Information security structureel verbeteren: waarom trainen belangrijker is dan tooling
De meeste organisaties hebben inmiddels een stapel security tooling. EDR, SIEM, IAM, awareness modules, MFA, DLP. Toch blijft de vraag terugkomen op MT- en boardniveau: waarom worden we nog steeds verrast door incidenten, audits en leveranciersrisico’s? Het antwoord zit zelden in “nog een tool”. Het zit in mensen, inrichting en gedrag. Wie information security structureel wil verbeteren, moet daar beginnen. Niet met de volgende tool, maar met een gerichte aanpak van information security op organisatieniveau.
Wie information security serieus neemt, kijkt eerst naar de organisatie. Naar security governance, naar de vaardigheden in het team, naar besluitvorming, naar escalatie, naar het tempo waarin je leert van bijna-incidenten. Tooling versnelt alleen wat je al beheerst. Als processen, kennis en verantwoordelijkheden niet scherp zijn, automatiseer je vooral verwarring.
In 2025 en 2026 komt daar extra druk bij. Volgens Check Point Software Technologies stegen cyberaanvallen in Nederland in Q1 2025 met 53% (wereldwijd 47%), en de aankomende Cyberbeveiligingswet (NIS2) vraagt aantoonbare risicobeheersing, incidentmelding en ketenbeveiliging. Dat dwingt tot structurele verbetering van information security, niet tot losse aankopen. Trivian helpt organisaties precies daar: met praktijkgerichte cybersecurity opleiding en scenario-based cybersecurity awareness training die inzetbaarheid versnelt, ook voor mensen zonder IT-achtergrond.
De realiteit van 2025-2026: druk op capaciteit en aantoonbaarheid
De arbeidsmarkt voor cyberprofessionals blijft krap. Volgens Dutch IT Channel zijn experts in 2026 twee keer zo duur als software, wat het risico verhoogt dat organisaties vooral investeren in tooling en licenties, omdat talent lastig te vinden is. Tegelijk neemt de lat voor aantoonbare information security toe door wetgeving, klanten en ketenpartners.
Trivian is een Nederlandse cybersecurity trainingspartij die hands-on omscholing en traineeships aanbiedt, met realistische scenario’s die ontwikkeld zijn met experts uit onder meer intelligence, security communities en ethical hacking. Het doel is simpel: sneller operationeel inzetbare cyberprofessionals opleiden via een gerichte cybersecurity opleiding, zodat je waarde krijgt in weken en maanden in plaats van na lange onboardings.
Dat is precies de kern van information security structureel verbeteren. Je kunt pas volwassen worden in security governance als je mensen hebt die weten wat “goed” eruitziet, en het kunnen uitvoeren.
Waar het vaak misgaat: tooling zonder security governance
Veel IT-managers en CISO’s herkennen deze situatie:
- Er is veel tooling, maar weinig eenduidige werkwijze.
- Incidenten worden opgepakt, maar post-incident learning is beperkt.
- Cybersecurity awareness training is “een e-learning”, geen gedrag in de dagelijkse operatie.
- De CISO praat risico’s, het team praat tickets, het MT praat budget.
Het KPN-onderzoek Cyberweerbaar Nederland 2026 bevestigt deze kloof: IT- en securityprofessionals beoordelen de volwassenheid van hun organisatie structureel lager dan het management. Die kloof is gevaarlijk, omdat het team de dagelijkse frictie ziet: ontbrekende monitoring, onduidelijke verantwoordelijkheden, en crisisplannen die nooit geoefend zijn. Zonder werkende security governance blijft verbetering reactief in plaats van gepland.
Een tweede harde realiteit uit datzelfde onderzoek: een derde van de Nederlandse organisaties monitort digitale dreigingen onvoldoende of slechts basaal. Je kunt nog zo’n goed SIEM hebben: als je mensen niet weten welke signalen belangrijk zijn, hoe je use cases onderhoudt en wanneer je escaleert, blijft het stil tot het te laat is. Juist hier maakt een security maturity model zichtbaar waar de gaten zitten.
