💼 Management Samenvatting
Effectieve security awareness-campagnes vormen een onmisbare schakel in de verdediging van Nederlandse overheidsorganisaties tegen phishing, social engineering en accountcompromittering. Technische maatregelen zoals multifactor-authenticatie en e-mailfiltering zijn noodzakelijk, maar zonder goed geïnformeerde medewerkers blijven zij kwetsbaar voor overtuigende aanvallen die zich specifiek richten op menselijk gedrag.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
120u (tech: 40u)
Van toepassing op:
✓ M365
✓ Publieke Sector
✓ Overheidsorganisaties
✓ Publieke Sector
✓ Overheidsorganisaties
Voor ministeries, uitvoeringsorganisaties, provincies en gemeenten geldt dat één onoplettende klik op een phishingmail grote gevolgen kan hebben: datalekken met gevoelige persoonsgegevens, verstoring van dienstverlening, juridische verplichtingen om incidenten te melden op basis van de AVG en NIS2, en aanzienlijke reputatieschade. Traditionele eenmalige trainingen en generieke e‑learnings blijken in de praktijk onvoldoende: gebruikers onthouden de stof slecht, herkennen nieuwe aanvalsvormen niet en ervaren security vaak als rem op hun werk. Door te werken met doorlopende, datagedreven awareness‑campagnes binnen Microsoft 365 kan securitygedrag stap voor stap worden verbeterd, worden risicogroepen gericht ondersteund en kan het management aantoonbaar sturen op gedragsverandering in plaats van alleen op technische configuraties.
PowerShell Modules Vereist
Primary API: Microsoft 365 admin center, Microsoft Purview (Security & Compliance PowerShell)
Connection:
Required Modules: ExchangeOnlineManagement
Connection:
Connect-ExchangeOnline, Connect-IPPSSessionRequired Modules: ExchangeOnlineManagement
Implementatie
Dit artikel beschrijft hoe u als Nederlandse overheidsorganisatie security awareness‑campagnes ontwerpt, uitvoert en monitort met gebruik van Microsoft 365. De nadruk ligt op een programmatische, meerjarige aanpak waarin phishing‑simulaties, gerichte micro‑learnings, communicatie via Teams en SharePoint en rapportages richting CISO en bestuur samenkomen. U leert hoe u doelgroepen en risicoscenario’s definieert, hoe u campagnes inricht die passen bij de cultuur en wettelijke kaders van de publieke sector, en hoe u resultaten structureel meet met behulp van dashboards en PowerShell‑rapportages. De bijbehorende PowerShell‑scripts uit de "Nederlandse Baseline voor Veilige Cloud" ondersteunen bij het inventariseren van campagnebereik, het signaleren van afdelingen met verhoogd risico en het genereren van audit‑evidence voor interne en externe toezichthouders.
Programma-ontwerp en positionering binnen governance
Een volwassen security awareness‑programma begint bij een heldere positionering binnen de governance van de organisatie. Voor Nederlandse overheidsorganisaties betekent dit dat de CISO, de Functionaris Gegevensbescherming (FG), HR, communicatie en de CIO‑organisatie gezamenlijk bepalen wat de doelstelling van het awareness‑programma is en hoe dit zich verhoudt tot andere compliance‑activiteiten zoals BIO‑implementatie, AVG‑training en NIS2‑verplichtingen. In plaats van losse campagnes die ad‑hoc worden opgezet na een incident, wordt security awareness ingericht als een doorlopend programma met duidelijke doelstellingen, KPI’s en een meerjarenplanning. Denk hierbij aan doelstellingen als het structureel verlagen van de klikratio op phishing‑simulaties, het verhogen van meldingsbereidheid bij verdachte berichten en het verankeren van veilig gedrag in onboarding‑ en HR‑processen. Deze doelstellingen worden formeel vastgelegd in beleid voor security awareness en gedrag, dat door het bestuur of de directie wordt vastgesteld en periodiek wordt herzien.
In de programmastructuur is het cruciaal om ownership expliciet toe te wijzen. In de praktijk ligt de inhoudelijke regie vaak bij de CISO‑organisatie, maar zijn HR en communicatie onmisbare partners voor succesvolle uitvoering. Het programma beschrijft hoe security awareness wordt meegenomen in onboarding van nieuwe medewerkers, periodieke hercertificering van toegang tot gevoelige systemen en de beoordeling van leidinggevenden op hun rol in veilig gedrag binnen hun team. Daarbij wordt expliciet aandacht besteed aan de cultuur van de publieke sector: medewerkers moeten begrijpen dat awareness‑campagnes geen controle‑instrument zijn om individuen af te rekenen, maar een middel om gezamenlijk de betrouwbaarheid van publieke dienstverlening te beschermen. Dit vraagt om transparante communicatie over doelen, meetmethoden en de manier waarop resultaten worden gebruikt in rapportages naar management en toezichthouders.
