In een wereld waarin AI phishing-mails schrijft die perfecter zijn dan die van je collega’s, waarin deepfakes van je CEO om geld vragen en waarin cybercriminelen net zo professioneel opereren als de best georganiseerde bedrijven, lijkt het logisch om de duimschroeven op het gebied van security verder aan te draaien. Toch kiest Roel Gloudemans, Director IT Risk & Compliance bij Conclusion, bewust voor het tegenovergestelde. ‘Échte weerbaarheid komt van mensen die begrijpen wat er op het spel staat.’
Wanneer de dreiging toeneemt, luidt het standaardrecept binnen veel organisaties: versterk de firewall, verscherp de procedures en breid de monitoring uit. Gloudemans (die in het voorjaar van 2025 aantrad bij Conclusion in zijn huidige rol) ziet het anders. ‘Die reflex is begrijpelijk, maar contraproductief. Je creëert een systeem waarin mensen afvinken wat moet, zonder na te denken over waaróm. En juist dat ‘waarom’ is essentieel.’
> LEES OOK: Nieuw Cbw (NIS2) Control Framework helpt organisaties cyberweerbaarheid te versterken
Checkbox-mentaliteit
Gloudemans’ analyse is helder: traditionele security-modellen creëren wat hij een ‘checkbox-mentaliteit’ noemt. ‘Organisaties bouwen indrukwekkende beveiligingsarchitecturen, met laag op laag aan technische maatregelen. Op papier ziet het er fantastisch uit. Maar dan blijkt dat medewerkers hun wachtwoord op een post-it onder hun toetsenbord bewaren, of dat iemand een USB-stick vindt op de parkeerplaats en ‘m uit nieuwsgierigheid in zijn laptop steekt.’
Volgens Gloudemans wordt die checkbox-mentaliteit bovendien versterkt door de manier waarop organisaties veiligheid organiseren. ‘Security is vaak ingericht als een centraal domein, met eigen teams, eigen taal en eigen verantwoordingslijnen. Succes wordt gemeten in audits, rapportages en compliance-scores; indicatoren die vooral laten zien of regels zijn gevolgd, niet of mensen daadwerkelijk weerbaarder zijn geworden. Dat maakt het logisch dat organisaties sturen op wat aantoonbaar is. Maar aantoonbaar veilig is niet hetzelfde als daadwerkelijk veilig.’
Het fundamentele probleem is volgens Gloudemans dat mensen security vaak nog ervaren als iets wat hen in de weg zit. ‘Als je dagelijks tegen procedures aanloopt die jouw werk vertragen, ga je zoeken naar manieren om eromheen te werken. Dat is menselijk, maar daarin schuilt ook de zwakte: niet in de technologie, maar in de disconnect tussen wat security vraagt en wat mensen begrijpen.’
> LEES OOK: Cyberweerbaarheid in 2026: trends en best practices
Eigenaarschap als wapen
Een manier om los te komen van die checkbox-mentaliteit is door het eigenaarschap rondom security bewust lager in de organisatie te beleggen. In plaats van te beginnen bij maatregelen en controles, begint deze benadering bij de vraag hoe mensen zélf naar risico’s kijken en welke verantwoordelijkheid zij daarin kunnen nemen.
In de praktijk betekent dit dat steeds meer organisaties niet langer uitsluitend voorschrijven wat moet, maar medewerkers en proceseigenaren actief betrekken bij het duiden van risico’s. Vanuit die gedachte is Gloudemans ook bij Conclusion te werk gegaan. ‘We beginnen niet met de vraag: welke maatregelen moeten we opleggen? Maar met: hoe zorgen we ervoor dat mensen zélf willen dat hun systemen veilig zijn?’
Dat klinkt misschien soft, erkent Gloudemans, maar de impact is wel degelijk ‘hard’. ‘Een effectieve aanpak is om proceseigenaren de ruimte te geven om zélf hun risico’s te analyseren. Niet: dit zijn de vijftien verplichte maatregelen. Maar: waar zie jij kwetsbaarheden in jouw proces? Wat zou er gebeuren als het misgaat? En: welke oplossingen passen bij hoe jij werkt?’
Niet forceren
Die verschuiving vraagt om vertrouwen en om het accepteren van verschillen tussen teams en processen. Soms kiezen teams er bijvoorbeeld voor om bepaalde security-maatregelen niet te implementeren, vertelt Gloudemans. ‘Dat is acceptabel, zolang ze kunnen uitleggen waarom het risico in hun situatie beperkt is. Mijn rol is niet om te forceren, maar om ervoor te zorgen dat teams alle informatie hebben om een weloverwogen keuze te maken.’ Deze aanpak vereist ook een andere mindset bij security-professionals, erkent Gloudemans. ‘Je moet accepteren dat jouw oplossing niet altijd de beste is voor elke situatie. Dat vraagt nederigheid. Maar het resultaat is wel dat mensen ons zien als partners, niet als politieagenten.’
Eigen laptop, eigen verantwoordelijkheid
Een veelbesproken spanningsveld bij deze benadering is de mate van vrijheid die medewerkers krijgen. In veel organisaties vertaalt security zich in volledig vergrendelde laptops: geen admin-rechten, vooraf goedgekeurde software en updates die centraal worden afgedwongen. Een alternatief is om medewerkers meer regie te geven over hun eigen werkomgeving, gekoppeld aan duidelijke verantwoordelijkheid.