De grootste uitdaging: mens factor security op schaal organiseren
De dominante aanvalsvorm is al lang niet meer “die ene zero-day”. Het zijn mensgerichte aanvallen. Uit het Eye Security trendrapport 2026 blijkt dat Business Email Compromise (BEC) goed is voor 70% van alle onderzochte incidenten in Europa, waarbij phishing, spearphishing en social engineering samen verantwoordelijk zijn voor 33% van alle cases. Dat betekent dat je aanvalsoppervlak grotendeels bestaat uit beslissingen van medewerkers: leverancierscontacten, financiele processen, mailroutines en autorisaties. Mens factor security is daarmee geen zachte randvoorwaarde, maar de kern van je information security aanpak.
Dat vraagt om mens factor security die verder gaat dan posters en een jaarlijkse test. Het vraagt om cybersecurity awareness training die aansluit op rollen, processen en echte scenario’s. Finance traint anders dan HR. IT-beheer traint anders dan product development. En leidinggevenden moeten weten wat zij doen tijdens een crisis, omdat tijdverlies daar direct schade veroorzaakt. Effectieve cybersecurity awareness training is rolspecifiek, herhaald en meetbaar.
Wie information security structureel wil verbeteren, pakt mens factor security aan als organisatievraagstuk, niet als IT-project. Zonder aandacht voor mens factor security blijft je cybersecurity awareness training oppervlakkig en je information security kwetsbaar.
Tooling is nodig, maar training bepaalt het rendement
Tooling is onmisbaar. Je wilt identity controls, logging, detectie, segmentatie, patching. Alleen: tooling is een versterker. Het versterkt goede processen, en het versterkt ook slechte processen.
Een paar praktische voorbeelden:
- Je koopt een SIEM, maar er is geen scherp logbeleid, geen eigenaar van use cases en geen ritme voor tuning. Resultaat: veel alerts, weinig signal-to-noise.
- Je zet MFA aan, maar je traint de organisatie niet op push fatigue en helpdeskprocedures. Resultaat: social engineering verschuift naar support.
- Je introduceert een awareness platform, maar managers sturen niet op gedrag. Resultaat: modules worden “afgevinkt”, en cybersecurity awareness training levert niets op.
Daarom is trainen vaak belangrijker dan tooling. Niet omdat tooling onbelangrijk is, maar omdat mensen de tooling moeten laten werken. Dit is ook waar een security maturity model helpt. Een security maturity model maakt zichtbaar welke capabilities je mist, en welke cybersecurity opleiding nodig is om naar een hoger volwassenheidsniveau te groeien.
Pak information security op in drie lagen
Wil je information security structureel verbeteren, dan is het nuttig om het probleem op te delen in drie lagen:
- Security governance: wie beslist, wie is accountable, welke risico’s accepteren we, hoe rapporteren we.
- Capability: welke skills zijn aanwezig in het team, en welke ontbreken. Een security maturity model helpt dit objectief te meten.
- Gedrag: hoe handelen mensen onder druk, en hoe vaak oefenen we dat. Hier draait alles om mens factor security.
Uit de PwC Digital Trust Insights 2026 (Nederlandse resultaten) blijkt dat slechts 28% van de Nederlandse CISO’s in grote mate inzichten deelt met de CEO over cyberprogramma’s om strategische beslissingen te ondersteunen. Wereldwijd ligt dat op 46%. Zonder die verbinding op boardniveau wordt security governance een papieren exercitie. En dan wint tooling het van een cybersecurity opleiding, omdat het sneller “op papier” staat. Alleen verandert het weinig aan de werkelijke weerbaarheid.
Trainen is hier de hefboom. Je bouwt capability op, je maakt security governance concreet, en je oefent gedrag. Tooling volgt daar logisch uit, als versneller.
NIS2 en de Cyberbeveiligingswet: aantoonbaar handelen vraagt training
De Nederlandse implementatie van NIS2 wordt verwacht in het tweede kwartaal van 2026. Dat betekent voor veel organisaties in vitale en belangrijke sectoren: risico’s in kaart brengen, passende maatregelen nemen, incidenten melden, en leveranciers kritisch beoordelen.
