Serge Buitenhuis: “Je wil dat iedereen dezelfde missie begrijpt, van board tot beveiliger”
Dit artikel verkent hoe Serge kijkt naar gedeeld begrip als basis voor weerbaarheid, waarom gedeelde taal belangrijker is dan uitgebreide documentatie, en hoe bestuurders, CISO’s en teams samen kunnen zorgen voor structuur, duidelijkheid en consistent gedrag.
Security begint bij een gedeelde missie
Serge beschrijft hoe vaak hij ziet dat organisaties wel degelijk besluiten wat zij het belangrijkst vinden, maar dat die inzichten nauwelijks landen op de werkvloer. Hij haalde een voorbeeld aan van een onderwijsinstelling waar de directie het onderwijsproces als belangrijkste te beschermen belang had benoemd. Toen hij dezelfde vraag stelde aan de beveiliger, kreeg hij het antwoord dat fietsendiefstal zijn hoogste prioriteit was. Voor Serge laat dit zien hoe verschillende onderdelen van dezelfde organisatie met totaal andere aannames werken. “Je wil dat die beveiliger zegt: ik zit hier omdat het onderwijsproces moet doorgaan,” zei hij.
Volgens Serge ontstaat pas samenhang wanneer iedereen dezelfde missie kent. Dat vraagt volgens hem om een vorm van communicatie die verder gaat dan richtlijnen of beleidsstukken. Medewerkers moeten begrijpen hoe hun rol bijdraagt aan het beschermen van de kern van de organisatie. Dit begint met helder gedefinieerde belangen, maar wordt pas effectief wanneer bestuurders, managers en securityteams die belangen voortdurend uitleggen en toepassen.
De rol van security in het creëren van helderheid
Serge ziet een duidelijke verantwoordelijkheid voor securityteams. Zij moeten zorgen dat de missie niet alleen bekend is bij het bestuur, maar ook concreet wordt voor degenen die dagelijks processen uitvoeren. “Veiligheid inrichten is zo simpel als 1, 2, 3,” zei hij tijdens het gesprek, en daarmee bedoelde hij dat organisaties eerst moeten bepalen wat zij beschermen, daarna moeten analyseren waar risico’s ontstaan en pas dan maatregelen moeten nemen. Wanneer die eerste stap ontbreekt, wordt helderheid vervangen door aannames.
Security krijgt volgens hem een kans om richting te geven als zij deze gesprekken organiseert: welke processen zijn het belangrijkst, welke teams dragen daar direct aan bij en welke risico’s vormen de grootste bedreiging. Door dit gesprek niet als technische dialoog te voeren, maar als inhoudelijke discussie over bedrijfsvoering, wordt zichtbaar wat voor iedereen relevant is. Pas dan kunnen maatregelen doelgericht worden gekozen en herkend.
Scenario’s als instrument voor gedeelde taal
In het interview legt Serge uit dat klassieke risicomatrixen vaak weinig bijdragen aan gedeeld begrip. Ze geven structuur, maar niet het verhaal. Juist dat verhaal is nodig om medewerkers, teamleiders en bestuurders mee te krijgen. Serge ziet dat scenario’s veel beter werken om mensen te laten zien wat er kan gebeuren en hoe hun rol daarin van betekenis is. “Als je leest wat een scenario betekent voor klanten of dienstverlening, gaat het veel meer leven dan een matrix met rode vlakjes,” vertelde hij.
Scenario’s maken zichtbaar hoe verstoringen zich kunnen ontwikkelen en welke keuzes dan nodig zijn. Ze helpen medewerkers om te begrijpen waarom bepaalde processen prioriteit hebben en waarom sommige handelingen belangrijker zijn dan ze op het eerste gezicht lijken. Voor Serge is dit een vorm van educatie binnen de organisatie, gebaseerd op herkenning en praktijk in plaats van abstracte risico-overzichten.
Bestuurders moeten het verhaal uitdragen
Volgens Serge is het bestuur uiteindelijk degene die richting geeft, maar security bepaalt in grote mate of die richting wordt begrepen. Wanneer bestuurders nauwelijks betrokken zijn bij het ontstaan van scenario’s of risicoafwegingen, herkennen zij zich niet in de uitkomst. Hij ziet dat securityteams vaak maandenlang analyses uitvoeren, om dan bij het bestuur binnen te stappen met een eindproduct. Dat leidt volgens hem tot een voorspelbare reactie: afstand.
Serge pleit ervoor om bestuurders vanaf het begin te betrekken, in korte sessies en steeds met de nadruk op herkenbare situaties. “Als je vanaf het begin hebt meegedacht, is de uitkomst ook jouw uitkomst,” zei hij. Dat is volgens hem de kern van gedeeld eigenaarschap: bestuurders herkennen zichzelf in de keuzes omdat ze zelf onderdeel waren van het proces.
Een organisatie die kiest voor duidelijkheid wordt weerbaarder
Serge beschouwt gedeeld begrip niet als een zachte factor, maar als een harde voorwaarde voor weerbaarheid. Organisaties die consistent benoemen wat zij belangrijk vinden en dat actief delen met medewerkers, bouwen volgens hem een cultuur waarin risico’s sneller worden herkend en problemen eerder worden gemeld. Het gaat dan niet om controle, maar om herkenning: wanneer iemand weet waarvoor hij of zij werkt, is het makkelijker om afwijkingen te zien, vragen te stellen en verantwoordelijkheid te nemen.
Deze duidelijkheid werkt door in processen, besluitvorming en de samenwerking tussen teams. Security wordt geen blokkerende factor, maar een richtinggevend onderdeel van de organisatie. Volgens Serge ontstaat daarin de echte meerwaarde van de CISO: niet door technische beheersing, maar door het vermogen om samenhang te creëren en te behouden.
Conclusie: gedeelde missie als fundament
Serge laat zien dat cyberweerbaarheid begint bij een gedeelde missie die door de hele organisatie wordt herkend. Het gaat niet om nieuwe frameworks, maar om duidelijkheid, herhaling en betrokkenheid. Security krijgt betekenis wanneer iedereen begrijpt waaraan hij werkt en waarom dat ertoe doet.
“Als iedereen dezelfde missie kent, wordt het veel makkelijker om te zien welke risico’s er werkelijk toe doen.”
Benieuwd naar het volledige interview met Serge Buitenhuis? Luister hier aflevering 3 van de NLSecure[ID]-podcast.