BIO 9.3.1 ISO A.6.3

Security Culture Development: Strategische Ontwikkeling Van Beveiligingsbewustzijn

📅 2025-01-27
⏱️ 25 minuten lezen
🔴 Must-Have

💼 Management Samenvatting

Security culture development is geen eenmalige training of campagne, maar een strategische, doorlopende transformatie waarbij beveiligingsbewustzijn wordt ingebed in de dagelijkse werkzaamheden, besluitvorming en normen van een organisatie. In plaats van alleen te focussen op kennisoverdracht via trainingen en e-learningmodules, richt security culture development zich op het creëren van een omgeving waarin medewerkers van nature veilige keuzes maken, elkaar aanspreken op onveilig gedrag en beveiliging zien als een gezamenlijke verantwoordelijkheid in plaats van alleen een IT-probleem.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
160u (tech: 40u)
Van toepassing op:
M365
Microsoft 365 Defender
Microsoft Teams
SharePoint
Microsoft Purview

Voor Nederlandse overheidsorganisaties is het ontwikkelen van een sterke security culture essentieel omdat technische beveiligingsmaatregelen alleen onvoldoende bescherming bieden. Meer dan 90% van alle succesvolle cyberaanvallen begint met menselijke fouten, zoals het klikken op phishing-links, het delen van gevoelige informatie of het gebruik van zwakke wachtwoorden. Zelfs met de beste technische controles, firewalls en detectiesystemen blijft de mens de zwakste schakel in de beveiligingsketen wanneer er geen sterke security culture bestaat. Traditionele awareness-programma's die alleen bestaan uit jaarlijkse trainingen en verplichte e-learningmodules hebben beperkt effect omdat zij kennis overdragen maar weinig bijdragen aan gedragsverandering. Medewerkers voltooien de training om aan compliance te voldoen, maar passen de geleerde principes niet structureel toe in hun dagelijkse werk. Een volwassen security culture daarentegen zorgt ervoor dat beveiligingsbewustzijn onderdeel wordt van de organisatie-DNA: medewerkers denken automatisch na over beveiligingsrisico's bij het nemen van beslissingen, spreken elkaar aan op onveilig gedrag, melden verdachte activiteiten proactief en zien beveiliging niet als belemmering maar als enabler voor veilig werken. Voor Nederlandse overheidsorganisaties is security culture development bovendien cruciaal voor naleving van BIO-, NIS2- en AVG-vereisten, die allemaal expliciet vragen om structurele bewustmaking, training en gedragsverandering bij medewerkers. Binnen Microsoft 365 kunnen verschillende tools en platforms worden gebruikt om security culture development te ondersteunen, zoals Microsoft Teams voor communicatie en samenwerking rond beveiliging, SharePoint voor het delen van kennis en best practices, Microsoft Purview voor compliance-monitoring en Microsoft Defender voor het meten van security-incidenten en gedragspatronen.

PowerShell Modules Vereist
Primary API: Microsoft 365 Defender Portal, Microsoft Purview Compliance Portal, Microsoft Teams, SharePoint
Connection: Microsoft Graph PowerShell, Microsoft Purview PowerShell
Required Modules: Microsoft.Graph.Identity.SignIns, Microsoft.Graph.Teams

Implementatie

Security culture development in Microsoft 365 is een gestructureerde, doorlopende aanpak waarin organisaties werken aan het transformeren van beveiligingsbewustzijn van een compliance-activiteit naar een wezenlijk onderdeel van de organisatiecultuur. Het begint bij het vaststellen van de huidige staat van de security culture door middel van assessments, enquêtes en metingen van gedragsindicatoren zoals phishing-klikpercentages, meldingsfrequenties van security-incidenten en deelname aan trainingen. Op basis van deze baseline wordt een visie geformuleerd voor de gewenste security culture, waarbij specifieke gedragsverwachtingen worden geformuleerd en gekoppeld aan de missie en waarden van de organisatie. Vervolgens wordt een meerjarenstrategie ontwikkeld die verschillende interventies omvat: communicatiecampagnes die beveiliging positief framen in plaats van alleen te waarschuwen voor risico's, leiderschapsprogramma's waarin bestuurders en managers het goede voorbeeld geven en beveiliging prioriteren in besluitvorming, community-building activiteiten zoals security champions-netwerken waarin enthousiaste medewerkers hun collega's inspireren, en gamification-elementen die leren en gedragsverandering aantrekkelijk maken. Binnen Microsoft 365 kunnen deze elementen worden ondersteund door bijvoorbeeld Teams-kanalen voor security-discussies en kennisuitwisseling, SharePoint-sites voor het delen van best practices en success stories, Microsoft Viva Learning voor het aanbieden van continue leerinhoud, en Microsoft Defender-dashboards voor het visualiseren van security-metrics en het tonen van vooruitgang. Het ontwikkelen van een security culture is geen quick fix maar een langetermijnproces dat jaren kan duren en regelmatige evaluatie en bijsturing vereist. Successvolle organisaties meten voortdurend de effectiviteit van hun interventies, bijvoorbeeld door middel van periodieke culture assessments, tracking van security-incidenten en feedback uit medewerkersenquêtes, en passen hun aanpak aan op basis van de resultaten.

