Fortinet heeft zijn 2025 Security Awareness and Training Global Research Report gepubliceerd. Hierin wordt beschreven hoe AI het bedreigingslandschap verandert en waarom de cyberweerbaarheid van het personeel nog altijd te wensen overlaat.
Het 2025 Security Awareness and Training Global Research Report van Fortinet is gebaseerd op input van 1.850 senior besluitvormers op IT- en security-gebied in alle delen van de wereld, waaronder Nederland. Het rapport geeft aan dat er duidelijk sprake is van verbetering op het gebied van security awareness en laat tegelijkertijd zien op welke punten organisaties vatbaar blijven voor cyberbedreigingen.
AI vergroot de security bewustwording, maar cyberweerbaarheid blijft achter
Het gebruik van AI door cybercriminelen heeft de manier waarop werknemers en managers naar beveiliging kijken veranderd. Bijna negen op de tien organisaties geven aan dat deze ontwikkeling het bewustzijn over het belang van security awareness-training heeft vergroot. Meer bewustzijn betekent echter niet automatisch meer cyberweerbaarheid. Slechts ongeveer 40% van de senior besluitvormers vindt dat werknemers voldoende voorbereid zijn om AI-gebaseerde cyberdreigingen te herkennen, te vermijden en te melden.
Om dit probleem aan te pakken, trainen veel organisaties hun personeel in het veilig gebruik van generatieve AI-tools (GenAI). De helft (50%) geeft werknemers training over het juiste gebruik van GenAI-tools en 51% heeft tools om het delen van gevoelige informatie met GenAI-tools te controleren/blokkeren. Daarnaast beperken ze de uitwisseling van gevoelige data en voeren ze formeel beleid in voor de beveiliging van AI-toepassingen. Bijna alle organisaties hebben inmiddels een beveiligingsbeleid voor AI en Large Language Models (LLM’s) ontwikkeld of zijn hiermee bezig. Toch bestaat er nog steeds een kloof tussen beleid en de daadwerkelijke uitvoering.
Externe dreigingen blijven belangrijk, maar insiderrisico’s groeien
Externe cyberdreigingen, eerdere datalekken en beveiligingsincidenten binnen de sector blijven de belangrijkste redenen voor organisaties om te investeren in security awareness-training. Meer dan 40% van de respondenten noemt dit als belangrijkste motivatie. Tegelijkertijd groeit de aandacht voor interne risico’s. Ruim een kwart van de organisaties ziet insiderrisico’s inmiddels als reden om trainingen te organiseren. Dit is een duidelijke stijging ten opzichte van vorig jaar. Op de vraag “wilt u strengere cyberbeveiligingsbeleidsregels toepassen op gebruikers die risicovol gedrag vertonen, onjuist omgaan met gevoelige gegevens of slecht presteren in phishing-simulatiecampagnes”, zegt 91% van de ondervraagden dan ook volmondig ja.
Door de toename van insiderrisico’s veranderen ook de trainingsprioriteiten. Databeveiliging en privacy blijven belangrijke thema’s, maar training over AI-tools en AI-dreigingen krijgt steeds meer aandacht. Dit laat zien dat organisaties steeds beter de relatie begrijpen tussen cyberrisico’s en de kennis van werknemers. Training wordt daardoor minder gezien als een verplichte compliance-activiteit en meer als een middel om risico’s daadwerkelijk te verminderen.
Security awareness-training vermindert beveiligingsincidenten
Een belangrijke conclusie uit het rapport is dat security awareness-training daadwerkelijk effect heeft. Ongeveer 67% van de organisaties meldt een gemiddelde tot sterke afname van indringers, beveiligingsincidenten en datalekken nadat zij trainingen hebben ingevoerd.
Ook de manier waarop organisaties succes meten wordt professioneler. De meest gebruikte indicatoren zijn:
- een afname van beveiligingsincidenten
- feedback van werknemers
- resultaten van security audits
Veel organisaties combineren fysieke en online trainingen met simulaties, evaluaties en voortdurende herhaling. In plaats van eenmalige trainingen kiezen ze steeds vaker voor doorlopende programma’s die gericht zijn op gedragsverandering en het verminderen van cyberrisico’s.
Focus op afronden en herhaling van trainingen
Ondanks verbeteringen in training en meetmethoden hebben veel organisaties nog moeite met de uitvoering. Slechts een klein deel van de werknemers rondt de trainingen volledig af. Daarnaast geeft bijna 70% van de managers aan dat het bewustzijn onder werknemers nog steeds onvoldoende is.
Dit verklaart gedeeltelijk de kloof tussen investeringen en resultaten. Wanneer trainingen niet volledig worden afgerond of niet regelmatig worden herhaald, verliezen ze hun effect. Zeker omdat cyberdreigingen continu veranderen.
Volgens het rapport proberen organisaties dit te verbeteren door:
- kortere en frequentere trainingen
- duidelijke verantwoordelijkheden voor deelname
- training die beter aansluit op actuele cyberdreigingen
- duidelijke steun vanuit het management
Daarnaast wordt microtraining, oftewel korte, regelmatige leermomenten met actuele cyberuitdagingen, steeds belangrijker om snel te kunnen inspelen op nieuwe AI-ontwikkelingen.
Security awareness wordt steeds meer onderdeel van de organisatiecultuur
Steeds meer besluitvormers zien security awareness tegenwoordig als een gezamenlijke verantwoordelijkheid van alle medewerkers, en niet alleen van de IT- of securityafdeling. Veel organisaties staan daarom open voor beleid dat risicovol gedrag actief aanpakt, vooral wanneer dit gecombineerd wordt met training die de achterliggende redenen duidelijk maakt.
Dit is een belangrijke ontwikkeling. Effectieve security awareness-training draait niet alleen om het behalen van een test of het volgen van een cursus. Het doel is om werknemers te ondersteunen bij dagelijkse beslissingen, veilig gedrag te stimuleren en cyberrisico’s op de werkvloer structureel te verminderen.
Het volledige rapport kan je downloaden via: 2025 Security Awareness and Training Global Research Report
Foto Fortinet
