“Oefen met je ketenpartners; dat maakt je veel sterker”, zegt Kelvin Rorive

Kelvin Rorive, CISO bij ICT Group en medeoprichter van het Cyber Chain Resilience Consortium (CCRC), gelooft dat échte cyberweerbaarheid begint bij samenwerking. In onze podcast – en tijdens zijn aankomende keynote op Cybersec Netherlands 2025 – benadrukt hij dat oefenen in de keten essentieel is.

“Als MKB’er ben je digitaal afhankelijk van je toeleveranciers. Dus als je wilt oefenen, doe het dan met je ketenpartners. Dat maakt je veel sterker.”

Volgens Kelvin draait het in crisistijd niet om het perfecte draaiboek, maar om mensen die weten wat ze aan elkaar hebben. En dat begint met samen oefenen, ook met leveranciers en andere partners buiten je organisatie.

Een knuffel kwijtraken is ook een crisis

Tijdens de podcast kreeg Kelvin de vraag: hoe zou je aan een vijfjarige uitleggen wat een cyberoefening is? Zijn voorbeeld was zo leuk en praktisch dat we hem niet wilden onthouden in dit artikel.

“Stel: je komt thuis en je knuffel is weg. Die knuffel hoort bij jou. Dat is een crisis. Dan wil je dat er een crisisteam komt helpen: papa en mama die plannen maken om hem terug te vinden, en zorgen dat je niet te lang hoeft te huilen. Zo werkt het ook bij een digitale crisis.”

Het is een beeld dat blijft hangen en wat veel kanten van een digitale crisis raakt: emotie, impact, snelheid en samenwerking. Dingen die je niet uit een certificering haalt, maar wel uit samen oefenen.

Cyberweerbaarheid bereik je niet in je eentje

Net zoals dat een vijfjarige waarschijnlijk niet alleen zijn knuffel terug vindt, zo los je ook een digitale crisis niet in je eentje op. Veel bedrijven hebben minimaal één of meerdere IT-partners. “Als je hen niet meeneemt in de oefening van een crisis, dan mis je een cruciale schakel”, zegt Kelvin. “Ik vind dat we elkaar meer moeten opzoeken. Niet alleen praten over samenwerking, maar het ook echt doen.”

Dat is één van de uitgangspunten van het Cyber Chain Resilience Consortium. Dat helpt organisaties, groot én klein, om samen te oefenen. Niet alleen met partners uit de keten, maar ook met concurrenten. Bij ICT Group draagt hij deze visie niet alleen intern uit, maar ook richting klanten. “Samen oefenen klinkt logisch, maar het gebeurt nog veel te weinig. Terwijl het je weerbaarheid direct vergroot.”

Het draaiboek is zelden de werkelijkheid

“Ik heb veel crisisplannen geschreven, maar de echte incidenten houden zich er zelden aan.” Organisaties zijn vaak goed voorbereid op het bekende. Maar juist in situaties die nét anders verlopen dan het draaiboek, valt op hoe goed (of slecht) mensen samenwerken. Kelvin benadrukt dat je niet alles kunt voorspellen, maar wel kunt trainen op flexibiliteit en vertrouwen.

Een oefening dwingt je om na te denken over vragen als: wie communiceert met klanten? Wanneer betrek je de board? Hoe snel kun je echt schakelen? “Dat soort dingen leer je niet uit een PowerPoint. Dat moet je doen, ervaren. En dat kan in een veilige oefencontext.”

Weerbaar wordt je niet in de boardroom alleen

De laatste jaren was er veel aandacht voor de rol van de boardroom. Maar juist tijdens oefeningen merk je hoe beperkt die blik is als je de rest van de organisatie niet meeneemt. Want het securityteam zélf gaat geen klanten bellen. En ook niet beslissen wat je communiceert of wanneer je een melding doet. Die verantwoordelijkheden liggen bij andere afdelingen en dus moeten zij ook onderdeel zijn van het oefenen.

​Zelfs bij ICT Group, waar security één van de expertisegebieden is en als dienst wordt aangeboden, blijkt tijdens oefeningen dat dat nog niet betekent dat iedereen automatisch weet wat er van hem of haar wordt verwacht. Natuurlijk is het belangrijk dat de board het belang van security erkent, er budget voor vrijmaakt en mandaat verleent. Maar échte weerbaarheid ontstaat pas als iedereen weet wat zijn rol is in een crisissituatie. “Je wil niet midden in een incident nog moeten uitzoeken wie wat doet. Dat moet je vooraf samen hebben ervaren.”

Wie helpt zoeken als de knuffel weg is?

Kelvin laat zien dat cyberweerbaarheid geen kwestie is van betere tools of strakkere protocollen, maar van mensen die weten wat ze aan elkaar hebben – vóórdat het misgaat. Oefenen in de keten, met leveranciers én collega’s buiten security, maakt het verschil tussen controle houden of overvallen worden. Net als bij het zoeken naar een verdwenen knuffel: je wil dat iedereen meteen in actie komt, zonder eerst te hoeven overleggen wie wat moet doen.

Wie Kelvin niet alleen wil horen praten in onze podcast, maar ook live wil zien spreken over dit thema, kan terecht op 10 september tijdens Cybersec Netherlands. Daar staat hij op de Main Stage met zijn keynote: ‘Building Cyber Resilience: Collaborating with Soulmates Across Chains to the Boardroom’