Een belangrijk ontwerpaspect is de aansluiting bij bestaande governance‑structuren. Het awareness‑programma moet niet losstaan van het reguliere informatiebeveiligingsoverleg, het privacyboard of het risicomanagement‑overleg, maar hier nadrukkelijk op aansluiten. In de programmadocumentatie wordt vastgelegd welke informatie periodiek wordt gerapporteerd, bijvoorbeeld kwartaalrapportages over klikratio’s, meldgedrag, deelname aan trainingen en uitkomsten van themacampagnes rond onderwerpen als wachtwoordbeheer, gebruik van mobiele apparaten of veilig delen van informatie in Teams. Deze rapportages worden gekoppeld aan de bredere risicobeoordeling en aan Key Risk Indicators (KRI’s) die ook in andere beveiligingsdomeinen worden gebruikt. Daarmee wordt security awareness niet langer gezien als losstaande communicatie‑activiteit, maar als integraal onderdeel van het risicobeheer en de verantwoording richting bestuur en externe toezichthouders.
Campagnestrategie en segmentatie van doelgroepen
Een effectieve campagnestrategie maakt onderscheid tussen verschillende doelgroepen en risicoprofielen binnen de organisatie. Medewerkers in frontoffice‑functies, beleidsmedewerkers, IT‑beheerders en bestuurders worden geconfronteerd met andere typen dreigingen en hebben verschillende werkpatronen. In plaats van iedereen dezelfde generieke training aan te bieden, wordt de inhoud afgestemd op concrete scenario’s die herkenbaar zijn voor de betreffende doelgroep. Voor medewerkers in klantcontact speelt bijvoorbeeld het herkennen van social engineering in telefoongesprekken en e‑mail een grote rol, terwijl voor bestuurders en directie juist gerichte spear‑phishing en misbruik van agenda‑informatie relevante thema’s zijn. Door vooraf per doelgroep duidelijke leerdoelen te formuleren – zoals het herkennen van verdachte links, het gebruik van meldknoppen in Outlook of het veilig delen van documenten via SharePoint – kan de effectiviteit van campagnes gericht worden gemeten.
In Microsoft 365 kan segmentatie praktisch worden ingevuld met behulp van Azure AD‑groepen, Microsoft 365‑groepen en Teams‑kanalen. Door doelgroepen in beheergroepen en distributielijsten te organiseren, kunnen phishing‑simulaties, nieuwsbrieven, Teams‑berichten en SharePoint‑pagina’s gericht worden verzonden. Het campagnestrategiedocument legt vast welke groepen aan welke campagnes worden blootgesteld, welke frequentie wordt gehanteerd en hoe wordt voorkomen dat medewerkers overladen raken met boodschappen. Een veelgebruikte aanpak is het werken met een jaarlijkse campagnekalender waarin per maand of kwartaal een thema centraal staat, zoals wachtwoordbeheer, veilig thuiswerken of omgaan met vertrouwelijke documenten. Microsoft 365 biedt hierbij praktische hulpmiddelen zoals adaptieve kaarten in Teams, korte video’s in Stream, micro‑learnings in Viva Learning en landingspagina’s in SharePoint die samen een geïntegreerde gebruikerservaring vormen.
Naast doelgroepsegmentatie is het waardevol om risicogebaseerd te werken. Dit betekent dat resultaten uit phishing‑simulaties, incidentmeldingen en SOC‑rapportages worden gebruikt om extra aandacht te geven aan afdelingen, functies of locaties waar herhaaldelijk risicovol gedrag wordt waargenomen. In plaats van deze groepen te stigmatiseren, wordt samen met het lijnmanagement gezocht naar oorzaken: is de werkdruk extreem hoog, is de tooling onduidelijk, of ontbreekt kennis over specifieke risico’s? De inzichten worden gebruikt om campagnes aan te scherpen en bijvoorbeeld extra coaching aan leidinggevenden te bieden. Hierbij is het van belang om privacy‑aspecten zorgvuldig te borgen: rapportages op individueel niveau worden alleen gebruikt door de directe leidinggevende en HR voor ondersteuning en niet voor naming‑and‑shaming. Dit sluit aan bij de AVG‑principes van dataminimalisatie en doelbinding, en versterkt het vertrouwen van medewerkers in het programma.