Zo wordt binnen Conclusion gewerkt met laptops waarop medewerkers zelf software kunnen installeren en bepalen wanneer updates worden uitgevoerd, vertelt Gloudemans. ‘De voorwaarde voor deze vrijheid is helder: je bent zélf verantwoordelijk. En dat gegeven verandert het gesprek fundamenteel; als jij verantwoordelijk bent voor updates, let je er beter op. En als jij de consequenties draagt van malware, denk je twee keer na voordat je iets downloadt.’
Die autonomie betekent nadrukkelijk niet dat security vrijblijvend wordt, benadrukt Gloudemans. ‘Vrijheid werkt alleen als mensen ook begrijpen wat de gevolgen van hun keuzes kunnen zijn. Daarom maken we risico’s expliciet; zodat medewerkers weten wat er kan gebeuren als systemen niet worden bijgewerkt, hoe malware zich kan verspreiden en welke consequenties dat heeft voor collega’s en klanten.’
De security-professional van de toekomst wordt minder technisch specialist en meer coach
Volwassenen
Door de afwegingen rondom security bewust laag in de organisatie te leggen, wordt het volgens Gloudemans onderdeel van het vakmanschap van medewerkers zélf in plaats van een extern opgelegde randvoorwaarde. ‘En dat werkt, omdat het appelleert aan professionaliteit in plaats van aan volgzaamheid. Als je mensen behandelt als volwassenen, gedragen ze zich ook zo.’
Tegelijkertijd is deze benadering geen blauwdruk die voor elke organisatie direct toepasbaar is, erkent Gloudemans; in sterk gereguleerde omgevingen, of bij organisaties met een lage digitale volwassenheid, blijft centrale sturing soms noodzakelijk. ‘Cultuur verander je niet van de ene op de andere dag. Als je verantwoordelijkheden te snel loslaat zonder dat mensen begrijpen wat er op het spel staat, creëer je nieuwe risico’s. Het gaat dus niet om vrijheid als dogma, maar om bewust gekozen ruimte, passend bij de context.’
Geen schuldvraag
Natuurlijk gaat het soms alsnog fout; iemand klikt op een phishing-link, of een medewerker installeert per ongeluk malware. Gloudemans: ‘De vraag is: wat doe je dan? Bij veel organisaties wordt zo’n incident een zoektocht naar een zondebok. Wie heeft dit gedaan? Waarom heb je niet opgelet? Dat zorgt ervoor dat de volgende keer niemand zich meldt totdat het probleem onherstelbaar is.’ Volg in deze de principes die ook binnen de luchtvaart worden gehanteerd, schetst Gloudemans. ‘Kijk na een incident niet primair naar de schuldvraag, maar naar de feiten. Wat is er gebeurd? Op welke momenten hadden we het kunnen voorkomen? En wat kunnen we hiervan leren? De focus ligt op het systeem, niet op de persoon.’
Dat klinkt als een detail, maar het effect is groot, zegt Gloudemans. ‘Medewerkers melden zich nu meteen als ze twijfelen over iets. ‘Ik heb op iets geklikt en nu vraag ik me af of dat wel slim was.’ Hoe eerder je dat weet, hoe sneller je kunt ingrijpen. Maar dat werkt alleen als mensen niet bang zijn voor de consequenties.’
Nieuwe bedreigingen
Die cultuur wordt nu extra belangrijk, ziet Gloudemans. ‘AI heeft het speelveld fundamenteel veranderd. Phishingmails zijn niet meer te herkennen aan gebrekkig Nederlands of rare afzenderadressen; ze zijn perfect. Cybercriminelen hebben toegang tot dezelfde tools als wij, en ze zijn minstens zo goed georganiseerd.’
Nog problematischer zijn volgens Gloudemans aanvallen die niet via technologie lopen. ‘We zien bijvoorbeeld steeds vaker dat medewerkers via LinkedIn of andere sociale media worden benaderd, over een nieuwe baan bijvoorbeeld. Eerst gewoon vriendelijk contact, dan langzaam vertrouwen opbouwen, en uiteindelijk vragen naar informatie of systemen. Daar helpt geen firewall tegen.’
Wat dan wel helpt? ‘Dat collega’s naar elkaar omkijken. Dat iemand het opmerkt als een teamlid plotseling vaak wordt gebeld door externe partijen, of enthousiast vertelt over geweldige nieuwe contacten. Dat vraagt sociale cohesie, niet technologie.’
Echte weerbaarheid
Het klinkt riskant, erkent Gloudemans: mensen de ruimte geven, fouten accepteren, niet alles centraal controleren. ‘Maar het alternatief is riskanter. Als je alles probeert te controleren, creëer je een vals gevoel van veiligheid. Échte weerbaarheid komt van mensen die begrijpen wat er op het spel staat; niet omdat het in een policy staat, maar omdat ze zélf de waarde zien van veiligheid. Voor hun werk, voor hun collega’s, voor de organisatie. Natuurlijk: zo’n cultuur bouw je niet in een jaar. Maar organisaties die deze transitie maken, worden fundamenteel weerbaarder.’
En de security-professional van de toekomst? Die wordt minder technisch specialist en meer coach, voorziet Gloudemans. ‘De focus ligt op het helpen stellen van de juiste vragen in plaats van het geven van antwoorden. En op het besef dat de sterkste verdediging niet in systemen zit, maar in mensen die weten waarom ze dingen doen.’
Roel Gloudemans, Director IT Risk & Compliance bij Conclusion
Volg Security Management op LinkedIn
