Van bewustwording naar bekwaamheid: waarom cybersecurity begint bij mensen
Cyberaanvallen worden steeds geavanceerder, maar de meest kwetsbare schakel blijft vaak dezelfde: de mens. Daarom verzorgt Kiwa trainingen die organisaties bewust maken van digitale en fysieke risico’s en medewerkers laten zien welke rol zij zélf spelen bij cyberveiligheid. Volgens Kiwa’s Fabian Dijkman ligt de sleutel tot cyberveiligheid namelijk niet alleen in techniek, maar ook in gedrag en cultuur. ‘Cybersecurity begint niet bij technologie, maar bij het veiligheidsbewustzijn van mensen.’
Fabian Dijkman, accountmanager bij Kiwa, ziet in de praktijk dat veel organisaties pas écht grip krijgen op cyberveiligheid als hun medewerkers begrijpen dat zij hierin een actieve rol hebben. Awareness helpt daarbij, maar volgens hem is het slechts het begin: ‘Het maakt medewerkers bewust van digitale en fysieke risico’s en activeert hun rol in het beschermen van de organisatie. Maar bewustwording alleen is niet genoeg.’
Normen als richtingaanwijzers
In de cybersecurity trainingen van Kiwa wordt daarom volgens Dijkman veel aandacht besteed aan normen als ISO 27001, NEN 7510 en IEC 62443. ‘Niet om simpelweg aan de norm te voldoen, maar omdat deze kaders helpen om consistentie in gedrag en houding te creëren. Bij Kiwa geloven we dat awareness pas echt impact heeft als het onderdeel is van een bredere leerstrategie. Een strategie waarin normen als ISO 27001, NEN 7510 en IEC 62443 niet als einddoel worden gezien, maar als richtingaanwijzers. Normen zijn een gedeelde taal voor kwaliteit en verantwoordelijkheid. Als die taal eenmaal deel wordt van de dagelijkse processen ontstaat een organisatie waarin kwaliteit continu wordt bewaakt, verbeterd en gedragen door mensen zelf.’
NIS2 vraagt om aantoonbaar leiderschap
Waar normen helpen om een gemeenschappelijke taal en structuur te creëren, raakt wetgeving als NIS2 dezelfde kern, maar dan op bestuursniveau. NIS2 vereist namelijk een aantoonbare en robuuste implementatie van cybersecuritymaatregelen. Dijkman: ‘Van bedrijven die actief zijn in kritieke ketens of diensten leveren aan NIS2-plichtige organisaties wordt een proactieve, strategische benadering van bestuurders, directie en topmanagement gevraagd. Door middel van een training NIS2 compliance weten bestuurders welke verantwoordelijkheid ze dragen en welke stappen nodig zijn om cyberdreigingen te beheersen en bedrijfscontinuïteit te waarborgen.’
Van bewustwording naar bekwaamheid
‘Awarenesstraining is vaak het eerste moment waarop medewerkers écht stilstaan bij hun rol in digitale veiligheid. Het is een krachtig startpunt, maar geen eindpunt.’ Het echte werk begint volgens Dijkman daarna. ‘Organisaties moeten hun mensen blijven ontwikkelen. Digitale geletterdheid, kritisch denken en risicobewust handelen worden steeds belangrijker. Dat gaat verder dan het herkennen van phishingmails of het kiezen van sterke wachtwoorden. Het strategisch ontwikkelen van menselijk kapitaal zorgt ervoor dat organisaties wendbaar blijven en hun bestaansrecht versterken.’
Gedeelde verantwoordelijkheid
Een organisatie kan pas echt cyberveilig worden wanneer medewerkers eigenaarschap voelen. ‘Mensen wéten vaak wel wat ze moeten doen, maar voelen zich niet altijd verantwoordelijk. Eigenaarschap ontstaat niet vanzelf. Het vraagt om betrokkenheid, autonomie en zien dat je als medewerker daadwerkelijk invloed hebt op het grotere geheel.’ Strategisch leren helpt daar volgens Dijkman bij. ‘Door individueel leren te verbinden aan organisatiedoelen ontstaat een cultuur waarin iedereen begrijpt hoe zijn of haar handelen bijdraagt aan veiligheid. Zo wordt cybersecurity een gedeelde verantwoordelijkheid in plaats van een IT-vraagstuk.’
