Meten wat telt

In het kort

1. De meeste awarenessprogramma's rapporteren wat het makkelijkst te tellen valt: deelname en voltooiing. Maar voltooiing meet activiteit, geen uitkomst. Een awarenessprogramma bestaat om de security- en privacyrisico's te verlagen waarin het gedrag van de medewerker een rol speelt, en dat risico daalt niet doordat iemand een module afrondt of een spel speelt.
2. Kennis, houding en gedrag zijn drie verschillende grootheden, en je meet ze ook verschillend. Een kennistoets meet kennis, geen gedrag. Het onderzoek laat die kloof in cijfers zien. Training verhoogt de kennis ongeveer drie keer zo sterk als het gedrag (effectgrootte d ≈ 1,02 tegenover d ≈ 0,36). Wie alleen deelname of kennis meet, mist juist wat telt.
3. Gedrag is wel degelijk te meten, en bovendien op schaal: niet met een spel van drie uur voor dertig mensen, maar met observeerbare signalen zoals het meldgedrag bij verdachte berichten, uitgesplitst per risicogroep en gerapporteerd in de taal van risico's. Aansprekende werkvormen zoals spellen en escaperooms verdienen daarin een duidelijke plek, als motor van betrokkenheid en gesprek, niet als bewijs dat het risico is gedaald.

Onlangs zag ik de presentatie van een awarenessspel dat een organisatie met bijna achtduizend medewerkers zelf had ontwikkeld. Het zag er prachtig uit en er stak zichtbaar veel werk in. Groepen van ongeveer dertig medewerkers spelen het in drie uur, en ondertussen ontstaat precies het gesprek over security en privacy dat je wilt. De spelborden met de vragen hangen bovendien op verschillende plekken in het gebouw, zodat je er in het voorbijgaan af en toe eentje oplost. Een mooi initiatief, en dat moet vooral zo blijven.

En toch bleef er een vraag hangen. Dertig medewerkers per sessie is, op bijna achtduizend, minder dan een half procent. Wie zo iedereen wil bereiken, is jaren bezig, en datzelfde geldt voor de fysieke escaperooms, de cybertrucks en de roadshows die overal opduiken. Daar komt een tweede vraag bij. Kun je met zo'n spel ook meten of het gedrag verandert? Want daarvoor bestaat een awarenessprogramma uiteindelijk: het verlagen van de security- en privacyrisico's waarin het gedrag van de medewerker een rol speelt.

De gedragswetenschap vat die opgave samen in drie voorwaarden. Om gedrag te veranderen heb je kennis, motivatie en gelegenheid tegelijk nodig (Michie, van Stralen en West, 2011). Te vaak start een programma bij een e-learning of een presentatie, en stopt het daar ook. Zo doe je iets aan de kennis, maar niets aan de gelegenheid en de motivatie. En als het tijd wordt om te rapporteren, gaat het niet eens meer over kennis, maar over deelname. Dit rapport is een literatuurstudie naar het meten en rapporteren van security awareness. Het wil de mooie initiatieven niet stoppen, maar ze een logische plek geven, want awareness mag ook leuk zijn. De vraag is alleen: wat meet je, en wat rapporteer je, zodat je stuurt op het risico en niet op de opkomst?

01 · BevindingWat we rapporteren is deelname, niet uitkomst

Het standaardmodel om training te evalueren komt van Kirkpatrick (1959, gebundeld in Kirkpatrick en Kirkpatrick, 2006) en kent vier niveaus: de reactie van de deelnemers, wat zij geleerd hebben, of hun gedrag verandert, en welke resultaten dat oplevert voor de organisatie. Die vier niveaus vormen een ladder. Hoe hoger je komt, hoe meer een meting zegt over het werkelijke effect. Bij security awareness blijven de meeste programma's echter op de onderste trede steken. Een overzichtsstudie van de evaluatiepraktijk laat zien dat organisaties vooral leunen op laagdrempelige maatstaven dicht bij niveau een, zoals voltooiingspercentages en tevredenheidsscores, terwijl ze zelden op het niveau van gedrag of resultaat meten (Jayatilaka e.a., 2021). Studies die wel tot het gedragsniveau doordringen, zoals die van Khan en collega's (2023), vormen de uitzondering die de regel bevestigt.

