Wat is het DOT-framework?
Het DOT-framework is een praktijkgericht onderzoeksmodel dat staat voor Design-Oriented Transition. Het wordt gebruikt binnen hbo-onderzoeken om praktijkvraagstukken te analyseren én te verbeteren via iteratieve stappen. Het verbindt literatuur, veldwerk, experimentatie en reflectie.
Binnen dit project zijn vier fases doorlopen:
- Library: verdieping in OSINT, phishing, awareness en wetgeving
- Field: analyse van Bodegro’s bestaande beleid en beveiligingscultuur
- Lab: opzetten en uitvoeren van een realistische phishingcampagne
- Workshop: terugkoppeling, bewustwording en gedragsverandering
1. Library – Literatuur- en richtlijnenonderzoek
In deze fase is onderzocht wat OSINT inhoudt, hoe social engineering werkt, en hoe organisaties zich juridisch en ethisch kunnen wapenen tegen digitale dreigingen.
Belangrijke bronnen:
- AVG-documentatie en guidance van de Autoriteit Persoonsgegevens
- Publicaties over phishing van NCSC, ENISA en SANS Institute
- Handleidingen van OSINT-tools zoals theHarvester, SpiderFoot, Sherlock
- Wetenschappelijke papers over gedrag en awareness (o.a. MITRE ATT&CK for Humans)
2. Field – Onderzoek binnen Bodegro
In de fieldfase is het bestaande beleid van Bodegro in kaart gebracht aan de hand van documentanalyse (privacyverklaring, meldbeleid, gedragscode) en gesprekken met medewerkers.
- Privacybeleid bleek op orde, maar meldgedrag rond phishing was beperkt.
- Er bestond onduidelijkheid over wat "verdacht gedrag" is in e-mails.
De fieldfase vormde de basis voor het ontwerp van de phishingtest.
3. Lab – Ontwerp en uitvoering van phishingtest
In de labfase is een gecontroleerde phishingmail ontworpen, gebaseerd op OSINT over de organisatie. De paaseitjesactie werd gekozen vanwege geloofwaardigheid en lage impact.
- Domein geregistreerd:
bodegro.org
- Mail gestuurd vanuit “Inés Den Ouden” met link naar
intranet.bodegro.com/paasactie.htm
- Trackers registreerden klikken, maar geen inhoudelijke gegevens werden verzameld
- IT kreeg meldingen, gedrag veranderde direct zichtbaar
De test toonde aan dat zelfs een eenvoudige generieke mail grote impact kan hebben.
4. Workshop – Reflectie en bewustwording
Na afloop zijn medewerkers geïnformeerd over hun persoonlijke digitale voetafdruk en het doel van de test. Dit gebeurde via één-op-één terugkoppeling en presentaties.
- OSINT-profielen toonden hoe veel informatie openbaar is
- Medewerkers gaven aan dat ze alerter zijn geworden op verdachte e-mails
- IT overweegt aanpassing van meldbeleid en awarenesstraining
De terugkoppeling leidde tot open gesprekken over kwetsbaarheid en digitale hygiëne.
Conclusie
Het DOT-framework bood een krachtige structuur voor dit bewustwordingsgerichte onderzoek. Door de combinatie van theorie, praktijk en reflectie konden zowel ethiek als effectiviteit worden geborgd. De aanpak is reproduceerbaar en schaalbaar voor vergelijkbare organisaties.