Baseline en assessment: de huidige staat van security culture

Voordat een organisatie kan beginnen met het ontwikkelen van een sterke security culture, moet eerst duidelijk zijn wat de huidige staat is. Een grondige assessment van de bestaande security culture is essentieel om te begrijpen waar de organisatie nu staat, welke sterke punten er al zijn en waar de grootste kansen voor verbetering liggen. Deze assessment moet zowel kwantitatieve als kwalitatieve elementen bevatten. Kwantitatieve metrics kunnen worden verzameld uit Microsoft 365 Defender-data, zoals het aantal phishing-klikken per 1000 medewerkers, het percentage medewerkers dat verdachte berichten meldt, het aantal security-incidenten veroorzaakt door menselijke fouten, de deelnamepercentages aan security-trainingen en de tijd die verstrijkt tussen het ontdekken en melden van een incident. Deze data geeft objectieve inzichten in het huidige gedrag en risiconiveau. Kwalitatieve inzichten worden verzameld via medewerkersenquêtes, focusgroepen en interviews met verschillende lagen van de organisatie, van uitvoerend personeel tot bestuurders. In deze gesprekken wordt gevraagd naar de perceptie van beveiliging binnen de organisatie: zien medewerkers beveiliging als belangrijk, begrijpen zij waarom bepaalde maatregelen nodig zijn, voelen zij zich bekwaam om veilig te werken, durven zij vragen te stellen en incidenten te melden zonder angst voor negatieve gevolgen, en zien zij leidinggevenden het goede voorbeeld geven? Deze combinatie van kwantitatieve en kwalitatieve data vormt een compleet beeld van de huidige security culture.

Na het verzamelen van data moet deze worden geanalyseerd en vertaald naar concrete inzichten en prioriteiten. Organisaties kunnen verschillende frameworks gebruiken om de security culture te categoriseren, zoals het Security Culture Framework dat vijf dimensies onderscheidt: attitudes (hoe denken mensen over beveiliging), gedrag (wat doen mensen daadwerkelijk), cognitie (wat weten mensen), communicatie (hoe praten mensen over beveiliging) en naleving (in hoeverre volgen mensen procedures). Voor elke dimensie kan een score worden bepaald, waardoor duidelijk wordt welke aspecten sterker ontwikkeld zijn en welke meer aandacht nodig hebben. De resultaten van de assessment moeten worden gedeeld met het management en relevante stakeholders, bijvoorbeeld in een visueel dashboard of presentatie die duidelijk maakt wat de huidige staat is, wat de gewenste staat is en welke stappen nodig zijn om daar te komen. Binnen Microsoft 365 kunnen deze inzichten worden vastgelegd in SharePoint-sites of Power BI-dashboards die periodiek worden bijgewerkt, zodat de voortgang van de security culture development zichtbaar blijft. Het is belangrijk om deze assessment niet als een eenmalige activiteit te zien, maar als onderdeel van een doorlopende meting. Door periodiek, bijvoorbeeld jaarlijks, de assessment te herhalen, kunnen organisaties trends identificeren, meten of interventies effect hebben en bijsturen waar nodig.

Een essentiële component van de culture assessment is het identificeren van verschillende subculturen binnen de organisatie. Verschillende afdelingen, teams of locaties kunnen verschillende niveaus van security awareness hebben, bijvoorbeeld doordat bepaalde teams meer blootgesteld zijn aan security-risico's of doordat leidinggevenden verschillende niveaus van prioriteit geven aan beveiliging. Door deze subculturen te identificeren, kunnen gerichte interventies worden ontwikkeld die aansluiten bij de specifieke behoeften en context van elke groep. Binnen Microsoft 365 kunnen deze verschillen zichtbaar worden gemaakt door data te segmenteren per afdeling, locatie of team, bijvoorbeeld in Microsoft Defender-rapportages of via Power BI-dashboards. Dit maakt het mogelijk om teams met een sterkere security culture te identificeren en als voorbeeld te gebruiken voor andere teams, terwijl teams met een zwakkere security culture gericht kunnen worden ondersteund met aanvullende trainingen, communicatie of andere interventies. Door de assessment op deze manier uit te voeren, ontstaat niet alleen inzicht in de huidige staat, maar ook een concrete basis voor het ontwikkelen van een op maat gemaakte strategie voor security culture development die aansluit bij de specifieke behoeften en uitdagingen van de organisatie.

Strategieontwikkeling: van visie naar concrete interventies

Op basis van de culture assessment wordt een strategie ontwikkeld die beschrijft hoe de organisatie van de huidige staat naar de gewenste security culture wil komen. Deze strategie moet beginnen met een duidelijke visie en ambitie: wat betekent een sterke security culture concreet voor deze organisatie, welke gedragingen verwachten wij van medewerkers en hoe past dit bij de missie en waarden van de organisatie? Deze visie moet worden geformuleerd in positieve termen: in plaats van alleen te zeggen wat niet mag, beschrijft de visie wat wel gewenst is. Bijvoorbeeld: medewerkers zien beveiliging als onderdeel van hun professionaliteit en verantwoordelijkheid, vragen actief om hulp wanneer zij twijfelen over de beveiliging van hun handelingen, spreken elkaar respectvol aan op onveilig gedrag en vieren successen wanneer security-incidenten worden voorkomen. Deze visie moet worden gecommuniceerd en gedragen worden door het management, omdat zonder bestuurlijke steun en voorbeeldgedrag security culture development niet kan slagen.

