Sjoerd Resink: “Als de techniek hapert, ligt dat meestal aan de organisatie erachter”

​“In mijn tijd als pentester dacht ik dat alles om techniek en skills draaide. Nu zie ik dat de techniek vaak niet op orde is, juist omdat het organisatorisch niet op orde is.”

Sjoerd Resink begon zijn carrière in de technische hoek van cybersecurity. Hij hackte systemen, onderzocht kwetsbaarheden en dacht dat betere techniek automatisch tot betere beveiliging leidde. Inmiddels weet hij beter. Als Information Security Officer bij Nedap Retail ziet hij van dichtbij dat gedrag, eigenaarschap en besluitvorming minstens zo bepalend zijn als tooling en de juiste inhoudelijke kennis.

Zijn verhaal past precies bij het onderzoek naar innovatie in security: de echte vooruitgang ligt niet in nóg een tool nóg meer specialistische kennis maar in het beter organiseren van wat we al weten. “De meeste incidenten ontstaan niet door iets nieuws,” zegt hij, “maar door het niet doen van wat we al jaren weten.”

Van hacker naar verbinder

Sjoerd begon in de aanval, nu werkt hij aan verdediging. Die overstap veranderde zijn blik. “Toen ik als pentester werkte, dacht ik dat het vooral om technische kennis en skills ging,” zegt hij. “Maar als je later ziet waarom iets misgaat, ontdek je dat het bijna nooit door techniek of gebrek aan inhoudelijke kennis komt. Het gaat om hoe mensen samenwerken, hoe beslissingen worden genomen.”

​”Verantwoord experimenteren, dat is ook security.”

​Hij noemt als voorbeeld: organisaties die, ondanks diverse security certificeringen, toch gehackt worden door een account dat actief blijft na uitdiensttreding, een verouderd systeem waarvoor niemand zich meer verantwoordelijk voelt, of een inkoopbeleid waarbij geen rekening wordt gehouden met de beveiliging van leveranciers.

Vrijheid werkt alleen met verantwoordelijkheid

Binnen zijn organisatie gelooft Sjoerd sterk in vrijheid, maar ziet ook de valkuil. ​”Vrijheid is mooi, tot niemand meer weet wie de stekker ergens uit mag trekken. Wie is waarvoor verantwoordelijk en accountable?” Als iemand niet weet wat binnen zijn of haar verantwoordelijkheid of beslissingsbevoegdheid ligt, zal deze persoon ook geen eigenaarschap voelen.

​Hij ziet het ook bij leveranciers en softwareontwikkelaars. “Ondersteuning kan in diverse vormen worden geboden, bijvoorbeeld in de vorm van policies, tooling en risk assessments, maar uiteindelijk werkt het alleen als mensen zich verantwoordelijk vóelen. Als developers zélf nadenken over dependencies en het opleveren van secure code, als product owners snappen dat hun product ook hun risico is, en als business owners zich bekommeren om potentiële risico’s die voortvloeien uit hun keuzes.”

Niet afvinken, maar afwegen

Sjoerd verzet zich tegen de reflex om security als checklist te zien. “Compliance is geen doel op zich,” zegt hij. “Je moet niet afvinken, maar afwegen.” Dat betekent dat we met beslissingsnemers vaker het gesprek moeten voeren over risico’s, in plaats van vinkjes zetten bij eisen.

Hij ziet dat vooral terug bij cloud en AI. “We gebruiken AI volop, maar wel met beleid. Je kunt niet alles verbieden – je moet begrijpen wat je doet en wat het betekent. Verantwoord experimenteren, dat is ook security.”

Conclusie: wat deze persoon denkt over cyberweerbaarheid

Voor Sjoerd betekent cyberweerbaarheid: weten wie waarvoor verantwoordelijk is, en dat ook durven dragen. Techniek helpt, maar gedrag bepaalt de uitkomst. “Een organisatie is pas weerbaar als iedereen zich verantwoordelijk voelt voor wat hij doet.”

“Security begint niet bij techniek, maar bij de mensen die haar gebruiken.”

Het interview met Sjoerd Resink maakt deel uit van een breder onderzoek naar de staat van cyberweerbaarheid in Nederland, uitgevoerd door Security Innovation Stories in samenwerking met KPN. In het rapport delen tientallen security professionals hun visie op innovatie, menselijk gedrag, techniek en de toekomst van digitale weerbaarheid.