Die voorkeur is begrijpelijk, en daarmee gevaarlijk. Een leeromgeving levert het voltooiingspercentage met een druk op de knop, terwijl gedrag meten een meetopzet, tijd en geld kost. Het cijfer dat het makkelijkst te produceren valt, wordt zo vanzelf het cijfer dat je rapporteert. Het probleem is dat dit cijfer activiteit meet en geen uitkomst. Een voltooiing van bijna honderd procent voelt als winst, maar het is niet de winst die je zoekt. In De deelnameparadox lieten we al zien dat een verplichting de deelname betrouwbaar omhoogbrengt zonder dat het gedrag vanzelf meebeweegt. De voltooiingsgraad zegt dus iets over hoeveel mensen de training doorliepen, en vrijwel niets over of de organisatie veiliger werd.

Dat awarenessprogramma's op deze onderste trede blijven hangen, is bovendien geen incident maar een wijdverbreid patroon. Het jaarlijkse brancheonderzoek van SANS (2024), gebaseerd op meer dan duizend professionals in ruim zeventig landen, laat zien dat veel programma's blijven steken in een fase van naleving en bewustwording, waarin het draait om aanwezigheid en bewustzijn, en niet doorgroeien naar een fase waarin gedrag en cultuur centraal staan. Zo ontstaat een rapportage die het bestuur geruststelt zonder iets te zeggen over het werkelijke risico.

Inmiddels haalt ook de norm dat in. ISO/IEC 27001 verplicht in clausule 9.1 om de doeltreffendheid van de maatregelen te evalueren, en met de herziening van 2022 werd awareness in de onderliggende ISO/IEC 27002 bovendien een zelfstandige beheersmaatregel (6.3), die draait om personeel dat zich aantoonbaar naar het beleid gedraagt en niet om een eenmalige training. In de auditpraktijk stelt dat een hardere eis. Een presentielijst of een voltooiingspercentage geldt niet langer als voldoende bewijs, juist omdat het niets zegt over de doeltreffendheid. Daarmee verschuift de onderkant van de lat. Waar je voorheen met aanwezigheid en een afgeronde e-learning aan de maatregel voldeed, vraagt de norm sinds de overgang naar ISO 27001:2022, die voor bestaande certificaten eind oktober 2025 afliep, om bewijs dat het gedrag en de kennis werkelijk zijn veranderd. Een programma dat op de onderste twee treden blijft staan, levert dat bewijs niet.

Figuur 1 De evaluatieladder van Kirkpatrick met vier niveaus: deelname (reactie), kennis (leren), gedrag en risico (resultaat). Hoe hoger je komt, hoe lastiger het meten wordt en hoe meer het zegt. De meeste awarenessprogramma's rapporteren op de onderste trede. Naar Kirkpatrick en Kirkpatrick (2006).

02 · OnderscheidKennis, houding en gedrag zijn niet hetzelfde, en je meet ze ook niet hetzelfde

Wie hoger op de ladder wil komen, ontdekt al snel dat awareness geen enkele grootheid is maar een samenstel van drie: wat iemand weet, hoe iemand erover denkt en wat iemand daadwerkelijk doet. Het onderzoek vat dit samen in het zogeheten KAB-model van kennis, attitude en gedrag, een drieluik dat we eerder gebruikten in Het verschil tussen security awareness en privacy awareness. Kruger en Kearney (2006) leverden hiervoor het eerste praktische scoremodel, waarmee je awareness niet als een gevoel maar als een meetbare, gewogen score uitdrukt. Het belangrijkste inzicht uit dat model is dat de drie componenten los van elkaar kunnen bewegen. Iemand kan de regels kennen, ze verstandig vinden en zich er toch niet naar gedragen.

