Meer maatregelen maakt niet altijd veiliger

Weblogbericht | 24-06-2025 | NCSC

Een van de beste dingen die een cybersecurityprofessional kan doen voor de organisatie (en ook voor zijn eigen welzijn…), is erkennen dat de meeste mensen zich niet echt druk maken om cyberweerbaarheid. Niet omdat het niet belangrijk zou zijn, maar om je collega’s te leren begrijpen. Want je collega’s buiten het cyberdomein begrijpen is de sleutel naar betere weerbaarheid.

Wij als cybersecurityprofessionals hebben echter een ideologie. Wij willen de wereld met onze inspanningen een stukje veiliger maken en doen daarom op allerlei mogelijke manieren moeite om aandacht te vragen voor het belang van een goede cyberweerbaarheid. Omdat het onze primaire drive is, zijn we bereid hier grote offers voor te brengen in de vorm van aandacht, energie en inspanning. Maar… we beseffen soms te weinig dat de rest van de wereld hier heel anders naar kijkt.

De meeste mensen zijn altijd druk en daarom blij met zo min mogelijk beveiliging omdat ze dan minimaal last hebben van de beperkingen die beveiliging met zich meebrengt. Gewoon hun werk kunnen doen, is hun drijfveer. En waar worden zij op afgerekend? Precies, op ‘hun werk doen’ en niet op die goede beveiliging. Dus doen ze hun werk, worden daarvoor beloond en jij als cybersecurityprofessional bent een roepende in de woestijn.

Meer beveiliging maakt de omstandigheden soms onveiliger

En wat doe jij zelf als je het volgende proces moet doorlopen om een bedrijfsapplicatie te gebruiken?

1.  Je moet om te beginnen inloggen met een Bitlocker-code

2.  Vervolgens met een veertienkarakterlang complex wachtwoord dat elke 2 maanden aangepast moet worden moet inloggen in je Windows-omgeving ... Om vervolgens in te loggen met weer een ander wachtwoord in één of andere cloudoplossing waarbij je de juiste MFA-applicatie moet zoeken (want je hebt er inmiddels meer dan vijf)

3. Daarvan ook de juiste pincode moet intoetsen om die applicatie te ontgrendelen

4. Waarna blijkt dat er een activatie-email is verzonden (want de applicatie was te lang niet gebruikt)

5.  En je probeert weer met een andere, periodiek aan te passen code je smartphone te ontgrendelen waarna je moet inloggen met opnieuw een wachtwoord om in de afgescheiden MDM-container van de organisatie te komen om je bedrijfsemail in te kunnen zien…

Precies! Dan is de kans groot dat je wachtwoorden gaat opschrijven, versimpelen door hetzelfde wachtwoord +1 op te sommen, of nog erger: je maakt geen gebruik meer van de bedrijfsomgeving en kiest voor de schaduw IT-route… want “je wil gewoon je werk doen”.

Wat hier onder ligt, is dat risico-eigenaarschap en daarmee keuzes rondom risicobeheersing veelal niet bij de cybersecurityprofessional liggen. Die liggen in de organisatie bij de informatie- of proceseigenaar en uiteindelijk het bestuur. En ja, die maken - naar ons inzicht – vaak ongeïnformeerde en onlogische risicoafwegingen. Dus wat te doen?  

“Laten we ons wat meer richten op het afdwingen van geïnformeerde risicobesluitvorming in plaats van maatregelen op te dringen”

Laten we ons wat meer richten op het afdwingen van geïnformeerde risicobesluitvorming in plaats van maatregelen op te dringen waarbij we fear, uncertainty and doubt prediken. Het gaat erom dat de risico-eigenaar een analyse maakt van de risico’s en die integreert in bijvoorbeeld de planning, budgettering en strategie van de organisatie. Zorg er voor, met andere woorden, dat je aan tafel zit bij de risico-eigenaren en hen helpt bij het realiseren van een passend niveau van digitale weerbaarheid die aansluit bij de risicobereidheid van de organisatie.  

Door verantwoordelijkheden neer te leggen waar ze thuishoren, verlagen we de druk op cybersecurityprofessionals en verkleinen we de kans op burn-outs. Daarnaast helpen hiermee we de risico-eigenaren de verantwoordelijkheid te pakken waar ze voor aan de lat staan.