De traditionele rol van de CISO schiet tekort in een wereld waarin cyberdreigingen complexer worden en regelgeving als NIS2 de druk op organisaties opvoert. CISO’s die alleen focussen op compliance en technische maatregelen missen de essentie van duurzame security: de menselijke factor. Een nieuwe generatie pionierende CISO’s maakt het verschil door medewerkers te betrekken, securitycultuur te verankeren en strategisch leiderschap te tonen.
De pionier CISO: voorbij compliance naar strategisch leiderschap
Veel CISO’s zijn gewend om zich te richten op technische oplossingen en het afvinken van compliance-eisen. Maar dat is niet genoeg, stelt Heleen van de Groep, Cyber Security Consultant. "Een pionierende CISO durft verder te kijken dan standaardprogramma’s en past securitymaatregelen aan op de specifieke risico’s van de organisatie. Compliance moet een middel zijn, geen doel op zich. Het vinden van de balans tussen het reageren op incidenten en het werken aan langetermijnoplossingen is daarbij essentieel.”
“Je wilt niet pas in actie komen als het incident al heeft plaatsgevonden. Als je medewerkers al vroeg signalen herkennen en zij bij jou komen met een waarschuwing, dan kun je voorkomen dat een risico escaleert. Met het ambassadeursprogramma creëer dat gewenste tweerichtingsverkeer."
Naast deze verschuiving in mindset krijgt de CISO de komende jaren een andere rol binnen de organisatie. "Met regelgeving als NIS2 zal het bestuur steeds meer verantwoordelijkheid krijgen voor informatiebeveiliging. Om als CISO succesvol te zijn is het van belang dat je helder hebt of maakt wie welke rol en verantwoordelijkheden heeft in jouw organisatie. Ben jij dat, of het bestuur? Moeten de beslissingen op strategisch niveau, dus via het bestuur, of op tactisch niveau genomen moeten worden, via jou als CISO?" aldus Heleen.
Security begint bij de medewerkers
Een veelvoorkomende valkuil in securitybeleid is de eenzijdige focus op techniek. Organisaties investeren in firewalls en geavanceerde detectiesystemen, maar vergeten dat menselijke fouten nog steeds de grootste oorzaak zijn van datalekken en beveiligingsincidenten.
"Veel securityprogramma’s schieten tekort omdat ze geen rekening houden met menselijk gedrag. Medewerkers krijgen een verplichte training en worden geacht daarna 'securitybewust' te zijn. Maar zonder een continue, praktische benadering verandert er niets. Gedragsverandering kost tijd, gemiddeld drie jaar. Een sterke securitycultuur bouw je niet met een eenmalige training, maar met herhaalde, relevante interacties voor je medewerkers. Zij willen meedoen, het is relevant omdat het de medewerkers raakt en juist daarmee maak je impact," legt Heleen uit.
De impact van nieuwe dreigingen op security awareness
Cybercriminelen zitten niet stil en maken steeds vaker gebruik van geavanceerde technieken zoals AI en deepfake. Dit vraagt om een continu vernieuwde aanpak binnen security awareness-programma’s. "Als je medewerkers niet meeneemt in deze ontwikkelingen, creëer je onzekerheid. Onzekere medewerkers maken sneller fouten, en dat maakt je organisatie kwetsbaar. Organisaties moeten investeren in actuele trainingsmethoden die nieuwe dreigingen inzichtelijk maken en medewerkers handelingsperspectief bieden," stelt Heleen.
Het is belangrijk medewerkers te leren om kritisch te zijn op het gebruik van tools zoals ChatGPT. Laat ze ontdekken hoe hackers kunstmatige intelligentie inzetten om aanvallen te faciliteren. "Tijdens de AI training laten we zien hoe je deze technologieën veilig kunt gebruiken en welke risico’s eraan verbonden zijn. Zo geef je jouw medewerkers het zelfvertrouwen om ook in een veranderende wereld alert te blijven," aldus Heleen.
Focus, connectie en energie: de sleutel tot resultaat
Een belangrijk instrument in het opbouwen van een effectief security awareness programma is het combineren van focus, context en plezier. Heleen legt uit: “Door met focus te beginnen en een duidelijke strategie af te stemmen op de specifieke risico’s binnen je organisatie, creëer je een solide basis. De connectie wordt vervolgens gelegd door gerichte activiteiten die passen bij de cultuur van je organisatie. En voor maximale impact zorgen we voor energie, met leuke activiteiten die medewerkers écht bijblijven en gedragsverandering stimuleren.”
Wat gebeurt er hierna? Start met het effectief opbouwen van een ambassadeursnetwerk.
“Medewerkers die als ambassadeur optreden, zorgen ervoor dat de boodschap van security awareness op alle niveaus binnen de organisatie resoneert.”
"Wanneer jouw boodschap gedragen wordt door collega’s, wordt deze niet alleen beter geaccepteerd, maar ook consistent toegepast," voegt ze toe.