Sindsdien meten gevalideerde instrumenten deze grootheden betrouwbaar. Het bekendste is de Human Aspects of Information Security Questionnaire, kortweg de HAIS-Q, die we ook in De kwetsbare eerste maanden aanhaalden en die kennis, houding en zelfgerapporteerd gedrag over verschillende thema's in kaart brengt (Parsons e.a., 2014). In een tweede validatieronde toonden de onderzoekers bovendien aan dat hogere scores op de vragenlijst samenhingen met betere prestaties in een echte phishingsimulatie, wat het instrument een voorspellende waarde geeft die een zelfbedachte quiz mist (Parsons e.a., 2017). Voor de gedragskant ontwikkelden Egelman en Peer (2015) de Security Behavior Intentions Scale, kortweg SeBIS, een gevalideerde schaal die de intentie tot veilig gedrag meet langs vier dimensies, van het updaten van software tot het omgaan met wachtwoorden.

De praktische les is even eenvoudig als ongemakkelijk. Er bestaan beproefde instrumenten om verder te meten dan deelname, dus een organisatie die awareness serieus wil meten, hoeft niet bij nul te beginnen. Een zelfgemaakte kennistoets aan het eind van de e-learning meet hooguit of iemand de zojuist getoonde informatie nog kan reproduceren. Hij meet geen houding, geen gedrag, en je vergelijkt hem niet over de tijd of tussen afdelingen. Het verschil tussen meten en goed meten is precies het verschil tussen zo'n toetsvraag en een gevalideerd instrument.

Figuur 2 Kennis, houding en gedrag zijn drie grootheden met elk een eigen meetwijze. Kennis en houding meet je met gevalideerde vragenlijsten, gedrag met observeerbare signalen. De meta-analyse van Prümmer en collega's laat zien hoe ver kennis en gedrag uiteenlopen.

03 · VerklaringWaarom kennis meten niet genoeg is

Tussen weten en doen gaapt een kloof die in het onderzoek een eigen naam kreeg: de knowing-doing gap. Het is geen toevallige waarneming, maar een herhaaldelijk aangetoond verschijnsel. Workman, Bommer en Straub (2008) en Cox (2012) gaven de kloof een theoretische structuur en lieten zien dat mensen die de dreiging kennen en de beschermende maatregel begrijpen, die maatregel toch vaak achterwege laten. Recenter werk bevestigt dat beeld. Zwilling en collega's (2020) vonden in vier landen voldoende kennis van de dreiging maar nauwelijks beschermend gedrag, en Lee en Chua (2023) toonden aan dat kennis het gedrag niet rechtstreeks voorspelt, maar pas via tussenliggende factoren. De boodschap voor wie wil meten is hard. Een kennistoets meet kennis, en kennis voorspelt het gedrag niet vanzelf.

Hoe groot die kloof is, blijkt het scherpst uit een meta-analyse van negenenzestig onderzoeken naar het effect van cybersecuritytraining (Prümmer, van Steen en van den Berg, 2024), die we ook in ons rapport over phishingsimulaties aanhaalden. Training verhoogt de kennis fors, met een grote effectgrootte van ongeveer 1,02, maar het gedrag veel minder, met een zwakke effectgrootte van ongeveer 0,36. Anders gezegd: de gemiddelde training tilt de kennis ongeveer drie keer zo sterk op als het gedrag. Wie alleen de kennis meet, rapporteert dus precies de grootheid die het sterkst meebeweegt en het minst zegt over het risico.

