We investeren miljoenen in firewalls, zero-trust architecturen en dashboards met meer rode vlaggen dan een Formule-1 race. En toch gaat het nog steeds mis. Phishing. Ransomware. Datadiefstal. Menselijke fouten.
Misschien moeten we eens stoppen met doen alsof cybersecurity vooral een technisch probleem is. Want eerlijk is eerlijk: cybersecurity is in de kern een gedragsvraagstuk. En dus een leiderschapsvraagstuk.
Door het schrijven van het nieuwe boek, samen met Erik Jan Koedijk, valt dit kwartje steeds harder. Zo namen we vorige week, in het kader van ons boek, een podcast op met change- en cybersecurity-expert Hannan Ouhlous, Erik Jan’s nieuwe businesspartner. Hannan is geen klassieke cybersecurity-expert. Ze is jong, goed gekleed, slim en barst van de energie. Ze is totaal gepassioneerd over de menselijke aspecten van AI- en dataveiligheid.
De woorden empathie en diversiteit vallen aanzienlijk vaker dan de technische termen die je zou verwachten. Zij is bovendien zeer stellig over het allerbelangrijkste aspect van cybersecurity: leiderschap. Hannan verwoordde het messcherp: ‘Leiders die mensen in het openbaar afbranden, creëren onveilige organisaties. En onveilige organisaties melden geen fouten.’
Bingo. Dáár gaat het mis.
Van veiligheidshelm tot wachtwoord
Vergelijk cybersecurity eens met fysieke veiligheid op de werkplaats. Niemand vindt het raar dat je een helm draagt op de bouwplaats. Of een veiligheidsbril in het lab. Of dat je procedures volgt bij gevaarlijke machines. Niet omdat mensen dom zijn. Maar omdat mensen mensen zijn. Mensen maken soms fouten en soms gebeuren er ongelukken. Hoe we ook ons best doen: je kunt het niet altijd voorkomen, dus moet je voorbereid zijn als er iets misgaat.
We weten dat routine, tijdsdruk en gemak het vaak winnen van gezond verstand. Daarom hebben we afspraken. Discipline. Ritme. En vooral: een cultuur waarin je elkaar mag aanspreken: vergeet je helm niet! Dat vinden we heel normaal.
Cybersecurity werkt precies zo. Sterke wachtwoorden, MFA, updates, geen USB-sticks van onbekende herkomst, verdachte mails melden. Het is geen rocket science. Het is gewoon gedrag. Dagelijks gedrag. En gedrag volgt cultuur. Sterker nog: gedrag creëert cultuur. Altijd.
Het melden van fouten wordt vaak gezien als iets softs. Iets voor HR. Iets vaags. Maar meldcultuur is keiharde risicobeheersing
Arko van Brakel
De onzichtbare firewall zit tussen de oren
De sterkste firewall in je organisatie staat niet in een serverkast, maar bevindt zich tussen de oren van je mensen. Dat is de menselijke firewall.
Maar die firewall werkt alleen als mensen durven twijfelen, fouten durven melden, vragen durven stellen en niet bang zijn voor gezichtsverlies.
En daar komt leiderschap keihard om de hoek kijken.
Want wat gebeurt er als iemand per ongeluk op een foute link klikt en vervolgens publiekelijk wordt afgebrand? Dan leert de organisatie één ding: houd je mond. De volgende keer wordt er niet gemeld. De schade wordt groter. De aanval dieper. De kosten hoger. Dat is geen IT-probleem. Dat is slecht leiderschap.
Meldcultuur is geen soft gedoe
‘Het melden van fouten’ wordt vaak gezien als iets softs. Iets voor HR. Iets vaags. Maar meldcultuur is keiharde risicobeheersing.
In de luchtvaart, de zorg en de industrie weten we dit al jaren. Incidenten worden niet voorkomen door perfecte systemen, maar door snelle signalering. Door mensen die durven zeggen: dit voelt niet goed.
Psychologische veiligheid is dus geen luxe. Het is een randvoorwaarde voor veiligheid. Ook, en misschien juist, in cybersecurity. In het AI-tijdperk wordt dit alleen maar belangrijker. AI vergroot snelheid, schaal en impact. Een foutje is geen foutje meer. Het is een kettingreactie, die sneller uit de hand loopt dan wij aankunnen.
