In veel organisaties ontstaat bijna automatisch het idee dat security een technisch domein is. Dat het gaat over firewalls, encryptie, wachtwoordbeleid en systemen en dus vooral over ICT. Medewerkers zien het als iets dat buiten hen ligt. Iets wat anderen oplossen. En eerlijk is eerlijk: wij als securityprofessionals hebben dat beeld jarenlang zelf gevoed. Campagnes stonden vol met technische termen, beleid werd geschreven in het taalgebruik van experts en voorbeelden waren vaak zo abstract dat medewerkers het gevoel kregen dat ze zich op vreemd terrein bevonden. Als je in een organisatie rondvraagt van wie security is, krijg je dan ook steevast hetzelfde antwoord: “ICT regelt dat toch?”
“Security voelt technisch, totdat je laat zien dat het elke dag in je eigen broekzak gebeurt.”
Maar daarmee missen we de essentie. Want de meeste risico’s ontstaan niet in systemen — ze ontstaan in gedrag. In keuzes. In dagelijkse routines van medewerkers. Security is dus geen technisch onderwerp; het is menselijk. En zolang medewerkers dat niet voelen, blijft awareness proberen te bewegen in een veld dat niet van hen lijkt te zijn.
Mensen leren niet van techniek, maar van herkenning
Wanneer security wordt gebracht als technologie, gebeurt er iets heel voorspelbaars: medewerkers haken af. Niet omdat ze niet willen bijdragen, maar omdat ze zich niet herkennen in de voorbeelden. Een scenario over een zero-day exploit zegt mensen weinig. Een uitleg over hashes en tokens al helemaal niets. Het landt niet. Het schuift weg. En daardoor blijft het onderwerp bestaan in een parallel universum: belangrijk, maar niet van mij.
Bewustwording werkt pas wanneer je het koppelt aan menselijke ervaringen. Aan situaties die medewerkers herkennen, liefst uit hun eigen leven. Want daar zit de echte verbinding. Wanneer je uitlegt hoe iemand op WhatsApp werd benaderd door een “familielid”, of hoe een collega bijna een pakketje betaalde dat nooit was besteld, zie je onmiddellijk een ander soort aandacht. Mensen knikken. Lachen soms. Vertellen hun eigen verhaal. En ineens verandert security van een technisch vraagstuk in een menselijke situatie.
Het zijn precies díe momenten waarop awareness begint.
Security wordt van iedereen zodra medewerkers zich erin herkennen
De omslag in organisaties komt niet door meer beleid of technische presentaties, maar door voorbeelden die zo herkenbaar zijn dat medewerkers denken: “Dit had mij ook kunnen gebeuren.” Wanneer je security koppelt aan privégedrag, wachtwoorden, telefoons, apps, pakketjes, social engineering in het dagelijks leven, ontstaat er herkenning. En herkenning is de motor van gedragsverandering.
Vanaf dat moment verschuift de verantwoordelijkheid: security wordt niet meer iets wat ICT “regelt”, maar iets wat medewerkers zélf herkennen, begrijpen en kunnen beïnvloeden. En precies dan ontstaat dat wat in je boek centraal staat: bewustwording die van binnenuit groeit. Niet omdat het moet, maar omdat het logisch voelt.
Op het moment dat mensen zichzelf zien in de voorbeelden, zien ze zichzelf ook in de oplossing.