Gelezen: Cyberrisico als kans

Van Rijsewijk kan het weten. Begonnen als stagiair bij Deloitte in 1999 werkte hij zich op tot partner in 2014 en gaf leiding aan het Cyber Risk-team. Deze functie verliet hij om Senior Fellow bij Deloitte’s Centre for the Edge te worden, waar bedrijven geholpen worden om zich nieuwe technologieën eigen te maken en hierin kansen te zien. En dus geen bedreigingen, iets wat sowieso als rode draad door het boek heen loopt. En dat is prettig, want je bent slechts één zoekopdracht op internet verwijderd van cyberhorrorverhalen. De positieve kant kom je echter zelden tegen.

Iedereen een expert

Oké, we moeten niet doordraven, Van Rijsewijk erkent dat we hier wel degelijk te maken hebben met risico’s en dat security serieus genomen dient te worden. Maar wat hij direct en indirect blijft onderstrepen, is dat er een goed alternatief is. Een attitude waar zowel organisaties mee gediend zijn als de security binnen die organisaties. Op het eerste gezicht komt de toon en schrijfstijl van Van Rijsewijk misschien wat simpel en net té enthousiast over om serieus genomen te worden. Het boek van nog geen 150 pagina's dik lees je dan ook binnen een avond uit. Maar voor wie moeite neemt en zijn eigen betweterigheid aan de kant zet (en laten we eerlijk zijn, in de IT-sector is iedereen een expert met een mening en mogelijke oplossingen), ontdekt wijze woorden waar je in de praktijk ook nog wat mee kunt.

Meldplicht

Dat begint al met de proloog, op letterlijk de eerste pagina van het boek na het voorwoord. 'Compliance moet nooit het doel zijn, het is de uitkomst van wat je probeert te bereiken.’ Een ogenschijnlijk simpele uitspraak en bij velen komt het ongetwijfeld over als een open deur, maar denk er eens echt over na in het licht van recente ontwikkelingen op security-gebied voor organisaties. Dit is het eerste jaar waarin de meldplicht voor datalekken actief is. In het jaar daarvoor (of eigenlijk ongeveer de laatste zes maanden van 2015) had iedereen, het bedrijfsleven, security-organisaties en ook media zoals wij, het enkel over wat het betekent wanneer een bedrijf een lek moet melden en over de ernstige gevolgen die dit kan hebben. Hieruit volgden weer allerlei artikelen in vakmedia over hoe datalekken grotendeels te voorkomen zijn. En uiteindelijk draaide al deze initiatieven vooral om één ding: het doel om bedrijven te behoeden, maar vooral geen boetes opgelegd te krijgen.

Begrijpelijk natuurlijk, maar wel vraag je je af waarom de meldplicht niet positief benaderd wordt. Het dwingt organisaties immers na te denken over hoe met privacygevoelige data om te gaan, iets wat zij in eerste instantie al hadden moeten doen natuurlijk. Organisaties hadden de meldplicht ook positief kunnen oppikken en de invoering ervan kunnen aangrijpen om hun eigen data en de stroom van die data voldoende te beveiligen. Dat was echter niet wat er gebeurde, en als het al gebeurde slechts bij een handjevol organisaties. Niet dat de meldplicht zo expliciet in Cyberrisico als kans meegenomen wordt, maar het zou zomaar makkelijk kunnen. Was het boek een jaar geleden verschenen, dan was het een positief argument voor de meldplicht geweest en mogelijk een goede aandrijver tot besef bij organisaties wat het nu eigenlijk betekent om verantwoordelijk voor gevoelige data te zijn.

De bestuurskamer

Van Rijsewijk wordt natuurlijk enigszins gedwongen met positieve toon te schrijven. Het boek is bedoeld voor 'de bestuurskamer', het hogere management en de beslissers binnen organisaties. Die hoeven niet de technische details omtrent cyberrisico's te weten en ze zitten daar mogelijk ook niet op te wachten.

In plaats daarvan wordt er een beknopte geschiedenis voorgeschoteld waarin toegewerkt wordt naar het punt waar we nu zijn beland binnen de informatierevolutie, de derde revolutie na de landbouw- en industriële revolutie waar technologie onze maatschappij fundamenteel veranderde. 

Na deze opening gaat Van Rijsewijk meer de diepte in. De volgende vier hoofdstukken waarin achtereenvolgens de actoren beschreven worden (wie of wat zijn hackers dan precies), de drie drijvers die vanuit het management in een organisatie aangestuurd worden (versnelde innovatie, vrije stroom van innovatie, vertrouwen in mensen), strategieën voor beheersing van cyberrisico's en een praktisch hoofdstuk gericht op implementatie, uitvoering en beheersbaarheid van cyberrisicomanagement.

Balans

Organisaties moeten zowel open en verbonden opereren op een manier die past bij een wereld die een enorme digitale overlap kent, maar ook de nodige cyberrisico's met zich meedraagt. Daartegenover moeten ze zich weerbaar opstellen zonder dat het deze balans verstoort.

Dat is het uiteindelijke probleem natuurlijk, want geen enkele organisatie is hetzelfde. Daarom is het knap dat Van Rijsewijk toch in staat is op kort en bondige wijze toch praktische tips en zinvolle informatie uiteen te zetten waar je altijd wel iets nuttigs uit pikt voor de specifieke security-maatregelen binnen jouw organisatie. De belangrijkste les die het boek je wilt leren? De (digitale) toekomst niet met angst tegemoet zien, maar deze juist met vertrouwen tegemoet treden. En dat allemaal in een boek wat leest als een trein. Dat verdient respect.

Cyberrisico als kans

Een boek dat zo beknopt is geschreven, in sneltreinvaart toch voldoende informatie geeft en ook praktische handvatten biedt voor doeners, is eigenlijk een must-read. Of je nu CIO, IT-beslisser of simpelweg een geïnteresseerde bent in hoe om te gaan met cyberrisico's. Het boek laat zien dat vertrouwen het beste middel is om risico's aan te pakken en angst toch echt een slechte raadgever.

Cyberrisico als kans is verkrijgbaar via Boom Uitgevers en kun je hier bestellen.