Spreek gewone mensen taal om cybersecurity écht aan te pakken!

Ik ken een groot bedrijf waar het woord cyber vaker valt dan koffie. Er is een roadmap, een maturity model en meerdere taskforces. Iedereen knikt ernstig. Tot ik zag dat klanten konden inloggen zonder MFA. Waarom? Stilte. De CISO keek vermoeid. De wens was er wel 'in theorie'. In de praktijk was de website uitbesteed via marketing, waar hij nét geen zeggenschap over had.

Wachtwoord delen

En daar wel een probleem van ons vak. We weten steeds meer, maar organiseren nog steeds cyber als een IT vraagstuk waardoor de echte ellende niet aangepakt wordt. Daardoor blijven incidenten ontstaan door Henk van Finance die zijn wachtwoord Welkom2026! deelt met een collega.

Zeker bij uitbestede IT zie je dat directies geen kaders stellen, maar vertrouwen op blauwe ogen. 'Het is een aardige vent.' Dat zal. 'Hij heeft ons een cursus gegeven.' Aha, en? 'En we hebben een pentest gedaan.' Gefeliciteerd. 'We doen het al lang zo.' Ik ben nog steeds niet onder de indruk. Wie stuurt hem inhoudelijk aan? Je laat je boekhouder toch ook niet zelf bepalen wat je voor inkoop uittrekt, wat de hoogte van je facturen zijn en hoeveel belasting je betaalt zonder énige vorm van aansturing en inspraak? Uiteindelijk ben jij verantwoordelijk, over je financiële als je digitale bedrijf.

Ondertussen wordt in cyberspecialisten-land Zero Trust uitgelegd alsof niemand meer mag inloggen zonder drie vormen van verificatie, een retina-scan en toestemming van een ethische commissie. Veilig? Zeker. Werkbaar? Nauwelijks. En dus doen sommige organisaties… niets. Want als het in theorie toch nooit perfect kan, waarom zou je beginnen? En oh ja, die (externe) IT-er heeft nog steeds vertrouwenwekkende ogen, dus wat kan ons overkomen?

Gewone dingen

Cybersecurity in de praktijk is geen elite-operatie maar gaat over gewone dingen, gedaan op een consequente manier. Het is niet alleen van je IT, maar van je hele organisatie. Leer je digitale organisatie kennen en stuur consequent aan. Train. Basis op orde, consequent uitgevoerd. Patchen. Back-ups testen. Netwerksegmentatie. Weten wie waar bij kan. Oefen! Dat kan ook heel leuk zijn. Contracten op orde voor verwachtingen van je toeleveranciers en eventuele schade en verantwoordelijkheid.

En voor de specialisten onder ons: praat alsjeblieft in gewone mensen taal met de directie. Want alle maatregelen moeten passen bij wat zíj́ acceptabel vinden qua risico en budget. Dat snapt de directie ook: niet te weinig maatregelen vanwege het risico, niet te veel vanwege de inflexibiliteit en natuurlijk de kosten. Zeker met AI die in veel bedrijven wordt geïmplementeerd is ‘gewone mensen taal’ op digitaal vlak geen luxe meer. Anders hebben we straks allemaal bedrijven die vooruitstrevend aan de slag zijn gegaan, maar waar de winsten via de achterdeur verdwijnt.

Wij cyberspecialisten zijn geen digitale elite-eenheden. We zijn onderhoudsmonteurs. Mouwen opstropen, organisatorische schroevendraaier erbij. Want je komt niet vooruit met grote woorden en dikke rapporten in een la, maar met dingen die je elke dag wél doet. En ja, als je dan een bedrijf helpt zodat de directeur weer de (digitale) touwtjes in handen krijgt, mogen we daar best bij lachen. Dat zijn geen marsmannetjes die landen, dat is gewoon goed werk.