Wanneer vertrouwen een bestuurlijk risico wordt
Wanneer vertrouwen een bestuurlijk risico wordt
Wanneer vertrouwen een bestuurlijk risico wordt
Social engineering wordt vaak gepresenteerd als een beveiligingsprobleem. Een kwestie van techniek, filters en firewalls. Alsof het primair gaat om betere spamdetectie of sterkere wachtwoorden.
In werkelijkheid is het een governancevraag.
Cybercriminelen breken zelden in via complexe code als menselijk gedrag voorspelbaarder is. Ze misbruiken geen technische kwetsbaarheid, maar een bestuurlijke leegte. Daar waar vertrouwen niet is ingebed in controle, ontstaat ruimte voor manipulatie.
Social engineering werkt niet omdat systemen zwak zijn, maar omdat besluitvorming onder druk onvoldoende bestuurlijk is gekaderd.
Het verkeerde frame: training als oplossing
Veel organisaties reageren met awareness-training. Medewerkers leren phishingmails herkennen, verdachte links vermijden en “even te bellen bij twijfel”. Dat is nuttig, maar het adresseert slechts het symptoom.
De kern van social engineering is psychologisch. Aanvallers activeren autoriteit, urgentie, angst of verleiding. Een ogenschijnlijk legitiem verzoek van een directeur. Een dringende betaalopdracht. Een dreiging dat een account wordt geblokkeerd.
Dit zijn geen technische trucs. Het zijn gedragsmechanismen.
Zolang besluitvorming afhankelijk blijft van individuele inschatting onder tijdsdruk, blijft manipulatie mogelijk. Training vergroot alertheid, maar vervangt geen bestuursmechanisme.
De vraag is dus niet: herkennen medewerkers dit?
De vraag is: is het proces zo ingericht dat individuele interpretatie geen doorslaggevende factor meer is?
Oorzaak en gevolg: waar manipulatie ruimte krijgt
Social engineering slaagt waar drie bestuurlijke elementen ontbreken.
Ten eerste ontbreekt een expliciet verificatiekader. Als er geen vaste escalatieregels zijn voor betaalopdrachten, toegangsverzoeken of datadeling, wordt elke urgente vraag een individuele afweging. Dat vergroot variatie en dus kwetsbaarheid.
Ten tweede ontbreekt ritme. Zonder vaste momenten waarop incidenten, bijna-incidenten en afwijkingen bestuurlijk worden besproken, blijven signalen gefragmenteerd. Wat vandaag een kleine vergissing lijkt, kan morgen een structureel patroon blijken maar alleen als het wordt gemeten.
Ten derde ontbreekt KPI-sturing op menselijk gedrag. Organisaties meten vaak technische parameters, maar zelden besluitdiscipline. Hoe vaak werd een verzoek onafhankelijk geverifieerd? Hoe snel worden afwijkingen gemeld? Wat is de herstelduur na een foutieve actie?
Zonder deze meetpunten blijft social engineering een incident in plaats van een bestuurbaar risico.
Het gevolg is bestuurlijke asymmetrie: de organisatie vertrouwt op alertheid, terwijl de aanvaller vertrouwt op voorspelbaarheid.
De bestuurlijke herdefinitie
Wie social engineering serieus neemt, organiseert het niet als trainingsprogramma maar als onderdeel van de bestuurbaarheid van informatievoorziening.
Regie betekent dat directie expliciet vastlegt welke besluiten nooit individueel genomen mogen worden. Financiële transacties, toegangsrechten en dataverzoeken vallen onder vooraf gedefinieerde escalatieregels.
Ritme betekent dat afwijkingen structureel worden besproken. Niet alleen succesvolle aanvallen, maar ook pogingen en bijna-incidenten krijgen een vaste plek in het maand- of kwartaaloverleg.
KPI-sturing betekent dat besluitdiscipline meetbaar wordt gemaakt. Niet om medewerkers te controleren, maar om patronen zichtbaar te maken. Waar ontstaat druk? Waar wordt verificatie overgeslagen? Waar wijkt het herstel af van de norm?
Leverancierssturing betekent dat ook externe partijen onderdeel zijn van dit kader. Wie mag namens wie handelen? Welke verificatie geldt bij spoed? Zonder eenduidige afspraken ontstaat interpretatieruimte.
Herstelvermogen betekent dat de organisatie niet alleen inzet op preventie, maar aantoonbaar kan herstellen. Hoe snel worden accounts geblokkeerd? Hoe snel worden betrokken partijen geïnformeerd? Welke beslissingen volgen binnen welk tijdsvenster?
In dat kader wordt social engineering geen kwestie van menselijk falen, maar van bestuurlijke inrichting.
De normatieve vraag
Elke organisatie vertrouwt op haar mensen. Dat is terecht. Maar vertrouwen zonder kader is geen strategie.
De centrale these is eenvoudig: social engineering werkt niet omdat mensen naïef zijn, maar omdat besluitvorming onder druk niet expliciet bestuurlijk is georganiseerd.
De relevante bestuursvraag is daarom niet:
“Hebben wij onze medewerkers goed getraind?”
De vraag is:
Is ons besluitproces zo ingericht dat manipulatie geen individuele inschatting meer is, maar een bestuurbare afwijking?
