90 procent van cyberincidenten komt door menselijke fouten. Organisaties investeren massaal in cultuurprogramma’s om dat te veranderen. Toch stegen cyberaanvallen in 2024 met 30 procent en bereikte de gemiddelde schade van een datalek 4,88 miljoen dollar.
Socioloog Martijn Flinterman, gespecialiseerd in risicomanagement en veiligheidsmanagement, herkent dit patroon maar al te goed. “Daar gaan we weer,” denkt hij wanneer hij hoort over nieuwe cultuurprogramma’s. “Het is allemaal vreselijk goed bedoeld, maar cultuur wordt gebruikt als containerbegrip waar je uiteindelijk heel weinig aan hebt.” Het probleem zit hem erin dat organisaties ten onrechte geloven dat ze cultuur kunnen maken. “We stoppen vaak bij de conclusie ‘menselijke fout’, maar dan begint het onderzoek eigenlijk pas. Die menselijke fout komt ergens door.”
Flinterman wijst naar wat gedragswetenschappers het “i-frame” noemen – de focus op het individu in plaats van het systeem. “Een stagiair klikt op een verkeerde link en krijgt de schuld. Maar dat kan iedereen overkomen. Laten we eerlijk zijn, we zijn allemaal wel eens ergens ingetuind. En die dingen worden ook steeds geraffineerder. Dus het wordt steeds moeilijker om ze te herkennen. Maar we moeten kijken: waarom werkt het systeem op deze manier? Waarom hebben we hiervoor gekozen als organisatie?”
De controlefantasie ontrafeld
MIT Sloan-onderzoek benadrukt dat cybersecuritycultuur niet enkel als technisch probleem moet worden gezien, maar als managementkwestie. Toch blijven organisaties geloven dat cultuur maakbaar is. Flinterman noemt dit een “controlefantasie”.
“Cultuur is een emergent fenomeen. Het ontstaat organisch vanuit het werk dat je doet, de conflicterende doelen die je hebt, en het type mensen dat er werkt.” Flinterman benadrukt dat cultuur iets is wat ontstaat, niet wat je ontwerpt. “We zeggen vaak dat we de cultuur gaan veranderen, terwijl cultuur eigenlijk een bijproduct is van heel veel andere dingen”, zegt hij. “Organisatieculturen ontwikkelen zich via informele gedragsnormen, door herhaling en imitatie. Die normen verander je niet door als management een nieuwe cultuur af te kondigen.”
Hij ziet vaak dat organisaties focussen op mooie waarden en principes, terwijl de echte cultuur wordt bepaald door praktische omstandigheden. Deze visie krijgt steun van wetenschappelijk onderzoek. Nova Southeastern University toont aan dat organisaties zich steeds meer richten op cybersecuritycultuur omdat hun beveiligingsmaatregelen keer op keer falen. Maar alleen als het management systemen verandert, nieuwe doelen stelt of ander personeel aanneemt, heeft dat gevolgen voor de manier waarop het werk op informele basis wordt gedaan.
Vicieuze cirkel
Die focus op menselijke fouten komt terug in cijfers. Zo laat Fortinet-onderzoek zien dat 56 procent van leidinggevenden gelooft dat hun medewerkers onvoldoende cybersecuritybewustzijn hebben. En PwC-onderzoek toont dat 46 procent van bedrijven toegenomen CEO-ondersteuning heeft geïdentificeerd als belangrijke drijfveer voor cybersecurity-bewuste werkcultuur. Tegelijkertijd laat onderzoek van LastPass en Keeper Security zien dat 53 procent van gebruikers hun wachtwoorden niet heeft veranderd in de afgelopen 12 maanden en 57 procent een wachtwoord op een plaknotitie heeft staan.
“Het probleem is dat we te veel focussen op het individu,” legt Flinterman uit. “We zeggen: jullie moeten beter opletten. Maar we kijken niet naar waarom het systeem het zo moeilijk maakt om het goed te doen.”
Ontwerp als hefboom
Flinterman pleit daarom voor een ontwerpgerichte aanpak. “We moeten kijken naar hoe we systemen kunnen ontwerpen die problemen afvangen voordat mensen ermee geconfronteerd worden. Net zoals sociale mediaplatforms algoritmes gebruiken om bepaalde content te filteren, kunnen we in cybersecurity ook denken aan technische oplossingen die dreigingen wegfilteren voordat ze bij gebruikers aankomen.”
