Waarom uw veiligheidscultuur van cruciaal belang is om het cyberrisico te verminderen

Cyberbeveiliging
Waarom uw veiligheidscultuur van cruciaal belang is om het cyberrisico te verminderen

Na twee decennia van het ontwikkelen van steeds meer volwassen beveiligingsarchitecturen, lopen organisaties tegen een harde waarheid: tools en technologieën alleen zijn niet voldoende om het cyberrisico te verminderen. Naarmate technische stapels geavanceerder en capabeler zijn geworden, hebben aanvallers hun focus verlegd. Ze richten zich niet langer alleen op infrastructuurkwetsbaarheden. In plaats daarvan exploiteren ze in toenemende mate menselijk gedrag. In de meeste moderne inbreuken is de initiële aanvalsvector geen exploitatie van nuldagen technologie. Het benutten kwetsbaarheden bij mensen.

De gegevens zijn goed gedocumenteerd. Gedurende vijf jaar op rij heeft het rapport van Verizon Investigations Report van Verizon aangetoond dat het menselijk risico de grootste motor van inbreuken wereldwijd vertegenwoordigt. Uit de nieuwste versie van het rapport bleek dat bijna 60% van alle inbreuken in 2024 een menselijk element betrof. In die context is het echter belangrijk om een gemeenschappelijke misvatting aan te pakken. De uitdrukking “mensen zijn de zwakste link” impliceert dat werknemers schuldig zijn wanneer inbreuken zich voordoen. In de meeste gevallen is dat niet het probleem. Gebruikers falen niet bij de beveiliging, hun beveiligingsomgeving faalt hen. Te vaak wordt beveiliging onnodig complex gemaakt. Concepten worden gecommuniceerd in een verwarrende en overweldigende technische taal, terwijl beleid is ontworpen voor auditors en advocaten, niet de gemiddelde werknemer.

Op zijn beurt is het effectief verminderen van het menselijk risico niet een kwestie van alleen meer technologie -acceptatie of beleidshandhaving. Het gaat erom een sterke organisatorische veiligheidscultuur te cultiveren die veilig menselijk gedrag vereenvoudigt en ondersteunt. Totdat de veiligheidscultuur wordt behandeld met dezelfde prioriteiten en investeringen als uw beveiligingstechnologie, zal het menselijk risico zelfs de best ontworpen technische programma’s blijven ondermijnen.

Beveiligingscultuur definiëren

Elke organisatie heeft al een beveiligingscultuur. De belangrijkste vraag is of het de veiligheidscultuur is die ze eigenlijk willen.

Veiligheidscultuur is per definitie de gedeelde percepties, overtuigingen en attitudes over cybersecurity in de hele organisatie. Geloven mensen dat beveiliging belangrijk is? Voelen ze zich verantwoordelijk? Zien ze zichzelf als een doelwit? Wanneer die geloofsstructuur sterk is, volgt het gedrag. Maar als het ontbreekt, zoals wanneer beveiliging wordt gezien als de taak van iemand anders of als een obstakel voor productiviteit, groeit uw mate van risico exponentieel.

Het probleem is niet dat mensen er niet om geven hun organisatie te beschermen. Het is dat beveiliging niet ingebed is in hoe ze werken, in plaats daarvan bovenop gelaagd als iets waarvan ze verwacht dat ze rond navigeren. Als we willen dat mensen zich veilig gedragen, moeten we voorwaarden creëren die dat gedrag ondersteunen. Medewerkers passen hun gedrag aan op basis van wat de omgeving beloont, in staat en verwacht. Beveiliging is niet anders. Om de veiligheidscultuur te versterken, moet de nadruk liggen op het ontwerpen van een dagelijkse omgeving die de perceptie en beslissingen van mensen vormt.

In de praktijk betekent dit het evalueren van de vier grootste factoren van uw beveiligingscultuur: leiderschapssignalen, betrokkenheid van beveiligingsteam, beleidsontwerp en beveiligingsopleiding.

