Heleen van de Groep: ‘Het doorbreken van weerstand is een cruciale stap naar security awareness’

In de voortdurende strijd om organisaties veiliger te maken in het digitale domein, speelt het overwinnen van weerstand een sleutelrol. Heleen van de Groep is expert op het gebied van cybersecurity awareness en gedragsverandering bij Brooklyn Partners, een consultancybureau dat zich focust op het human risk element van cybersecurity. Ze deelt haar inzichten over hoe weerstand tegen cybersecuritymaatregelen kan worden doorbroken. 

Van persoonlijke ervaring naar professionele passie

Heleen’s reis naar het hart van cybersecurity begon bij de Rabobank, waar ze als adviseur regelmatig in contact kwam met slachtoffers van digitale oplichting. Een ontmoeting met een oudere dame, die het slachtoffer was geworden van een online hack, liet een onuitwisbare indruk achter. Gedreven door een passie voor psychologie en sociale wetenschappen, besloot Heleen zich te richten op het beschermen van anderen tegen dergelijke dreigingen. Haar carrière nam een vlucht toen ze onderdeel werd van het Team Awareness bij Rabobank, waar ze zich specialiseerde in Cyber Security & Risk Management. 

Bij Brooklyn Partners zet Heleen haar missie voort door te focussen op human risk, awareness en gedragsverandering op het gebied van informatiebeveiliging en privacy. Het recent uitgebrachte trendrapport van Brooklyn Partners benadrukt het belang van juiste risicoanalyses en het identificeren van kritieke risicofactoren. 

Zo ga je met weerstand om

Heleen belicht drie kernpunten die zij beschouwt als de voornaamste bevindingen van het trendrapport.

1. Het uitvoeren van gedetailleerde risico-analyses: “Allereerst wil ik benadrukken dat het fundament van effectieve cybersecurity ligt in het zorgvuldig identificeren van risico’s. Door de specifieke bedreigingen voor een organisatie in kaart te brengen, kunnen gerichte maatregelen worden genomen. Deze stap zorgt ervoor dat inspanningen om de digitale weerbaarheid te verhogen, gebaseerd zijn op concrete data en dat de impact van acties meetbaar is.”
2. Het inzetten van ambassadeurs: “Ambassadeurs binnen een organisatie zijn cruciaal voor het succesvol uitrollen en verankeren van cybersecurityprogramma’s. Deze sleutelfiguren dragen bij aan het creëren van een cultuur waarin veiligheid wordt gewaardeerd en nagestreefd. Hun rol is essentieel in het motiveren en informeren van collega’s over het belang van digitale veiligheid.”
3. Het overwinnen van organisatorische weerstand: “Weerstand tegen verandering is een veelvoorkomende uitdaging op het gebied van cybersecurity. Het overwinnen hiervan vereist een strategische aanpak, waarbij het belangrijk is om weerstanden te identificeren, te begrijpen en vervolgens met passende technieken te adresseren. Door weerstand om te zetten in actie, kan een organisatie collectief vooruitgang boeken naar een veiligere digitale omgeving.”

De drie hoofdvormen van weerstand

Weerstand tegen verandering is een veelvoorkomend obstakel in de implementatie van cybersecuritymaatregelen. Over het algemeen komt men drie hoofdvormen van weerstand tegen in de wereld van cybersecurity. Heleen beschrijft deze als reactance, scepticisme, en inertia, elk met unieke uitdagingen en oorzaken. Ook in het filmpje hieronder geeft ze daar een heldere uitleg over:

• Reactance wordt vaak gezien in de beginfase van het ontwikkelen van security awareness binnen een organisatie. “Mensen willen het niet horen en voelen zich al overweldigd door hun huidige taken”, verklaart Heleen. Deze vorm van weerstand manifesteert zich als een directe afkeer tegen de verandering en alles wat dit met zich meebrengt.
• Scepticisme draait om het in twijfel trekken van de noodzaak van verandering. ‘Is dit echt nodig? Wat levert het ons op?’ zijn vragen die deze vorm van weerstand kenmerken. Het wordt vooral herkend aan de vele vragen en twijfels over de verplichte veranderingen.
• Inertia ziet Heleen vaak bij het bestuur van organisaties, maar kan voorkomen binnen alle lagen van een organisatie. Er is een algemene consensus over het belang van security en privacy. Desondanks blijven concrete acties vaak uit. Dit patroon beperkt zich niet alleen tot woorden, maar bevat ook het ontbreken van het benodigde mandaat. Dit is volgens Heleen een vorm van weerstand waar veel CISO’s tegenaan lopen.

“Inertia wordt vaak waargenomen binnen het bestuur van organisaties, een fenomeen dat Heleen regelmatig bespreekt. Er heerst een breed gedragen consensus over het belang van security en privacy. Desondanks blijven concrete acties vaak uit, een patroon dat zich niet beperkt tot woorden maar ook het ontbreken van het benodigde mandaat omvat. 

