Wil je meer weten over hoe je je cyberveiligheid goed op orde kunt krijgen?
Laat je gegevens achter en dan neem ik contact met je op.
Risicogebaseerd (be)sturen: de effectiefste vorm van bestuurlijke bewustwording voor informatiebeveiliging
Label:
blog
door Menno Jonkman op 30 april, 2025
Filter:
managed services
Filter:
security
Organisaties investeren steeds meer in het vergroten van awareness rond informatiebeveiliging.
Terecht, want medewerkers zijn een belangrijke schakel in het beschermen tegen digitale dreigingen. Toch merk ik als security consultant dat bestuurders pas écht in beweging komen als informatiebeveiliging op strategisch niveau relevant wordt gemaakt.
De meest effectieve manier om dat te doen, is door risicogebaseerd (be)sturen centraal te stellen. Deze aanpak sluit niet alleen perfect aan bij de verantwoordelijkheden van bestuurders, maar wordt straks ook geëist door de nieuwe Cyberbeveiligingswet (Cbw). In deze blog deel ik mijn visie op waarom deze benadering zo goed werkt — en hoe het organisaties écht helpt om veiliger en bewuster te opereren.
Het belang van security awareness
Security awareness-programma’s vormen een essentieel onderdeel van de cyberweerbaarheid. Medewerkers leren dreigingen herkennen en risico’s melden, wat bijdraagt aan een veilige digitale werkomgeving. Toch sluit deze aanpak vaak niet aan bij de prioriteiten van bestuurders, die zich focussen op strategische doelstellingen zoals groei, innovatie en klanttevredenheid.
Om bestuurders effectief te betrekken bij informatiebeveiliging, is een andere benadering nodig: risicomanagement als strategisch instrument.
Waarom traditionele security awareness onvoldoende is voor bestuurders
Security awareness programma’s sluiten echter onvoldoende aan bij de dagelijkse realiteit van bestuurders. Bestuurders zijn primair bezig met strategische besluitvorming en het realiseren van organisatiedoelstellingen zoals groei, innovatie en klanttevredenheid. Structurele security awareness is geen ‘one size fits all’. Het is van belang om de verschillende doelgroepen in een organisatie te identificeren en deze ieder op een passende manier te activeren. Medewerkers met brede IT-ervaring zoals systeembeheerders benader je op een andere manier dan HR-medewerkers. Door bestuurders niet als separate doelgroep te behandelen, blijft het effect beperkt.
Risicogebaseerd (be)sturen als strategisch instrument
Een goed ingericht risicomanagementproces(Verwijst naar een externe website) brengt informatiebeveiliging direct naar de bestuurstafel. Door risico’s expliciet te koppelen aan strategische organisatiedoelen worden ze relevant voor bestuurders. Zo kan bijvoorbeeld een ransomware-aanval de bedrijfscontinuïteit bedreigen en kritieke processen stilleggen. Een datalek kan leiden tot reputatieschade en verlies van vertrouwen. Non-compliance (bijv. aan de Cbw of AVG) kan financiële gevolgen hebben.
Risicogebaseerd (be)sturen maakt duidelijk dat informatiebeveiligingsrisico’s directe impact kunnen hebben op wat voor bestuurders écht belangrijk is: het behalen van organisatiedoelstellingen. Door risico’s vanuit dit perspectief te benaderen worden bestuurders niet alleen bewuster, maar ook beter in staat gesteld om strategische keuzes te maken die bijdragen aan het succes van de organisatie.
Drie bouwstenen voor succesvol risiscogebaseerd (be)sturen
Om ervoor te zorgen dat risico’s daadwerkelijk op bestuurlijk niveau worden besproken, zijn volgens ilionx drie elementen van belang:
- Helder risico-eigenaarschap en duidelijke escalatiepaden
Door het ontbreken van duidelijke escalatiepaden en eigenaarschap blijven risico’s hangen bij operationele functies. Een goed ingericht risicomanagementproces zorgt ervoor dat risico’s worden geclassificeerd, maatregelen worden toegepast en dat netto risico’s (restrisico’s) worden geëscaleerd naar het bestuur.
