Cybersecurity faalt of slaagt door hoe mensen ermee omgaan. Je kunt de beste technologie inzetten, maar als medewerkers incidenten niet melden of denken “dat is niet mijn verantwoordelijkheid”, blijft de organisatie kwetsbaar. Een sterke securitycultuur ontstaat pas wanneer veiligheid iets is wat mensen willen doen, niet wat ze moeten doen.

Toch worstelen veel organisaties hiermee. Regels worden gezien als obstakels en beveiligingsmaatregelen als lastige beperkingen.

Volgens Remco van Santen, TISO bij Innvolve, zit daar precies de kern van het probleem:

“Zolang medewerkers security ervaren als iets dat hen tegenwerkt, krijg je nooit echte betrokkenheid. Begrip komt altijd vóór gedrag.”

Begrip vóór naleving

Medewerkers volgen regels niet automatisch omdat ze zijn vastgelegd. Ze doen dat pas wanneer ze begrijpen waarom die regels bestaan. Als het ‘waarom’ ontbreekt, ontstaat weerstand.

“Als iemand niet snapt waarom een maatregel nodig is, gaat hij zoeken naar manieren om eromheen te werken. Dat is menselijk gedrag.”

Door uit te leggen welke risico’s er zijn en wat de gevolgen kunnen zijn voor henzelf, collega’s en de organisatie, verandert security van een abstract concept naar iets tastbaars.

Beschermen, niet beperken

Een veelgemaakte fout is dat beveiligingsmaatregelen worden gepresenteerd als controle of beperking. Terwijl ze juist bedoeld zijn om medewerkers te beschermen.

Wanneer mensen begrijpen dat maatregelen er zijn om hún werk veilig te houden, ontstaat een ander perspectief:

Niet: “Ik mag dit niet.”

Maar: “Dit voorkomt dat ik of mijn team schade oploopt.”

“Zodra medewerkers voelen dat security er is vóór hen, in plaats van tegen hen, zie je houding en gedrag kantelen.”

Betrokkenheid door inspraak en transparantie

Een cultuur van veiligheid groeit van binnenuit, niet vanuit de top. Medewerkers moeten zich gehoord voelen. Dat betekent uitleg geven, maar ook ruimte bieden voor vragen, feedback en inspraak.

Door medewerkers te betrekken bij keuzes en dilemma’s ontstaat eigenaarschap. Ze worden geen passieve ontvangers van beleid, maar actieve deelnemers in het beveiligingsproces.

“Als mensen begrijpen hoe keuzes tot stand komen, accepteren ze maatregelen veel sneller. Zelfs als die soms onhandig zijn.”

Je leert het door het te doen: oefenen met realistische scenario’s

Bewustzijn groeit niet door alleen te luisteren, maar door te ervaren. Regelmatig oefenen met realistische scenario’s helpt medewerkers hun eigen gedrag te herkennen.

Denk aan:

• Phishingcampagnes die aansluiten bij actuele thema’s
• Simulaties waarin medewerkers moeten reageren op een incident
• Terugkoppeling over wat goed ging en wat beter kan

“Op het moment dat iemand zélf op een phishingmail klikt, maar daarna ziet hoe het werkt, valt het kwartje. Dat blijft hangen.”

Van medewerker naar actieve schakel

Wanneer medewerkers begrijpen waarom maatregelen bestaan, voelen dat ze worden beschermd en actief worden betrokken, verandert hun rol. Ze zijn niet langer de zwakste schakel, maar juist een extra verdedigingslaag.

Incidenten worden sneller gemeld, afwijkingen eerder herkend en risico’s vaker besproken.

Remco verwoordt het zo:

“Een sterke securitycultuur ontstaat pas als mensen zich verantwoordelijk voelen. Niet omdat het moet, maar omdat ze snappen dat ze zelf onderdeel zijn van de oplossing.”

Conclusie

Een cultuur van veiligheid draait om intrinsieke betrokkenheid. Door uitleg, transparantie, inspraak en realistische oefeningen groeit securitybewustzijn vanzelf uit tot veilig gedrag. Medewerkers worden alerter, melden sneller incidenten en dragen actief bij aan de beveiliging van de organisatie.

Wil je weten hoe je deze cultuur stap voor stap opbouwt binnen jouw organisatie? Onze security-experts denken graag met je mee. Neem gerust contact met ons!

Dit alles valt of staat met het gedrag van medewerkers. Digitale veiligheid is daarmee geen technisch, maar vooral een menselijk vraagstuk. Betrokkenheid van gebruikers is essentieel om risico’s te herkennen en incidenten te voorkomen. In dit blog staat hoe je medewerkers intrinsiek betrokken krijgt bij veiligheid. In het volgende blog gaan we in op security fatigue.

 

 Over de auteur

Remco van Santen is Technical Information Security Officer in het security-team van Innvolve. Voor klanten én intern werkt hij aan sterke cybersecurity-oplossingen om moderne cyberaanvallen geen enkele kans te geven.

 

Benieuwd naar de rest van de serie?

Blog 1. Cybersecurity Awareness – méér dan een jaarlijks traininkje

Blog 2. Hoe herken je de nieuwe generatie aanvallen?

Blog 4. Security Fatigue: van mensen die afhaken naar processen die ondersteunen