Waarom managers belangrijk zijn voor cyberbeveiliging

Door Phil Muncaster • 10 September 2024

Managers spelen een unieke rol in hun organisatie: ze lossen problemen op, beheren risico's en onderhouden contacten tussen senior leiderschap en gewone werknemers. Het zijn managers die strategie omzetten in operationeel succes door hun teams te monitoren, motiveren en leiden. En het zijn managers die ook kritisch inzicht bieden in de hiërarchie als iets niet werkt. Het zou dus zorgwekkend moeten zijn dat een recent onderzoek van het Chartered Management Institute (CMI) gevonden De overgrote meerderheid (85%) van de Britse managers maakt zich zorgen over de toenemende mate van cyberdreiging.

Gelukkig kunnen managers ook deel uitmaken van de oplossing: door te helpen een cyberbewuste cultuur in hun organisatie op te bouwen.

Het Verenigd Koninkrijk is niet per definitie veilig

Secure by design wordt steeds meer gezien als een strategische noodzaak in organisaties in de publieke en private sector. Het is in feite een aanpak die wordt bepleit bij de hart van de overheid en op een soortgelijke manier gepromoot door AVG-toezichthouders. Op een hoog niveau betekent het ervoor zorgen dat elke bedrijfspraktijk met een IT- of digitaal element vanaf het begin risicogebaseerde cybersecurity heeft ingebouwd. Echter, grote culturele verandering en bewustwording binnen de organisatie zijn meestal vereist om het te laten werken.

Op dit moment lijkt het VK nog ver verwijderd van een veilige opzet. De overheid Enquête naar cyberbeveiligingsinbreuken 2024 benadrukt talrijke uitdagingen, afgezien van het feit dat 50% van de bedrijven (oplopend tot 70% van de middelgrote en 74% van de grote bedrijven) de afgelopen 12 maanden te maken heeft gehad met een inbreuk. Belangrijke tekortkomingen die het onthult, zijn onder meer:

Minder dan een derde (31%) van de bedrijven heeft het afgelopen jaar cyberrisicobeoordelingen uitgevoerd. En slechts een derde (33%) heeft beveiligingsmonitoring geïmplementeerd
Slechts 11% van de bedrijven beoordeelt risico's in de toeleveringsketen
Slechts 30% van de bedrijven heeft bestuursleden die rechtstreeks verantwoordelijk zijn voor cyber als onderdeel van hun rol, een cijfer dat al een jaar onveranderd is
Slechts 58% van de middelgrote bedrijven en 66% van de grote bedrijven heeft een formele cybersecuritystrategie
Slechts een vijfde (22%) van de bedrijven heeft plannen voor incidentrespons
Slechts 41% van de bedrijven zoekt informatie of begeleiding over cyberbeveiliging van buiten de organisatie, een daling ten opzichte van de cijfers uit 2023 (49%)
Slechts één op de tien is op de hoogte van de richtlijnen van het Nationaal Cyber Security Centrum Begeleiding in 10 stappen (13%) en Cyberbenodigdheden (12%)
Slechts 18% van de bedrijven biedt personeelstrainingen aan

Tegen deze achtergrond is het misschien niet verrassend dat Britse managers zich zorgen maken over cyberdreigingen. Hun organisaties lijken immers slecht voorbereid op het omgaan met toenemende cyberrisico's. Hoewel het bemoedigend is dat 79% beweert het afgelopen jaar te hebben deelgenomen aan cybersecuritytrainingen of bewustwordingsprogramma's, zegt slechts drievijfde (59%) dat hun werkgever regelmatig cybersecuritytrainingen aanbiedt voor alle werknemers.

De sleutel tot een organisatie die zich meer bewust is van veiligheid

Toch kunnen managers een cruciale rol spelen om de zaken weer op de rails te krijgen, zegt Ian Campbell, senior security operations engineer bij DomainTools.

"De dagelijkse toon en prioriteiten worden bepaald door het management, evenals delegeren en empowerment. Dit biedt allemaal geweldige culturele en technische mogelijkheden om de organisatie te beveiligen", vertelt hij aan ISMS.online. "De C-Suite en leidinggevenden bepalen de toon; het management voert het op de grond uit. Dat positioneert het management om direct en onmiddellijk invloed uit te oefenen op de frontliniebeveiligingscultuur."

Volgens Oz Alashe, CEO en oprichter van CybSafe, kunnen managers als autoriteitsfiguren ook een aanzienlijke psychologische impact hebben op werknemers. Dit kan bijdragen aan het creëren van een cyberbewuste cultuur binnen organisaties.

