Door Remco van Santen
Remco is TISO en teamlead Security bij Innvolve.

Microsoft publiceerde onlangs een artikel waarin het beschrijft hoe Microsoft streeft naar een duurzame beveiligingscultuur. Daarin heeft het technische aspect voortaan een ondergeschikte rol ten opzichte van gedragsverandering.

Microsoft benadrukt dat technologie alleen niet voldoende is, het is de cultuur, de gewoontes en het gedrag van medewerkers die het verschil maken. Via het “Secure Future Initiative” (SFI) wordt beveiliging geïntegreerd in elke laag van de organisatie.

Wij hebben een samenvatting gemaakt van de belangrijkste uitgangspunten in het cybersecuritybeleid van Microsoft en onderzochten wat je kan leren van dit beleid en hoe je dit kan vertalen naar je eigen organisatie

Het beleid van Microsoft

Training en bewustwording

• Zorg voor gepersonaliseerde training gebaseerd op je functie en het dreigingsbeeld
• Geef medewerkers meerdere keren per jaar een training met inhoud die inspeelt op actuele bedreigingen zoals AI-aanvallen en deepfakes

Leiderschap

• Microsoft CEO Satya Nadella stelt dat beveiliging de hoogste prioriteit heeft: wanneer security een conflict heeft met andere prioriteiten, wint security altijd.
• Security wordt structureel besproken in het management.
• Elke medewerker heeft een “Security First Priority” en bespreekt zijn bijdrage aan dit onderwerp in beoordelingsgesprekken. Dit is een instrument om verantwoordelijkheid en impact te borgen

Communicatie en support

• Zorg dat security top-of-mind blijft met awarness-campagnes en communicatie via de bekende communicatiekanalen
• Lanceer een ambassadeurs programma on het bewustzijn rond cybersecurity te vergroten
• Verwerk feedback van medewerkers om training en beleid bij te sturen
• Stel richtlijnen en beleid ter beschikking van de medewerkers en zorg dat deze continue up-to-date zijn met de laatste informatie over dreigingen

Integratie van beveiliging in technologie

• Integreer “Secure-by-Design” in technologie
• Securityprincipes worden vroeg in de keten (ontwerpfase) toegepast in code, testen en deployment
• Een CISO is verantwoordelijk voor het beleid

Beveiligingscultuur als strategisch bedrijfsasset

• Beveiliging is niet langer een ondersteunende functie, maar verweven in de kern van productontwikkeling, besluitvorming en bedrijfsvoering
• Een volwassen cultuur rondom informatiebeveiliging verhoogt het vertrouwen bij klanten en partners
• Realiseer je altijd dat de dreiging constant verandert, dus de cultuur moet adaptief en dynamisch zijn

Wat ons opvalt in het Cyber Security beleid van Microsoft

Het valt ons op dat Microsoft doelbewust en systematisch werkt aan wat veel organisaties nog als een “moeilijke opgave” zien: de transitie van technologie én beleid naar een echt ingebedde beveiligingscultuur.

Waar we het helemaal mee eens zijn

1. Holistische benadering
   Microsoft adresseert niet alleen techniek, maar ook mensen, gedrag, leiderschap en organisatie. Dat is precies de benadering die nodig is, want een Endpoint Detection and Response (EDR) oplossing is zo sterk als de mens die ermee werkt.

2. Sterke sturing vanuit de top
   Dat Satya Nadella beveiliging als hoogste prioriteit positioneert, én dat dit vertaald wordt in KPI’s is fundamenteel. Zonder dit commitment van bovenaf blijft security vaak een bijzaak.

3. Iteratief, adaptief karakter
   Microsoft benadrukt dat ze voortdurend feedback gebruiken om te verbeteren en dat cultuur nooit “af” is. Deze mindset is een absolute must in een steeds veranderend dreigingslandschap.

De kritische noot

1. Cyber Security Ambassadeurs
   Het idee van Security Ambassadeurs is uitstekend om impact te creëren. Maar het succes hangt sterk af van de training die deze ambassadeurs krijgen en de tijd die ze mogen investeren.
2. Inzicht in de data
   We missen concrete maatregelen zoals het beschikbaar maken van time-to-detect en time-to-respond metrics. Die helpen om duidelijk te maken hoe cultuurverandering invloed heeft op een daadwerkelijk veilige organisatie.
3. Intrinsieke motivatie
   De kunst is dat medewerkers training niet zien als een verplichting, maar als wezenlijk relevant. De nadruk op relevantie, scenario’s en gepersonaliseerde inhoud is dus essentieel en moet constant bewaakt worden.
4. Informatiebeveiliging op schaal
   Microsoft is groot en je merkt dat het beleid wat ze voeren mogelijk is door de schaal waarop ze opereren. De uitdaging is om deze principes naar kleinere organisaties te vertalen zoal modulair werken en het outsourcen van de CISO naar een CISO-as-a-Service oplossing.

Praktische leerpunten

• Begin klein en schaal geleidelijk: start met een pilot in één afdeling of team, meet resultaten, leer, verbeter, en rol dan verder uit.
• Gebruik ambassadeurs als brug naar de werkvloer, maar investeer: geef ze een opleiding, tijd en zichtbaar mandaat van het management.
• Koppel beveiligingsgedrag aan prestatie-indicatoren, niet alleen als “extra”, maar als onderdeel van functioneringsgesprekken en beloningen.
• Blijf luisteren naar medewerkers: beveiligingscultuur groeit het best als medewerkers kunnen meepraten over wat werkt en wat niet, en wanneer die feedback wordt verwerkt.
• Vertaal technische principes naar herkenbare scenario’s: phishing, deepfake, identiteitsdiefstal, hoe raakt het concreet de dagelijkse werkzaamheden van jouw medewerkers?

Conclusie

Microsoft laat zien dat het organiseren van een security-first cultuur geen bijzaak is, maar een strategische investering. Door mens, gedrag, technologie en organisatie geïntegreerd aan te pakken, creëer je een krachtig fundament voor een veilige omgeving. Met de juiste kennis, leiderschap én doorzettingsvermogen kan elke organisatie stappen zetten en voldoen aan de strenge regelgeving van vandaag.

Meer weten over dit onderwerp of wat het voor jouw organisatie kan betekenen? Wij kijken graag met je mee, gewoon laagdrempelig met een kop koffie. Bel ons gerust of plan zelf een korte afspraak in met Dirk.