Cybersecurity is uitgegroeid tot meer dan een technisch vraagstuk. Binnen steeds meer organisaties wordt informatiebeveiliging gezien als een essentieel onderdeel van strategische risicobeheersing. Digitale weerbaarheid heeft immers directe invloed op continuïteit, reputatie en compliance. Zodra een organisatie nieuwe markten betreedt, gevoelige data verwerkt of sterk leunt op digitale ketens, verschuift cyberrisico ook naar de bestuurstafel.
Illustratief voor deze ontwikkeling is de rol van de chief information security officer, de CISO. Waar die functie jarenlang vooral technisch werd ingevuld, groeit de CISO steeds vaker uit tot strategisch risicoadviseur. Rudy Spinola is medeoprichter van Behaav, specialist in security awareness en gedragsverandering ter bevordering van een sterke securitycultuur. “Bedrijven kijken tegenwoordig veel nadrukkelijker naar de impact van cyberrisico’s op hun bedrijfsdoelstellingen. Als een organisatie bijvoorbeeld wil uitbreiden naar Azië, dan wordt cybersecurity ineens onderdeel van een strategische discussie. Welke risico’s brengt zo’n stap met zich mee? Dat gesprek vindt steeds vaker op directieniveau plaats.”
Volgens medeoprichter Melvin Broersma heeft die verschuiving grote gevolgen voor de manier waarop organisaties naar medewerkers kijken. Zij zijn niet alleen gebruikers van systemen, maar spelen dagelijks een rol in het beheersen of juist vergroten van risico’s. “Je kunt nog zulke goede technologie inzetten, maar uiteindelijk hebben mensen rechten nodig om hun werk te doen. En zodra mensen rechten hebben, kunnen die ook misbruikt worden. Daar zit precies het speelveld waar wij actief zijn.”
Effectieve security awareness begint volgens Spinola daarom niet met een standaardtraining, maar met het begrijpen van risico’s binnen kritieke bedrijfsprocessen. Niet iedere medewerker heeft dezelfde rol, dezelfde toegang of dezelfde risico’s. Een HR-afdeling heeft andere kwetsbaarheden dan de finance- of sales-afdelingen en vraagt dus ook om een andere benadering. Het doel is dat medewerkers niet alleen weten wat veilig gedrag is, maar ook op het juiste moment risicobewust handelen.
Om die doelstelling te halen, pleit Behaav voor gerichte interventies die aansluiten bij de dagelijkse praktijk van medewerkers. Security moet niet voelen als een losstaand verplicht nummer, maar onderdeel worden van hoe mensen hun werk doen. Dat vraagt om timing en context. Medewerkers moeten juist op het moment dat zij een risicovolle handeling uitvoeren een signaal of hulpmiddel krijgen. Dat kan iets kleins zijn, zoals een melding die een medewerker adviseert om een goedgekeurd platform te gebruiken in plaats van een niet-toegestane cloudoplossing. “Het gaat erom dat je mensen ontmoet waar ze werken. Wanneer iemand midden in een proces zit, is de kans veel groter dat een boodschap landt. Dan wordt security geen losse verplichting meer, maar onderdeel van het dagelijks werk.”
Volgens de oprichters is security awareness nog altijd een relatief jong vakgebied binnen cybersecurity. Jarenlang ging het overgrote deel van de budgetten naar technische maatregelen, terwijl de menselijke factor onderbelicht bleef. Broersma stelt: “Meer dan tachtig procent van de aanvallen verloopt via mensen, maar jarenlang ging minder dan één procent van de securitybudgetten naar die menselijke kant. Je ziet nu dat organisaties die disbalans proberen te corrigeren, maar security awareness is nog steeds een onderontwikkelde niche binnen informatiebeveiliging.”
Daarom ontwikkelde Behaav een eigen methodiek om securitycultuur structureel op te bouwen. Binnen die aanpak worden governance, communicatie, interventies en gedragsmetingen gecombineerd. Organisaties krijgen daarbij geen standaard e-learningtraject, maar een programma dat is gekoppeld aan concrete risico’s, doelgroepen en bedrijfsdoelstellingen. Broersma: “We ondersteunen de methodiek met ons Security Awareness Management Systeem, waarin we met 92 controls verspreid over zeven categorieën continu inzicht geven in de huidige volwassenheid versus de gewenste volwassenheid van security awareness en gedrag.”
Volgens Spinola draait een sterke securitycultuur uiteindelijk om gedragsverandering. “Bewustzijn alleen doet niet veel. Iedereen weet dat gezond eten en sporten belangrijk is, maar dat betekent nog niet dat mensen het ook doen. Hetzelfde geldt voor cybersecurity. Pas wanneer gedrag verandert, verlaag je daadwerkelijk risico’s.”
Binnen de aanpak van Behaav worden daarom ook meetbare KPI’s vastgelegd. Organisaties spreken vooraf concrete doelstellingen af, zoals het verminderen van incidenten of het verhogen van meldingen van verdachte situaties. Op basis daarvan worden continu gegevens verzameld over gedrag, risico’s en voortgang.
Die werkwijze is volgens de oprichters opvallend binnen de markt voor security awareness. Waar veel partijen vooral capaciteit leveren of losse trainingen aanbieden, positioneert Behaav zich nadrukkelijk als managed service provider op het gebied van gedrag en securitycultuur. Daarbij hoort ook een service level agreement, iets wat volgens de ondernemers tot nu toe vooral gebruikelijk was bij technologische dienstverlening.
Broersma: “Wij worden afgerekend op de doelstellingen die we samen met organisaties formuleren. Dat kan alleen wanneer je risico’s inzichtelijk maakt en continu blijft meten hoe medewerkers omgaan met die risico’s. Uiteindelijk wil een directie weten: hoe staan we ervoor? Daar moet je een concreet antwoord op kunnen geven.”
Bron: Artikel in het Financieel Dagblad, 22 mei 2026