Het principe achter deze aanpak is simpel maar krachtig. Sociaalpsycholoog Kurt Lewin formuleerde het al decennia geleden: maak gewenst gedrag makkelijker en ongewenst gedrag moeilijker. In plaats van eindeloos te blijven hameren op wat mensen verkeerd doen, verander je de omstandigheden zodat ze bijna vanzelf het juiste doen. “Dat ontwerp moet dan wel met de gebruikers samen gebeuren, want een programmering waarmee de gebruikers niet uit de voeten kunnen worden onherroepelijk gecompenseerd door informele, ontwijkende manoeuvres. Onderzoek laat zien dat elke formele maatregel – of dat nou striktere regels zijn of juist meer vrijheid – informele reacties oproept. Juist daarom is het effectiever om systemen zo te ontwerpen dat veilig gedrag vanzelf de weg van de minste weerstand wordt”, zegt Flinterman.
“In plaats van iedereen door dezelfde batterij e-learnings te persen, kies je één concreet doel,” legt de socioloog uit. “Bijvoorbeeld: weg van wachtwoord ‘Welkom01’. Ga daar actief mee aan de slag.” Dat betekent niet alleen zeggen dat mensen betere wachtwoorden moeten kiezen, maar bijvoorbeeld samen met de gebruikers een gebruiksvriendelijke passwordmanager implementeren die sterke wachtwoorden automatisch genereert en onthoudt. Of systemen aanpassen zodat zwakke wachtwoorden technisch onmogelijk worden. Het gaat dus niet om het overtuigen van individuen, maar om het aanpassen van het systeem zodat veilig gedrag de logische keuze wordt.
Drie realiteiten van organisaties
Maar waarom lukt het organisaties zo slecht om die systeemverandering door te voeren? ISACA-onderzoek toont dat 46 procent van cybersecurityprofessionals hoge werkgerelateerde stress rapporteert, en 81 procent schrijft dit toe aan het steeds complexere dreigingslandschap. Een teken dat de huidige aanpak niet werkt.
Flinterman onderscheidt drie kanten van organisaties die vaak door elkaar lopen. Er is de formele kant – de officiële regels, procedures en richtlijnen waar iedereen zich aan zou moeten houden. Daarnaast bestaat er een informele kant: hoe het werk in de praktijk echt wordt gedaan, met alle shortcuts, omwegen en pragmatische oplossingen die niet in de handboeken staan. En ten slotte is er wat hij de “etalagekant” noemt – het beeld dat organisaties naar buiten toe willen uitstralen, waarin alles onder controle lijkt en cybersecurity uitstekend geregeld is.
Deze drie kanten bestaan tegelijkertijd in elke organisatie, maar worden vaak behandeld alsof ze één geheel vormen. Het probleem ontstaat wanneer er te veel focus ligt op die etalagekant, terwijl de spanning tussen formeel beleid en informele praktijk wordt genegeerd. “Iedereen wil graag goed te boek staan. Maar de realiteit maakt dat dingen anders lopen dan afgesproken. Dan moet je naar die spanning kijken, in plaats van roepen dat de cultuur moet veranderen.”
De verantwoordelijkheid ligt bij het management om systemen zo in te richten dat veilig werken makkelijk wordt. “Als medewerkers vanwege tijdsdruk onveilig handelen, ligt het bij jou om dat te veranderen, niet bij hen.” Flinterman pleit voor, wat organisatiepsycholoog Edgar Schein ‘humble inquiry’ noemt, “de kunst om iemand uit zijn of haar tent te lokken, om vragen te stellen waarop je het antwoord niet weet, en om een relatie op te bouwen die is gebaseerd op nieuwsgierigheid en interesse in de ander.”
Het antwoord ligt vaak niet in het maken of veranderen van cultuur, maar in het loslaten van die illusie. Flinterman: “Cultuur ontstaat vanzelf wanneer je de juiste omstandigheden creëert. Stop met het zoeken naar schuldigen en begin met het verbeteren van systemen. Want als veilig werken de makkelijkste keuze wordt, zorgt de cultuur wel voor zichzelf.”