WEERBAARHEID KOMT VAN BINNEN Security bij Conclusion:

De meeste organisaties zien cybersecurity nog altijd als een technisch vraagstuk dat kan worden opgelost met de juiste tools, budgetten en procedures. Echte weerbaarheid ontstaat echter niet door controle van bovenaf, maar door bewustwording op de werkvloer, benadrukt Roel Gloudemans, Director IT Risk & Compliance bij Conclusion. “Onze cultuur van eigenaarschap werkt gelukkig ook tegen nieuwe dreigingen.”

Bij de meeste grote organisaties werkt security volgens een vast patroon. Een centraal team stelt vast welke maatregelen nodig zijn, vertaalt die naar verplichtingen, en controleert of iedereen zich eraan houdt. Het resultaat? Medewerkers die security zien als een hindernis, proceseigenaren die afvinken wat moet, en security-officers die continu moeten ‘duwen’ om dingen voor elkaar te krijgen. 

Conclusion opereert als een ecosysteem van gespecialiseerde bedrijven, wat een extra dimensie van complexiteit toevoegt aan securityvraagstukken. Juist daarom draait Conclusion de gebruikelijke aanpak om, vertelt Roel Gloudemans, sinds mei van dit jaar Director IT Risk & Compliance bij Conclusion. “In plaats van bovenaf verplichtingen op te leggen, gaan we actief het gesprek aan met de proceseigenaren binnen onze organisatie. Waar zitten volgens jou de zwakke plekken in je proces? En wat zou de impact op je proces zijn áls er iets gebeurt? Zo komen we samen tot een pakket aan mogelijke beveiligingsmaatregelen. Kies je ervoor om een bepaalde securitymaatregel niet te implementeren omdat je de kans op een specifiek risico laag inschat? Dan heb je in principe mijn zegen.” Uiteindelijk weet alleen die proceseigenaar wat er écht op het spel staat, verduidelijkt Gloudemans. “Een security-officer gaat altijd uit van het ergste scenario, maar voor de meeste processen klopt dat gewoon niet. Als het risico voor jouw proces beperkt is, hoeft die maatregel er wat mij betreft niet koste wat kost te komen. De security-officer zal je wel helpen bij het verkrijgen van dit inzicht en bewaken dat een klein risico in het ene proces geen ongewenste gevolgen heeft in het andere.” 

Als je risico’s systematisch beoordeelt, ontstaat er vanzelf een heldere prioriteitenlijst, vervolgt Gloudemans. “Je kunt nu eenmaal niet alle potentiële risico's volledig afdekken, dat zou financieel simpelweg niet verantwoord zijn. Door bewust keuzes te maken, zet je de beschikbare middelen in waar ze de meeste impact hebben.” 

Die filosofie van eigenaarschap en verantwoordelijkheid ziet Gloudemans inmiddels door de hele organisatie terug. “Waar veel grote bedrijven hun medewerkers bijvoorbeeld een volledig vergrendelde laptop meegeven, vinden wij dat je als medewerker best wel invloed mag hebben op jouw eigen device en hoe je dat inricht. Maar wat erop staat is vervolgens ook echt jouw verantwoordelijkheid. Dat gegeven maakt medewerkers scherper op buitengewone situaties. Als jij zelf verantwoordelijk bent voor updates, merk je het sneller op wanneer ze uitblijven. En als je zelf verantwoordelijk bent voor de gevolgen, denk je wel twee keer na voordat je iets onbekends downloadt.” 

En als het dan toch misgaat? “Een medewerker die in een onbewaakt ogenblik op een phishinglink klikt of per ongeluk malware installeert; je kunt toch nooit helemaal voorkomen dat er iets misgaat. In dat geval kijken we niet naar wie er de fout in is gegaan, maar vooral naar wat we ervan kunnen leren. Wat vooral telt: voorkomen dat je collega’s hetzelfde overkomt.” 