Social engineering wordt vaak gepresenteerd als een beveiligingsprobleem. Een kwestie van techniek, filters en firewalls. Alsof het primair gaat om betere spamdetectie of sterkere wachtwoorden.
In werkelijkheid is het een governancevraag.
Cybercriminelen breken zelden in via complexe code als menselijk gedrag voorspelbaarder is. Ze misbruiken geen technische kwetsbaarheid, maar een bestuurlijke leegte. Daar waar vertrouwen niet is ingebed in controle, ontstaat ruimte voor manipulatie.
Social engineering werkt niet omdat systemen zwak zijn, maar omdat besluitvorming onder druk onvoldoende bestuurlijk is gekaderd.
Het verkeerde frame: training als oplossing
Veel organisaties reageren met awareness-training. Medewerkers leren phishingmails herkennen, verdachte links vermijden en “even te bellen bij twijfel”. Dat is nuttig, maar het adresseert slechts het symptoom.
De kern van social engineering is psychologisch. Aanvallers activeren autoriteit, urgentie, angst of verleiding. Een ogenschijnlijk legitiem verzoek van een directeur. Een dringende betaalopdracht. Een dreiging dat een account wordt geblokkeerd.
Dit zijn geen technische trucs. Het zijn gedragsmechanismen.
Zolang besluitvorming afhankelijk blijft van individuele inschatting onder tijdsdruk, blijft manipulatie mogelijk. Training vergroot alertheid, maar vervangt geen bestuursmechanisme.
De vraag is dus niet: herkennen medewerkers dit?
De vraag is: is het proces zo ingericht dat individuele interpretatie geen doorslaggevende factor meer is?
Oorzaak en gevolg: waar manipulatie ruimte krijgt
Social engineering slaagt waar drie bestuurlijke elementen ontbreken.
Ten eerste ontbreekt een expliciet verificatiekader. Als er geen vaste escalatieregels zijn voor betaalopdrachten, toegangsverzoeken of datadeling, wordt elke urgente vraag een individuele afweging. Dat vergroot variatie en dus kwetsbaarheid.
Ten tweede ontbreekt ritme. Zonder vaste momenten waarop incidenten, bijna-incidenten en afwijkingen bestuurlijk worden besproken, blijven signalen gefragmenteerd. Wat vandaag een kleine vergissing lijkt, kan morgen een structureel patroon blijken maar alleen als het wordt gemeten.
Ten derde ontbreekt KPI-sturing op menselijk gedrag. Organisaties meten vaak technische parameters, maar zelden besluitdiscipline. Hoe vaak werd een verzoek onafhankelijk geverifieerd? Hoe snel worden afwijkingen gemeld? Wat is de herstelduur na een foutieve actie?
Zonder deze meetpunten blijft social engineering een incident in plaats van een bestuurbaar risico.
Het gevolg is bestuurlijke asymmetrie: de organisatie vertrouwt op alertheid, terwijl de aanvaller vertrouwt op voorspelbaarheid.
De bestuurlijke herdefinitie
Wie social engineering serieus neemt, organiseert het niet als trainingsprogramma maar als onderdeel van de bestuurbaarheid van informatievoorziening.
Regie betekent dat directie expliciet vastlegt welke besluiten nooit individueel genomen mogen worden. Financiële transacties, toegangsrechten en dataverzoeken vallen onder vooraf gedefinieerde escalatieregels.
Ritme betekent dat afwijkingen structureel worden besproken. Niet alleen succesvolle aanvallen, maar ook pogingen en bijna-incidenten krijgen een vaste plek in het maand- of kwartaaloverleg.
KPI-sturing betekent dat besluitdiscipline meetbaar wordt gemaakt. Niet om medewerkers te controleren, maar om patronen zichtbaar te maken. Waar ontstaat druk? Waar wordt verificatie overgeslagen? Waar wijkt het herstel af van de norm?
Leverancierssturing betekent dat ook externe partijen onderdeel zijn van dit kader. Wie mag namens wie handelen? Welke verificatie geldt bij spoed? Zonder eenduidige afspraken ontstaat interpretatieruimte.
Herstelvermogen betekent dat de organisatie niet alleen inzet op preventie, maar aantoonbaar kan herstellen. Hoe snel worden accounts geblokkeerd? Hoe snel worden betrokken partijen geïnformeerd? Welke beslissingen volgen binnen welk tijdsvenster?
In dat kader wordt social engineering geen kwestie van menselijk falen, maar van bestuurlijke inrichting.
De normatieve vraag
Elke organisatie vertrouwt op haar mensen. Dat is terecht. Maar vertrouwen zonder kader is geen strategie.
De centrale these is eenvoudig: social engineering werkt niet omdat mensen naïef zijn, maar omdat besluitvorming onder druk niet expliciet bestuurlijk is georganiseerd.
De relevante bestuursvraag is daarom niet:
“Hebben wij onze medewerkers goed getraind?”
De vraag is:
Is ons besluitproces zo ingericht dat manipulatie geen individuele inschatting meer is, maar een bestuurbare afwijking?
Over de auteur
Rense Middelbos
Chief Executive Officer / Partner