Vervolgens wordt de strategie vertaald naar concrete doelen en successcriteria die meetbaar zijn. Bijvoorbeeld: binnen twee jaar moet het percentage medewerkers dat phishing-incidenten meldt stijgen van 20% naar minimaal 60%, het aantal security-incidenten veroorzaakt door menselijke fouten moet dalen met 40%, en 90% van de medewerkers moet aangeven dat zij zich bekwaam voelen om veilig te werken. Deze doelen moeten SMART zijn (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden) en gekoppeld worden aan het bredere informatiebeveiligingsbeleid en compliance-vereisten zoals BIO en NIS2. Vervolgens wordt een portfolio van interventies ontwikkeld die samen bijdragen aan het bereiken van deze doelen. Deze interventies kunnen variëren van communicatiecampagnes en trainingen tot leiderschapsprogramma's, community-building activiteiten en technische ondersteuning via Microsoft 365-tools. Het is belangrijk dat deze interventies elkaar versterken en op verschillende manieren bijdragen aan gedragsverandering: kennisoverdracht via trainingen, motivatie via communicatie en erkenning, vaardigheden via praktijkoefeningen, en ondersteuning via tools en processen.

De strategie moet ook beschrijven wie verantwoordelijk is voor de uitvoering en hoe de voortgang wordt gemonitord en bijgestuurd. Meestal is de CISO of een security awareness-coördinator eigenaar van de strategie, maar de uitvoering vereist betrokkenheid van verschillende afdelingen: HR voor training en gedragsverandering, communicatie voor campagnes en boodschappen, leidinggevenden voor voorbeeldgedrag en aanspreken, en IT voor technische ondersteuning en monitoring. Binnen Microsoft 365 kunnen deze rollen en verantwoordelijkheden worden vastgelegd in SharePoint-sites, Teams-kanalen kunnen worden gebruikt voor coördinatie en samenwerking tussen verschillende betrokkenen, en Microsoft Planner of Project kan worden gebruikt voor het plannen en volgen van activiteiten. De strategie moet ook beschrijven hoe resultaten worden gemeten en geëvalueerd, bijvoorbeeld door middel van periodieke metingen van key performance indicators, feedback uit medewerkersenquêtes en analyses van security-incidenten. Op basis van deze evaluaties moet de strategie regelmatig worden bijgesteld: wat werkt goed en moet worden uitgebreid, wat werkt niet en moet worden aangepast of stopgezet, en welke nieuwe interventies kunnen worden toegevoegd? Door de strategie op deze manier te ontwikkelen en te beheren, ontstaat een dynamisch en lerend programma dat continu wordt verbeterd en aansluit bij de behoeften en context van de organisatie.

Leiderschap en voorbeeldgedrag: de rol van bestuurders en managers

Een van de meest kritieke succesfactoren voor security culture development is de betrokkenheid en het voorbeeldgedrag van leidinggevenden op alle niveaus, van bestuurders tot teammanagers. Medewerkers kijken naar hun leidinggevenden voor signalen over wat belangrijk is en welk gedrag wordt gewaardeerd. Wanneer leidinggevenden beveiliging niet prioriteren, trainingen overslaan of zelf onveilig gedrag vertonen, krijgen medewerkers het signaal dat beveiliging niet echt belangrijk is, ondanks alle campagnes en trainingen die worden georganiseerd. Omgekeerd kunnen leidinggevenden die consequent het goede voorbeeld geven, beveiliging prioriteren in besluitvorming en open zijn over security-incidenten en leerervaringen, een krachtige positieve invloed uitoefenen op de security culture. Daarom moet een security culture development-programma expliciet aandacht besteden aan leiderschapsontwikkeling en voorbeeldgedrag.

Voor bestuurders en senior management betekent dit dat zij moeten begrijpen wat security culture development inhoudt en waarom het belangrijk is voor de organisatie. Zij moeten worden betrokken bij het formuleren van de visie en strategie, zodat zij deze kunnen uitdragen en verdedigen. Bestuurders moeten ook bereid zijn om prioriteit te geven aan beveiliging in strategische beslissingen, bijvoorbeeld door budget vrij te maken voor security culture development, door beveiliging te bespreken in bestuursvergaderingen en door security-metrics op te nemen in managementrapportages. Binnen Microsoft 365 kunnen bestuurders worden geïnformeerd via executive dashboards in Power BI die key security metrics tonen, of via regelmatige presentaties en updates over de voortgang van security culture development. Bestuurders kunnen ook zichtbaar betrokken zijn door bijvoorbeeld deel te nemen aan security-awareness evenementen, door success stories te delen in organisatiebrede communicatie of door zelf deel te nemen aan trainingen en deze publiekelijk te waarderen.

Voor managers en leidinggevenden op operationeel niveau is voorbeeldgedrag nog directer zichtbaar voor medewerkers. Zij moeten niet alleen zelf de security-procedures volgen, maar ook actief beveiliging bespreken in teamoverleggen, medewerkers aanspreken op onveilig gedrag op een respectvolle en constructieve manier, en medewerkers aanmoedigen om vragen te stellen en incidenten te melden zonder angst voor negatieve gevolgen. Managers moeten ook tijd en ruimte creëren voor medewerkers om deel te nemen aan trainingen en awareness-activiteiten, bijvoorbeeld door trainingen te plannen tijdens werktijd in plaats van te verwachten dat medewerkers dit buiten werktijd doen. Binnen Microsoft 365 kunnen managers worden ondersteund met tools en templates, bijvoorbeeld Teams-sjablonen voor security-overleggen, SharePoint-sites met informatie en best practices voor leidinggevenden, of trainingen specifiek gericht op hoe leidinggevenden security culture kunnen bevorderen. Het is ook waardevol om success stories te delen van teams of afdelingen waar leidinggevenden een sterke security culture hebben gecreëerd, zodat andere leidinggevenden hiervan kunnen leren en geïnspireerd kunnen worden. Door leiderschap en voorbeeldgedrag op deze manier te ondersteunen en te waarderen, wordt security culture development geen activiteit die alleen door het security-team wordt gedragen, maar een gedeelde verantwoordelijkheid die door de hele organisatie wordt gevoeld en uitgevoerd.

