Raymond Bierens: “Stuur bestuurders niet alleen op cursus, maar juist samen met de CISO”
Het is inmiddels wel bekend dat cybersecurity geen puur IT-vraagstuk meer is. Toch blijft de investering in digitale weerbaarheid bij veel organisaties achter; en dat ligt niet alleen aan de bestuurders.
Dat is waar Raymond Bierens zich al jaren mee bezighoudt: waarom gebeurt er te weinig, terwijl de risico’s vaak al veel langer bekend zijn? Raymond begon zijn promotieonderzoek aan de TU Delft vanuit de aanname dat cybersecurity een technisch probleem is. Maar hij kwam er al snel achter dat het veel meer aan de bestuurskant lag en stapte daarom over naar de Vrije Universiteit Amsterdam. Ook is hij voorzitter van de stichting Connect2Trust en adviseur op het gebied van cybersecurity en het managen van digitale risico’s. In zijn onderzoek kijkt hij van buiten en van binnen: van Europese wetgeving en nationale cyberstrategieën tot de bestuurskamer en uiteindelijk de organisatie zelf.
Van wetgeving naar vinklijstjes
Op het hoogste niveau kijkt Raymond naar de ontwikkeling van cyberstrategieën en wetgeving. Zijn werk begon al vóór NIS1. Zijn onderzoek begon met een analyse van 29 nationale cyberstrategieën, waarin hij zag hoe sterk de geopolitiek in deze strategieën is binnengeslopen. Termen als digitale autonomie en digitale soevereiniteit zijn daar het bewijs van.
Vanuit dat perspectief is NIS2 logisch. Overheden zien dat organisaties te weinig doen aan de toenemende cyberrisico's en grijpen in om digitale ontwrichting van de maatschappij te voorkomen. Maar volgens Raymond zit daar meteen een spanningsveld. De stap van ‘neem risicogebaseerde maatregelen’ naar een expliciete lijst met wat je moet doen, lijkt logisch, maar duwt veel organisaties ook een bepaalde kant op.
Zodra boetes in beeld komen voor de naleving van wetgeving, gaan bestuurders niet in de eerste plaats risico’s managen. Een bestuurder begrijpt direct wat non-compliance betekent: een boete en aansprakelijkheid. Dus gaat de prioriteit daarnaartoe. En zodra de organisatie compliant is, komt vaak de reactie: ‘we zijn er toch?’
“Compliance is meetbaar en overzichtelijk, maar ook niet heel dynamisch. Organisaties die zich alleen daarop richten, bouwen geen echte weerbaarheid op, maar vinken af.”
Eén richtlijn, meerdere werkelijkheden
Die spanning zie je nog duidelijker terug bij de nationale implementatie van NIS2. Op papier is het Europese wetgeving, in de praktijk krijgt ieder land zijn eigen uitwerking. Een organisatie die in zeven landen actief was nam de proef op de som: een klein incident volgens de NIS2 doorlopen vooruitlopend op de CyberBeveiligingsWet in Nederland. Het resultaat: in ieder Europees land op zeven verschillende momenten melden, bij verschillende loketten. Soms zelfs bij meerdere instanties per land. De meldingen en opvolging vragen capaciteit terwijl die juist nodig is voor het managen van het incident.
Ook overheden krijgen een grotere rol in advisering. Raymond legt uit dit te begrijpen vanuit hun maatschappelijke rol, maar wat als de ene overheid iets anders zegt dan de andere? Wat als de ene overheid zegt dat je nu moet updaten en de andere zegt van niet? Voor een organisatie met één infrastructuur is dat niet uitvoerbaar.
“Als Europa economisch en digitaal sterker wil staan, moet het ook durven harmoniseren. Anders groeit de compliancewens harder dan onze digitale weerbaarheid.”
De sleutel tot weerbaarheid ligt binnen organisaties
Op een nog kleiner niveau, binnen organisaties, zit Raymond drie problemen terug als hij spreekt met IT’ers, bestuurders en CISO’s.
1. Communicatie
Bestuurders en CISO’s praten te vaak langs elkaar heen. “Stuur bestuurders niet alleen op cursus, maar juist samen met de CISO,” zegt Raymond. De één praat te technisch, de ander begrijpt de digitale afhankelijkheden te weinig. De CISO moet leren spreken in termen van risico, impact en keuzes. De bestuurder moet beter snappen waar de organisatie technisch van afhankelijk is.
2. De kern van je organisatie
Organisaties moeten nadenken over wat Raymond noemt: what does good look like? Veel organisaties zetten ‘cyber’ in hun top 10 strategische risico’s, maar dat zegt nog weinig. Want wat bedoel je dan precies? Gaat het om cybercrime of om digitale afhankelijkheden? Hetzelfde woord wordt gebruikt, maar wordt er ook hetzelfde mee bedoeld? Dit geldt ook voor het woord ‘goed’. Er ontbreekt vaak een gedeelde definitie van het woord en daarmee een gedeeld beeld van de risico's van de groeiende digitalisering.
Als je cyber vooral als cybercrime labelt, mis je een groot deel van het probleem. Een organisatie kan compleet stilvallen zonder dat er één hacker aan te pas komt. Een kritieke digitale dienst die stopt, dat is geen hack, maar wel bedrijfsstilstand. Het dwingt je na te denken over de vraag: wat maakt de organisatie echt tot wat zij is?
Raymond vertelt over een gesprek dat hij had met een IT directeur die zijn bestuurders vroeg: 'wat maakt ons bedrijf eigenlijk ons bedrijf?’ Zonder ICT en internet produceren we niks, communiceren we niet en verkopen we niet. Digitale systemen zijn dus geen ondersteunende functie meer, maar onlosmakelijk onderdeel van het primaire proces.
3. Maak restrisico expliciet
Bestuurders vinden het moeilijk restrisico’s expliciet te maken. Toch laat Raymond ze in trainingen hun restrisico opschrijven in gewone bestuurstaal. Niet: ik mis nog cybersecuritysoftware oplossing X, maar: als internet uitvalt, ligt mijn organisatie stil.
Dat dwingt tot echte besluitvorming. Dan moet een bestuurder namelijk niet alleen zeggen dat hij een risico ziet, maar ook dat hij het accepteert. En zodra dat expliciet wordt, is compliance ineens niet meer genoeg. Dan komt de vervolgvraag vanzelf: wat is een lean and mean manier om dit op te vangen? Succesvolle CISO's moeten samen met hun bestuurder kunnen zeggen: “dit doen we niet, dit is een risico dat we accepteren.”
Niet alleen de boardroom telt
Volgens Raymond gaat te veel aandacht naar bestuurders en CISO’s, terwijl de mensen in het SOC en in de operatie vaak als eerste met een incident zitten. Die hebben juist baat bij een netwerk, Daarom organiseert Connect2Trust ‘Cybersquad’. Een bijeenkomst voor jonge cybersecurityprofessionals.
“Visitekaartjes deel je uit vóór de crisis, niet tijdens de crisis.”
Digitale weerbaarheid bouw je niet met compliance, maar met vertrouwen tussen mensen. Van CISO’s en bestuurders tot jonge cybersecurity professionals, van AI-gedreven of door mensen bedient, uiteindelijk blijven vertrouwde netwerken van mensen nodig om op tijd te kunnen reageren op alle technologische en geopolitieke veranderingen en de risico’s die dit met zich meebrengt. Alleen dan komen we als gebruiker, organisatie en maatschappij samen op een hoger en veiliger niveau van cybersecurity.
