Zoeken
Sluit je aan
& inloggen

Waarom jouw beveiligingsstrategie dringend een menselijke upgrade nodig heeft

22 oktober 2025 14:56

Waarom jouw beveiligingsstrategie dringend een menselijke upgrade nodig heeft

Door Javvad Malik, Lead CISO Advisor bij KnowBe4

Jarenlang is bij ruim 60 procent van de inbreuken een menselijke factor betrokken. Social engineering is daarbij een van de belangrijkste aanvalsvectoren. Door de inzet van AI zijn phishingmails en social engineering-aanvallen zó overtuigend geworden dat ze nauwelijks nog van echt te onderscheiden zijn. Organisaties moeten hun beveiligingsstrategie aanscherpen en voorzien van een menselijke upgrade. Het is tijd om technologie en mens samen te brengen in één geïntegreerde aanpak: Human risk management (HRM).

Van losse maatregelen naar één strategie

HRM is geen modewoord, maar een fundamentele strategische verschuiving. In plaats van mensen en technologie als gescheiden domeinen te behandelen, brengt HRM ze samen tot één samenhangend systeem. Je kunt je niet ‘uit een phishingmail firewallen’, en je kunt medewerkers niet ‘uit een slecht beveiligingsproces trainen’.

Een effectieve strategie analyseert menselijke gedragingen en technologische zwaktes met dezelfde scherpte. Het doel is niet om fouten af te straffen, maar om een ecosysteem te bouwen dat rekening houdt met hoe mensen écht werken: onder tijdsdruk, afgeleid, goedgelovig of juist te zeker van hun zaak.

Een moderne aanpak verkleint tegelijkertijd het aanvalsoppervlak met slimme technologie én versterkt de weerbaarheid van gebruikers. Cruciaal daarbij: systemen moeten niet worden ontworpen voor de ideale, hyperalerte medewerker, maar voor de realiteit van alledag.

De menselijke factor: psychologische snelkoppelingen

Om dat goed te doen, moet je het menselijke ‘besturingssysteem’ begrijpen. Wanneer je een e-mail ontvangt met het onderwerp “Dringende factuur” van een onbekende afzender, ontstaat vaak onmiddellijk een gevoel van onrust en de neiging om snel te handelen. Dat is geen logische fout — het is een ingebouwde reactie die aanvallers doelbewust uitbuiten.

Ze spelen in op cognitieve biases:

  • Authority Bias maakt dat een e-mail van de “CEO” bijna onmogelijk te negeren is.
  • Optimism Bias doet je denken: “Mij overkomt dit toch niet.”
  • Familiarity Bias en het Illusory Truth Effect zorgen dat een vervalste loginpagina betrouwbaar aanvoelt, simpelweg omdat het ontwerp bekend voorkomt.

Traditionele securitytraining probeert deze automatische reflexen te bestrijden met rationele argumenten. Dat is een ongelijke strijd. De doorslag valt in de fractie van een seconde tussen de prikkel (de e-mail) en de reactie (de klik).

De kracht van de pauze

De oplossing ligt in wat we Cyber Mindfulness noemen: het vermogen om dat automatische moment te herkennen en bewust een korte pauze in te lassen. In die pauze krijgt je rationele brein de kans om vragen te stellen als: “Klopt dit wel?” of “Is dit logisch?”. Zelfs ervaren securityprofessionals trappen in phishinglinks, niet door gebrek aan kennis, maar door afleiding of multitasking.

HRM probeert het menselijk brein niet te herprogrammeren. Het creëert een omgeving waarin die pauze vanzelf wordt uitgelokt — precies op het moment dat het ertoe doet.

Gedragswetenschap als hefboom

Daarvoor biedt gedragswetenschap krachtige instrumenten. Een bekend model is BJ Fogg’s B=MAP (Behavior = Motivation + Ability + Prompt). In plaats van alleen te focussen op motivatie — die moeilijk vol te houden is — richt een effectieve HRM-aanpak zich op:

  • Verhogen van Ability: maak veilig gedrag extreem eenvoudig. Een one-click Phish Alert Button verlaagt de drempel drastisch.
  • Gerichte Prompts: geef medewerkers precies op het juiste moment subtiele nudges, zoals contextuele banners of realistische simulaties, die een reflectiemoment veroorzaken.
  • Dit principe, bekend als Nudge Theory, draait om het slim ontwerpen van keuzes: de veilige optie moet ook de makkelijkste zijn. Niet tegen de menselijke natuur in werken, maar er juist gebruik van maken.

Samenspel tussen technologie en gedrag

Cybersecurity is geen strijd tussen mens en machine, maar een samenspel tussen technologie en gedrag. Human risk management erkent dat mensen geen zwakke schakel zijn, maar een cruciale verdedigingslinie — mits je ze ondersteunt met slimme processen, doordachte technologie en inzicht in hoe ze werkelijk handelen. De organisaties die dat begrijpen, bouwen niet alleen een sterkere beveiliging, maar ook een veerkrachtigere securitycultuur.

terug

Reacties op dit artikel

Reactie plaatsen? Log in met uw account.

Inloggen
© 2025 Hét ondernemersbelang

Wij zijn graag relevant voor je! Pas hier je persoonlijke instellingen aan.

Maak je keuze
Landelijk
Friesland
Drenthe
Groningen
Overijssel
Gelderland
Flevoland
Utrecht
Noord-Brabant
Limburg
Zeeland
Noord-Holland
Zuid-Holland
Nijmegen-Rivierenland
Arnhem-De Liemers

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.