Opleidingszoeker
Login

Je medewerkers zijn niet de zwakste schakel in cyberbeveiliging

BlogCyber resilience, Cyber securityDigitale Transformatie en AIAlgemeen Management
Martin Butler

Door Martin Butler

Professor of Management Practice

04 maart 2025

Cyber security experten zeggen al jaren dat individuele medewerkers de zwakste schakel zijn. Op elke phishing aanval, hergebruik van wachtwoorden of datalek wordt gereageerd met: Waren onze medewerkers maar voorzichtiger geweest.

iStock-1461110109

Een analyse van cyberincidenten en gesprekken met bedrijfsleiders brachten echter andere volgende inzichten naar boven. In dit artikel gaan we dieper in op de vier belangrijkste uitdagingen van cyberbeveiliging, en die houden geen verband met eventuele slordigheden van medewerkers.

1. Cyberbeveiliging begint aan de top

Leiderschap bepaalt de toon

Geen prioriteit geven aan cyberbeveiliging of het niet toewijzen van de juiste middelen is een uitdaging voor organisaties van welke omvang ook. Wanneer het management digitale weerbaarheid niet integreert in de besluitvorming, blijven IT-beveiligingsinitiatieven ondergefinancierd, reactief of geïsoleerde initiatieven.

Zonder proactieve investeringen riskeren organisaties kostbare wettelijke sancties en operationele onderbrekingen. Bedrijven met een sterke digitale weerbaarheid, hanteren de juiste prioriteiten:

  • Er wordt bewust budget vrijgemaakt voor cyberbeveiliging
  • Digitale risico’s staan hoog op de agenda van het management
  • Beveiliging wordt geïntegreerd in de projectplanning

Zolang de bewustmaking van medewerkers rond cyber geen prioriteit is in de organisatie, moet je geen beterschap verwachten. Als medewerkers het symptoom zijn van gebrekkige weerbaarheid, is het gebrek aan actie van leiderschap vaak de oorzaak.

"Cyberweerbaarheid is niet alleen een IT-kwestie—het is een leiderschapsprioriteit."
Martin Butler
Professor of Management Practice in Digital Transformation

2. Cyberbeveiliging bij de leveranciers: een verborgen zwakte

Brengen je partners je in gevaar?

Een van de grootste risico's vandaag komt niet van interne medewerkers, maar van een kwetsbare toeleveringsketen. Aanvallers richten zich steeds vaker op softwareleveranciers, IT-providers en zelfs cybersecuritybedrijven.

De recente inbreuken bij beveiligingsbedrijven CrowdStrike en KnowBe4 tonen aan dat zelfs bedrijven die zwaar investeren in cyberbeveiliging niet vrij zijn van aanvallen van buitenaf.

Organisaties hebben er dus alle belang bij om hun leveranciers de volgende vragen voor te leggen:

  • Voldoen ze aan beveiligingsnormen zoals ISO 27001 of SOC 2?
  • Hoe verifiëren en beveiligen ze software-updates?
  • Hanteren ze Zero-Trust- en Security-by-Design-principes?

Het is niet langer voldoende om aan te nemen dat je leveranciers veilig zijn - je hebt bewijs nodig.

"Je hoeft geen doelwit te zijn om slachtoffer te worden."
Martin Butler
Professor of Management Practice in Digital Transformation

3. De cybertaalkloof overbruggen

Praten je leiders 'cyber'?

Cyber resilience is nu misschien wel een prioriteit in de raden van bestuur, maar veel topmanagers worstelen nog steeds met het communiceren van de mogelijke risico’s. Wie de risico’s begrijpt, kan:

  • De juiste vragen stellen
  • Veronderstellingen in vraag stellen
  • Geïnformeerde beslissingen nemen in plaats van uitsluitend te vertrouwen op IT-experts

Met regelgeving zoals DORA, NIS2 en de EU AI Act die raden van bestuur verantwoordelijk houden voor cyberbeveiliging, moeten leiders cybertaal spreken om naleving te garanderen, boetes te vermijden en incidenten effectief te managen.

Volgen je leidinggevenden de juiste opleidingen om bewust te worden van de gevaren? Test je hun vermogen om te reageren tijdens gesimuleerde aanvallen?

4. Mensen zijn niet de zwakste schakel—gedrag is dat wel

Geef het systeem de schuld, niet de mensen

We geven piloten niet de schuld van turbulentie - we geven hen de juiste opleiding,  protocollen en automatisering om gepast te reageren. Hetzelfde zou moeten gelden voor cyberbeveiliging.

Mensen klikken niet opzettelijk op onveilige links of gaan niet bewust onzorgvuldig om met data; ze worden gedreven door cognitieve biases. Bewustwording moet

  • Verder gaan dan one-size-fits-all benaderingen
  • Herkenbare situaties demonstreren
  • Gedragswetenschap gebruiken om nieuwe gewoontes aan te leren

Net zoals je marketingboodschappen afstemt op verschillende doelgroepen, moet cyberbeveiligingstraining aangepast worden aan de rollen en risicoprofielen van medewerkers.

"Stop met gebruikers te beschuldigen - stimuleer gedragsverandering."
Martin Butler
Professor of Management Practice in Digital Transformation

Conclusie: Cyber resilience is een collectieve verantwoordelijkheid

Een digitaal veerkrachtige organisatie vergt meer dan de verouderde overtuiging dat mensen de zwakste schakel zijn. Daarom moeten bedrijven:

  • Op managementniveau prioriteit geven aan cyberbeveiliging
  • De risico's in de toeleveringsketen erkennen en beperken
  • Leidinggevenden informeren hoe ze effectief over cyberrisico’s moeten communiceren
  • De medewerkers opleiden in cyberbewustzijn in plaats van hen de schuld te geven

Wanneer cyber security een gedeelde verantwoordelijkheid wordt, verschuiven organisaties van een reactieve naar een proactieve aanpak.

Meer info?

Ontdek onze online managementopleiding ‘Cyber Resilience for Business Leaders’ of neem contact op met  Annelies Claeys. Ze beantwoordt met plezier jouw vragen: annelies.claeys@vlerick.com of +32 (0)9 210 98 04.