Op papier kun je veel vastleggen. In de praktijk vraagt dit mensen die weten hoe je:
- risicoassessments uitvoert en onderhoudt
- security governance inricht met heldere rollen en verantwoordelijkheden
- incident response processen traint en test via cybersecurity opleiding
- supply chain security vertaalt naar contracten en controles
Volgens het KPN-onderzoek hebben veel organisaties beperkt zicht op leveranciers en SaaS-diensten, waardoor ketenrisico’s onderbelicht blijven. Dit is geen toolprobleem. Dit is een security governance- en vaardigheidsprobleem. Je hebt mensen nodig die vendor risk begrijpen, die weten welke eisen relevant zijn, en die de business kunnen meenemen. Een security maturity model helpt hierbij om het volwassenheidsniveau van ketenbeveiliging te meten en te verbeteren.
Hier raakt cybersecurity awareness training ook het management. Cybersecurity awareness training op boardniveau is geen algemene module, maar een besluitvormingsvaardigheid. Welke risico’s accepteer je, welke mitigeer je, wie betaalt, en hoe meet je het effect op je information security.
Waarom veel awareness programma’s niet landen
Awareness wordt vaak gezien als HR-achtige verplichting. Een paar mailtjes, een quiz, een phishing-simulatie. Dan is het “gedaan”. In de boardroom voelt het goed, maar op de vloer verandert weinig. De kern van het probleem: cybersecurity awareness training wordt als los project uitgevoerd, los van security governance en los van je security maturity model.
Een effectieve aanpak heeft drie kenmerken:
- Rolgericht: medewerkers krijgen scenario’s die passen bij hun werk. Dat is mens factor security in de praktijk. Denk aan factuurfraude bij finance of datadeling bij sales.
- Herhaald en kort: geen jaarlijkse piek, maar een ritme. Kleine interventies die gedrag vormen.
- Meetbaar gekoppeld aan proces: niet alleen “klikratio”, maar ook kwaliteit van meldingen, doorlooptijd van escalatie, en naleving van autorisatieprocessen.
Het Eye Security trendrapport laat zien hoe groot het verschil is als detectie en respons echt ingebed zijn. In omgevingen met MDR (Managed Detection & Response) daalde de mediane dwell time voor BEC-incidenten van meer dan 24 dagen naar 23,8 minuten. Dat komt niet alleen door tooling, maar door 24/7 werken, triage discipline, escalatie en oefening. Training en proces maken tooling effectief. Dat is waarom mens factor security zo bepalend is voor je information security resultaat.
Trivian als antwoord: cybersecurity opleiding die inzetbaarheid versnelt
Trivian richt zich op praktische, scenario-gebaseerde leertrajecten, met als doel snelle inzetbaarheid in echte securityrollen. Dat is relevant voor organisaties die information security structureel willen verbeteren, maar worstelen met capaciteit, ramp-time en bewezen skills.
Waar klassieke opleidingen vaak breed en theoretisch zijn, ligt bij Trivian de nadruk op doen. Realistische “under fire” simulaties, begeleiding, en leren werken zoals het in het SOC, bij incident response of in security governance teams echt gaat. De cybersecurity opleiding van Trivian sluit aan op de behoefte in 2025-2026: mensen die niet alleen termen kennen, maar information security kunnen vertalen naar dagelijks handelen.
Bekijk het opleidingsaanbod via de Trivian cybersecurity opleiding pagina. Meer over de organisatie en missie vind je op de Over Trivian pagina.
Zo past training in security governance en een security maturity model
Training moet geen los initiatief zijn. Het werkt pas als het onderdeel is van je security governance en je verbeteragenda. Een praktische manier om dit te organiseren is werken met een security maturity model als kapstok, zodat je:
- per capability niveaus definieert, van basis tot gevorderd
- cybersecurity opleiding koppelt aan rollen en verantwoordelijkheden
- tooling pas inzet als het team klaar is om het te beheren
- effecten meet in operationele prestaties
Denk aan capabilities zoals monitoring, identity governance, incident response, supplier risk, data protection en secure change. In een werkend security maturity model is cybersecurity awareness training geen los programma. Het is een meetbare capability die je structureel ontwikkelt, net als incident response of identity governance binnen je security maturity model.
