DELOITTE: 'MANAGERS CREËREN ZELF HUN CYBERRISICO’S'

12 mei 2016

Beter management van cyberrisico's leidt tot meer innovatie in een organisatie, aldus Deloitte-partner Roel van Rijsewijk. Van Rijsewijk is auteur van het boek 'Cyberrisico's voor managers'. In het dagelijkse leven geeft hij leiding aan het Cyberrisk team bij Deloitte. Van Rijsewijk wil met zijn publicatie de manager inzicht verschaffen in de werkelijke risico's van cybercrime. Wat kan een organisatie doen tegen cybercrime? En wanneer doe je als management genoeg om het probleem te tacklen?

Wat is de belangrijkste boodschap van je boek?

'In vrijwel elke strategie voor groei en waardecreatie speelt digitale technologie een dominante rol. Organisaties worstelen echter met het digtale dilemma: wat digitale technologie zo waardevol maakt, open en verbonden, maakt het tegelijk ook kwetsbaar voor aanvallen van buitenaf. Wat ik wil uitleggen aan bestuurders, ondernemers en managers is dat je niet hoeft te kiezen maar dat je het digitale dilemma kan oplossen. Dat je met vertrouwen open, verbonden en dus kwetsbaar kunt zijn dankzij weerbaarheid tegen cyberrisico’s'.

Wat wil je de lezers/managers van Nederland meegeven?

'Nog vaak is informatiebeveiliging een rem op innovatie, de vrije stroom van informatie en empowerment van mensen. De security functie heeft dan een negatieve opdracht: ‘voorkom dat het fout gaat'. Het gevolg daarvan is dat iedereen zich gaat indekken; risico’s worden vermeden en de organisatie wordt vastgezet'.

En dat is nu precies wat je niet wilt in tijden van exponentiële veranderingen gedreven door informatie-technologie. Je wil de organisatie juist los zetten; open, verbonden, agile en adaptief. Een organisatie die om kan gaan met veel onzekerheid en dus met veel risico. Dan moet je accepteren dat het af en toe fout gaat. Maar dat is niet erg, want van fouten leer je. Vergelijk het weerbaarheid van het menselijk lichaam. Je kan jezelf thuis opsluiten en isoleren van andere mensen om te voorkomen dat je ziek wordt. Maar je wil juist naar buiten en verbinden met anderen dus het virus komt binnen. Weerbaarheid wil zeggen dat het virus wordt geïsoleerd en opgeruimd voordat het veel schade kan aanrichten. Wellicht wordt je af en toe verkouden maar dat hoort erbij. En elke keer dat je een beetje ziek wordt dan ben je weer meer weerbaar geworden.

Hoe erg is het als managers cyberrisico vooral zien als een IT-probleem?

'Ik denk dat elke manager ondertussen heus wel snapt dat het ook zijn probleem is. Als de IT systemen uitvallen of de data ligt op straat dan heeft niet alleen IT een probleem. De tijden dat managers zich niet bewust waren van cyber risico’s is voorbij. 

Voor het boek heb ik veel interviews gedaan met ceo’s, cfo’s, coo’s en managers van allerlei bedrijven over de hele wereld. Het bleek dat het probleem bij al deze managers op de agenda staat. Het is ook vrij intuïtief. Iedereen snapt dat de organisatie volledig afhankelijk is geworden van technologie en dat gaat alleen maar toenemen. Men ziet ook dat deze technologie steeds meer open en verbonden wordt en dus steeds kwetsbaarder voor aanvallen van buitenaf. En bijna dagelijks is er wel weer een nieuwe hack in het nieuws dus men is er zich ook heel bewust van dat de bedreigingen alleen maar toenemen.