Volgens Heleen manifesteert deze vorm van weerstand zich op alle niveaus binnen een organisatie, maar is het bijzonder prevalent onder CISO’s. Dit onderstreept de uitdagingen waar zij tegen aanlopen in hun streven naar het implementeren van effectieve beveiligings- en privacypraktijken.”

De oorzaken van weerstand en hoe je dit kunt overwinnen

Weerstand is een natuurlijke reactie die voortkomt uit fundamentele menselijke behoeften, zoals het behoud van autonomie, het zoeken naar zekerheid, en het besparen van energie. “Bij reactance draait het om autonomie. Mensen willen hun autonomie behouden en voelen dat deze in het geding komt bij veranderingen,” legt Heleen uit. Scepticisme is verbonden met onzekerheid over de verandering, terwijl inertia voornamelijk gerelateerd is aan het behoud van energie. Gelukkig deelt Heleen een scala aan technieken om deze vormen van weerstand te doorbreken:

• Voor reactance: “Erken de weerstand en bied keuzes om mensen een gevoel van autonomie te geven. Minimaliseer het verzoek en benadruk gemeenschappelijke doelen.”
• Voor scepticisme: “Bied garanties om onzekerheid weg te nemen en stimuleer zelfovertuiging door mensen te vragen waarom zij security awareness belangrijk vinden.”
• Voor inertia: “Implementeer intentie door concrete, behapbare stappen voor te stellen en publiekelijke commitment te vragen.”

Het overwinnen van weerstand is niet alleen een technische uitdaging maar ook een menselijke. Door de menselijke kant van cybersecurity te erkennen en aan te pakken, kunnen organisaties een cultuur van veiligheid en bewustzijn creëren die de digitale wereld van vandaag vereist. Zo deelt Heleen een best practice die ze recentelijk bij een klant heeft ondergaan. “Veel CISO’s ervaren dat, ondanks de algemene overeenstemming over het belang van informatiebeveiliging, concrete acties vaak uitblijven. De sessies met bestuur en directie eindigen meestal met een algemene consensus, maar zonder vervolgacties. Dit is typisch inertia: de intentie is er, maar de actie blijft uit.

Om deze uitdaging aan te gaan, organiseerde ik een cyberdilemma sessie. Dit initiatief dompelde het bestuur onder in een realistische hackcasus, waardoor de urgentie en de noodzaak van actie duidelijk werden. Het doel was niet om te wijzen op tekortkomingen, maar om het gesprek met elkaar aan te gaan over dit onderwerp (op socratische wijze) en een gezamenlijk doel te benadrukken: onze organisatie veiliger maken. Een praktische uitkomst van deze aanpak was de toezegging van de directie om cybersecurity twee keer per jaar op de agenda te zetten. Deze schijnbaar kleine stap had een aanzienlijke impact: het zorgde voor regelmatige aandacht voor cybersecurity op het hoogste niveau. Het was een actie die slechts vijf minuten kostte om te implementeren, maar het zorgde voor een duurzame verandering in hoe het bestuur cybersecurity behandelde.

Het succes van deze sessie was niet alleen het doorbreken van inertia, maar ook het creëren van een cultuur waarin cybersecurity gezien wordt als een integraal onderdeel van de bedrijfsvoering. Door het bestuur actief te betrekken en concrete, uitvoerbare stappen te definiëren, werd een weg vrijgemaakt voor een proactieve benadering van informatiebeveiliging.”

De onderscheidende aanpak van Brooklyn Partners

Wat onderscheidt Brooklyn Partners van andere security awareness partijen? Volgens Heleen ligt hun kracht in de diepgaande aanpak die verder gaat dan compliance en vinkjes zetten. “Door het integreren van wetenschappelijk onderzoek met de inzichten verkregen uit de cyber barometer, legt Brooklyn Partners de basis voor een strategie die scherp gericht is op het verbeteren van de veiligheid. Dit gecombineerd met een diepgaand begrip van de unieke context van elke organisatie, verzekert dat de geïmplementeerde activiteiten niet alleen relevant zijn voor de medewerkers, maar ook aansluiten bij hun dagelijkse realiteit. Brooklyn Partners zet zich in om gedrag en cultuur binnen organisaties te transformeren en risico’s aantoonbaar te verminderen, met een aanpak die energie en plezier inbrengt, en zo activiteiten creëert waaraan medewerkers graag deelnemen. Onze innovatieve tools helpen bij het opzetten en actief houden van ambassadeursnetwerken, en die wil je hebben in je organisatie. Zoals ik eerder aangaf zijn ambassadeurs ontzettend belangrijk.”

In een wereld waar digitale veiligheid van cruciaal belang is, benadrukt Heleen’s verhaal het belang van bewustwording, weerbaarheid en actie. Door de menselijke factor te erkennen en aan te pakken, kunnen we samen een veiligere digitale omgeving creëren.