In die aanpak is mens factor security de kern, niet de bijzin. Je kunt pas structureel verbeteren als je gedrag alignt met processen. En je kunt pas processen volwassen maken als mensen snappen waarom ze bestaan en hoe je ze uitvoert onder druk. Daarom is information security structureel verbeteren door te trainen de route naar voorspelbaarheid.
Wat dit betekent voor IT-managers en CISO’s: stuur op drie KPI’s
Als je de komende 12 maanden wilt groeien in je security maturity model, stuur dan niet alleen op “coverage van tooling”. Stuur op KPI’s die laten zien dat cybersecurity opleiding en proces werken. Een goed security maturity model koppelt deze KPI’s direct aan volwassenheidsniveaus:
- Tijd tot detectie en triage: hoe snel wordt iets gezien, begrepen en geclassificeerd?
- Kwaliteit van escalatie: hoeveel meldingen zijn bruikbaar, en hoe vaak gaat het in een keer goed?
- Auditability: kun je aantonen wie wat doet, waarom, en hoe je leert en bijstuurt?
Deze KPI’s dwingen je om security governance concreet te maken. Ze zorgen ook dat budgetgesprekken minder over losse tools gaan, en meer over aantoonbare risicoreductie via mens factor security.
Investeringslogica: eerst capability, dan automatisering
Uit het KPN-onderzoek Cyberweerbaar 2026 blijkt dat 38% van de respondenten het huidige securitybudget onvoldoende vindt, terwijl twee derde verwacht dat het budget in de komende periode zal stijgen. Tegelijk plaatst volgens PwC’s Digital Trust Insights 2026 slechts 60% van de business leaders cybersecurity bij de top drie strategische prioriteiten. Dat betekent dat je als CISO vaak moet kiezen. Dan wil je investeringen in information security die direct effect hebben.
Een praktische volgorde die vaak het meeste oplevert:
- Zet je security governance en roadmap neer, met duidelijke keuzes.
- Breng de skills in kaart via je security maturity model. Waar zijn single points of failure?
- Start met gerichte cybersecurity opleiding en scenario training, inclusief cybersecurity awareness training voor niet-technische teams.
- Pas tooling aan op wat je team kan beheren en verbeteren.
- Oefen incident response en crisiscommunicatie op vaste momenten.
Dit is geen pleidooi tegen tooling. Het is een pleidooi voor volgorde en samenhang bij information security, met mens factor security als startpunt.
Waarom Trivian past bij organisaties die tempo nodig hebben
Volgens het KPN-onderzoek werken veel organisaties nog met verouderde systemen en perimeter-denkwijzen, terwijl KPN’s 5 cybersecurity trends voor 2026 benadrukken dat incidentrespons een strategisch onderdeel van bedrijfsvoering moet worden. Moderniseren vraagt niet alleen architectuur, maar ook skills. Mensen moeten leren werken met moderne detectie, identity-first, zero trust principes, en cloud security. Dat leer je niet door een tool te kopen, maar door een cybersecurity opleiding die praktijk centraal stelt.
Trivian speelt in op die behoefte met een opleidingsaanpak die ontworpen is om ramp-time te verkorten. Dit maakt het aantrekkelijk voor organisaties die:
- sneller mensen willen laten meedraaien in SOC, GRC of IR
- niet genoeg senior capaciteit hebben om intern langdurig op te leiden
- willen bouwen aan structurele weerbaarheid richting NIS2
- mens factor security serieus nemen, met cybersecurity awareness training die verder gaat dan “tick the box”
Daarmee wordt information security structureel verbeteren door te trainen een uitvoerbare strategie, niet een mooie zin in het jaarplan.
Start met training als motor achter structurele verbetering
Wil je information security structureel verbeteren, dan is dit het moment om training centraal te zetten. Niet als losse cybersecurity awareness training, maar als motor achter security governance, een werkend security maturity model en een beter presterend team. Trivian helpt je om mensen sneller inzetbaar te maken met praktijkgerichte cybersecurity opleiding en scenario-based leren, zodat je organisatie niet alleen tooling heeft, maar ook capability. Mens factor security is daarin de verbindende schakel tussen cybersecurity opleiding, security governance en meetbare resultaten in je information security.
Ontdek hoe Trivian helpt bij snelle en duurzame inzetbaarheid