Gloudemans heeft die ‘no-blame’-cultuur naar eigen zeggen afgekeken van de luchtvaart, waar het na een incident primair draait om het boven tafel krijgen van de feiten, niet om het toewijzen van schuld. “Bij bijna elk incident had iemand op meerdere momenten iets kunnen doen om het te voorkomen. Het gaat erom die momenten te identificeren en daar als organisatie van te leren; niet om één persoon de schuld te geven, maar om de hele beveiligingsschil sterker te maken.”

Dat laatste is geen overbodige luxe nu het dreigingslandschap razendsnel verandert. Kunstmatige intelligentie maakt phishing-mails onherkenbaar professioneel, deepfakes van leidinggevenden via Teams worden realiteit, en ondertussen experimenteren medewerkers massaal met nieuwe clouddiensten en AI-tools. Cybercriminelen opereren bovendien steeds meer als professionele bedrijven, ziet Gloudemans. “Malwarebendes zijn tegenwoordig uitstekend georganiseerd. Als de ene groep iets nieuws heeft geleerd, weet de andere het ook snel. De donkere kant is eigenlijk een exacte kopie geworden van de lichte kant; net zo professioneel, net zo gestructureerd, maar dan met andere doelen.” 

Het wordt voor medewerkers al met al veel lastiger om te herkennen wanneer ze te maken hebben met een aanval, voorziet Gloudemans. “Onze cultuur van eigenaarschap werkt gelukkig ook tegen deze nieuwe dreigingen, merk ik. Medewerkers experimenteren bijvoorbeeld volop met nieuwe AI-tools, maar over het algemeen denken ze goed na over wat ze ermee delen. De bewustwording die we jarenlang hebben opgebouwd, werpt nu zijn vruchten af.” 

In opkomst is wat Gloudemans de ‘insider threat’ noemt: onzichtbare ondermijning, waarbij medewerkers via sociale media systematisch beïnvloed worden door kwaadwillende partijen, om hen uiteindelijk te verleiden om informatie te delen of systemen te manipuleren. “Dit type dreiging kun je niet met technologie opsporen. Wat wél werkt: écht contact hebben met je mensen, merken wanneer een collega ergens mee zit en daarover in gesprek gaan. Zo kwam bij de koffieautomaat ooit ter sprake dat meerdere collega’s mooie banen aangeboden hadden gekregen van een recruiter. Valse recruitmentadvertenties, zo bleek later, bedoeld om hen te manipuleren en hun vertrouwen te winnen. Door dat gesprek konden we ingrijpen voordat er schade ontstond.” 

Hoe de (nabije) toekomst eruitziet? Gloudemans durft ‘m wel aan: in 2030 werken veel meer organisaties zoals Conclusion dat doet. “Steeds meer organisaties komen namelijk tot het inzicht dat échte weerbaarheid van binnenuit komt; door eigenaarschap laag in de organisatie te leggen, en door vertrouwen te geven in plaats van controle op te leggen.” Weerbaarheid ontstaat doordat mensen de juiste vragen stellen, benadrukt Gloudemans. “En die vragen stel je alleen als je het écht als je eigen verantwoordelijkheid voelt. Niet omdat het moet, maar omdat je begrijpt wat er op het spel staat; voor jezelf, je collega’s en de organisatie waar je deel van uitmaakt.” 

AI-geletterdheid is geen strategisch voordeel meer, maar een must voor elke organisatie die succesvol wil blijven in een snel veranderende wereld. Volgens artikel 4 van de EU AI Act moeten organisaties voór februari 2025 en programma opzetten om de Al-geletterdheid van hun medewerkers te vergroten.

I-geletterdheid is geen strategisch voordeel meer, maar een must voor elke organisatie die succesvol wil blijven in een snel veranderende wereld. Volgens artikel 4 van de EU AI Act moeten organisaties voór februari 2025 en programma opzetten om de Al-geletterdheid van hun medewerkers te vergroten.