In zijn boek “Cyberrisico als kans” werpt Roel van Rijsewijk een frisse blik op het thema cyber security. Niet dichttimmeren maar loslaten, luidt de boodschap.

In 2014 interviewde Van Rijsewijk de boardrooms van Deloitte-klanten over de hele wereld. Hij kreeg hierdoor grondig inzicht in hun omgang met cyberrisico’s. “De digitalisering heeft ons afhankelijk gemaakt van technologie”, vertelt de Deloitte-adviseur. “De voortdurende innovatiedrang in combinatie met informatietechnologie om data te delen maakt bedrijven kwetsbaarder. Voor security officers en -professionals is het verleidelijk om in te spelen op de angst. Door te focussen op kwetsbaarheden en bedreigingen hoopt men sneller budgetten los te krijgen om het probleem op te lossen.”

Angstcultuur

Deze houding wordt volgen Van Rijsewijk door CEO’s niet gewaardeerd. “Niets is zo ergerlijk als iemand die komt vertellen hoe groot de problemen zijn. Hierdoor roept men weerstand op. Angst als raadgever leidt bovendien tot een compliance-gedreven aanpak. Als een security officer alleen wijst op wat er allemaal mis kan gaan, wordt de taak om dit te voorkomen al gauw volledig aan hem gedelegeerd. Dat is een negatieve opdracht: er is geen upside en gaat het mis, dan weet men hem te vinden. Daarom dekken security officers zich ook in. Dit leidt tot systemen met veel intern indekken en weinig echte investeringen in goede weerbaarheid.De bedreigingen moet je niet ontkennen maar de grootste veroorzaker van de risico’s is de organisatie zelf.”

 

Roel van Rijsewijk

Paradigmashift

Cyberrisco’s hebben ook een upside, als de aandacht verschuift van het controleren naar het managen van risico’s. Van Rijsewijk: “Je kunt hierdoor sterker innoveren en maakt voor cyber security een positieve business case. Voor de gemiddelde cyber security officer is dit een paradigmashift, die begint met het besef dat 100% veiligheid onwenselijk is. Juist in deze kwetsbaarheid zit de kracht. Als je alles dichttimmert met security verlies je waarde. Door open en connected te zijn, voeg je waarde toe. Vergelijk het met museumbeleid: een schilderij als De Nachtwacht bescherm je het best door het in een kluis te leggen, maar je creëert waarde door het te tonen in een publieke ruimte.”

Detecteren en reageren

Hoe maken bedrijven cyber security concreet tot motor van innovatie? Volgens Van Rijsewijk door permanente risicodetectie en reactie. Het verzamelen en analyseren van data speelt hierin een hoofdrol. “Je wilt als bedrijf zoveel mogelijk functionaliteit en bruikbaarheid. Investeer in de minimale security die je nodig hebt. Laat data-analisten constant monitoren of zich vreemde zaken voordoen, en, zo ja, onmiddellijk reageren. Op die manier til je cyber security naar een hoger niveau. Als bedrijf heb je goede data-analisten nodig die ook je business verstaan. Dit voorkomt dat de implementatie van security monitoring op een teleurstelling uitdraait.”

Liberaal

De schaarste aan dergelijke vakkrachten vraagt om actie. “We moeten onze jeugd leren programmeren. Dit zou een verplicht schoolvak moeten zijn. Daarnaast moeten bedrijven leren capaciteiten te delen, zoals ook hackers de buit en technieken delen. Vaak schaamt men zich als men gehackt is, waardoor we in Europa niet goed weten hoe vaak het voorkomt. De Meldplicht is in potentie nuttig, maar weinig aantrekkelijk door de hoge boetes die eraan gekoppeld zijn.” Van Rijsewijk pleit ook voor een liberale bedrijfscultuur, waarbij ‘white hat-hackers’ worden ingezet om de security te borgen: “Mensen met een hacking-mind zijn hunters, voortdurend op jacht naar kwetsbaarheden. Je hebt ze nodig om potentiële bedreigingen op te sporen, maar ze gedijen het best in een cultuur waar veel openheid en vrijheid heerst.”

Red Team Excercises

Vanuit haar Cyber Intelligence Center in Den Haag verzorgt Deloitte voor klanten het monitoren van risico’s en incident response. “Een uitdaging voor boardrooms is dat er voor cyber security geen benchmark is. Niemand kan je vertellen wanneer je genoeg geïnvesteerd hebt. Evenmin laten cyberrisico’s zich vangen in regelwerken zoals ISO 27001. De enige manier om goed beveiligd te blijven zijn regelmatige Red Team Exercises waarbij professionals proberen je systemen te hacken om te kijken hoe snel je het in de gaten hebt en reageert. Dit creëert veel bewustzijn binnen organisaties. Deloitte biedt dit aan als een service, waarbij we inhouse-capaciteiten mengen met outsourcing.”

Revolutie

“Cyber security vraagt om wendbaarheid”, concludeert Van Rijsewijk, die het thema in een tweede boek breder gaat trekken naar risicomanagement in het algemeen. “Je moet agile blijven. In de snel veranderende digitale wereld is trial and error een veel nuttigere aanpak dan Plan Do Check Act. Dit is ook precies waar start-ups goed in zijn. Systemen worden van nature steeds complexer. Door zijn unieke capaciteit om informatie te verwerken kan de mens zich van alle organismen het meest succesvol aanpassen aan uitdagingen. De industriële revolutie heeft ons bevrijd van harde fysieke arbeid. De digitale revolutie gaat ons van de mind bevrijden.”