Implementatie in Microsoft 365: tools en platforms voor culture development

Gebruik PowerShell-script security-culture-development.ps1 (functie Invoke-CultureAssessment) – Ondersteunt de assessment van security culture door data uit Microsoft 365 Defender en andere bronnen te analyseren en een samenvattende culture score te genereren..

Microsoft 365 biedt verschillende tools en platforms die kunnen worden gebruikt om security culture development te ondersteunen en te faciliteren. Microsoft Teams vormt een centraal platform voor communicatie en samenwerking rond beveiliging. Organisaties kunnen dedicated Teams-kanalen opzetten voor security-discussies, bijvoorbeeld een algemeen security-kanaal waar medewerkers vragen kunnen stellen, best practices kunnen delen en success stories kunnen vieren. Deze kanalen kunnen worden gemodereerd door security champions of het security-team, die vragen beantwoorden en discussies faciliteren. Teams kan ook worden gebruikt voor het organiseren van virtuele security-awareness sessies, webinars of Q&A-sessies waarbij medewerkers direct kunnen deelnemen en vragen kunnen stellen. Binnen Teams kunnen ook polls en quizzes worden gebruikt om medewerkers actief te betrekken bij security-onderwerpen en om kennis te testen op een interactieve manier. Daarnaast kunnen Teams-kanalen worden gekoppeld aan Microsoft Viva Connections, een gepersonaliseerde startpagina waar medewerkers relevante security-informatie, updates en links naar trainingen kunnen vinden.

SharePoint vormt een waardevol platform voor het delen van kennis, best practices en documentatie rond security culture development. Organisaties kunnen een centrale SharePoint-site opzetten die als security knowledge hub fungeert, waar medewerkers informatie kunnen vinden over security-procedures, veelgestelde vragen, best practices, success stories en links naar trainingen en andere resources. Deze site kan worden gestructureerd met verschillende secties voor verschillende doelgroepen, bijvoorbeeld een sectie voor medewerkers met praktische tips en tools, een sectie voor leidinggevenden met informatie over hoe zij security culture kunnen bevorderen, en een sectie voor security champions met extra materiaal en trainingen. SharePoint kan ook worden gebruikt voor het hosten van security-awareness campagnes, bijvoorbeeld door interactieve pagina's te maken met video's, infographics en links naar trainingen. Via SharePoint kunnen ook formulieren worden gemaakt voor het melden van security-incidenten of het stellen van vragen, waarbij de informatie automatisch wordt doorgestuurd naar het juiste team of kanaal.

Microsoft Viva Learning kan worden gebruikt om continue leerinhoud aan te bieden over security-onderwerpen. Organisaties kunnen hun eigen trainingen en content uploaden naar Viva Learning, maar kunnen ook gebruik maken van externe content van providers zoals LinkedIn Learning, Pluralsight of andere leerplatforms. Medewerkers kunnen deze content ontdekken via hun dagelijkse workflows, bijvoorbeeld via Teams of Outlook, en kunnen leren wanneer het hen uitkomt. Viva Learning kan ook worden gebruikt om verplichte trainingen te distribueren en te volgen, bijvoorbeeld door leidinggevenden trainingen toe te wijzen aan hun teams en door compliance-rapportages te genereren over wie welke trainingen heeft voltooid. Microsoft Defender for Office 365 en Microsoft 365 Defender bieden uitgebreide data over security-incidenten en gedragspatronen die kunnen worden gebruikt om de effectiviteit van security culture development te meten. Deze data kan worden geëxporteerd en geanalyseerd in Power BI, waar dashboards kunnen worden gemaakt die trends tonen over tijd, bijvoorbeeld of het aantal phishing-klikken daalt, of het aantal meldingen stijgt, of de tijd tot detectie van incidenten afneemt. Deze dashboards kunnen worden gedeeld met management en andere stakeholders om de voortgang van security culture development te visualiseren en te communiceren. Het PowerShell-script dat bij dit artikel hoort, kan worden gebruikt om data uit verschillende Microsoft 365-bronnen te verzamelen, te analyseren en te combineren tot een samenvattende security culture score die periodiek kan worden bijgewerkt en gebruikt voor monitoring en rapportage.