Implementatie van campagnes in Microsoft 365
De technische implementatie van awareness‑campagnes in Microsoft 365 bouwt voort op bestaande communicatiemiddelen binnen de organisatie. Een veelgebruikte inrichting combineert een centraal SharePoint‑portaal voor security awareness met Teams‑kanalen voor praktische updates, e‑mailcampagnes voor brede aankondigingen en geïntegreerde micro‑learnings. Het portaal fungeert als vaste vindplaats voor richtlijnen, video’s, veelgestelde vragen en handleidingen over veilig gebruik van Teams, Outlook, OneDrive en SharePoint. Hier worden ook actuele waarschuwingen gepubliceerd bij grootschalige phishinggolven of nieuwe dreigingen die door het Security Operations Center (SOC) zijn gesignaleerd. Door het portaal te koppelen aan bestaande intranet‑structuren wordt voorkomen dat medewerkers op meerdere plekken naar informatie moeten zoeken en wordt security geïntegreerd in de reguliere digitale werkomgeving.
Voor de uitvoering van campagnes rond phishing en social engineering wordt in veel organisaties gebruikgemaakt van gesimuleerde phishing‑aanvallen. Hierbij is het essentieel om deze campagnes zorgvuldig in te richten: vooraf wordt draagvlak gecreëerd bij ondernemingsraad, privacy‑officer en HR, de doelen worden helder uitgelegd en er wordt geborgd dat de gebruikte scenario’s realistisch maar ethisch verantwoord zijn. Microsoft 365 kan worden aangevuld met gespecialiseerde tooling voor phishing‑simulaties, maar ook zonder externe producten kunnen basiscampagnes worden georganiseerd met behulp van standaard e‑mailfunctionaliteit en rapportage. Belangrijk is dat medewerkers na een fout direct leren: een klik op een gesimuleerde phishingmail leidt bijvoorbeeld naar een korte uitlegpagina in SharePoint of een video in Stream die uitlegt welke signalen gemist zijn. Op die manier wordt een incident direct omgezet in een leermoment, zonder dat medewerkers publiekelijk worden aangesproken op hun fout.
Daarnaast kunnen security awareness‑boodschappen worden geïntegreerd in bestaande werkprocessen met behulp van Microsoft 365‑functionaliteit. Denk aan contextuele tips in Outlook bij het verzenden van e‑mails met gevoelige bijlagen, meldingen in Teams bij gebruik van niet‑goedgekeurde externe apps of waarschuwingen in SharePoint wanneer documenten buiten de organisatie worden gedeeld. Door deze signalen te koppelen aan het awareness‑programma – bijvoorbeeld door te verwijzen naar relevante artikelen op het awareness‑portaal – ontstaat een versterkend effect tussen technische maatregelen en gedrag. De configuratie van deze functionaliteiten wordt vastgelegd in technische documentatie, zodat bij wijzigingen aan DLP‑policies, labelconfiguraties of deelinstellingen ook de impact op het awareness‑programma wordt meegenomen. Hiermee wordt voorkomen dat campagnes losraakt van de feitelijke werking van de Microsoft 365‑omgeving.
Meten van effect en rapportage aan management
Meten is cruciaal om de effectiviteit van security awareness‑campagnes aan te tonen en bij te sturen. In plaats van alleen het aantal gevolgde trainingen te registreren, richt een volwassen programma zich op gedragsindicatoren en risicoreductie. Denk aan de ontwikkeling van klikratio’s bij phishing‑simulaties, de tijd tussen ontvangst van een verdachte e‑mail en melding bij het SOC, het aantal meldingen via de rapportageknop in Outlook, of de mate waarin gevoelige documenten correct worden geclassificeerd en gedeeld. Microsoft 365 biedt hiervoor diverse databronnen, zoals rapportages uit Defender‑producten, audit logs in Microsoft Purview, en gebruiksstatistieken van Teams, SharePoint en Exchange Online. Deze gegevens kunnen via PowerShell en API’s worden samengebracht in rapportages die specifiek zijn opgebouwd voor CISO, lijnmanagement en bestuurders.
