Serge Buitenhuis: “Als zij het niet snappen, moet jij beter uitleggen”
In de podcastopname zegt Serge Buitenhuis, Risk Management Consultant, dat binnen veel securityteams het beeld bestaat dat bestuurders security niet goed begrijpen. Die vraag zou ook omgedraaid kunnen worden: begrijpen securityteams eigenlijk wel wat het bedrijf doet? Volgens Serge ontstaat een groot deel van de spanning doordat securityprofessionals hun eigen expertise centraal stellen, terwijl bestuurders vooral willen weten wat risico’s betekenen voor processen, dienstverlening en de verantwoordelijkheden waarvoor zij zich dagelijks verantwoorden.
Dit artikel gaat in op de organisatorische aard van security, zoals Serge die schetst. Zijn inzichten laten zien hoe de rol van de CISO verschuift van technisch specialist naar verandermanager, waarom helderheid in verantwoordelijkheden een voorwaarde is voor weerbaarheid, hoe scenario’s beter werken dan risico-overzichten, en in hoeverre NIS2 dit gesprek kan versnellen.
Over Serge Buitenhuis
Huidige rol: Risk Management Consultant
Achtergrond: Serge is consultant en docent Security Risk Management, met ervaring in zowel publieke als private veiligheidsrollen. Hij komt uit de fysieke beveiliging en richt zich de afgelopen jaren volledig op cyberrisico’s, governance en NIS2. Zijn werk draait om het vertalen van security naar organisatorische verantwoordelijkheid en het versterken van de rol van bestuur en CISO in besluitvorming.
Het organisatorische vraagstuk achter security
In het gesprek benadrukt Serge dat informatiebeveiliging in de kern geen technisch domein is, maar een organisatorisch vraagstuk. Volgens hem wordt dat in veel organisaties onderschat. Er wordt snel gekeken naar maatregelen, tooling of nieuwe detectiemethoden, terwijl de basisvraag onbeantwoord blijft: wat proberen we als organisatie te beschermen en hoe organiseren we het eigenaarschap daaromheen. Serge geeft aan dat dit vaak de bron is van frictie. Wanneer deze fundamentele stap ontbreekt, ontstaat een situatie waarin securityprofessionals niet duidelijk kunnen maken waarom bepaalde keuzes urgent zijn, en bestuurders vervolgens moeite hebben om de juiste prioriteiten te stellen.
Serge ziet daarbij een duidelijke verschuiving in de rol van de CISO. Waar de functie oorspronkelijk sterk technisch was ingevuld, ligt de opdracht nu vooral in het verbinden van afdelingen, het duiden van risico’s in begrijpelijke taal en het structureren van besluitvorming. “We hebben iemand nodig die die verandering gaat begeleiden,” zegt hij. In zijn optiek vraagt dat om een andere vaardigheid dan het kennen van kaders zoals de Baseline Informatiebeveiliging Overheid (BIO) of ISO tot op artikelniveau. Het gaat om het kunnen plaatsen van security binnen de bedrijfsvoering, het organiseren van consistent gedrag en het zorgen dat risico’s op de juiste plekken worden besproken. Pas dan kan security een volwaardige bestuurderstaak worden, in plaats van een technisch specialisme aan de zijkant.
Change management in plaats van technische sturing
Security vraagt om veranderkunde; het vermogen om gedrag, prioriteiten en verantwoordelijkheden structureel te organiseren. Volgens Serge heeft de securityfunctie te vaak de reflex om inhoudelijk te overtuigen met risico’s, dreigingen en frameworks, terwijl bestuurders vooral willen begrijpen welke gevolgen beslissingen hebben voor processen, dienstverlening en continuïteit. “Je moet nadenken over hoe je het gesprek voert,” zegt hij, en niet alleen over welke maatregel je technisch gezien zou willen implementeren.
Hij ziet dat traditionele risicoanalyses vaak blijven hangen in tabellen en waardes die weinig zeggen over de werkelijkheid. Bestuurders herkennen zich niet in abstracte matrixen, medewerkers niet in generieke dreigingsbeschrijvingen. Echte duidelijkheid ontstaat wanneer risico’s worden vertaald naar tastbare situaties: wat gebeurt er wanneer een kernproces stilvalt, welke stappen volgen elkaar op, wie moet op welk moment handelen en welke gevolgen heeft dat voor klanten of dienstverlening.
In zijn woorden: scenario’s sluiten aan bij hoe mensen denken en beslissingen nemen. Door risico’s te verankeren in concrete voorbeelden ontstaat een gedeelde taal, wordt eigenaarschap duidelijker en krijgen bestuurders een beeld van wat er werkelijk op het spel staat. Scenario’s zijn daarmee geen aanvulling op risicomanagement, maar een voorwaarde om het begrijpelijk en toepasbaar te maken.
De veranderkundige rol wordt volgens Serge nog belangrijker door de snelheid waarmee organisaties zich moeten aanpassen. Omdat veel risico’s ineens uit onverwachte hoeken kunnen komen, is wendbaarheid niet het gevolg van technologie, maar van samenwerking. Hij ziet dat securityteams die zich uitsluitend richten op maatregelen voortdurend achter de feiten aanlopen. Teams die vroegtijdig het gesprek organiseren met procesverantwoordelijken en bestuurders, en die scenario’s gebruiken om keuzes te verkennen, bouwen volgens hem een veel stabielere basis. Daarmee wordt de CISO minder de beheerder van een risico-overzicht en meer de katalysator van organisatieverandering.
Iedereen moet begrijpen wat van hem of haar wordt verwacht
Serge benadrukt herhaaldelijk dat echte weerbaarheid pas ontstaat wanneer iedereen in de organisatie begrijpt wat zijn of haar bijdrage is. Hij illustreert dit met een voorbeeld uit een onderwijsinstelling waar de directie het onderwijsproces als belangrijkste te beschermen belang had benoemd. Toen hij dezelfde vraag stelde aan de beveiliger bij de ingang, noemde die de fietsendiefstallen als zijn hoogste prioriteit. Volgens Serge toont dit waar het misgaat: als medewerkers niet herkennen hoe hun dagelijkse werk bijdraagt aan het beschermen van de kernprocessen, ontstaat een versnipperd beeld van risico’s en verantwoordelijkheden. “Je wil dat die beveiliger zegt: ik zit hier omdat het onderwijsproces moet doorgaan,” zegt Serge. Dat vraagt om duidelijkheid vanuit het bestuur en actieve ondersteuning vanuit security.
Die helderheid is volgens hem niet iets dat je eenmalig vastlegt in een beleidsdocument, maar iets dat voortdurend moet worden uitgelegd, herhaald en geoefend. Serge ziet dat teams pas consistent gaan handelen wanneer ze begrijpen waarom bepaalde processen belangrijk zijn en wat er kan gebeuren wanneer die verstoord raken. In dat licht pleit hij voor scenario’s als instrument om bewustzijn te vergroten.
Conclusie: cyberweerbaarheid vraagt om een organisatie die weet wat zij wil beschermen
Serge laat in het gesprek zien dat cyberweerbaarheid vooral draait om gedeeld begrip, duidelijke verantwoordelijkheden en consistent handelen in de hele organisatie. Technologie speelt daarin een ondersteunende rol, maar vormt nooit het vertrekpunt. Voor hem begint volwassenheid bij het benoemen van de belangen die centraal staan, het plaatsen van risico’s in herkenbare scenario’s en het structureel betrekken van bestuur en proceseigenaren. De securityfunctie moet dat gesprek organiseren, richting geven en vertalen. Pas wanneer iedereen begrijpt waarom bepaalde keuzes nodig zijn, ontstaat een duurzame basis voor weerbaarheid.
Je kan pas kiezen als je samen begrijpt wat belangrijk is, en pas dan wordt duidelijk welke risico’s er echt toe doen.
Serge Buitenhuis
Het interview met Serge maakt deel uit van een breder onderzoek naar de staat van cyberweerbaarheid in Nederland, uitgevoerd door Security Innovation Stories in samenwerking met KPN. In het rapport delen tientallen securityprofessionals hun visie op innovatie, menselijk gedrag, techniek en de toekomst van digitale weerbaarheid.
