“Zet die medewerker eens op één,” Joris van den Bergh over de toekomst van human risk management

DoorMarloes van Vliet
"Zet die medewerker eens op één," Joris van den Bergh over de toekomst van human risk management cover

Joris van den Bergh is niet de typische security-professional. Hij begon zijn carrière in de entertainmentwereld en bouwde samen met zijn compagnon het grootste evenementenbureau van Nederland, Uitjesbazen en rolde via gamification en samenwerking met gemeenten en politie de cybersecuritywereld in.

Nu staat hij aan het hoofd van Phantom’sLab, een bedrijf dat security Human Risk Management (HRM) fundamenteel anders aanpakt. Tijdens de RSA Conference in San Francisco sprak hij openhartig over weggegooid geld, de gevaren van gamification-hype en waarom de medewerker centraal moet staan, niet de technologie.

[hier komt de podcast]

De harde waarheid: de meeste awareness-programma’s werken niet

Het is een ongemakkelijke boodschap, maar Joris spreekt hem rechtdoorzee uit. Bestaande security awareness-oplossingen schieten tekort en CISO’s weten het zelf ook. “In theorie zou ik zeggen dat dat klopt. De huidige oplossingen voldoen eigenlijk niet aan de eisen die de CISO’s hebben. Op die manier zijn wij er ook ingerold. Het probleem zit niet in de inhoud. De informatie over phishing, CEO-fraude of veilig wachtwoordgebruik is prima. Wat ontbreekt, is de manier waarop die inhoud wordt aangeboden. Medewerkers worden weggejaagd met saaie e-learnings in plaats van aangetrokken door iets wat ze écht willen doen.”

Phantom’sLab noemt hun aanpak bewust geen e-learning, maar het is een HRM systeem. De combinatie van microlearning, storytelling en visuele gamification-technieken zorgt ervoor dat medewerkers vrijwillig terugkomen, niet omdat het moet, maar omdat ze het willen. “Wij brengen precies dezelfde inhoud op een hele andere manier. En dan blijft toch microlearning in combinatie met storytelling het beste werken. En wij bekijken het echt vanuit het standpunt van de medewerker: wanneer wíl die het doen, in plaats van wanneer móét die het doen?”

Centraal figuur in het concept is Phantom: een Deadpool-achtig personage dat medewerkers wekelijks meeneemt in de wereld van cybersecurity. Het karakter leeft ook buiten het platform, op TikTok, Instagram, LinkedIn en YouTube, en trekt al een groeiend jonger publiek dat het organisch volgt.

Waarom klassieke gamification averechts werkt

Gamification is een hype. Iedereen wil het, niemand begrijpt het precies, en de meeste implementaties mislukken stiekem. Joris weet waarover hij praat: zijn vorige bedrijf heette zelfs Gamificationers.

“Mijn theorie is dat het niet werkt. Het ingrediënt van de meeste gamification tools is dat je een klassement hebt. Maar hoe meer medewerkers je hebt, hoe groter de groep buiten die top 10 is. En het duurt eeuwig: mensen stoppen veel sneller met een gamification-oplossing dan als het géén gamification is.” De oplossing van Phantom’sLab: gebruik de visuele aantrekkingskracht van games, maar schrap het klassement. Geen competitie, wel beleving.

De menselijke factor in een AI-gedreven dreigingslandschap

Op de RSA was het onvermijdelijk: AI domineerde elk gesprek. Joris reflecteert op een opvallende uitspraak van een Stanford-professor die hij eerder die week sprak, die waarschuwde dat naarmate aanvallen én verdediging steeds meer door AI worden aangestuurd, de menselijke controle verdwijnt en grote crashes dreigen. Voor security awareness maakt dat de mens juist belangrijker, niet minder. “Wij proberen mensen altijd te triggeren: denk zelf na voordat je een actie verricht. Is dit wel mijn CEO of is het CEO-fraude? Moet ik dit overleggen met mijn collega in plaats van met AI?”

Tegelijkertijd is Joris kritisch op concurrenten die AI inzetten voor contentcreatie. Meer content sneller produceren klinkt efficiënt, maar niet voor de medewerker die het moet consumeren. “Zij proberen de processen efficiënter te maken. Dat is voordelig voor het bedrijf zelf, maar wij zijn er voor de medewerker. En dan zie ik geen voordeel voor die medewerker per se. Wij stoppen heel veel liefde in ons product. Wat AI ons niet kan brengen.”

Gevraagd naar de toekomst schetst Joris een duidelijk pad: van bewustwording, via gedragsverandering, naar cultuurverandering. “Het woord wat ik hier op de beurs ook vaak hoor is ownership. Dat het echt binnen het bedrijf gaat leven. Dat niet alleen de directeur of de CISO, maar ook de manager en de medewerker zelf de verantwoordelijkheid neemt. En dat cybersecurity gewoon onderdeel is van de normale bedrijfsvoering. Horizontaal en verticaal geïntegreerd in de organisatie, dat is het eindplaatje.”

Praktisch advies voor de CISO die een awareness-programma overweegt

Joris sluit af met een aanbeveling die weinig met technologie te maken heeft: “Ga eens sparren met die medewerker. Wat vindt die fijn? Vindt die het fijn om een boek te lezen, een e-learning te volgen, een film te kijken? Ga er eens over in gesprek en kijk wat daaruit komt, vóórdat je een beslissing neemt.”

Leg concurrenten naast elkaar, vergelijk niet alleen de inhoud maar ook de manier van aanbieding en zet de medewerker op één.

Dit interview werd opgenomen tijdens de RSA Conference in San Francisco, als onderdeel van de handelsmissie van InnovationQuarter.

Vergelijkbare berichten