"Managers hebben een gezaghebbende positie binnen de organisatie, wat bijdraagt aan autoriteitsbias: een psychologisch principe waarbij mensen eerder geneigd zijn de leiding te volgen van iemand die zij als een gezaghebbende figuur zien", vertelt hij aan ISMS.online.

"Wanneer managers prioriteit geven aan goede cybersecuritypraktijken en deze als voorbeeld nemen, is de kans groter dat werknemers dit voorbeeld volgen."

Het zou daarom zorgwekkend moeten zijn dat hoewel het cybersecuritybewustzijn van managers verbetert (93% beweert een ‘gemiddeld’ of ‘gevorderd’ begrip te hebben van online veiligheidspraktijken), 80% van mening is dat hun digitale vaardigheden nog steeds verbeterd moeten worden.

Leading By Example

Dus, wat kunnen organisaties doen om hun managers in staat te stellen een secure-by-design cultuur te creëren? De eerste stap lijkt vrij voor de hand liggend: zorg ervoor dat die managers voldoende getraind zijn. Ze moeten cybergerelateerde concepten en best practices begrijpen, zoals social engineering awareness, de noodzaak van sterke wachtwoorden en multi-factor authentication (MFA) en het belang van patchen. Ze moeten ook de middelen, tools, beleidsregels en processen tot hun beschikking hebben om bewustzijn te verspreiden en best practices te promoten.

Volgens Alashe komt het er deels op neer dat je het goede voorbeeld geeft.

"Managers zijn in een unieke positie om gedrag te beïnvloeden, niet alleen door directe instructies, maar ook door hun eigen acties. Wanneer managers goed beveiligingsgedrag vertonen, zoals het melden van verdachte phishing-e-mails, stellen ze een standaard vast die anderen zouden moeten willen volgen", legt hij uit.

“Daarnaast kunnen managers gebruikmaken van sociaal bewijs, waarbij mensen kijken naar het gedrag van de mensen om hen heen om hun eigen acties te sturen. Door een omgeving te creëren waarin naleving van beveiligingsbeleid de norm is en zichtbaar wordt beoefend, kunnen managers helpen een cultuur te creëren waarin veilig gedrag de standaard is, in plaats van de uitzondering.”

Campbell van DomainTools is het daarmee eens en stelt dat managers moeten streven naar het creëren van een “cultuur van vertrouwen en onderzoek”, waarin medewerkers worden aangemoedigd om verdachte gebeurtenissen te melden en daarvoor worden geprezen, ongeacht de uiteindelijke uitkomst.

"Als je dat combineert met prikkels om de veiligheidspraat in de praktijk te brengen in plaats van alleen maar bewustzijn te prediken als een extra, niet-gefinancierd mandaat, creëer je een holistisch veiligheidsprogramma van onderop", voegt hij toe. "Medewerkers in staat stellen om aandacht te besteden aan en vragen te stellen over nieuwe gebeurtenissen is een enorme stap voorwaarts."

Managers zouden ook als een ‘spil’ moeten fungeren tussen het personeel, de technische ondersteuning en de beveiligingsactiviteiten, voegt hij toe.

"Zij zijn de 'supernode' die technische problemen en workflowfricties kunnen en moeten doorgeven aan TechOps en SecOps, terwijl ze tegelijkertijd de reden voor de frictie en hoe ze beter binnen het systeem kunnen werken, doorgeven aan hun rapporten", vervolgt Campbell. "Dit communicatiesubnetwerk is vooral belangrijk bij het meten en verminderen van shadow IT, een van de grootste oppervlaktebedreigingen waarmee elke organisatie te maken krijgt."

Dit is geen gemakkelijke taak, zelfs niet met betrokken en dynamische managers. Culturele verandering kan een uitdaging zijn en kost tijd. Fundamenteel moet het beginnen met vertrouwen, wat betekent dat je terug moet naar de basis van het management en dat je vertrouwde relaties met teamleden moet opbouwen en onderhouden.

“Vind de juiste mensen, geef ze de juiste bevoegdheden en bouw voort op dat fundament”, concludeert Campbell.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 20 januari 2026

Het dichten van de kloof in AI-governance met ISO 42001

Het Verenigd Koninkrijk kampt met een probleem op het gebied van AI-governance. Dit was wellicht geen probleem een paar jaar geleden, toen projecten in de meeste organisaties nog in kleine stappen werden uitgevoerd. Maar vandaag de dag...

Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster