Meer regels, meer controles, meer rapportages. Nederlandse organisaties reageren op cyberrisico’s zoals ze al decennia doen: door de teugels strakker aan te trekken. Maar wat als die aanpak organisaties juist kwetsbaarder maakt? Organisatieadviseur Gerben Bekooy ziet dagelijks hoe de controle-reflex averechts kan uitpakken. “We creëren illusies van veiligheid in plaats van echte weerbaarheid.”
Bekooy werkt al 25 jaar in de hoge-risico industrie, van petrochemie tot IT. Hij begeleidt organisaties bij het omgaan met complexiteit en onzekerheid. Wat hij steeds vaker tegenkomt, is een paradox: organisaties die veiligheid en beveiliging willen verbeteren door meer te controleren, maar daardoor juist minder wendbaar worden. “Organisaties hebben uit angst voor risico’s en door compliance-eisen hun regels en controles verdubbeld tot verviervoudigd. Het paradoxale gevolg: medewerkers worden gedwongen procedures te omzeilen om hun werk gedaan te krijgen, waardoor mensen creatiever worden met boekhouding dan met echte oplossingen.”
Het probleem begint met een fundamentele misvatting, ervaart Bekooy in risicomanagement sessies. “Daar zitten CISO’s en compliance officers naar Excel-sheets te staren vol risico’s en maatregelen. Die maatregelen? Veelal hetzelfde rijtje: beleid, procedure, controle, audit, inspectie, training.” Hun definitie van veiligheid is doorgaans: voorkomen dat het fout gaat.
Halfvol versus halfleeg
Daar zit volgens de organisatieadviseur de denkfout. “Stel dat je het omdraait: het gaat niet om voorkomen dat het fout gaat, maar om zekerstellen dat het goed gaat. Dat klinkt als glas halfvol versus halfleeg, maar het gaat om mindset.” Het verschil wordt duidelijk wanneer je medewerkers vraagt wat ze nodig hebben om succesvol te zijn. “Zeggen ze dan dat ze meer procedures en audits nodig hebben? Nee. Ze zeggen: geef me tijd, vertrouwen, goede spullen, adequate informatie. En af en toe een complimentje.” Deze mensgerichte benadering sluit aan bij wat het NCSC recent benadrukte over het belang van veiligheidscultuur.
Met minder compliance en control, en meer vertrouwen en vakmanschap pleit Bekooy niet voor het afschaffen van regels. “Integendeel, het completeert elkaar. Leg iets minder focus op alles beheersen, en iets meer focus op het gezamenlijk opbouwen van vertrouwen en vakmanschap zodat we adequaat kunnen meeveren met onvoorziene gebeurtenissen.”
Mens versus systeem
Maar waarom kiezen organisaties dan toch steeds voor meer controle? Die focus ontstaat uit een fundamenteel misverstand over de aard van werk, legt Bekooy uit. Digitale systemen zijn robuust en voorspelbaar – als je ze goed ontwerpt, doen ze precies wat je programmeert en herhalen dat feilloos.
Mensen werken anders. “Je doet geen twee dagen achter elkaar hetzelfde. Een gesprek op maandagochtend zou vrijdag totaal anders verlopen, ondanks dezelfde intenties van beide gesprekspartners.” Juist dat menselijke aanpassingsvermogen proberen organisaties te beheersen door zoveel mogelijk te automatiseren en digitaliseren. En daar zit de crux. De wereld verandert zo snel dat wat vandaag perfect ontworpen is, morgen ontoereikend kan zijn. “Het ontwerp van systemen is eigenlijk een moeilijkheid op zich. Wat we willen is elasticiteit.”
Grip loslaten
Die elasticiteit illustreert Bekooy met het verhaal van Netflix. “Zij begonnen als een klein postorderbedrijf en groeiden uit tot een wereldwijde streamingdienst. Hun netwerk werd door die enorme en snelle groei zo groot en complex dat niemand meer begreep hoe het in elkaar zat. Niemand wist precies hoe en waarom het zo goed functioneerde.”
Voor veel organisaties zou dit een nachtmerrie zijn. Netflix maakte er een kracht van. “Ze realiseerden zich: we gaan die grip ook niet meer krijgen. We moeten accepteren dat we geen begrip meer hebben van hoe ons netwerk precies werkt. In plaats van controllability moeten we focussen op observability en detectability van gebeurtenissen in ons systeem.”
Dat leidde tot chaos engineering – het bewust introduceren van storingen om te testen hoe het systeem reageert. “We worden altijd opnieuw verrast door nieuwe manieren waarop dingen kunnen falen. Netflix heeft dat omarmd. Ze vertrouwen op het adaptieve vermogen van hun mensen om te observeren hoe het systeem reageert op disrupties en om vervolgens het systeem te versterken.”
Creatief boekhouden
Nederlandse organisaties kiezen vaak de tegenovergestelde weg. Bekooy ziet regelmatig wat hij het ‘watermeloeneffect’ noemt: van buiten groen, van binnen rood. “Ik was bij een organisatie waar op donderdag 700 acties overdue, dus op rood, stonden en een week later nog maar 14. Alles stond op groen, iedereen was blij. Maar de vraag is: wat hebben we werkelijk gedaan? Hebben we echt 686 acties afgehandeld, of zijn we creatief gaan boekhouden?”
