Het komt voorbij in een MT-overleg. Iemand zegt: “We weten eigenlijk nog steeds niet wie er allemaal toegang heeft tot die gedeelde map.” Geknik rond de tafel. Iemand zegt dat hij ernaar zal kijken. Het overleg gaat door.
Drie maanden later, ander overleg, ander onderwerp. Dezelfde opmerking. Weer geknik. Weer iemand die ernaar gaat kijken.
Het signaal dat blijft hangen
Je hoort dit soort dingen vaker. De ICT-er die elk kwartaal noemt dat een bepaalde leverancier nog steeds inlogt op een server. De medewerker die twee keer heeft gevraagd wat er gebeurt als het systeem morgen platligt. De factuur voor software waarvan niemand precies weet wat erop draait.
Het zijn geen incidenten. Het zijn signalen. En ze komen terug.
Niet weten is geen probleem. Niet doorvragen wel.
Cybersecurity is een vak waarvan een directeur niet alles hoeft te begrijpen. Dat is geen schande — het is normaal. Je hoeft niet te weten hoe een firewall werkt om een goed bedrijf te leiden.
Maar er is een verschil tussen onwetendheid die je erkent en onwetendheid die je in stand houdt. Het eerste is werkbaar. Het tweede is selectief: je hoort iets, het komt ongemakkelijk binnen, en je laat het wegglijden naar de volgende vergadering.
Dat is geen luiheid. Het is ongemak. Doorvragen betekent dat je een beslissing moet nemen waarvan je niet weet of die goed is. Niet doorvragen betekent dat je het doorschuift. Dat tweede voelt veiliger. En dat is de val.
Hoe je het bij jezelf herkent
Je herkent het aan een patroon, niet aan een moment.
Welk onderwerp komt elk kwartaal terug op tafel zonder dat er iets verandert? Welke vraag van een medewerker zit al een half jaar in de marge van je notulen? Welk risico noemt je IT-partner steeds in het bijzijn, en jij hebt nog nooit gevraagd: en wat doen we daarmee?
Als je drie of meer dingen kunt opnoemen, weet je waar je niet doorvraagt.
Wat je ermee doet
Je hoeft het niet vandaag op te lossen. Je hoeft alleen één van die signalen op de agenda te zetten. Niet om het te kennen — om er een keuze over te maken. Aanpakken, accepteren, of doorzetten naar iemand die er wél verstand van heeft.
Een directeur die zegt “dit weet ik niet, dus ik neem hier nu een besluit over hoe we dit gaan weten” is een directeur die bestuurt. Een directeur die het signaal voor de vierde keer hoort en weer doorlaat — die is het aan het wegduwen.
En dat is iets anders dan onwetendheid.