Dat de kloof niet om een gebrek aan informatie draait, laat een grootschalige praktijkmeting genadeloos zien. In het jaarlijkse phishingonderzoek van Proofpoint (2024) ondernam eenenzeventig procent van de gebruikers een risicovolle handeling, en zesennegentig procent van hen wist dat het riskant was. Meer informatie had hier weinig veranderd, want de kennis was er al. Dit verklaart waarom een programma dat alleen op kennis inzet, blijft steken. Het gedragsmodel COM-B vat samen waarom. Gedrag ontstaat pas wanneer vermogen, motivatie en gelegenheid samenkomen (Michie, van Stralen en West, 2011). Een e-learning levert het vermogen, oftewel de kennis, maar de motivatie en de gelegenheid moeten uit de organisatie zelf komen. Zoals we in Het draagvlakprobleem beschreven, ligt juist die gelegenheid, de tijd onder werktijd, het budget en de prioriteit, vrijwel volledig in handen van het management. Een kennistoets meet daarvan niets.

04 · BevindingGedrag is wel te meten, en op schaal

Hier komen de twee vragen uit het begin samen, die over het meten en die over de schaal. Een spel van drie uur voor dertig mensen is een prachtige ervaring, maar geen meetinstrument, en het bereikt nooit een hele organisatie. Gelukkig meet je gedrag wel op schaal, met signalen die de organisatie tijdens het gewone werk vanzelf afgeeft. Het bekendste voorbeeld is de phishingsimulatie, mits je naar het juiste cijfer kijkt. De grootschalige studie van Lain, Kostiainen en Capkun (2022), uitgevoerd onder 14.733 medewerkers over een periode van vijftien maanden, laat twee dingen zien. Ten eerste verhult een lage klikkans per e-mail van krap zes procent dat bijna een derde van het personeel over die periode minstens één keer klikt. En ten tweede verbeterde de training op het moment van klikken de weerbaarheid niet, terwijl het gezamenlijk melden van verdachte berichten wel een duurzaam en bruikbaar signaal opleverde.

Daarmee verschuift de aandacht van de klikkans naar de meldratio, het aandeel medewerkers dat een verdacht bericht actief meldt. Dat is een betere maat, want melden gaat verder dan oppassen. Wie meldt, beschermt niet alleen zichzelf maar waarschuwt de hele organisatie. De klikratio zelf blijft een troebele maat, want of iemand klikt, hangt sterk af van de aandacht op dat moment en van de omstandigheden, en niet alleen van wat iemand kan. In het onderzoek van Proofpoint (2024) lag het gemiddelde meldpercentage rond de negentien procent tegenover een faalpercentage in de simulatie van ruim negen procent, oftewel een weerbaarheidsfactor van ongeveer twee. Dat soort cijfer hoort bij de bovenste treden van de ladder, want het meet wat mensen doen en niet of zij aanwezig waren. De phishingsimulatie is bovendien niet het enige gedragssignaal. Ook het aantal gemelde incidenten en het aantal onveilige handelingen dat in systemen zichtbaar wordt, zoals een datalek-preventieregel die afgaat, vertellen iets over wat mensen werkelijk doen. Een peer-reviewed kader voor het meten van awareness onderstreept dat juist gedragsmaatstaven, anders dan deelnamecijfers, samenhangen met werkelijke risicoreductie (Chaudhary, Gkioulos en Katsikas, 2022), en ook ENISA (2021) rekent het meten van gedrag uitdrukkelijk tot de kern van een awarenessstrategie.