Monitoring, evaluatie en continue verbetering

Effectieve monitoring en evaluatie zijn essentieel voor security culture development omdat zij inzicht geven in of de interventies werken en waar bijsturing nodig is. Monitoring moet zowel kwantitatieve metrics als kwalitatieve feedback omvatten. Kwantitatieve metrics kunnen worden verzameld uit Microsoft 365 Defender en andere systemen, zoals het aantal security-incidenten per maand, het percentage medewerkers dat phishing-incidenten meldt, de tijd tussen het ontstaan en detectie van een incident, het aantal medewerkers dat deelneemt aan trainingen, en trends in deze metrics over tijd. Deze data geeft objectieve inzichten in gedragsverandering en kan worden gebruikt om te bepalen of de doelen worden bereikt. Kwalitatieve feedback wordt verzameld via medewerkersenquêtes, focusgroepen, interviews en feedback via Teams of andere kanalen. Deze feedback helpt om te begrijpen waarom bepaalde interventies wel of niet werken, wat medewerkers nodig hebben om veiliger te werken, en hoe de communicatie en ondersteuning kunnen worden verbeterd.

Gebruik PowerShell-script security-culture-development.ps1 (functie Invoke-CultureMonitoring) – Monitort de voortgang van security culture development door periodiek metrics te verzamelen, te analyseren en te rapporteren, inclusief trends over tijd en aanbevelingen voor verbetering..