- Integratie in bestaande bestuurlijke processen
Risicomanagement werkt optimaal wanneer het geïntegreerd wordt in bestaande processen zoals de planning & control-cyclus, investeringsbeslissingen, portfoliomanagement en strategische planning. Door informatiebeveiligingsrisico's standaard op te nemen in bijvoorbeeld kwartaalrapportages, begrotingscycli of jaarplannen wordt informatiebeveiliging vanzelfsprekend onderdeel van reguliere besluitvorming. Hierdoor krijgt informatiebeveiliging de aandacht die het verdient.
- Geformaliseerde governance
Leg afspraken over risicomanagement vast in beleid en procedures en borg de uitvoering van deze afspraken. Dit zorgt ervoor dat risicobeheersing structureel geborgd wordt binnen de organisatie en voorkomt dat het een administratieve exercitie wordt zonder daadwerkelijke impact.
Van papieren tijger naar strategische dialoog
Een veelvoorkomend probleem is dat risicomanagement een papieren tijger wordt waarbij lijstjes worden ingevuld zonder echte dialoog of actie. Dit moet worden voorkomen door bestuurders actief te betrekken bij cruciale vragen zoals:
- Wat zijn onze kroonjuwelen (te beschermen belangen(Verwijst naar een externe website))?
- Welke dreigingen kunnen deze belangen raken?
- Wat is onze risicobereidheid (risk appetite)?
- Welke strategische keuzes moeten we maken om risico's beheersbaar te houden?
Door deze vragen structureel te adresseren ontwikkelt het bestuur een dieper inzicht in relevante risico’s en automatisch ook meer bewustzijn op het gebied van informatiebeveiliging.
Three Lines of Defence: verantwoordelijkheden helder beleggen
Een bewezen model voor effectieve governance rondom risicomanagement is het Three Lines of Defence model(Verwijst naar een externe website). Het Three Lines of Defence model verdeelt verantwoordelijkheden over drie lijnen: (1) (operationeel) management, (2) risicobeheersing en compliance en (3) internal audit. Onderstaande verdeling is een voorbeeld voor de inrichting van het Three Lines of Defence model.
- Eerste lijn: Bestuur en lijnmanagement zijn eigenaar van risico’s binnen hun verantwoordelijkheidsgebied.
- Tweede lijn: Specialistische functies zoals CISO of risk management stellen kaders, faciliteren en toetsen.
- Derde lijn: Internal audit controleert onafhankelijk of het risicomanagementproces effectief functioneert.
Dit model maakt duidelijk dat informatiebeveiliging geen zaak is van alleen specialisten, maar juist integraal onderdeel uitmaakt van bestuurlijke verantwoordelijkheid.
De boardroomtaal spreken: maak risico’s relevant voor bestuurders
Bestuurders liggen meestal niet wakker van technische kwetsbaarheden zoals systemen die niet up-to-date zijn, slechte netwerkbeveiliging of zwakke wachtwoorden. Zij liggen wel wakker wanneer hun strategische doelen of bedrijfscontinuïteit bedreigd worden. Daarom is het van belang om risico’s te vertalen naar impact op zaken die voor bestuurders relevant zijn: reputatie, klanttevredenheid, financiële resultaten of compliance verplichtingen. Door risico’s vanuit dit perspectief te presenteren maak je ze relevant en stimuleer je bestuurlijke betrokkenheid en actie.
Conclusie: risicogebaseerd (be)sturen zet bestuurders in hun kracht
Security awareness is een belangrijk onderdeel voor de weerbaarheid van organisaties. Security awareness programma’s sluiten echter onvoldoende aan bij de dagelijkse realiteit van bestuurders. Zo benadruk je dat security awareness belangrijk is, maar voor bestuurders wellicht niet passend genoeg. Risicogebaseerd (be)sturen biedt bestuurders inzicht en overzicht, zodat zij geïnformeerde keuzes kunnen maken die bijdragen aan zowel veiligheid als succes.
Door risico’s te koppelen aan organisatiedoelen en deze te bespreken in een bestuurlijke context, wordt informatiebeveiliging geen technisch dossier, maar een strategisch gespreksonderwerp. Zo worden bestuurders niet alleen bewust van risico’s, maar ook in staat gesteld om ze effectief te beheersen.