Als mensen dan niet zo vroeg mogelijk een probleem durven melden, ben je kansloos.
Feedback ontvangen is leiderschap
Wat mij steeds duidelijker wordt tijdens het schrijven van dit boek met Erik Jan: we hebben leiders niet alleen overschat in hun vermogen om feedback te geven, maar misschien nog wel meer in hun vermogen om feedback te ontvangen.
Feedback ontvangen is misschien wel de belangrijkste cybersecurity-skill van een leider: Kun je luisteren zonder te verdedigen? Kun je toegeven dat je iets niet wist? Kun je iemand bedanken die een fout meldt?
Leiders die denken dat ze altijd sterk moeten zijn en alles zelf moeten weten, creëren zwakke organisaties. Leiders die kwetsbaarheid tonen, bouwen veerkracht. En ja, dat voelt spannend. Want het betekent dat je controle loslaat. Maar controle is een illusie. Zeker in digitale netwerken. Zeker met AI.
Medewerkers kijken niet naar beleid. Ze kijken naar wat je doet en wat je voorleeft
Arko van Brakel
Cybersecurity = voorbeeldgedrag
Zelf heb ik het in mijn rollen als bestuurder, ondernemer en CEO al vaak ervaren: leiderschap gaat niet om die paar momenten dat je voor een groep staat, een presentatie geeft of zichtbaar bent in de media. Het gaat om het voorbeeld dat je geeft in je dagelijkse gedrag. Medewerkers kijken niet naar beleid. Ze kijken naar wat je doet en wat je voorleeft.
En dat is niet altijd makkelijk. Eigenlijk komt het neer op bewust consistent zijn in je gedrag. Ik vind het bijvoorbeeld belangrijk om op de juiste manier met het maken van fouten om te gaan, fouten als leermomenten te zien en mensen te steunen die een fout maken. Dat lukt me over het algemeen prima, hoewel dat heus niet altijd makkelijk is. En ik weet inmiddels dat het met niet uitmaakt of het over mijn eigen geld gaat, of dat ik directeur ben van een organisatie die niet van mij is. Maar waar ik wel eens de fout in ging, was het omgaan met mijn eigen fouten. Ik ben namelijk heel erg zelfkritisch. En als je mensen dan zien dat je heel streng bent naar jezelf, denken ze onbewust dat je ook wel heel streng zult zijn naar hen. Consistent zijn gaat dus verder dan je denkt. En dat kun je leren.
Als ik dat concreet vertaal naar cybersecurity, dan moet je hieraan denken:
Melden leiders hun eigen fouten, en durven ze die te delen? Gebruikt de directie zelf multi-factor authenticatie en veilige procedures?
Wordt een security-incident gezien als leermoment of als schuldvraag?
Als leiders regels maken die ze zelf negeren, is elke security awareness training weggegooid geld. De menselijke firewall wordt niet gebouwd met posters op het toilet en e-learnings, maar met voorbeeldgedrag. En consistentie. Elke dag opnieuw.
Van angst naar alertheid
Het doel van cybersecurity is juist niet het vergroten van angst. Het doel is alertheid. Alertheid ontstaat alleen in een omgeving waarin mensen zich bewust zijn van de risico’s, maar zich wel degelijk veilig voelen. Veilig om te melden. Veilig om domme vragen te stellen. Veilig om te zeggen: “Ik weet het even niet.”
Dat is geen zwakte. Dat is volwassenheid. Dus als je echt werk wilt maken van cybersecurity, begin dan niet bij je tools, maar bij je leiderschap. Kijk in de spiegel. Vraag jezelf af:
Zouden mensen in mijn team een fout bij mij durven melden?
Als het antwoord nee is, heb je geen cybersecurityprobleem. Dan heb je een cultuurprobleem. En cultuur? Die begint bovenaan: bij jou als leider en bij jouw eigen voorbeeldgedrag.
Hannan verwoordde het prachtig: ‘De menselijke firewall is geen software. Het is gedrag. En gedrag is leiderschap.’
Ontvang elke week - op maandag - het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in en maak kans op een Apple Watch!