Die creativiteit ziet hij overal. Deadlines die verschoven worden, acties die ‘door de vingers’ gereed gemeld worden, cijfers die aangepast worden om in rapportages te passen. “We maken risicoanalyses, we weten waar onze zorgen liggen, we bouwen controles in. Maar echte verbinding en reflectie – daarin schieten we tekort.”
Die creativiteit met cijfers ontstaat omdat de controle-reflex organisaties in een vicieuze cirkel duwt. Meer regels leiden tot meer omzeiling, wat leidt tot meer schijnveiligheid, wat weer leidt tot nog meer regels. “We proberen onvoorspelbaarheid te beheersen met voorspelbare controles,” zegt Bekooy. “Maar echte weerbaarheid krijg je niet door meer regels te bedenken voor elke mogelijke situatie. Je krijgt het door te investeren in het vermogen om wendbaar te reageren op wat je niet had voorzien.”
Vermogens van veerkracht
Die mindset-omslag – van voorkomen naar wendbaar reageren – vertaalt zich in vier concrete vermogens die organisaties kunnen ontwikkelen – bij voorkeur met input van de mensen die het werk daadwerkelijk doen. De eerste is ‘terug kunnen veren’, oftewel “vroeg signalen oppikken voordat problemen escaleren”, legt Bekooy uit. “In managementteams vraag ik soms: wie is er verrast dat collega X overspannen is? Als vijf van de zeven handen omhoog gaan, dan zagen ze het dus aankomen. Dan is mijn vraag: Waar lag hun rol?”
Het tweede vermogen is ‘tijd kunnen winnen’, oftewel het inbouwen van buffers en het creëren van schaalbaarheid. “In de IT-wereld zie je dit al: organisaties die binnen een week hun capaciteit kunnen verdubbelen als er een grote klant bijkomt. Dat is veerkracht in de praktijk.”
Het derde vermogen is het belangrijkste: ‘continu kunnen en mogen aanpassen aan wijzigende omstandigheden’. “Mensen zijn altijd gefocust op effectief werk gedaan krijgen. Als het niet gaat zoals het moet, dan moet het maar zoals het kan. Een computer zegt nee als iets niet voldoet, maar mensen vinden altijd een manier om te zorgen dat het werkt, ook als het niet werkt.”
Slimmer omgaan met spanning
Het vierde vermogen wordt vaak vergeten: ‘continu leren van wat werkt en wat niet’. “Als we voor de vierde keer deze maand een controle moeten oprekken, wordt het dan niet tijd dat we inzien dat die stap niet op zijn plek staat?” Hier botsen de dagelijkse werkelijkheid van wendbare teams met de langcyclische compliance-wereld. “En daar zit die spanning tussen controle en vertrouwen.”
Die spanning is begrijpelijk, zegt Bekooy. Organisaties zitten klem tussen externe compliance-eisen die ze niet kunnen negeren en interne wendbaarheidseisen om concurrerend te blijven. “We kunnen niet zomaar alle regels overboord gooien, maar we kunnen wel slimmer omgaan met die spanning.”
Slimmer omgaan betekent vooral eerlijkheid over wat controles werkelijk opleveren. “Stop met doen alsof alle rapportages kloppen. Erken dat mensen creatief zijn met cijfers om compliance te halen. En benut die creativiteit – laat mensen zelf bedenken hoe ze hun werk effectief én aantoonbaar kunnen doen.” Het gaat om bewuste keuzes maken: welke controles zijn echt nodig voor veiligheid, en welke bestaan alleen voor de schijn?
Adaptief vermogen
Voor de toekomst ziet Bekooy de oplossing in zoveel mogelijk scripten en automatiseren, de mens eruit halen waar het gaat om routinecontroles. “Maar daarmee verplicht je jezelf om juist meer in de data te kijken. Want we worden echt lui. We hebben geen idee wat we rapporteren. Cijfers zijn groen dus het zal wel goed zijn. Dat is niet waar.”
De rol van CISO’s, kwaliteitsmanagers en compliance officers verandert daarmee. “Zij moeten meer betekenis gaan geven aan de inhoud van rapportages,” zegt Bekooy. “Stop met het accepteren van watermeloeneffecten – alles staat op groen maar van binnen is het donkerrood. Als je blind vertrouwt op groene cijfers zonder te weten wat er echt gebeurt, dan is dat misplaatst vertrouwen.”
Voor die managers betekent dit een fundamenteel andere manier van werken. In plaats van meer regels bedenken als reactie op problemen, moeten ze leren vragen stellen: waarom gaat het meestal wel goed ondanks dat we de regels niet volgen? Wat kunnen we leren van die dagelijkse successen?
“Het gaat er niet om óf er problemen ontstaan, maar wanneer – en hoe effectief je daarop reageert,” vat Bekooy samen. “Echte weerbaarheid krijg je niet door meer controles, maar door te investeren in het adaptieve vermogen van je mensen. Zij zijn degenen die problemen oplossen als systemen falen.”