Meer tools, meer controles, meer compliance en toch kwetsbaarder dan ooit. Dat is de paradox waarmee Richard Olrichs en Chris Gralike hun sessie op het TFG Innovation Event 2026 openden. Hun boodschap snijdt dwars door een hardnekkige reflex in organisaties: wie risico’s wil beheersen, voegt iets toe. Maar, soms is het verwijderen van een systeem, koppeling of proces de slimste beveiligingsmaatregel die je kunt nemen.

Richard is product owner en Maat bij The Future Group. Chris is een Full Stack Cloud Developer GCP en werkzaam bij softwarebedrijf Skunk Team BV.) Richard en Chris vertelden tijdens hun sessie een verhaal die even confronterend als praktisch was: risicomanagement dat doorschiet, compliance die averechts werkt en cybersecurity die gebaat is bij eenvoud.

Foto: Richard Olrichs (links) Chris Gralike (rechts)

Een overload aan maatregelen, creëert minder grip

De afgelopen jaren is risicomanagement steeds meer een defensieve discipline geworden. Nieuwe wetgeving waaronder DORA, NIS2, ISO-certificeringen en SOC 2, stapelt eisen op eisen. Organisaties reageren door opnieuw tooling toe te voegen, extra authenticatielagen in te richten en auditprocessen uit te breiden. Op papier ziet dat er robuust uit. In de praktijk ontstaat een wirwar van systemen, losse maatregelen en uitzonderingen die niemand meer volledig overziet.

Chris omschreef de kern van het probleem: risicomanagement wordt zo een verzameling van reacties op beveiliging in plaats van een doordachte ontwerpkeuze. De vraag die ooit centraal stond, welke waarde beschermen we eigenlijk, verdwijnt langzaam naar de achtergrond.

Compliance als doel op zich

Chris kent de druk van binnenuit. Het SaaS-platform van Skunk Team verwerkt maandelijks gegevens van honderdduizenden mensen. De eisen rond privacy, continuïteit en cybersecurity zijn zwaar. Juist in die situatie, zei hij, komt de focus vaak te liggen op compliance in plaats van de bedrijfsdoelstelling.

Organisaties richten processen dan primair in om een audit te doorstaan. ”Organisaties willen vooral vinkjes zetten voor toezichthouders.” Het resultaat: een wildgroei aan maatregelen die elkaar soms tegenwerken en een beveiligingsaanpak die steeds minder aansluit op hoe de organisatie werkelijk functioneert.

Chris noemde een concreet voorbeeld. Een klant wilde monitoring-software installeren op het serverless platform van Skunk Team omdat dat nu eenmaal bij hun standaard beveiligingspakket hoorde. Het platform van SkunkTeam werkt met serverless microservices dus er is vrijwel geen sprake van een permanente infrastructuur. De monitoring paste er niet bij. Bovendien introduceerde deze vraag juist nieuwe componenten en daarmee nieuwe veiligheidsrisico’s.

Niet elke best practice past in elke context. Dat klinkt voor de hand liggend, maar wordt in de compliancepraktijk te vaak genegeerd.

Meer systemen, groter aanvalsoppervlak

Richard bracht cijfers mee van het Centrale Bureau voor Statistiek (CBS). Om en nabij 50% van de Nederlandse organisaties is actief bezig met risicomanagement. In verschillende sectoren is die activiteit zelfs aan het dalen. Dat, terwijl het aantal ingezette beveiligingstools explosief toeneemt.

Dat is geen toeval en ook geen oplossing. Elke nieuwe tool brengt nieuwe afhankelijkheden, extra beheerlast en aanvullende kwetsbaarheden mee. Organisaties voelen zich veiliger, maar de feitelijke beheersbaarheid neemt af.

”De vraag is altijd: welke nieuwe risico’s introduceer ik hiermee?”

Een deelnemer in de zaal bevestigde dat beeld. Zijn organisatie migreerde van eigen datacenters naar Microsoft Azure, met als doel het risicoprofiel te verlagen. De technische risico’s namen inderdaad af. Tegelijkertijd ontstonden nieuwe afhankelijkheden rond vendor lock-in, geopolitiek en cloudbeheer. Dit waren risico’s die niemand vooraf volledig had doordacht.