Voor managementrapportages is het belangrijk om technische details te vertalen naar begrijpelijke stuurinformatie. In plaats van ruwe aantallen klikken op phishingmails, worden trends in de tijd weergegeven en vergeleken tussen afdelingen of functiegroepen. Een stijging van meldingen kan bijvoorbeeld positief zijn als dit het gevolg is van betere herkenning, terwijl een plotselinge daling aanleiding kan zijn om te onderzoeken of meldkanalen nog goed bekend zijn. De rapportages koppelen meetgegevens aan concrete verbeteracties, zoals het aanscherpen van specifieke campagnes, extra training voor leidinggevenden of aanpassing van meldprocedures. Door standaardisatie van rapportageformaten kunnen resultaten eenvoudig worden opgenomen in bredere risicorapportages en jaarverslagen over informatiebeveiliging en privacy.
De bij dit artikel horende PowerShell‑scriptbestanden leveren een gestandaardiseerd overzicht van kernindicatoren, zoals deelname aan campagnes, deelname per organisatieonderdeel en de aanwezigheid van basisvoorzieningen zoals meldknoppen in Outlook. Het script is expliciet ontworpen om veilig in een productieomgeving te draaien, waarbij alleen geaggregeerde informatie wordt verzameld die is afgestemd op AVG‑ en BIO‑vereisten. Indien organisaties besluiten om op individueel niveau extra analyses te doen, bijvoorbeeld voor coaching van specifieke medewerkers of functiegroepen, moet dit expliciet worden vastgelegd in privacydocumentatie en worden afgestemd met de FG. Door deze waarborgen in het ontwerp van het script en de rapportages op te nemen, ontstaat een balans tussen datagedreven sturing en bescherming van individuele medewerkers.
Monitoring en continue verbetering
Gebruik PowerShell-script security-awareness-campaigns.ps1 (functie Invoke-Monitoring) – Bouwt een geaggregeerd overzicht van de status van security awareness‑campagnes in Microsoft 365 en signaleert aandachtspunten voor vervolgacties..
Een awareness‑programma is alleen duurzaam effectief als resultaten structureel worden gemonitord en gebruikt voor verbetering. In plaats van jaarlijks een grote campagne te organiseren en vervolgens pas het jaar daarop opnieuw te meten, is het raadzaam om te werken met kortcyclische feedbacklussen. Dit kan door na iedere campagne of simulatie binnen enkele weken de resultaten te evalueren en aanpassingen door te voeren in content, doelgroepsegmentatie of timing. Het monitoringsproces legt vast welke indicatoren periodiek worden verzameld, hoe deze worden geïnterpreteerd en welke drempelwaarden aanleiding zijn voor extra maatregelen. Zo kan een plotselinge stijging van phishingkliks in één afdeling reden zijn voor een aanvullende workshop of een verdiepend onderzoek naar lokale werkwijzen en werkdruk.
Naast kwantitatieve data is kwalitatieve feedback van grote waarde. Medewerkers kunnen waardevolle inzichten geven in waarom bepaalde voorlichtingsmaterialen wel of niet aanslaan, welke termen verwarrend zijn of welke praktijksituaties onvoldoende worden behandeld. Deze feedback kan worden verzameld via Teams‑enquêtes, korte polls na afloop van trainingen, of via het intranet. Door deze feedback structureel te analyseren naast de kwantitatieve meetgegevens ontstaat een rijk beeld van de effectiviteit van campagnes. De uitkomsten worden besproken in het reguliere informatiebeveiligingsoverleg of in een specifiek awareness‑overleg, waarin ook besluiten worden genomen over vervolgacties en prioriteiten. Dit versterkt de samenwerking tussen CISO‑organisatie, HR en communicatie en zorgt dat awareness‑activiteiten niet losstaan van bredere veranderinitiatieven binnen de organisatie.
Continue verbetering betekent tot slot dat het programma meegroeit met veranderende dreigingen en technologische ontwikkelingen. Nieuwe aanvalsvormen, zoals deepfake‑stemmen in telefoongesprekken of misbruik van generatieve AI voor geloofwaardige phishing, vragen om aangepaste scenario’s en voorlichtingsmaterialen. Ook wijzigingen in wet‑ en regelgeving, zoals actualisaties van BIO of nadere invulling van NIS2‑eisen, kunnen invloed hebben op de inhoud en rapportage van het awareness‑programma. Door een periodieke strategische review in te plannen – bijvoorbeeld jaarlijks – waarin dreigingslandschap, technologische ontwikkelingen en juridische kaders gezamenlijk worden besproken, blijft het awareness‑programma actueel en relevant. De inzichten uit deze review worden vertaald naar een bijgewerkte campagnekalender en, waar nodig, aanpassingen in de technische configuratie van Microsoft 365.