En daarmee krijgen de mooie initiatieven hun logische plek. Het onderzoek naar gamification en serious games is opvallend eensluidend. Aansprekende werkvormen verhogen betrouwbaar de betrokkenheid, de motivatie en de kennis op de korte termijn, maar over blijvende gedragsverandering is nog weinig aangetoond. Gwenhure en Rahayu (2024) vinden vooral kortetermijneffecten, Ng en Hasan (2025) laten zien dat veel games juist de medewerkers bereiken die al kundig zijn, wat de belofte van bereik ondergraaft, en Chen en collega's (2023) tonen het scherpst aan dat plezier en onderdompeling de awareness verhogen, maar zich niet vanzelf in gedragsintentie vertalen. Vertaald naar het COM-B-model leveren een spel, een escaperoom of een cybertruck vooral motivatie en een deel van de kennis, en dat is waardevol. Ze leveren geen gelegenheid, geen schaal en geen gedragsmeting. Meet zo'n werkvorm dus op wat hij wel doet: op bereik, beleving en de kwaliteit van het gesprek, en niet alsof een interventie voor dertig mensen het risico van achtduizend moet verlagen. Dat dit geen luxeprobleem is, blijkt uit hetzelfde SANS-onderzoek (2024), waarin gebrek aan tijd en personeel de meest genoemde belemmering vormt en de meest volwassen programma's al gauw meer dan vier voltijdsplaatsen vergen. Juist daarom zet je je tijd en mensen maar één keer in, en mag de schaalbare gedragsmeting niet wijken voor de mooiste, maar kleinste interventie.

Figuur 3 Meetvormen geplaatst naar bereik (horizontaal) en de mate waarin ze gedrag meetbaar maken (verticaal). Spellen en escaperooms scoren hoog op beleving maar laag op bereik en gedragsmeting; een e-learning en een gevalideerde vragenlijst bereiken iedereen maar meten vooral kennis en houding; de klikratio van een phishingsimulatie meet ook aandacht en omstandigheden, niet puur gedrag, terwijl de meldratio en signalen uit de dagelijkse werkdata, zoals incidentmeldingen en datalek-preventie, het schoonste, schaalbare gedragssignaal geven.

05 · AanpakZo meet en rapporteer je

De voorgaande bevindingen vertalen zich naar een meet- en rapportageaanpak die op het risico stuurt zonder de aansprekende werkvormen overboord te gooien. Vijf stappen.

1. Klim de evaluatieladder op en blijf niet op trede één.Meet bewust op alle vier de niveaus van Kirkpatrick: deelname, kennis, gedrag en uiteindelijk risico. Deelname blijft nuttig als procesmaat, want zonder bereik verandert er niets, maar maak het nooit de uitkomst die je rapporteert. Vraag je bij elk cijfer eerst af: meet dit activiteit of uitkomst? Sinds ISO 27001:2022 verwacht de norm dat trouwens ook, namelijk bewijs van doeltreffendheid en niet alleen van deelname.
2. Meet kennis en houding met een gevalideerd instrument.Gebruik een beproefd meetinstrument zoals de HAIS-Q en geen zelfbedachte quiz aan het eind van de e-learning (Parsons e.a., 2017; Kruger en Kearney, 2006). Dan betekenen je scores iets, vergelijk je ze over de tijd en tussen afdelingen, en zie je beweging in plaats van een momentopname.
3. Meet gedrag met observeerbare signalen, niet met zelfrapportage alleen.De bruikbaarste maat is het meldgedrag bij verdachte berichten, niet de kale klikkans (Lain e.a., 2022; Proofpoint, 2024). Een stijgende meldratio laat zien dat mensen niet alleen oppassen maar ook in actie komen, en precies daarvoor bestaat het programma.
4. Rapporteer in de taal van risico's, en per risicogroep.Splits de cijfers uit naar afdeling en rol, en koppel ze aan het restrisico dat het bestuur volgens de zorgplicht moet kunnen wegen (zie Het draagvlakprobleem). Een organisatiebreed voltooiingspercentage van bijna honderd procent verbergt juist de ene afdeling waar het werkelijke risico zit.
5. Geef de aansprekende werkvormen hun eigen plek.Een spel, een escaperoom of een cybertruck is een sterke motor voor betrokkenheid, gesprek en cultuur. Meet die werkvorm dan ook op wat hij oplevert, namelijk bereik, beleving en de kwaliteit van het gesprek. Houd betrokkenheid en gedragsverandering uit elkaar, en reken een interventie voor dertig mensen niet af op het risico van achtduizend. Zo blijft het leuk en blijft het verhaal kloppen.

