Kelvin Rorive: “Ik ben geen kostenpost, ik ben de sleutel om het bedrijfsmodel te garanderen”
“De IT’ers en de OT’ers willen het liefst de werelden gescheiden houden, maar de realiteit is anders.”
Kelvin Rorive praat met rustige overtuiging, maar zijn boodschap is allesbehalve vrijblijvend. Als CISO bij ICT Group ziet hij dagelijks hoe security keuzes raakt die verder gaan dan techniek – het zijn bedrijfsmatige, zelfs strategische beslissingen. “Als ik iets uitzet, ligt een productielijn stil. Dat kost geld. Dus moet ik weten wat ik doe.”
Het gesprek met Kelvin past perfect binnen het onderzoek naar innovatie in security: hij laat zien dat weerbaarheid niet gaat over nieuwe tools, maar over slim organiseren, oefenen en communiceren.
Over Kelvin Rorive
Huidige rol: CISO bij ICT Group, waar hij verantwoordelijk is voor de beveiliging van industriële automatisering en embedded systemen.
Achtergrond: Ruim 25 jaar ervaring in security, met functies bij onder meer de Rabobank (hoofd SOC en Red Team). Medeoprichter en bestuurslid van stichting CCRC, die cybercrisis-oefeningen organiseert voor organisaties en ketens.
Tussen IT en OT bestaat geen muur meer
Kelvin lacht als hij vertelt hoe vaak hij hoort dat OT “compleet anders” is dan IT. “Dat klopt deels, maar de werelden groeien naar elkaar toe. Beschikbaarheid is belangrijk, maar je kunt niet meer doen alsof security daar niet bij hoort.”
Hij beschrijft hoe operationele technologie steeds vaker gekoppeld is aan IT-systemen. “Eén verkeerde update, en de fabriek ligt stil. Dus ja, we moeten voorzichtig zijn, maar ook slimmer kijken naar waar de risico’s echt zitten.”
Het vraagt volgens hem om begrip over en weer: IT’ers moeten leren hoe kritisch productieomgevingen zijn, en OT’ers moeten beseffen dat digitalisering onvermijdelijk is. “Alleen dan krijg je vooruitgang zonder dat het systeem vastloopt.”
De CISO als verbinder
Kelvin ziet zichzelf niet als degene die ‘nee’ zegt, maar als degene die keuzes mogelijk maakt. “Ik ben geen politieagent. Mijn rol is om de business te helpen begrijpen wat de impact van keuzes is – inclusief de kosten.” Daarvoor moet je zichtbaar zijn, zegt hij. “De directie moet snappen waarom iets geld kost. En dat lukt alleen als je laat zien wat je bereikt.”
Hij herinnert zich hoe hij bij de Rabobank begon met rapporteren over SOC-resultaten. “Ik liet zien wat we tegenhielden, wat het opleverde. En ineens kreeg ik trots terug in plaats van weerstand. Dat is het mooiste wat er is.”
“Als de directie trots zegt: ‘Mijn securityteam heeft dit als resultaat’, dan weet ik dat ik mijn werk goed doe.” Voor hem is dat de ultieme vorm van draagvlak: niet door regels, maar door respect. “Pas als securityteams erkenning krijgen, gaan ze groeien. En dan groeit de hele organisatie mee.”
Oefenen om te leren
In zijn rol bij de stichting CCRC zet Kelvin zich in om oefenen vanzelfsprekend te maken. “We willen eigenlijk heel Nederland aan het cyberoefenen krijgen. Niet ‘Heel Holland Bakt’, maar ‘Heel Holland Hacked’.”
Hij ziet hoe bedrijven pas echt leren als ze een crisis ervaren. “Iedereen zegt: onze backups zijn op orde. Tot ze merken dat die ook besmet zijn. Dat moment van besef, dat is goud waard.”
Conclusie: cyberweerbaarheid begint bij inzicht én trots
Kelvin ziet innovatie in security niet als technologische vernieuwing, maar als volwassenwording: leren, oefenen en samenwerken. “Je kunt security niet afdwingen met beleid alleen. Je moet het laten zien, voelbaar maken.”
“Ik ben geen kostenpost, ik ben de sleutel om het bedrijfsmodel te garanderen.”
Kelvin rorive
Het interview met Kelvin maakt deel uit van een breder onderzoek naar de staat van cyberweerbaarheid in Nederland, uitgevoerd door Security Innovation Stories in samenwerking met KPN. In het rapport delen tientallen securityprofessionals hun visie op innovatie, menselijk gedrag, techniek en de toekomst van digitale weerbaarheid.
