zichtbare identiteit krijgt binnen de organisatie). Dat narratief past goed bij De Heus, zo bleek uit de Cultuurscan. De ‘Protector’ sluit aan op waarden die medewerkers hebben: men is trots om voor het bedrijf te werken en houdt het graag veilig. De Protector beschermt De Heus, waarbij het narratief door middel van de campagne en de competitie inspeelt op die waarden. Dat wordt vervolgens versterkt door een continu, cyclisch model van meten, trainen, communiceren en herhalen.

Wat onze aanpak daarnaast onderscheidt, is de sterke focus op maatwerk in de vorm van personalized learning zoals we dat gerealiseerd hebben in het Wave leerplatform (awareways.com/wave). Er wordt rekening gehouden met verschillen per doelgroep en per land, bijvoorbeeld door gebruik van lokale talen en context, maar ook in diepere lagen: de content sluit aan bij het individu en de context waarin hij/zij opereert. Het raakt geïntegreerd in de dagelijkse werkprocessen, zodat het geen op zichzelf staande activiteit is maar onderdeel wordt van alledag.

Door data-analyse te combineren met gerichte gedragsinterventies ontstaat een aanpak die zowel onderbouwd als praktisch effectief is. Daarmee is het geen op zichzelf staand product, maar een breed gedragen strategisch veranderprogramma. De nu afgeronde De Heus Protector-campagne is onderdeel van het bredere security awareness programma dat De Heus samen met Awareways heeft uitgerold. “In de voorbije maanden namen al onze internationale business units deel aan een intensieve challenge met microlearnings en simulaties. Het was een intensief traject”, zegt Teuwen, “met meerdere rondes – en mét resultaat.”

Geïnspireerd door de Awareways RANSOMWEAR campagne is De Heus zelf ook aan de slag gegaan; de winnende business unit van de Protector Challenge – het team in Myanmar – werd beloond met exclusieve De Heus Protector-shirts. Een ludieke prijs, maar met een serieuze boodschap: security en privacy leven pas écht als je ze zichtbaar maakt. “De shirts hebben we in overleg met Awareways ontwikkeld – ik vond jullie RANSOMWEAR campagne heel goed bedacht!” De kledingstukken zijn een memorabele manier om het best presterende team te belonen, maar het fysieke ‘uitdragen’ van de overwinning helpt zijn security team ook om het onderwerp in de spotlight te houden.

“Voor een grotere doelgroep binnen de organisatie is het een heel originele en unieke manier om security awareness op de agenda te houden. Door security thema's uit te dragen worden ze bespreekbaar op de werkvloer. Aandacht is de eerste stap naar bewust gedrag.”

Social impact
De prijs voor Myanmar had tot slot nog een extra dimensie: naast de shirts stelde De Heus in het kader van het Standing Strong Initiative extra budget beschikbaar voor de gemeenschap die werd getroffen door de aardbeving in 2025. “Door het welzijn van zijn mensen voorop te stellen, heeft De Heus Myanmar bewezen dat de “Protector Challenge” meer is dan alleen gegevensbeveiliging, maar ook gaat over elkaar beschermen”. Een gebaar dat onderstreept waar de campagne uiteindelijk om draait: mensen. “Techniek helpt enorm, maar die kan falen. De combi met je mensen is cruciaal als verdedigingslinie. Als je erin slaagt om security en privacy onderdeel te maken van je bedrijfscultuur, dan wordt iedereen een Protector. En dat is uiteindelijk de grootste winst.”

In onze aanpak staat samenwerking centraal. Digitale autonomie wordt versterkt doordat organisaties zelf inzicht krijgen in hun risico’s, bijvoorbeeld via dashboards en metingen die continu laten zien waar ze staan. Hierdoor houden ze regie over hun eigen securitycultuur en de manier waarop die zich ontwikkelt – waarbij persoonlijke, toegankelijke ervaringen en leerpaden worden opgezet die inspelen op relevante context en risico’s.

Tegelijkertijd maken ze gebruik van schaalbare en flexibel aanpasbare programma’s, zodat de aanpak meegroeit met de organisatie en veranderende dreigingen. Ook medewerkers worden gaandeweg steeds autonomer (=weerbaarder) in het herkennen van risico’s en het adequaat handelen bij dreigingen. De afhankelijkheid van (louter) technische maatregelen neemt af, terwijl kennis intern wordt geborgd via training, onboarding en integratie in HR-processen. Zo ontwikkelt de organisatie zich stap voor stap tot een zelfredzame en weerbare entiteit, waarin security niet van buitenaf wordt opgelost, maar van binnenuit wordt gedragen. Tot slot heeft De Heus met Awareways gekozen voor een Nederlandse partner, met software die in Nederland wordt gebouwd en in de EU wordt gehost.

In de 1- en latere 2-meting is vooruitgang meetbaar aangetoond. Ten opzichte van de nulmeting bij aanvang van de samenwerking liet de eerste vervolgmeting al verbetering zien. De metingen laten zien dat medewerkers de regels en risico's nu aantoonbaar beter begrijpen. Ook geven medewerkers aan dat ze incidenten beter kunnen herkennen én weten hoe ze moeten handelen. Deze vergelijking levert het bewijs dat de investering in security awareness en het uitdragen hiervan loont. De Heus heeft als internationale organisatie een meetbare stap vooruit gezet: medewerkers hebben meer kennis, vertonen veiliger gedrag en zijn gemotiveerder dan bij het startpunt. Vanuit de samenwerking met Awareways is een securitycultuur ontstaan die veel verder gaat dan losse trainingen, droge kennisoverdracht of het plaatsen van compliancevinkjes. maar zich ontwikkeld heeft tot organisatiebreed gedragen gedragsverandering.. Dat leidt aantoonbaar tot meer bewustzijn, betere naleving en actiever melden van incidenten, en eigenaarschap / digitale autonomie op de werkvloer.

Zo verschuift security van een technisch onderwerp naar de intrinsieke kracht van de organisatie: een cultuur waarin veilig gedrag de norm is, waarin de weerbaarheid centraal staat, en waar de mens uiteindelijk het verschil maakt. Op die duurzame fundering kan doorgebouwd worden met nieuwe software, nieuwe onderwerpen en nieuwe dreigingen, waarbij de CISO een compleet platform/systeem tot de beschikking heeft om de gehele organisatie steeds weer wat te leren.

http://connect.awareways.com/de-heus