Figuur 4 De meet- en rapportageroute in vijf stappen: van de evaluatieladder, via een gevalideerd instrument en een echte gedragsmaat, naar een rapportage in de taal van risico's, met de aansprekende werkvormen op hun eigen plek.

06 · ConclusieMeet wat telt

In ons rapport over phishingsimulaties concludeerden we dat het probleem niet bij de medewerker ligt, en in Het draagvlakprobleem dat het meestal ook niet bij de e-learning ligt. Dit rapport voegt een derde inzicht toe. Het probleem zit vaak in wat we meten en rapporteren. Een awarenessprogramma bestaat om de security- en privacyrisico's te verlagen waarin het gedrag van de medewerker een rol speelt, maar zolang we deelname rapporteren, sturen we op opkomst. En wat je rapporteert, bepaalt wat de organisatie waardeert. Rapporteer deelname en je krijgt deelname; rapporteer gedrag en risico en je krijgt sturing.

Gelukkig kan het beter, zonder dat het saaier wordt. Je meet gedrag op schaal met signalen die de organisatie zelf afgeeft, je meet kennis en houding met instrumenten die hun waarde bewezen, en je rapporteert in de taal van risico's, precies de taal waarin een bestuur thuis is. En het prachtige spel voor die dertig medewerkers? Dat verdient een plek, en houdt die ook. Niet als bewijs dat het risico is gedaald, maar als wat het werkelijk is: een aanstekelijke motor voor betrokkenheid en het goede gesprek. Awareness mag leuk zijn. Het moet alleen ook te meten zijn.

