Steeds meer securityprofessionals zijn zich ervan bewust dat het trainen van de menselijke schakel een belangrijke stap is op weg naar digitale veiligheid. Hoe je dat doet, daar verschillen de meningen over.
“Je kunt mensen wel bang maken met phishingcampagnes, maar daarmee zet je de boel eerder op slot dan dat je bewustzijn vergroot,” zegt Tim, ethisch hacker en security adviseur bij Innervate. “Het gaat erom dat je mensen meeneemt, niet afschrikt. Dat vraagt om meer dan techniek alleen.”
Ethisch hacken & security scans
In veel organisaties is het doel van een securitytest: aantonen dat je binnen kunt komen. En hoe kritieker of belangrijker dat waar je binnen bent gekomen, hoe succesvoller de test. Maar security draait niet om het binnenkomen; het gaat erom wat je daarna doet. Een pentest of security scan is vooral een startpunt om het securityniveau te verhogen.
Tim: “Een test is een belangrijk begin, maar er hangt een hele staart aan. Niet alleen een rapport met aanbevelingen, maar ook samen kijken hoe je inzichten vertaalt naar structurele verbeteringen. Waar traditionele partijen stoppen na het aantonen van de kwetsbaarheid, gaat een security adviseur door: die helpt juist om dat stap voor stap op te lossen.”
Waarom bang maken averechts werkt
“Bij phishing is de succesratio nauw verbonden met het aantal kliks. Soms zijn alle middelen geoorloofd. Microsoft-login pagina’s, PostNL mails en ERP-mails worden met uiterste nauwkeurigheid nagebootst. Daarmee beschadig je eigenlijk een soort vertrouwen. Je misbruikt uiteindelijk iemands ‘kerstpakket’ of een andere aanleiding. De betreffende afdeling is je ook niet altijd dankbaar.
Bovendien leidt een succesvolle phishingmail soms tot angst. Medewerkers durven maanden later nog steeds niet op een kerstpakketlink te klikken. Dat klinkt als alertheid, maar is in de praktijk vooral risicomijdend gedrag. En juist dat creëert weer een continuïteitsrisico.”
Mystery guest
“Vooral in de zorg, waar openheid, behulpzaamheid en vertrouwen essentieel zijn, kan deze angst bovendien de cultuur aantasten: als je dan alleen inzet op wantrouwen, snijd je in je eigen waarden. De deur moet namelijk open kunnen blijven voor cliënten, familie en collega’s. Soms letterlijk. Een mystery guest kan duidelijk maken hoe snel iemand binnenkomt, maar het stopt daar niet. Een security adviseur zoekt de balans op tussen veilig werken en tegelijk die open cultuur behouden. Hoe ga je op een respectvolle manier met elkaar om en check je toch even voor wie je de deur openhoudt?”
Lees ook: Mystery guest – wat als de dreiging gewoon binnenloopt
Hoe neem je mensen wél mee?
“Bewustwording gaat niet over angst, maar over inzicht. Niet over ‘klik nooit’, maar over: wat doe je als je twijfelt? Wat zijn de signalen? En bij wie kun je terecht? Het draait om taal, context en gedrag. En dat bereik je alleen door mensen serieus te nemen, ze te betrekken en ze te trainen in situaties die herkenbaar zijn. Met praktijkvoorbeelden uit de zorgje eigen sector. Met campagnes die niet alleen informeren, maar ook activeren. En vooral: met ruimte om fouten te mogen maken – zolang je ervan leert.”
Een nieuwe standaard voor security
“Digitale veiligheid is geen kwestie van tools, maar van gedrag. De menselijke schakel is geen zwakke plek, maar een vertrekpunt. En dat vraagt om een aanpak waarin techniek, training en vertrouwen samenkomen. Niet elke hacker is een boeman. En niet elke klik is dom. Een security adviseur maakt die nuance zichtbaar – en zorgt dat jouw organisatie open, veilig én weerbaar blijft.”
Strategisch verder komen in security?
Plan een vrijblijvend adviesgesprek met een van onze specialisten.