Remediatie en structurele borging
Gebruik PowerShell-script security-awareness-campaigns.ps1 (functie Invoke-Remediation) – Ondersteunt beheerders en CISO‑teams met concrete stappen en voorbeeldcommando’s om ontbrekende basisonderdelen van het awareness‑programma te herstellen..
Wanneer monitoring laat zien dat essentiële onderdelen van het awareness‑programma ontbreken – bijvoorbeeld dat sommige afdelingen structureel niet deelnemen aan campagnes, dat meldkanalen onvoldoende worden gebruikt of dat er geen actuele inhoud beschikbaar is voor nieuwe medewerkers – is gerichte remediatie noodzakelijk. In plaats van incidentele noodmaatregelen is het effectiever om deze tekortkomingen te vertalen naar structurele verbeteringen in processen, verantwoordelijkheden en tooling. Dat kan betekenen dat HR‑processen worden aangepast zodat security awareness automatisch onderdeel wordt van onboarding, dat leidinggevenden formeel verantwoordelijk worden gemaakt voor deelname van hun teams aan campagnes, of dat er vaste tijdsloten in het jaar worden gereserveerd voor organisatiebrede trainingsblokken. Remediatie richt zich zo niet alleen op het oplossen van symptomen, maar op het versterken van de fundamenten van het programma.
Het bijbehorende PowerShell‑script helpt door de aanwezigheid van enkele basisvoorzieningen te controleren en waar mogelijk voorbeeldcommando’s te tonen voor het aanmaken van ontbrekende groepen, distributielijsten of rapportagestructuren in Microsoft 365. Denk aan een centrale Microsoft 365‑groep voor het versturen van awareness‑nieuwsbrieven, Teams‑kanalen voor CISO‑communicatie, of een gestandaardiseerde mappenstructuur voor het opslaan van campagneresultaten en rapportages. Het script zelf voert geen grootschalige wijzigingen door zonder expliciete bevestiging en is bedoeld als hulpmiddel voor beheerders die binnen het change‑proces van de organisatie werken. Dit sluit aan bij de principes van de "Nederlandse Baseline voor Veilige Cloud", waarin automatisering wordt ingezet om consistentie en herhaalbaarheid te vergroten, maar beslissingen over concrete inrichting altijd bij de organisatie blijven.
Structurele borging betekent ten slotte dat security awareness een vast onderdeel wordt van de bredere kwaliteits‑ en risicosturing van de organisatie. Dit kan door awareness‑indicatoren op te nemen in de reguliere managementrapportages, door deelname aan trainingen en simulaties te koppelen aan HR‑processen zoals periodieke gesprekken, en door in audits specifiek aandacht te besteden aan het gedrag van medewerkers rond informatiebeveiliging. De documentatie van het programma – inclusief beleidsdocumenten, campagnehistorie, meetresultaten en verbeterplannen – vormt belangrijke audit‑evidence richting interne auditdiensten, externe accountants en toezichthouders. Door deze documentatie gestructureerd te beheren in Microsoft 365 en periodiek te actualiseren, kan de organisatie overtuigend aantonen dat zij niet alleen technische maatregelen heeft getroffen, maar ook actief stuurt op veilig gedrag van haar medewerkers.
Compliance & Frameworks
- BIO: 7.02, 7.03, 9.01 - Bewustwording en opleiding van medewerkers, organisatie van informatiebeveiliging en structurele verankering van maatregelen.
- ISO 27001:2022: A.6.3, A.6.4, A.7.2 - Bewustwording, opleiding en training op het gebied van informatiebeveiliging en management van beveiligingsverantwoordelijkheden.
- NIS2: Artikel - Verplichting tot het nemen van maatregelen voor bewustwording, opleiding en training van personeel als onderdeel van risicobeheer.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Monitoring en remediatie voor security awareness-campagnes in Microsoft 365
.DESCRIPTION
Biedt CISO- en beheerteams inzicht in de aanwezigheid van kerncomponenten van het
security awareness-programma en ondersteunt bij gerichte remediatie. Controleert
onder andere of basiscommunicatiekanalen bestaan en of er verzamelgroepen zijn
voor het uitrollen van awareness-campagnes.