Richard en Chris trokken daaruit een helder principe: elke architectuurkeuze verandert het risicoprofiel. Je kunt een probleem niet oplossen door simpelweg iets toe te voegen.

Begin bij waarde, niet bij technologie

Een van de scherpe wendingen tijdens de break-out sessie was de nadruk op waardecreatie als startpunt. Risicomanagement dat begint bij een lijst met dreigingen of een auditframework mist iets fundamenteels: het weet niet wat het eigenlijk beschermt.

Chris legde uit dat medewerkers organisatiedoelen zelden herkennen in abstracte beleidsdocumenten. Zij willen hun werk goed doen. Een theoretische compliance-aanpak bereikt hen niet en werkt daardoor niet.

De alternatieve aanpak: begin bij de processen. Begrijp hoe waarde ontstaat. Bepaal daarna welke risico’s er echt toe doen. Een server is geen risico, behalve als die server onmisbaar is voor een organisatie of kritieke informatie bevat. Vanuit die logica wordt risicomanagement een ontwerpvraag in plaats van een aankruislijst.

Chris Risicomanagement
Foto: Chris Gralike

Mensen volgen geen regels die hun werk hinderen

Bijna zeventig procent van alle succesvolle ransomware-aanvallen begint bij menselijk gedrag. Dat weet vrijwel elke IT-professional. Maar de standaardreactie zoals meer awareness-training en strengere regels schiet vaak tekort.

Chris was er duidelijk over: mensen volgen regels niet automatisch, zeker niet als die regels hun dagelijkse werk bemoeilijken. Dan creeren mensen olifantenpaadjes waarbij medewerkers een andere route uitvinden omdat de officiële route te omslachtig is.

Een deelnemer herkende het onmiddellijk. In zijn organisatie werden de complianceprocessen steeds strenger. Het gevolg was niet meer veiligheid, maar meer creativiteit in het omzeilen ervan. Netto resultaat: minder veilig dan daarvoor. De les die Chris eraan verbindt, benadrukt het belang van goed ontworpen processen.

”Je hoeft mensen niet te veranderen. Je moet processen beter ontwerpen.”

Leer van de looproutes

Het metafoor van een Amerikaanse Universiteit dat studenten eerst over gras liet lopen en aan de hand daarvan de wandelpaden tussen gebouwen aanlegde, is een mooie les verteld Richard. Dat principe geldt ook voor cybersecurity, namelijk eerst begrijpen hoe mensen werkelijk werken en daarna processen en maatregelen daarop aansluiten. Niet andersom.

De implicaties zijn concreet. Veel organisaties investeren fors in phishing-trainingen. Medewerkers leren verdachte afzenders te herkennen, op geen enkele link te klikken. Maar heren stelden de achterliggende vraag: waarom zijn die processen nog steeds afhankelijk van klikbare links in e-mails? Als je die afhankelijkheid vermindert, verdwijnt ook een groot deel van het risico en hoef je medewerkers een stuk minder complexe beslissingen te laten nemen.

Awareness-training is geen beveiligingsstrategie

Dat brengt ons bij een conclusie die voor sommige IT-managers ongemakkelijk is: security awareness alleen is geen strategie. Onderzoek toont aan dat medewerkers het grootste deel van trainingsinhoud binnen een paar maanden vergeten. Bewustwording helpt, maar werkt niet als primaire maatregel.

Richard en Chris bepleitten een structurele aanpak: verwijder risico’s uit processen, in plaats van mensen te trainen om met risico’s om te gaan. Minder risico in het ontwerp betekent minder druk op het gedrag. Dat vraagt om een fundamenteel andere manier van kijken en om de bereidheid om bestaande systemen en processen kritisch te bevragen.

”Moderne beveiliging draait steeds minder om het opleggen van regels en steeds meer om het slim ontwerpen van veilige standaardprocessen.”

Snoeien in het beveiligingslandschap

De centrale boodschap liet zich tegen het einde duidelijk samenvatten: eenvoud is een beveiligingsmaatregel. Niet als bezuinigingsstrategie, maar als ontwerpprincipe.

Welke systemen voegen daadwerkelijk waarde toe? Welke processen bestaan nog alleen omdat ze ooit zijn opgezet? Welke maatregelen vergroten de complexiteit zonder aantoonbare winst in veiligheid?

