Cybersecurity zonder weerstand – zo maak je van medewerkers een onzichtbare firewall

DoorAna Miličević

Cybersecurity mag niet alleen de verantwoordelijkheid van de IT-afdeling zijn, maar moet een gezamenlijke taak zijn die door de hele organisatie wordt gedragen. Een sterke securitycultuur helpt bedrijven om dreigingen effectief te verminderen. Maar hoe bouw je zo’n cultuur op? En hoe zorg je ervoor dat medewerkers actief meewerken aan betere beveiliging?

Nadine Hoogerwerf, cybersecurity-expert en CISO bij Zivver, deelt haar inzichten en visie. Volgens haar gaat security verder dan techniek – het draait om mindset en cultuurverandering.

De grootste uitdaging: Security is niet alleen voor IT

Veel bedrijven hebben nog steeds de misvatting dat cybersecurity een taak is voor de IT-afdeling. Nadine ziet dit als een groot struikelblok: “Beveiliging is echt de verantwoordelijkheid van iedereen in de organisatie. Het is geen IT-feestje, het gaat om hoe we allemaal veiliger werken.” Dit vraagt om een integrale aanpak waarbij security in alle bedrijfsprocessen wordt verweven.

Daarbij ligt de uitdaging vooral in bewustwording bij medewerkers. “De grootste uitdaging is gedragsverandering, zelfs als mensen overtuigd zijn van het belang van security”, benadrukt Nadine. Dit betekent dat bedrijven verder moeten kijken dan alleen technische oplossingen en in moeten zetten op gedragsverandering.

De balans tussen beveiliging en werkbaarheid

Strenge beveiligingsmaatregelen mogen niet de productiviteit van medewerkers ondermijnen. Volgens Nadine is dit een delicate balans: “Medewerkers moeten niet het gevoel hebben dat ze door securityregels worden gehinderd in hun werk. Tegelijkertijd moeten bedrijven beveiliging serieus nemen.”

Slimme technologieën kunnen hierbij helpen. Denk bijvoorbeeld aan automatische e-mailbeveiliging, die phishingdetectie automatiseert zonder extra handelingen voor de gebruiker.

“Door technologie op de juiste manier in te zetten, kun je veel van de last wegnemen bij medewerkers zonder de beveiliging te verzwakken.”

Security fatigue voorkomen: Maak training relevant

Inmiddels raken veel medewerkers moe van de steeds strengere beveiligingsmaatregelen en verplichte trainingen. Hoe zorg je ervoor dat ze betrokken blijven? “De sleutel ligt in trainingen die niet voelen als een verplichting, maar als een kans om iets nuttigs te leren,” zegt Nadine. Ze pleit voor interactieve, praktijkgerichte trainingen met realistische scenario’s.

“Als mensen zien hoe hun eigen gedrag impact heeft op de veiligheid van het bedrijf, blijven ze veel meer betrokken.” Daarbij helpt het om korte, gerichte leermomenten aan te bieden in plaats van lange, eenmalige sessies. Dit houdt de aandacht vast en zorgt voor een continue security-awareness.

De rol van AI en automatisering in beveiliging

Met de opkomst van AI en automatisering kunnen bedrijven ook hun beveiliging verbeteren zonder de werklast voor medewerkers te vergroten. “AI kan helpen door automatisch verdachte e-mails te detecteren en risico’s te signaleren, zodat medewerkers niet constant op hun hoede hoeven te zijn,” legt Nadine uit.

Automatisering speelt daarnaast een rol bij compliance. Nieuwe wetgeving zoals NIS2 en DORA stelt strengere eisen aan security, maar dat hoeft niet te betekenen dat medewerkers overladen worden met regels. “Als je regelgeving slim verwerkt in bestaande processen en systemen, wordt compliance een natuurlijk onderdeel van het werk in plaats van een extra last.”

Wat kunnen bedrijven vandaag al doen?

Nadine benadrukt dat een sterke securitycultuur niet van de ene op de andere dag ontstaat, maar dat er wel direct stappen gezet kunnen worden:

  1. Maak security een gedeelde verantwoordelijkheid. Zorg dat iedere afdeling begrijpt waarom cybersecurity belangrijk is.
  2. Gebruik technologie om beveiliging gebruiksvriendelijker te maken. Denk aan AI en automatisering die medewerkers ontlasten.
  3. Train medewerkers op een interactieve en praktijkgerichte manier. Vermijd saaie checklists en maak security tastbaar.
  4. Verwerk security in bestaande processen. Zorg dat compliance geen extra last is, maar een geïntegreerd onderdeel van het werk.
  5. Communiceer het ‘waarom’. Als medewerkers snappen waarom security belangrijk is, nemen ze zelf meer verantwoordelijkheid.

Security begint bij cultuur

Een positieve securitycultuur bouwen vraagt om een combinatie van bewustwording, technologie en continue educatie. Door security onderdeel te maken van de bedrijfscultuur en medewerkers actief te betrekken, kunnen organisaties een grote stap zetten richting betere cyberweerbaarheid.

Zoals Nadine treffend zegt: “Security cultuur gaat uiteindelijk over gedrag en veilig gedrag is een onderdeel van een goede defense in depth.”

Vergelijkbare berichten

Fleur van Leusden: “Laten we als sector fundamentele problemen oplossen.”

Fleur van Leusden: “Laten we als sector fundamentele problemen oplossen.”

DoorAnja den Hertog

Fleur van Leusden, CISO bij de Kiesraad, benadrukt het trage tempo van innovatie in de securitysector, ondanks voldoende slimme mensen en financiële middelen. Ze wijst er op dat er innovaties voor minder cruciale zaken aangeboden, terwijl de echte problemen onopgelost blijven.