.NOTES
Filename: security-awareness-campaigns.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-26
Version: 1.0
Related JSON: content/m365/compliance/security-awareness-campaigns.json
Category: compliance
Workload: m365
.LINK
https://github.com/m365-tenant-best-practise
.EXAMPLE
.\security-awareness-campaigns.ps1 -Monitoring -DebugMode
Voert een lokale debug-run uit zonder verbinding te maken met Microsoft 365 en toont voorbeeldresultaten.
.EXAMPLE
.\security-awareness-campaigns.ps1 -Monitoring
Controleert in de live tenant of basiscomponenten voor awareness-campagnes aanwezig zijn.
.EXAMPLE
.\security-awareness-campaigns.ps1 -Remediation -WhatIf
Toont welke stappen nodig zijn om ontbrekende basisonderdelen voor awareness-campagnes aan te maken,
zonder daadwerkelijk wijzigingen door te voeren.
#>
#Requires -Version 5.1
#Requires -Modules ExchangeOnlineManagement
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Monitor de huidige inrichting van security awareness-campagnes")]
[switch]$Monitoring,
[Parameter(HelpMessage = "Ondersteun gerichte remediatie van ontbrekende onderdelen")]
[switch]$Remediation,
[Parameter(HelpMessage = "Toon welke acties zouden worden uitgevoerd zonder wijzigingen aan te brengen")]
[switch]$WhatIf,
[Parameter(HelpMessage = "Voer een lokale debug-run uit zonder verbinding met Microsoft 365")]
[switch]$DebugMode,
[Parameter(HelpMessage = "Gereseveerd voor toekomstig gebruik, geen automatische rollback")]
[switch]$Revert
)
$ErrorActionPreference = 'Stop'
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Security awareness-campagnes (M365)" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
function Connect-ExchangeContext {
<#
.SYNOPSIS
Maakt verbinding met Exchange Online voor campagne- en groepsbeheer.
.DESCRIPTION
Gebruikt Connect-ExchangeOnline uit de ExchangeOnlineManagement-module.
#>
[CmdletBinding()]
param()
Write-Host "Verbinding maken met Exchange Online..." -ForegroundColor Gray
Connect-ExchangeOnline -ErrorAction Stop | Out-Null
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de aanwezigheid van kerncomponenten voor security awareness-campagnes.
.DESCRIPTION
Beoordeelt of er ten minste één centrale communicatiegroep bestaat voor awareness,
of er een basisdistributielijst is voor organisatiebrede campagnes en of resultaten
kunnen worden verzameld in een standaard mailbox of groep. In DebugMode worden
voorbeelddata gebruikt zodat lokaal testen mogelijk is.
.OUTPUTS
PSCustomObject met:
- IsCompliant : Boolean
- Timestamp : Datum/tijd van de meting
- HasAwarenessGroup : Boolean
- HasCampaignList : Boolean
- HasReportingMailbox : Boolean
- Findings : Lijst met geconstateerde issues of aandachtspunten
#>
[CmdletBinding()]
param()
$result = [PSCustomObject]@{
ScriptName = "security-awareness-campaigns.ps1"
IsCompliant = $false
Timestamp = Get-Date
HasAwarenessGroup = $false
HasCampaignList = $false
HasReportingMailbox= $false
Findings = @()
}
try {
if ($DebugMode) {
Write-Host "DebugMode ingeschakeld: er wordt geen verbinding gemaakt met Microsoft 365." -ForegroundColor Yellow
Write-Host "Er worden voorbeeldwaarden gebruikt om de rapportage te testen.`n" -ForegroundColor Yellow
# Voorbeeldscenario: awarenessgroep en distributielijst aanwezig, rapportagemailbox ontbreekt
$result.HasAwarenessGroup = $true
$result.HasCampaignList = $true
$result.HasReportingMailbox = $false
$result.Findings += "DebugMode: voorbeelddata – verifieer in productie of een centrale rapportagemailbox of -groep is ingericht voor campagneresultaten."
