Mischa van Geelen: “Volwassen organisaties hebben geen blame culture”
Met dat voorbeeld maakt Mischa, oprichter van
In dit gesprek vertelt Mischa hoe hij kijkt naar volwassenheid binnen security, waarom een ‘blame culture’ organisaties ondermijnt en wat we kunnen leren van sectoren als de zorg en luchtvaart. Zijn visie draait niet om meer tools of procedures, maar om menselijkheid, vertrouwen en helderheid.
“Fouten maken mag, bewust de regels overtreden niet”
Mischa ziet duidelijke parallellen tussen cybersecurity en de luchtvaart. “In de luchtvaart en de zorg bestaat een just culture: fouten maken mag, bewust de regels overtreden wordt gestraft. Alleen dan kan je ervan leren.” Die houding ontbreekt volgens hem nog vaak in de securitywereld. “Wij zijn als sector nog onvolwassen. In plaats van te leren van fouten, wijzen we met de vinger. Dat creëert angst en stress, vooral bij CISO’s die zich verantwoordelijk voelen maar geen beslissingsmacht hebben.”
Hij pleit voor een verschuiving van schuld naar structuur. Een volwassen organisatie onderzoekt waarom iets fout ging en past het proces aan, in plaats van een individu aan te spreken. “De mens is niet de zwakste schakel, de organisatie is dat, als ze geen systemen heeft die fouten kunnen opvangen. Technisch gezien zou het niet meer uit moeten maken of iemand op een phishinglink klikt. We hebben de technologie om dat af te vangen. Als je dat goed inricht, kan je mensen juist ruimte geven om te leren in plaats van ze te straffen.”
“Volwassen organisaties hebben geen blame culture. Ze zijn bezig met processen en systemen, niet met schuldigen aanwijzen.”
De CISO met de titel, maar zonder macht
Volgens Mischa ligt het probleem niet alleen op de werkvloer, maar juist in de bestuurskamer. “Vaak is de CISO gewoon een medewerker met de titel ‘CISO’, maar zonder mandaat of budget. En als het misgaat, kijkt iedereen naar hem of haar.” Hij vergelijkt het met de bouw van een huis: “Je kan iemand niet verantwoordelijk maken voor iets zonder middelen. Bestuurders vergeten dat verantwoordelijkheid pas iets waard is als er bevoegdheden bij horen.”
Die scheve verhoudingen zorgen volgens hem voor overspannen securityprofessionals. “Als je je verantwoordelijk voelt voor alles, maar niks mag beslissen, breekt dat je op. We moeten toe naar een cultuur waarin bestuurders ook hun wettelijke verantwoordelijkheid nemen en CISO’s ruimte krijgen om te handelen.”
Verantwoordelijkheid is een basisvoorwaarde voor veiligheid. Mischa verwijst naar de Arbowet, waarin staat dat werkgevers moeten zorgen voor een goede verdeling van bevoegdheden en verantwoordelijkheden tussen medewerkers. “Dat geldt net zo goed voor digitale veiligheid,” zegt hij. “Als bestuurders dat niet regelen, overtreden ze feitelijk de wet.”
Van afrekenen naar leren
Mischa ziet dat de meeste organisaties security nog steeds benaderen als een technische discipline. Firewalls, scanners, monitoring: het hoort er allemaal bij, maar het is niet de kern. “We hebben tooling genoeg. Het probleem is governance.”
Volgens hem draait echte innovatie in security om helderheid en samenwerking. “Als er iets fout gaat, is het zelden één persoon. Het is bijna altijd een gevolg van een onduidelijk proces. Wie verantwoordelijk is, wie mag beslissen, wat er moet gebeuren - dat is vaak niet helder. En dan is het niet vreemd dat dingen misgaan.”
Hij pleit ervoor om fouten te zien als data, niet als drama. “In de luchtvaart worden incidenten systematisch onderzocht om herhaling te voorkomen. In security verdwijnt het nog te vaak in de doofpot. We moeten dezelfde volwassenheid ontwikkelen: durven analyseren wat misging, zonder iemand publiek te slachtofferen.”
“Je kan pas leren als mensen niet bang zijn om fouten te maken.”
Conclusie: cyberweerbaarheid begint bij volwassenheid
Voor Mischa is innovatie in security geen technisch, maar een organisatorisch vraagstuk. Cyberweerbaarheid ontstaat waar vertrouwen, helderheid en samenwerking de boventoon voeren. “We moeten af van de reflex om te straffen. De stap naar volwassenheid begint bij het erkennen dat mensen fouten mogen maken, zolang we er maar van leren.”
“Fouten maken mag, bewust de regels overtreden wordt gestraft. Dat is de enige manier waarop security volwassen kan worden.”
Het interview met Mischa maakt deel uit van een breder onderzoek naar de staat van cyberweerbaarheid in Nederland, uitgevoerd door Security Innovation Stories in samenwerking met KPN. In het rapport delen tientallen securityprofessionals hun visie op innovatie, menselijk gedrag, techniek en de toekomst van digitale weerbaarheid.