Bronnen

1. Chaudhary, S., Gkioulos, V., en Katsikas, S. (2022). Developing metrics to assess the effectiveness of cybersecurity awareness program. Journal of Cybersecurity, 8(1), tyac006. doi.org/10.1093/cybsec/tyac006
2. Chen, H., Zhang, Y., Zhang, S., en Lyu, T. (2023). Exploring the role of gamified information security education systems on information security awareness and protection behavioral intention. Education and Information Technologies, 28(12), 15915–15948. doi.org/10.1007/s10639-023-11771-z
3. Cox, J. (2012). Information systems user security: A structured model of the knowing–doing gap. Computers in Human Behavior, 28(5), 1849–1858. doi.org/10.1016/j.chb.2012.05.003
4. Egelman, S., en Peer, E. (2015). Scaling the Security Wall: Developing a Security Behavior Intentions Scale (SeBIS). Proceedings of the 33rd Annual ACM Conference on Human Factors in Computing Systems (CHI '15), 2873–2882. doi.org/10.1145/2702123.2702249
5. ENISA (2021). Raising Awareness of Cybersecurity: A Key Element of National Cybersecurity Strategies. European Union Agency for Cybersecurity. enisa.europa.eu/publications/raising-awareness-of-cybersecurity
6. Gwenhure, A. K., en Rahayu, F. S. (2024). Gamification of Cybersecurity Awareness for Non-IT Professionals: A Systematic Literature Review. International Journal of Serious Games, 11(1), 83–99. doi.org/10.17083/ijsg.v11i1.719
7. ISO/IEC (2022). ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements (clausule 9.1). Genève: International Organization for Standardization. iso.org/standard/27001
8. ISO/IEC (2022). ISO/IEC 27002:2022 — Information security, cybersecurity and privacy protection — Information security controls (beheersmaatregel 6.3). Genève: International Organization for Standardization. iso.org/standard/75652
9. Jayatilaka, A., Beu, N., Baetu, I., Zahedi, M., Babar, M. A., Hartley, L., en Lewinsmith, W. (2021). Evaluation of Security Training and Awareness Programs: Review of Current Practices and Guideline. arXiv:2112.06356. arxiv.org/abs/2112.06356
10. Khan, N. F., Ikram, N., Murtaza, H., en Javed, M. (2023). Evaluating protection motivation based cybersecurity awareness training on Kirkpatrick's Model. Computers & Security, 125, 103049. doi.org/10.1016/j.cose.2022.103049
11. Kirkpatrick, D. L., en Kirkpatrick, J. D. (2006). Evaluating Training Programs: The Four Levels (3e druk). San Francisco: Berrett-Koehler. (1e druk 1994; oorspronkelijke artikelserie 1959–1960.)
12. KnowBe4 (2024). 2024 Phishing by Industry Benchmarking Report. blog.knowbe4.com/knowbe4-2024-phishing-by-industry-benchmarking-report
13. Kruger, H. A., en Kearney, W. D. (2006). A prototype for assessing information security awareness. Computers & Security, 25(4), 289–296. doi.org/10.1016/j.cose.2006.02.008
14. Lain, D., Kostiainen, K., en Capkun, S. (2022). Phishing in Organizations: Findings from a Large-Scale and Long-Term Study. 2022 IEEE Symposium on Security and Privacy (SP), 842–859. doi.org/10.1109/SP46214.2022.9833766
15. Lee, C. S., en Chua, Y. T. (2023). The Role of Cybersecurity Knowledge and Awareness in Cybersecurity Intention and Behavior in the United States. Crime & Delinquency, 70(9), 2250–2277. doi.org/10.1177/00111287231180093
16. Michie, S., van Stralen, M. M., en West, R. (2011). The behaviour change wheel: a new method for characterising and designing behaviour change interventions. Implementation Science, 6:42. doi.org/10.1186/1748-5908-6-42
17. Ng, C. Y., en Hasan, M. K. B. (2025). Cybersecurity serious games development: A systematic review. Computers & Security, 150, 104307. doi.org/10.1016/j.cose.2024.104307
18. Parsons, K., McCormac, A., Butavicius, M., Pattinson, M., en Jerram, C. (2014). Determining employee awareness using the Human Aspects of Information Security Questionnaire (HAIS-Q). Computers & Security, 42, 165–176. doi.org/10.1016/j.cose.2013.12.003
19. Parsons, K., Calic, D., Pattinson, M., Butavicius, M., McCormac, A., en Zwaans, T. (2017). The Human Aspects of Information Security Questionnaire (HAIS-Q): Two further validation studies. Computers & Security, 66, 40–51. doi.org/10.1016/j.cose.2017.01.004
20. Proofpoint (2024). 2024 State of the Phish. proofpoint.com/us/resources/threat-reports/state-of-phish
21. Prümmer, J., van Steen, T., en van den Berg, B. (2024). Assessing the effect of cybersecurity training on end-users: A meta-analysis. Computers & Security, 150, 104206. doi.org/10.1016/j.cose.2024.104206
22. SANS Institute (2024). 2024 Security Awareness Report: Embedding a Strong Security Culture. sans.org/security-awareness-training/resources/reports/sar
23. Uchendu, B., Nurse, J. R. C., Bada, M., en Furnell, S. (2021). Developing a cyber security culture: Current practices and future needs. Computers & Security, 109, 102387. doi.org/10.1016/j.cose.2021.102387
24. Workman, M., Bommer, W. H., en Straub, D. (2008). Security lapses and the omission of information security measures: A threat control model and empirical test. Computers in Human Behavior, 24(6), 2799–2816. doi.org/10.1016/j.chb.2008.04.005
25. Zwilling, M., Klien, G., Lesjak, D., Wiechetek, Ł., Cetin, F., en Basim, H. N. (2020). Cyber Security Awareness, Knowledge and Behavior: A Comparative Study. Journal of Computer Information Systems, 62(1), 82–97. doi.org/10.1080/08874417.2020.1712269