Juist nu organisaties tegelijkertijd navigeren tussen AI, cloudplatformen, hybride infrastructuren en toenemende regelgeving, groeit de verleiding om steeds nieuwe tooling te stapelen. Maar met elke toevoeging groeit ook de beheerlast, het aanvalsoppervlak en de kans op fouten. Risicomanagement dat daarin meegaat, verandert van strategische discipline in operationele overbelasting. Organisaties moeten dus kritischer kijken naar hun bestaand landschap en daar waar mogelijk in snoeien. Ontwerpen vanuit eenvoud is dus key.

Minder doen is ook een keuze

Richard en Chris lieten op het TFG Innovation Event zien dat goede beveiliging begint bij een fundamentele vraag: wat beschermen we en hoeveel complexiteit accepteren we daarvoor?

Het antwoord op die vraag, vraagt om moed. De moed om maatregelen te schrappen die geen waarde toevoegen. Om compliancevereisten kritisch te interpreteren in plaats van klakkeloos te implementeren. Om processen te ontwerpen vanuit hoe mensen werkelijk werken, niet hoe een beleidsdocument het voorschrijft.

Meer verhalen over het Innovation Event 2026?

Voor IT-prodessionals die dagelijks opereren in complexe IT-omgevingen, is het verhaal van Chris en Richard herkenbaar terrein. De beste oplossing is niet altijd de meest uitgebreide. Soms zit de winst in weglaten. Beter beveiligen begint soms met minder doen.

Benieuwd naar de andere inzichten die tijdens het Innovation Event 2026 zijn gedeeld? Lees dan hier het artikel van Cor en Peter over hoe architectuur meer impact kan maken zonder een overvloed aan modellen of het artikel van Martijn en Peter over de zwakke schakel bij IT/OT-convergentie.

Ontdek meer interessante artikelen

Marco1
IT-vakinhoudelijk,
AI vervangt geen mensen, maar wat mensen doen

Marco van Hurne (ASML) over hoe de realiteit van AI verschilt van de situatie die techgiganten schetsen.

Jaap en Dean
IT-vakinhoudelijk,
Van pilot naar praktijk: zo werkt AI-transformatie echt

Jaap en Dean (Maxeda) over een realistische AI-transformatie: minder experimenteren, meer daadwerkelijk transformeren.

IT/OT Convergentie
IT-vakinhoudelijk,
IT/OT-convergentie als bestuursrisico

Maten Martijn en Peter over de verbinding tussen operationele technologie en traditionele IT tijdens het Innovation Event.

Cor-Architectuur
IT-vakinhoudelijk,
Met betere besluiten maakt architectuur meer impact

Cor en Peter (Cito) vertellen in hun sessie tijdens het Innovation Event over wat architectuur wél laat landen.

IT-vakinhoudelijk,
Digitalisering start bij een goed fundament

Goede tools, maar geen richting. Bharet (ANWB Energie) legde op het Innovation Event uit wat digitalisering echt vraagt

Kaspar over AI
IT-vakinhoudelijk,
AI-impact begint niet bij de technologie, maar bij jou

AI-tools zijn er genoeg. Wat ontbreekt? Kaspar van Hulst en Patrick van Stockem gaven antwoord op het TFG Innovation Event 2026.

Innovation Event Paneldiscussie
IT-vakinhoudelijk,
Leiderschap bepaalt of IT-keuzes falen of slagen

IT faalt niet door techniek, maar door gedrag. Lees hier de inzichten van de paneldiscussie tijdens het Innovation Event.

IT-vakinhoudelijk,
De rol van de architect in big data projecten

Hoe de rol van de architect verandert in big data projecten en hoe je met een flexibele aanpak toch structuur behoudt.

IT-vakinhoudelijk,
Raspberry Pi 4 development environment setup

Complete Raspberry Pi 4 setup met netwerkboot, NFS en cross compiling voor snellere en stabiele ontwikkeling.

security beleid
IT-vakinhoudelijk,
Security beleid en procedures: van complex naar overzicht

Hoe je security beleid en procedures vertaalt naar een samenhangend en praktisch toepasbaar geheel binnen je organisatie.

Neem contact op

Heb je een vraag of wil je de route naar één van onze kantoren inplannen? Via onderstaande button vind je al onze contactgegevens!