De resultaten van monitoring en evaluatie moeten regelmatig worden geanalyseerd en gedeeld met relevante stakeholders, bijvoorbeeld in periodieke rapportages of dashboards die duidelijk maken wat de huidige staat is, wat de trends zijn en welke acties nodig zijn. Deze rapportages moeten niet alleen problemen identificeren, maar ook successen vieren en best practices delen, zodat medewerkers gemotiveerd blijven en kunnen leren van wat goed werkt. Op basis van de evaluaties moeten interventies worden bijgesteld: wat werkt goed en moet worden uitgebreid, wat werkt niet en moet worden aangepast of stopgezet, en welke nieuwe interventies kunnen worden toegevoegd? Het is belangrijk om dit niet als een eenmalige activiteit te zien, maar als onderdeel van een doorlopende verbetercyclus waarin regelmatig wordt geëvalueerd, bijgestuurd en geoptimaliseerd. Binnen Microsoft 365 kunnen deze verbetercycli worden gefaciliteerd via Teams-kanalen waar feedback wordt verzameld en besproken, via SharePoint-sites waar resultaten en actieplannen worden gedeeld, en via Power BI-dashboards waar trends en metrics zichtbaar blijven. Door monitoring en evaluatie op deze manier in te richten, wordt security culture development een datagedreven, lerend proces dat continu wordt verbeterd en dat aantoonbaar bijdraagt aan de weerbaarheid van de organisatie tegen cyberdreigingen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Security Culture Development Monitoring en Assessment .DESCRIPTION Ondersteunt het monitoren, evalueren en ontwikkelen van security culture binnen Microsoft 365 door data uit verschillende bronnen te analyseren, een culture score te berekenen en aanbevelingen te genereren voor interventies. .NOTES Filename: security-culture-development.ps1 Author: Nederlandse Baseline voor Veilige Cloud Created: 2025-01-27 Last Modified: 2025-01-27 Version: 1.0 Category: awareness Related JSON: content/m365/awareness/security-culture-development.json .EXAMPLE .\security-culture-development.ps1 -CultureAssessment -InputFile '.\culture-metrics.csv' -DebugMode Voert een lokale debug-run uit met voorbeelddata voor culture assessment. .EXAMPLE .\security-culture-development.ps1 -CultureAssessment -InputFile '.\culture-metrics.csv' Analyseert de aangeleverde metrics en genereert een security culture score. .EXAMPLE .\security-culture-development.ps1 -CultureMonitoring -InputFile '.\culture-metrics.csv' -OutputReport '.\culture-report.html' Monitort de voortgang van security culture development en genereert een rapport. #> #Requires -Version 5.1 [CmdletBinding()] param( [Parameter(Mandatory = $false, HelpMessage = "Voer een culture assessment uit op basis van aangeleverde metrics")] [switch]$CultureAssessment, [Parameter(Mandatory = $false, HelpMessage = "Monitor de voortgang van security culture development")] [switch]$CultureMonitoring, [Parameter(Mandatory = $false, HelpMessage = "Genereer aanbevelingen voor culture development interventies")] [switch]$Remediation, [Parameter(Mandatory = $false, HelpMessage = "Toon welke acties zouden worden uitgevoerd zonder wijzigingen aan te brengen")] [switch]$WhatIf, [Parameter(Mandatory = $false, HelpMessage = "Pad naar CSV-bestand met culture metrics")] [string]$InputFile, [Parameter(Mandatory = $false, HelpMessage = "Pad naar uitvoerbestand voor rapportage")] [string]$OutputReport, [Parameter(Mandatory = $false, HelpMessage = "Voer een veilige lokale test uit met voorbeelddata")] [switch]$DebugMode ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' function Get-RepositoryRoot { <# .SYNOPSIS Bepaalt de rootmap van de repository op basis van de locatie van dit script. #> [CmdletBinding()] param() $root = Resolve-Path (Join-Path $PSScriptRoot "..\..\..") -ErrorAction SilentlyContinue if (-not $root) { throw "Kon de repository-root niet bepalen op basis van PSScriptRoot: $PSScriptRoot" } return $root.Path } function Read-CultureMetrics { <# .SYNOPSIS Leest security culture metrics uit een CSV-bestand. .DESCRIPTION Verwacht een CSV met minimaal de kolommen: - Department (string) - PhishingClickRate (percentage 0-100) - ReportRate (percentage 0-100) - TrainingCompletionRate (percentage 0-100) - IncidentCount (numeriek) - TimeToReport (uren, numeriek) - LeadershipScore (score 1-10) - PerceptionScore (score 1-10) #> [CmdletBinding()] param( [Parameter(Mandatory)] [string]$Path ) if (-not (Test-Path -Path $Path -PathType Leaf)) { throw "Input bestand '$Path' bestaat niet. Lever een geldig CSV-bestand aan met culture metrics." } try { $data = Import-Csv -Path $Path if (-not $data) { throw "Het CSV-bestand '$Path' bevat geen regels." } return $data } catch { throw "Kon het CSV-bestand '$Path' niet lezen: $($_.Exception.Message)" } } function Get-CultureScore { <# .SYNOPSIS Berekent een samengestelde security culture score op basis van verschillende indicatoren. .DESCRIPTION De score is gebaseerd op vijf dimensies: - Attitudes (perception, leadership) - Gedrag (phishing clicks, reporting) - Cognitie (training completion) - Communicatie (reporting rate) - Naleving (incident rate, time to report) #> [CmdletBinding()] param( [Parameter(Mandatory)] [double]$PhishingClickRate, [Parameter(Mandatory)] [double]$ReportRate, [Parameter(Mandatory)] [double]$TrainingCompletionRate, [Parameter(Mandatory)] [double]$IncidentCount, [Parameter(Mandatory)] [double]$TimeToReport, [Parameter(Mandatory)] [double]$LeadershipScore, [Parameter(Mandatory)] [double]$PerceptionScore ) # Normaliseer scores (lagere is beter voor clicks en incidents, hoger is beter voor andere) $clickScore = [Math]::Min([Math]::Max($PhishingClickRate, 0), 100) / 100 $reportScore = 1 - ([Math]::Min([Math]::Max($ReportRate, 0), 100) / 100) $trainingScore = 1 - ([Math]::Min([Math]::Max($TrainingCompletionRate, 0), 100) / 100) # Incidenten: veronderstel dat >10 incidenten per 100 gebruikers per jaar hoog risico is $incidentNorm = [Math]::Min($IncidentCount / 10.0, 1.0) # Time to report: veronderstel dat >48 uur te lang is $timeScore = [Math]::Min($TimeToReport / 48.0, 1.0) # Leadership en perception scores (1-10 schaal, normaliseer naar 0-1) $leadershipNorm = 1 - ([Math]::Min([Math]::Max($LeadershipScore, 1), 10) / 10) $perceptionNorm = 1 - ([Math]::Min([Math]::Max($PerceptionScore, 1), 10) / 10) # Weging van verschillende dimensies $behaviorScore = ($clickScore * 0.4) + ($reportScore * 0.3) + ($incidentNorm * 0.2) + ($timeScore * 0.1) $attitudeScore = ($leadershipNorm * 0.5) + ($perceptionNorm * 0.5) $cognitionScore = $trainingScore # Samengestelde score (0 = beste culture, 10 = slechtste culture) $score = ($behaviorScore * 0.40) + ($attitudeScore * 0.30) + ($cognitionScore * 0.20) + ($reportScore * 0.10) # Schaal naar 0-10 voor leesbaarheid (inversie: hogere score = betere culture) return [Math]::Round((1 - $score) * 10, 2) } function Invoke-CultureAssessment { <# .SYNOPSIS Voert een security culture assessment uit op basis van aangeleverde metrics. .OUTPUTS PSCustomObject met assessment-resultaten. #> [CmdletBinding()] param() Write-Host "" Write-Host "Security Culture Assessment" -ForegroundColor Cyan Write-Host "==========================" -ForegroundColor Cyan if ($DebugMode) { Write-Host "DebugMode ingeschakeld: er worden voorbeelddata gebruikt." -ForegroundColor Yellow $exampleData = @( [PSCustomObject]@{ Department = "IT" PhishingClickRate = 5.0 ReportRate = 75.0 TrainingCompletionRate = 95.0 IncidentCount = 2.0 TimeToReport = 4.0 LeadershipScore = 8.0 PerceptionScore = 8.5 }, [PSCustomObject]@{ Department = "Financiën" PhishingClickRate = 15.0 ReportRate = 45.0 TrainingCompletionRate = 70.0 IncidentCount = 8.0 TimeToReport = 24.0 LeadershipScore = 6.0 PerceptionScore = 6.5 } ) $results = @() foreach ($row in $exampleData) { $score = Get-CultureScore -PhishingClickRate $row.PhishingClickRate ` -ReportRate $row.ReportRate ` -TrainingCompletionRate $row.TrainingCompletionRate ` -IncidentCount $row.IncidentCount ` -TimeToReport $row.TimeToReport ` -LeadershipScore $row.LeadershipScore ` -PerceptionScore $row.PerceptionScore $classification = if ($score -ge 8) { 'Sterke culture' } elseif ($score -ge 6) { 'Matige culture' } elseif ($score -ge 4) { 'Zwakke culture' } else { 'Zeer zwakke culture' } $results += [PSCustomObject]@{ Department = $row.Department CultureScore = $score Classification = $classification PhishingClickRate = $row.PhishingClickRate ReportRate = $row.ReportRate TrainingCompletionRate = $row.TrainingCompletionRate } } Write-Host "" Write-Host "Voorbeeldassessment resultaten:" -ForegroundColor Cyan $results | Format-Table -AutoSize return $results } if (-not $InputFile) { throw "Gebruik de parameter -InputFile om een CSV met culture metrics op te geven, of gebruik -DebugMode voor een voorbeeldrun." } $metrics = Read-CultureMetrics -Path $InputFile $results = @() foreach ($row in $metrics) { $score = Get-CultureScore -PhishingClickRate ([double]$row.PhishingClickRate) ` -ReportRate ([double]$row.ReportRate) ` -TrainingCompletionRate ([double]$row.TrainingCompletionRate) ` -IncidentCount ([double]$row.IncidentCount) ` -TimeToReport ([double]$row.TimeToReport) ` -LeadershipScore ([double]$row.LeadershipScore) ` -PerceptionScore ([double]$row.PerceptionScore) $classification = if ($score -ge 8) { 'Sterke culture' } elseif ($score -ge 6) { 'Matige culture' } elseif ($score -ge 4) { 'Zwakke culture' } else { 'Zeer zwakke culture' } $results += [PSCustomObject]@{ Department = $row.Department CultureScore = $score Classification = $classification PhishingClickRate = [double]$row.PhishingClickRate ReportRate = [double]$row.ReportRate TrainingCompletionRate = [double]$row.TrainingCompletionRate IncidentCount = [double]$row.IncidentCount TimeToReport = [double]$row.TimeToReport LeadershipScore = [double]$row.LeadershipScore PerceptionScore = [double]$row.PerceptionScore } } Write-Host "" Write-Host "Security Culture Assessment Resultaten:" -ForegroundColor Cyan $results | Sort-Object CultureScore -Descending | Format-Table -AutoSize $avgScore = ($results.CultureScore | Measure-Object -Average).Average Write-Host "" Write-Host "Gemiddelde Security Culture Score (0-10): $([Math]::Round($avgScore, 2))" -ForegroundColor Cyan if ($avgScore -lt 4) { Write-Host "[KRITIEK] Organisatiebrede security culture is zeer zwak. Dringend actie vereist." -ForegroundColor Red exit 1 } elseif ($avgScore -lt 6) { Write-Host "[WAARSCHUWING] Security culture heeft significante verbetering nodig. Versnel interventies." -ForegroundColor Yellow exit 1 } elseif ($avgScore -lt 8) { Write-Host "[INFO] Security culture is matig. Blijf werken aan verbetering met gerichte interventies." -ForegroundColor Yellow exit 0 } else { Write-Host "[OK] Security culture is sterk. Blijf deze cultuur borgen en monitor periodiek." -ForegroundColor Green exit 0 } } function Invoke-CultureMonitoring { <# .SYNOPSIS Monitort de voortgang van security culture development over tijd. .DESCRIPTION Vergelijkt metrics over tijd, identificeert trends en genereert rapportages. #> [CmdletBinding()] param() Write-Host "" Write-Host "Security Culture Monitoring" -ForegroundColor Cyan Write-Host "=========================" -ForegroundColor Cyan if (-not $InputFile) { throw "Gebruik de parameter -InputFile om een CSV met culture metrics op te geven." } $metrics = Read-CultureMetrics -Path $InputFile $results = @() foreach ($row in $metrics) { $score = Get-CultureScore -PhishingClickRate ([double]$row.PhishingClickRate) ` -ReportRate ([double]$row.ReportRate) ` -TrainingCompletionRate ([double]$row.TrainingCompletionRate) ` -IncidentCount ([double]$row.IncidentCount) ` -TimeToReport ([double]$row.TimeToReport) ` -LeadershipScore ([double]$row.LeadershipScore) ` -PerceptionScore ([double]$row.PerceptionScore) $results += [PSCustomObject]@{ Department = $row.Department CultureScore = $score PhishingClickRate = [double]$row.PhishingClickRate ReportRate = [double]$row.ReportRate TrainingCompletionRate = [double]$row.TrainingCompletionRate IncidentCount = [double]$row.IncidentCount } } Write-Host "" Write-Host "Monitoring Resultaten:" -ForegroundColor Cyan $results | Format-Table -AutoSize $avgScore = ($results.CultureScore | Measure-Object -Average).Average Write-Host "" Write-Host "Gemiddelde Security Culture Score: $([Math]::Round($avgScore, 2))" -ForegroundColor Cyan if ($OutputReport) { $reportContent = @" <h1>Security Culture Development Monitoring Rapport</h1> <p>Gegenereerd op: $(Get-Date -Format "yyyy-MM-dd HH:mm:ss")</p> <h2>Samenvatting</h2> <p>Gemiddelde Security Culture Score: $([Math]::Round($avgScore, 2))</p> <h2>Resultaten per Afdeling</h2> <table border="1"> <tr><th>Afdeling</th><th>Culture Score</th><th>Phishing Click Rate</th><th>Report Rate</th><th>Training Completion</th></tr> "@ foreach ($result in $results) { $reportContent += "<tr><td>$($result.Department)</td><td>$($result.CultureScore)</td><td>$($result.PhishingClickRate)%</td><td>$($result.ReportRate)%</td><td>$($result.TrainingCompletionRate)%</td></tr>`n" } $reportContent += "</table>" $reportContent | Out-File -FilePath $OutputReport -Encoding UTF8 -Force Write-Host "Rapport gegenereerd: $OutputReport" -ForegroundColor Green } } function Invoke-Remediation { <# .SYNOPSIS Genereert aanbevelingen voor security culture development interventies. .DESCRIPTION Analyseert culture metrics en genereert concrete aanbevelingen voor interventies. #> [CmdletBinding()] param() Write-Host "" Write-Host "Security Culture Development - Remediatie" -ForegroundColor Cyan Write-Host "==========================================" -ForegroundColor Cyan if (-not $InputFile) { throw "Gebruik de parameter -InputFile om een CSV met culture metrics op te geven." } if ($WhatIf) { Write-Host "[WhatIf] Er worden geen wijzigingen doorgevoerd. Alleen aanbevelingen worden berekend." -ForegroundColor Yellow } $metrics = Read-CultureMetrics -Path $InputFile $recommendations = @() foreach ($row in $metrics) { $score = Get-CultureScore -PhishingClickRate ([double]$row.PhishingClickRate) ` -ReportRate ([double]$row.ReportRate) ` -TrainingCompletionRate ([double]$row.TrainingCompletionRate) ` -IncidentCount ([double]$row.IncidentCount) ` -TimeToReport ([double]$row.TimeToReport) ` -LeadershipScore ([double]$row.LeadershipScore) ` -PerceptionScore ([double]$row.PerceptionScore) $actions = @() if ([double]$row.PhishingClickRate -gt 10) { $actions += "Plan extra phishing-simulaties en gerichte trainingen voor dit team. " } if ([double]$row.ReportRate -lt 50) { $actions += "Versterk communicatie over het belang van melden en maak het melden makkelijker. " } if ([double]$row.TrainingCompletionRate -lt 80) { $actions += "Creëer tijd en ruimte voor trainingen en koppel deelname aan performance reviews. " } if ([double]$row.IncidentCount -gt 5) { $actions += "Voer root cause-analyse uit en deel leerervaringen in teamoverleggen. " } if ([double]$row.LeadershipScore -lt 7) { $actions += "Organiseer leiderschapstrainingen en zorg voor zichtbaar voorbeeldgedrag van leidinggevenden. " } if ([double]$row.PerceptionScore -lt 7) { $actions += "Verbeter communicatie over beveiliging, focus op positieve boodschappen en successen. " } if (-not $actions) { $actions += "Behoud huidige aanpak, monitor de resultaten periodiek en deel best practices met andere teams." } $recommendations += [PSCustomObject]@{ Department = $row.Department CultureScore = $score RecommendedActions = ($actions -join ' ') } } Write-Host "" Write-Host "Aanbevolen interventies per afdeling:" -ForegroundColor Cyan $recommendations | Sort-Object CultureScore | Format-Table -AutoSize if (-not $WhatIf) { Write-Host "" Write-Host "Let op: dit script voert geen technische wijzigingen door, maar levert input voor het security culture development-programma." -ForegroundColor Cyan } } try { Write-Host "" Write-Host "========================================" -ForegroundColor Cyan Write-Host "Security Culture Development" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan if ($CultureAssessment) { $result = Invoke-CultureAssessment if ($DebugMode) { return $result } } elseif ($CultureMonitoring) { Invoke-CultureMonitoring } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "" Write-Host "Geen modus opgegeven. Gebruik een van de volgende opties:" -ForegroundColor Yellow Write-Host " -CultureAssessment Voer een culture assessment uit op basis van metrics." -ForegroundColor Yellow Write-Host " -CultureMonitoring Monitor de voortgang van security culture development." -ForegroundColor Yellow Write-Host " -Remediation Genereer aanbevelingen voor culture development interventies." -ForegroundColor Yellow Write-Host " -DebugMode Gebruik voorbeelddata voor een veilige lokale test." -ForegroundColor Yellow Write-Host " -WhatIf Toon remediatieacties zonder wijzigingen door te voeren." -ForegroundColor Yellow } } catch { Write-Error "Fout in security-culture-development.ps1: $_" throw } finally { Write-Host "" Write-Host "========================================" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder een structurele aanpak voor security culture development blijft de organisatie kwetsbaar voor cyberaanvallen die beginnen met menselijke fouten, die meer dan 90% van alle succesvolle cyberaanvallen veroorzaken. Traditionele awareness-programma's met alleen trainingen en e-learningmodules hebben beperkt effect omdat zij kennis overdragen maar weinig bijdragen aan duurzame gedragsverandering. Zonder een sterke security culture blijven medewerkers onveilig gedrag vertonen, worden security-incidenten niet of laat gemeld, en wordt beveiliging gezien als een IT-probleem in plaats van een gezamenlijke verantwoordelijkheid. Dit leidt tot een verhoogd risico op datalekken, financiële schade, continuïteitsverstoringen, reputatieschade en niet-naleving van BIO-, NIS2- en AVG-vereisten.

Management Samenvatting

Ontwikkel een structureel security culture development-programma binnen Microsoft 365 dat verder gaat dan traditionele trainingen en dat beveiligingsbewustzijn inbedt in de dagelijkse werkzaamheden en normen van de organisatie. Het programma moet beginnen met een grondige assessment van de huidige security culture, gevolgd door een strategie met concrete doelen, interventies gericht op leiderschap en voorbeeldgedrag, community-building en gedragsverandering, en gebruik van Microsoft 365-tools zoals Teams, SharePoint en Viva Learning voor communicatie, kennisuitwisseling en continue leren. Monitoring en evaluatie moeten periodiek plaatsvinden om trends te identificeren en de aanpak bij te sturen. Dit verhoogt aantoonbaar de weerbaarheid tegen cyberdreigingen en ondersteunt naleving van relevante normen en wetgeving.