}
else {
Connect-ExchangeContext
Write-Host "Controleren op centrale awareness-groep(en)..." -ForegroundColor Gray
$awarenessGroups = Get-DistributionGroup -ResultSize Unlimited -ErrorAction SilentlyContinue |
Where-Object { $_.DisplayName -like "*Security Awareness*" -or $_.Alias -like "*awareness*" }
$result.HasAwarenessGroup = ($awarenessGroups -ne $null -and $awarenessGroups.Count -gt 0)
Write-Host "Controleren op distributielijst(en) voor organisatiebrede campagnes..." -ForegroundColor Gray
$campaignLists = Get-DistributionGroup -ResultSize Unlimited -ErrorAction SilentlyContinue |
Where-Object { $_.DisplayName -like "*Campagne*" -or $_.DisplayName -like "*Awareness Nieuwsbrief*" }
$result.HasCampaignList = ($campaignLists -ne $null -and $campaignLists.Count -gt 0)
Write-Host "Controleren op rapportagemailbox of -groep..." -ForegroundColor Gray
$reportingRecipients = Get-Recipient -ResultSize Unlimited -ErrorAction SilentlyContinue |
Where-Object { $_.PrimarySmtpAddress -like "security-awareness*@*" -or $_.Alias -like "*awareness-report*" }
$result.HasReportingMailbox = ($reportingRecipients -ne $null -and $reportingRecipients.Count -gt 0)
if (-not $result.HasAwarenessGroup) {
$result.Findings += "Er is geen centrale security awareness-groep gevonden. Richt een Microsoft 365- of distributiegroep in voor doelgerichte campagnes en nieuwsbrieven."
}
if (-not $result.HasCampaignList) {
$result.Findings += "Er is geen distributielijst gevonden voor organisatiebrede awareness-campagnes. Overweeg een groep zoals 'SEC-Awareness-Campagnes' met alle medewerkers als lid."
}
if (-not $result.HasReportingMailbox) {
$result.Findings += "Er is geen specifieke rapportagemailbox of -groep gevonden voor campagneresultaten. Richt bijvoorbeeld 'security-awareness-report@' in voor centrale opslag en rapportage."
}
}
$result.IsCompliant = $result.HasAwarenessGroup -and $result.HasCampaignList -and $result.HasReportingMailbox
Write-Host "`nResultaat security awareness-campagnes:" -ForegroundColor Cyan
Write-Host (" Centrale awareness-groep(en) : {0}" -f $result.HasAwarenessGroup) -ForegroundColor White
Write-Host (" Distributielijst(en) voor campagnes: {0}" -f $result.HasCampaignList) -ForegroundColor White
Write-Host (" Rapportagemailbox of -groep : {0}" -f $result.HasReportingMailbox) -ForegroundColor White
if ($result.IsCompliant) {
Write-Host "`n[OK] Minimale bouwstenen voor awareness-campagnes zijn aanwezig." -ForegroundColor Green
}
else {
Write-Host "`n[FAIL] Een of meer kerncomponenten voor awareness-campagnes ontbreken." -ForegroundColor Red
if ($result.Findings.Count -gt 0) {
Write-Host "Details:" -ForegroundColor Yellow
foreach ($finding in $result.Findings) {
Write-Host " - $finding" -ForegroundColor Yellow
}
}
}
return $result
}
catch {
Write-Host "`n[FAIL] Fout tijdens monitoring: $_" -ForegroundColor Red
throw
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Ondersteunt remediatie voor ontbrekende awareness-componenten.
.DESCRIPTION
Voert zelf geen grootschalige wijzigingen door, maar geeft beheerders concrete aanwijzingen
en voorbeeldcmdlets om centrale awareness-groepen, distributielijsten en rapportagemailboxen
aan te maken. In DebugMode wordt uitsluitend de logica en messaging getest.
