Je kunt alles op orde hebben. De compliance-check is gehaald. NIS2 zit goed. Awarenesscampagnes draaien. Je MDR-dienst monitort keurig de signalen. Alles lijkt te kloppen op papier.
Juist dan ontstaat het risico. Want waar techniek en processen strak zijn ingeregeld, ligt de aandacht zelden bij wat er buiten de lijntjes gebeurt. Het informele moment. Het menselijke oordeel. Het ongemerkte klikje. De kwetsbaarheid zit niet in je beleid, maar in hoe mensen ermee omgaan.
Daar gaat het vaak mis. Niet omdat iemand zijn werk niet wil doen, maar omdat het beleid niet landt. Omdat context mist. Omdat gedrag niet wordt meegenomen in het ontwerp. En als niemand snapt waarom iets ertoe doet, verdwijnt de urgentie als eerste van tafel.
Het resultaat? Een organisatie die op alle fronten lijkt te voldoen en toch vol blinde vlekken zit.
🎧 Liever luisteren dan lezen? Bekijk hier de hele aflevering:
In deze podcast bespreken Jelmer Vorstenburg (Business Lead Security, InSpark) en Paul van de Berg (Security Officer, VvAA) de kwetsbaarheid die niemand op het netvlies heeft.
Waarom juist goed geregelde securityomgevingen grote risico’s lopen. En wat je als organisatie kunt doen om die onzichtbare fouten te voorkomen.
De processen zijn uitgedacht. De controls zijn ingebouwd. Awareness is meegenomen in onboarding. Toch gebeurt het: iemand wijst een MFA-verzoek af of stelt het patchen van een kritieke kwetsbaarheid uit. Niet één keer, maar structureel.
Niet uit laksheid. Niet uit sabotage. Maar omdat niemand op dat moment voelt wat er echt op het spel staat. Omdat het 'waarom' ontbreekt. Omdat gedrag nooit alleen het gevolg is van beleid, maar van overtuiging, context en urgentie.
En die urgentie is lastig te vangen in een beleidsdocument. Zeker als de dagelijkse praktijk draait om werkdruk, targets en gewoon even doorwerken. In die werkelijkheid sneuvelt security zelden door slechte tools, maar door onduidelijkheid, aannames en menselijk gedrag.
Je securitybeleid faalt niet waar je het verwacht. Het faalt in de ruimte ertussen. Daar waar mensen keuzes maken, prioriteiten afwegen en risico’s soms niet eens herkennen als risico.
Het voelt logisch om security op te bouwen als systeem. Je kiest de juiste tools, stelt richtlijnen op en zorgt dat de processen aansluiten op de norm. Alles netjes afgevinkt.
Maar security werkt niet zoals een audit.
Je kunt alles perfect hebben ingericht en tóch gaat het mis. Niet omdat het beleid verkeerd is, maar omdat het gedrag er niet op aansluit.
Een beleid zonder eigenaarschap is een papieren werkelijkheid. In de praktijk gaat niemand een document erbij pakken voordat hij een bestand opent of een wachtwoord deelt. Daar bepaalt gedrag de uitkomst.
Zolang dat gedrag niet meebeweegt, blijft security een afvinklijst zonder effect.
En die veilige basis? Die wordt pas echt robuust als mensen hem begrijpen, voelen en toepassen. Ook als de druk hoog is.
In de podcast haalt Emiel het voorbeeld aan van een medewerker die een MFA-verzoek afwijst, simpelweg omdat het even niet uitkomt. Niet uit onwil. Niet omdat hij het belang niet ziet. Maar omdat de urgentie niet is geland.
Of neem die ene beheerder die updates uitstelt. Geen kwaad opzet, maar wel een risico van 120 dagen. Terwijl iedereen dacht dat patchmanagement geregeld was.
Dat zijn geen incidenten. Dat zijn signalen van een structureel probleem: beleid en realiteit sluiten niet op elkaar aan.
Je kunt de techniek nog zo goed inrichten. Als mensen de impact niet voelen, blijven het knoppen zonder werking.
En dan bepaalt het zwakste bewustzijnsmoment hoe weerbaar je écht bent.
Weerbare organisaties zoeken de oplossing niet in nóg een tool of nóg een training. Zij beginnen bij het fundament: gedrag, bewustzijn en ritme.
Security is daar geen project, maar een denkraam. Iets dat in elke meeting en elk besluit verweven zit. Niet als extra check, maar als standaardonderdeel van de operatie.
Bij deze organisaties is security geen IT-feestje. Architecten, compliance officers en operations trekken samen op. Ze delen niet alleen tooling, maar context. Niet alleen meldingen, maar scenario’s.
Wat werkt wél?
Door security niet bovenop je organisatie te leggen, maar ín je organisatie te bouwen, ontstaat er iets fundamenteel anders. Geen controle van bovenaf, maar bewustzijn van binnenuit.
In de podcast gaan Jelmer en Paul in op situaties waar het beleid stond als een huis, maar de uitvoering onderuit ging.
Ze delen voorbeelden waarin techniek en processen goed waren ingericht, maar gedrag niet meebewoog. Zoals het team dat security pas betrok ná livegang. Of de beheerder die geen patch uitvoerde omdat hij dacht dat het “toch wel ergens gemonitord werd”.
Wat leer je daarvan als CISO of architect?
Dat échte security niet ontstaat in de SOC (Security Operations Center), maar in de dagelijkse keuzes van mensen op de werkvloer.
Deze aflevering laat precies zien hoe je die keuzes wél kunt beïnvloeden en wat er gebeurt als je gedrag, context en ritme integreert in je aanpak.
Soms zit de grootste winst in een ander gesprek. Niet over techniek, maar over gedrag. Niet over nieuwe tooling, maar over het versterken van wat je al hebt.
Sparren met een expert van InSpark helpt om die blinde vlekken in kaart te brengen. Geen demo. Geen pitch. Gewoon een strategisch gesprek.
Plan een strategiesessie met een van onze security-experts.
Wil je alle podcast afleveringen beluisteren? Klik dan hier