Skip to main content

Embedding Resilience: Veerkracht is geen sprint, maar een marathon

Laten we eerlijk zijn: resilience is misschien wel een modewoord geworden. In security, IT en zelfs in persoonlijke ontwikkeling duikt het overal op. Maar hoeveel organisaties hebben hun veerkracht echt ingebed in hun manier van werken? Vaak blijft het bij een mooi strategisch document, een incident response-plan dat eens per jaar wordt afgestoft, of een eenmalige crisisoefening. Dat is geen veerkracht. Dat noem ik wishful thinking.

Veerkracht als een systeem, niet als een incident
Echte resilience betekent dat je niet afhankelijk bent van een handjevol experts of procedures die alleen werken als alles volgens plan verloopt. Het gaat om een systeemaanpak: een manier van denken en handelen die in de hele organisatie verweven zit. Net zoals een goed getrainde atleet zich niet alleen voorbereidt op de perfecte race, maar ook op blessures, tegenvallers en veranderende omstandigheden.

In cybersecurity zie je hetzelfde patroon. We investeren fors in detectie en respons, maar als de basishygiëne niet op orde is, blijft het dweilen met de kraan open. Of erger nog: de organisatie kan niet snel genoeg herstellen na een incident, omdat afhankelijkheden en kwetsbaarheden pas zichtbaar worden als het te laat is. Het creëren van resilience betekent dat je deze afhankelijkheden actief in kaart brengt en structureel vermindert, zodat je niet voor verrassingen komt te staan op het moment dat het erop aankomt.

Van incident response naar cyber resilience
Volgens Gartner zien we een verschuiving in security en risk management (SRM) van een preventiegerichte aanpak naar een focus op cyber resilience. Dit betekent dat organisaties niet alleen proberen incidenten te voorkomen, maar ook accepteren dat verstoringen onvermijdelijk zijn. De nadruk ligt op impactminimalisatie en het versterken van adaptief vermogen. Dit sluit nauw aan bij het concept van antifragiliteit – de kunst om sterker uit verstoringen te komen.

Top 9 Trend in Cybersecurity for 2025

Ik vergelijk dit graag met trainen voor een marathon of ultraloop. Je bouwt niet alleen conditie op, maar leert ook omgaan met pijn, vermoeidheid en onverwachte omstandigheden. In een ultraloop kom je onvermijdelijk op een punt waar je lichaam schreeuwt om op te geven. Maar door training, mentale weerbaarheid en de juiste strategie leer je door te zetten en sterker te worden van de ervaring. Dit is precies hoe cyber resilience zou moeten werken. Niet alleen herstellen van een incident, maar er structureel beter uitkomen.

In een bedrijfscontext betekent dit dat resilience niet alleen reactief is, maar een actieve rol speelt in hoe systemen worden ontworpen, hoe medewerkers worden getraind en hoe beslissingen worden genomen. Dit vraagt om:

  • Decentrale besluitvorming: Zorg dat teams autonoom kunnen handelen bij verstoringen, zonder te wachten op goedkeuringen van bovenaf.
  • Redundantie en flexibiliteit: Bouw je systemen en processen zo dat ze tegen een stootje kunnen en alternatieve routes hebben als iets uitvalt.
  • Continu leren en experimenteren: Simuleer regelmatig scenario’s, analyseer near misses en pas je aanpak proactief aan.
  • Robuuste communicatiekanalen: Zorg ervoor dat informatie snel en effectief door de organisatie stroomt, zodat iedereen weet wat er van hen wordt verwacht in stressvolle situaties.
  • Strategische integratie van AI: Gartner wijst op de rol van generatieve AI en geautomatiseerde security-oplossingen bij het versterken van cyber resilience. Slimme inzet van AI kan detectie verbeteren en hersteltijden verkorten.

Resilience als een mindset
Veerkracht zit niet alleen in systemen, maar vooral in mensen. In hoe ze reageren op tegenslag, hoe ze improviseren en hoe ze leren van fouten. Dit is misschien wel de moeilijkste factor om te ‘embedden’, want het vereist een cultuurverandering. Een omgeving waarin fouten bespreekbaar zijn, waarin leren belangrijker is dan schuldigen aanwijzen, en waarin continu verbeteren de norm is.

Volgens Gartner zien we steeds meer aandacht voor de menselijke factor in cybersecurity, waarbij security behavior en culture programs (SBCPs) een sleutelrol spelen. Deze programma’s helpen organisaties bij het versterken van security awareness en het creëren van een cultuur waarin medewerkers eigenaarschap nemen over cyber resilience. Veerkrachtige teams zijn niet alleen goed voorbereid op incidenten, maar kunnen ook creatief omgaan met onvoorziene omstandigheden, zonder in paniek te raken of vast te lopen in stroperige processen.

Organisaties die resilience écht inbedden, realiseren zich dat het een doorlopend proces is. Het vraagt om een voortdurende balans tussen voorbereiding en improvisatie, tussen standaardprocedures en aanpassingsvermogen. En het vereist leiderschap dat niet alleen stuurt op stabiliteit, maar ook durft te experimenteren en te leren van tegenslagen.

Wees eerlijk: hoort uw organisatie daar al bij?

Lees ook ons blog Cyber resilience – verder dan Cybersecurity