Frans Hut is al sinds 1985 actief in informatiebeveiliging en werkt als CISO bij de gemeente Haarlem. In CISO's United gaat hij in gesprek over de balans tussen techniek en menselijk gedrag, de valkuilen van phishingtesten en waarom een veilige meldcultuur begint bij de CISO zelf.
Beveiliging is een schakel, niet het fundament
"Security is natuurlijk enorm belangrijk, maar het is nooit belangrijker dan het proces dat je wilt beveiligen.” Frans gebruikt die insteek als vertrekpunt voor alles wat hij doet als CISO.
“Als security als absolute prioriteit wordt behandeld, verliest het draagvlak van de mensen die het werk uitvoeren. “
Frans vergelijkt het met een dijk: als je één stuk een meter hoger maakt dan de rest, loopt het water gewoon over een lager stukje. Beveiliging is een stelsel van lagen dat in balans moet zijn, geen enkele maatregel die alles afdekt.
“Neem phishing. AI maakt het steeds eenvoudiger om geloofwaardige berichten op maat te sturen. Je kunt mensen trainen om die te herkennen en als ik het heel goed doe, nou, 5% klikt dan nog maar. Maar tooling die 99% van die berichten al tegenhoudt voordat ze de inbox bereiken, levert meer op, zelfs als daarna iedereen klikt op wat er doorkomt. De vraag is dus nooit techniek óf mens. Het zijn ze altijd allebei, en de balans verschuift per situatie.”
Eén boodschap, meerdere afzenders
Privacy, datamanagement, businesscontinuïteit: ze willen allemaal iets van dezelfde mensen. Als elk domein apart naar de werkvloer stapt, ontstaat overload. "Bij de derde actie vraagt iedereen zich af: zijn ze gek geworden? Want ze vragen steeds hetzelfde."
Frans' aanpak: zet risico's naast elkaar, zoek de overlap en breng een gezamenlijke boodschap. "Op die manier ga je met security minder ver dan je misschien had gewild. Maar je hebt wel iets wat steviger is, omdat het beter in balans is. Dat vraagt ook om nieuwsgierigheid naar andere perspectieven. Als iemand een andere mening heeft dan ik, maakt me dat juist nieuwsgierig." Die houding opent gesprekken in plaats van ze te sluiten.
Een andere hardnekkige aanname: als mensen het weten, komt het goed. Frans gelooft daar niet veel van: "Ik ben eigenlijk nog niet tegengekomen dat er geen kennis aanwezig was bij zo'n incident." Wat er dan wel speelt: haast, drukte, verdeelde aandacht. "Het laatste uur voordat iedereen weekend gaat vieren, nog iets urgents, nou, ze klikken zich rot. Het gat tussen kennis en gedrag is niet te dichten met meer informatie. Omgevingsfactoren en stress bepalen mede wat mensen doen, ook als ze het beter weten.”
Heleen van de Groep, Social Ethical Hacker en Gedragsspecialist bij Brooklyn Partners: "Wat Frans beschrijft klopt precies met wat we weten over gedrag onder druk. Ons brein heeft twee modussen: een traag, bewust systeem dat kennis verwerkt en een snel, automatisch systeem dat op de automatische piloot reageert. Zodra we gestrest zijn of onze aandacht verdeeld hebben, schakelen we over naar dat tweede systeem. Wat wel werkt: de omgeving aanpassen. Minder prikkels op hetzelfde moment, duidelijke sociale normen ('wij melden altijd'), en systemen die de juiste keuze makkelijker maken dan de verkeerde."
Phishingtesten: wat ze opleveren en wat ze kapotmaken
Frans heeft gemengde gevoelens over phishingtesten. Hij beschrijft een test die precies viel op het moment dat de gemeenteraad vragen stelde over de begroting. Medewerkers kregen linkjes om antwoorden in te dienen, maar niemand durfde meer te klikken. "Succesvol gedaan, maar ondertussen heb je meer stuk gemaakt en een ander proces loopt vast."
“Wie net heeft geklikt en zich schaamt, staat bovendien niet open voor een direct opgepopte training. Dan zijn mensen minder geneigd die informatie echt tot zich te nemen, laat staan het gedrag daarna te vertonen."
Heleen geeft aan: "Schaamte en angst zijn de slechtste leermeesters. Als iemand net heeft geklikt en dat direct zichtbaar wordt gemaakt, activeert dat vermijdingsgedrag, niet nieuwsgierigheid. Wat beter werkt: leren in een veilige context, los van het toetsmoment. Simulaties mogen, maar dan als groepsoefening waarbij de groep leert, niet het individu gecorrigeerd wordt. En positieve bekrachtiging, iemand die iets meldt belonen, werkt structureel beter dan iemand aanspreken die iets fout deed."
De mens is niet de zwakste schakel
De meldcultuur staat of valt bij de toon die de CISO zet. Frans begint gesprekken na een incident dan ook met zijn eigen verhaal: hij trapte zelf in een phishingmail via LinkedIn. "Ik wilde het graag weten, en ik ben er fenomenaal ingetuind." Die openheid verlaagt de drempel voor anderen. "Als het in een bedrijf helemaal misgaat omdat jij één linkje hebt aangeklikt, dan is het niet jouw schuld. Dan heb ik het als CISO gewoon verkeerd georganiseerd."
Hij maakt het concreet: een medewerker die ransomware had binnengehaald, schaamde zich zo dat hij het bijna twee weken voor zich hield. De back-upcyclus was veertien dagen. Ze hadden nog één dag. Niet melden was bijna fataal geweest.
"Het domste wat je kunt doen is niet melden."
De gouden tip van Frans
De tip die Frans het meest waardevol vindt in zijn loopbaan: vraag willekeurige collega's wat volgens hen jouw grootste probleem is. "Dan krijg je soms de meest verrassende antwoorden." Hij ontdekte zo dat externe partners enorme moeite hadden om gezamenlijke agenda's te plannen, en dat security daar onbedoeld tussen zat. "Als ik dit niet had gevraagd, had ik nooit geweten dat dat zo voelde. De realiteit van een organisatie wordt niet achter het bureau bedacht.”
Frans Hut is CISO bij de gemeente Haarlem. Dit interview is onderdeel van CISO's United, een podcastserie van Brooklyn Partners over leiderschap, gedrag en informatiebeveiliging.