#>
[CmdletBinding()]
param()
try {
if ($DebugMode) {
Write-Host "DebugMode: remediatiestappen worden alleen als voorbeeld getoond, er worden geen verbindingen gemaakt." -ForegroundColor Yellow
}
else {
Connect-ExchangeContext
}
Write-Host "`nRemediatie-advies voor security awareness-campagnes:" -ForegroundColor Cyan
Write-Host "`n1. Centrale security awareness-groep" -ForegroundColor White
Write-Host " - Richt een Microsoft 365- of distributiegroep in als centraal kanaal voor awareness-communicatie." -ForegroundColor Gray
Write-Host " - Voorbeeld (vereenvoudigd):" -ForegroundColor Gray
Write-Host " New-DistributionGroup -Name 'SEC-Awareness' -Alias 'SEC-Awareness' -PrimarySmtpAddress 'security-awareness@contoso.nl'" -ForegroundColor DarkGray
Write-Host "`n2. Distributielijst voor organisatiebrede campagnes" -ForegroundColor White
Write-Host " - Gebruik een dynamische groep of distributielijst om alle medewerkers te bereiken." -ForegroundColor Gray
Write-Host " - Voorbeeld (vereenvoudigd):" -ForegroundColor Gray
Write-Host " New-DistributionGroup -Name 'SEC-Awareness-Campagnes' -Alias 'SEC-Awareness-Campagnes'" -ForegroundColor DarkGray
Write-Host "`n3. Rapportagemailbox of -groep" -ForegroundColor White
Write-Host " - Richt een aparte mailbox of groep in voor het verzamelen van campagneresultaten en rapportages." -ForegroundColor Gray
Write-Host " - Voorbeeld (vereenvoudigd):" -ForegroundColor Gray
Write-Host " New-DistributionGroup -Name 'SEC-Awareness-Report' -Alias 'SEC-Awareness-Report' -PrimarySmtpAddress 'security-awareness-report@contoso.nl'" -ForegroundColor DarkGray
if ($WhatIf) {
Write-Host "`nWhatIf: bovenstaande voorbeelden tonen welke acties u zou kunnen uitvoeren. Er zijn geen wijzigingen toegepast." -ForegroundColor Yellow
}
else {
Write-Host "`nLet op: pas bovenstaande voorbeeldcommando's alleen toe na interne afstemming, change-goedkeuring en testen in een acceptatieomgeving." -ForegroundColor Yellow
}
}
catch {
Write-Host "`n[FAIL] Fout tijdens remediatie-ondersteuning: $_" -ForegroundColor Red
throw
}
}
function Invoke-Revert {
<#
.SYNOPSIS
Plaatshouder voor toekomstig rollback-scenario.
.DESCRIPTION
Dit script voert geen automatische rollback uit voor aangemaakte groepen of distributielijsten.
Rollback vereist een zorgvuldige impactanalyse en wordt bij voorkeur handmatig of via
change-scripts uitgevoerd.
#>
[CmdletBinding()]
param()
Write-Host "`nEr is geen automatische rollback-functionaliteit geïmplementeerd voor dit script." -ForegroundColor Yellow
Write-Host "Documenteer en beheer eventuele wijzigingen via uw reguliere change-managementproces." -ForegroundColor Yellow
}
try {
if ($Revert) {
Invoke-Revert
}
elseif ($Remediation) {
Invoke-Remediation
}
elseif ($Monitoring) {
$monitorResult = Invoke-Monitoring
if ($monitorResult.IsCompliant) {
exit 0
}
else {
exit 1
}
}
else {
Write-Host "Beschikbare parameters:" -ForegroundColor Yellow
Write-Host " -Monitoring : Controleer de aanwezigheid van kerncomponenten voor awareness-campagnes" -ForegroundColor Gray
Write-Host " -Remediation : Toon remediatie-advies en voorbeeldcmdlets" -ForegroundColor Gray
Write-Host " -DebugMode : Voer een veilige lokale test uit zonder cloudverbinding" -ForegroundColor Gray
Write-Host " -WhatIf : Toon remediatievoorbeelden zonder uitvoer" -ForegroundColor Gray
Write-Host " -Revert : Toon informatie over rollback (geen automatische rollback)" -ForegroundColor Gray
Write-Host "`nVoorbeeld: .\security-awareness-campaigns.ps1 -Monitoring -DebugMode" -ForegroundColor Cyan
}
}
catch {
Write-Error "Scriptuitvoering is mislukt: $_"
exit 2
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
# Exitcodes:
# 0 = Compliant
# 1 = Niet compliant
# 2 = Fout tijdens uitvoering
Risico zonder implementatie
Risico zonder implementatie
High: Zonder structurele security awareness‑campagnes blijven medewerkers vatbaar voor phishing en social engineering, neemt de kans op ernstige datalekken toe en kan de organisatie bij incidenten en audits niet aantonen dat zij voldoende heeft geïnvesteerd in gedragsmatige beveiligingsmaatregelen.
Management Samenvatting
Richt een meerjarig, datagedreven security awareness‑programma in rond Microsoft 365, met campagnes op basis van risicoprofielen, meetbare gedragsindicatoren en aantoonbare borging in governance en HR‑processen. Dit verlaagt de kans op succesvolle aanvallen via menselijk gedrag en ondersteunt aantoonbare naleving van BIO, AVG en NIS2.
- Implementatietijd: 120 uur
- FTE required: 0.3 FTE