  1. Leiderschapssignalen: Cultuur begint bovenaan. Als leiders de beveiliging als een prioriteit beschouwen door ervoor te budgetteren, het aan bonussen te binden of de CISO in de org -kaart te verheffen, stuurt het een duidelijk bericht. Als ze dat niet doen, zal geen enkele hoeveelheid lippendienst die perceptie veranderen.
  2. Beveiligingsteambetrokkenheid: Het zijn niet alleen leidinggevenden die cultuur vormen. De dagelijkse ervaring die mensen met beveiliging hebben, hangt vaak af van het beveiligingsteam zelf. Is het beveiligingsteam nuttig of vijandig? Zijn ze duidelijk of verwarrend? Zijn het enablers of blokkers? Dat is allemaal belangrijk.
  3. Beleidsontwerp: Beleid is een constant interactiepunt. Als ze overdreven technisch, moeilijk te volgen of vol wrijving zijn, eroderen ze het vertrouwen. Als ze eenvoudig en intuïtief zijn, versterken ze het idee dat beveiliging haalbaar is.
  4. Beveiligingsopleiding: Dit is vaak het meest zichtbare deel van een programma, maar ook de meest verkeerd begrepen. Als uw training saai, verouderd of irrelevant is, geeft dit aan dat beveiliging er niet echt toe doet. Wanneer het boeiend en van toepassing is, bouwt het geloof op dat gedrag stimuleert.

Deze vier gebieden bieden ook een kader voor het meten van uw cultuur. Vraag uw werknemers wat zij denken en voelen over leiderschap, het beveiligingsteam, het beleid en de training. Hun antwoorden zullen u vertellen of uw cultuur voor u of tegen u werkt.

De vier hefbomen van de veiligheidscultuur afstemmen

Uitvoerende ondersteuning kan de toon zetten, maar de beveiligingscultuur wordt bepaald door wat werknemers dagelijks tegenkomen. Als die geleefde ervaringen niet consistent zijn met de boodschap van leiderschap, valt geloof af. Mensen horen misschien dat beveiliging een prioriteit is, maar als het beleid onduidelijk is, voelt training niet verbonden of beveiligingsteams rigide en ongenaakbaar, er wordt snel verholpen.

Dit is de reden waarom afstemming voor alle vier culturele hefbomen – leiderschap, veiligheidsteambetrokkenheid, beleid en training – essentieel is. Wanneer leiderschap zichtbaar prioriteit geeft aan beveiliging, door middel van middelen en verantwoording, geeft dit strategisch belang aan. Maar die boodschap moet worden versterkt door hoe het beveiligingsteam omgaat met het personeelsbestand. Als werknemers zich gestraft voelen voor fouten of stonewalled wanneer ze om ondersteuning vragen, zijn ze minder geneigd om actieve deelnemers te zijn in het verdedigen van de organisatie.

Beleidsontwerp speelt een even belangrijke rol. Wanneer het beleid lang, technisch of onpraktisch is, zullen werknemers in gebreke blijven tot gemak, zelfs als het risico introduceert. Eenvoudigere, meer intuïtieve begeleiding maakt het gemakkelijker om veilig te handelen zonder de bedrijfsresultaten te vertragen. Hetzelfde principe is van toepassing op training. Als het verouderd of generiek is, wordt het een check-the-box-oefening. Maar wanneer het relevant en rolspecifiek is, helpt dit dat de beveiliging deel uitmaakt van de taak-geen add-on.

Klaar om uw veiligheidscultuur te operationaliseren?

Doe mee dit najaar bij Sans Orlando herfst 2025waar ik de nieuw bijgewerkt zal onderwijzen LDR521: Beveiligingscultuur voor leiders. Deze cursus biedt een stapsgewijze framework om uw huidige cultuur te beoordelen, de topmogelijkheden voor verandering te identificeren en een omgeving op te bouwen waar veilig gedrag de norm is. Je vertrekt met praktische tools, real-world casestudy’s en een leiderschapsklaar playbook dat je terug kunt nemen naar je team.

Registreer hier voor Sans Orlando Fall 2025 hier.

Opmerking: Dit artikel werd bijgedragen door Lance Spitzner, senior instructeur bij het SANS Institute. Lees hier meer over zijn achtergrond en ervaring.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google investeert in Modular Power Reactor voor zijn AI -technologie

De Android -malware richt zich op 700+ apps

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]