Waar managers ontzettend mee worstelen is de oplossing. Dat er iets moet gebeuren snapt iedereen maar wat dan precies en vooral wanneer is het genoeg is lastig om over te beslissen. Nog vaak wordt de oplossing dan maar gedelegeerd naar de specialist, een IT-er inderdaad, met als opdracht: ‘zorg ervoor dat het niet fout gaat en het mag niet teveel kosten”. En dat leidt dan tot indekken en risicomijdend gedrag zoals hierboven beschreven; de organisatie wordt vastgezet en innovatie vertraagd. En dat is dan wel weer het probleem van de manager.

Wat managers moeten gaan begrijpen is dat cyberrisico’s door hunzelf worden gecreëerd. Door voortdurende innovatie, het meer waarde willen halen uit data en door empowerment van mensen met krachtige informatietechnologie creëer je cyberrisico’s. Of andersom geredeneerd; hoe beter je bent in het managen van cyber risico’s hoe meer je kan innoveren, hoe meer waarde je kan halen uit data en hoe meer empowerment je de organisatie kan inbrengen. Alleen de managers en ondernemers van de organisatie zouden moeten bepalen hoeveel risico men bereid is te nemen, dat moet je niet aan IT overlaten.

Dat zijn strategische beslissingen. Dit boek is bedoeld niet-technische bestuurders, ondernemers en managers om ze hierbij te helpen. Het is niet de bedoeling om van iedereen een cyber risico expert te maken. Het is bedoeld om in ieder geval voldoende begrip te krijgen van het probleem en de beste oplossingsrichting. Voldoende begrip waardoor beslissers in staat zijn met de specialisten hier zinnige gesprekken over te hebben en goed onderbouwde besluiten te kunnen nemen over de juiste strategie, aanpak en budget om cyber risico’s effectief te kunnen beheersen, passend bij de strategie en risicobereidheid van de organisatie'.

Hoe zet je, kort gezegd, risico's om in kansen?

'Voor sommige organisaties, zoals telco’s en technologiebedrijven, is dat evident. Ze kunnen security leveren aan hun klanten als toegevoegde waarde. In sommige sectoren is het wachten op het bedrijf dat het lef heeft om het probleem op te pikken en er toegevoegde waarde uit te halen. Maar voor alle organisaties kan het een kans zijn omdat effectief cyber risico management waarde creatie door informatietechnologie mogelijk maakt. Dus met goed cyber risico management stel je de organisatie in staat meer en sneller te innoveren, meer waarde halen uit data en meer empowerment in de organisatie te brengen'.

Er is veel te doen over cyberrisico's. Waarin wijkt jouw boek af van alle waarschuwingen van anderen (vaak belanghebbende IT-partijen)?

'Bijna elke dialoog over cyberrisico gaat over de bedreigingen en wat er mis kan gaan. Het is voor een consultant of IT partij ook heel verleidelijk om iedereen heel bang te maken. Dan hoop je dat ze uit angst je services afnemen.

Nou is dat denk ik geen goede strategie. Iedereen is zich ondertussen bewust van het probleem dus niemand zit te wachten op een buitenstaander die verteld hoe groot het probleem is. Bovendien is angst een slechte raadgever; het leidt tot een minimale, compliance gedreven aanpak. Ik heb geleerd dat er een enorme behoefte bestaat aan een ander, meer strategisch verhaal over cyberrisico. Cyberrisico als kans'.

Hoe kunnen cyberrisico's motiverend zijn?

'Naast het feit dat het kansen biedt voor de organisatie is het natuurlijk ook allemaal heel spannend. Je probeert de organisatie te beschermen tegen een intelligente actor, een hacker, die telkens weer nieuwe dingen bedenkt. Het is boeiend je in de tegenstander te verdiepen om daarop te kunnen anticiperen.

Cyberrisico management is eigenlijk een professionele teamsport op Champions League niveau; de organisatie moet kloppen, je hebt talent nodig, je moet hard trainen, leren improviseren, teaming, strategie, tactiek, techniek, anticiperen op een goed georganiseerde tegenstander, veel stress en je hebt soms wat geluk nodig'.

http://www.mt.nl/1/89447/home/cybercrimespecialist-deloitte-managers-creeren-zelf-hun-cyberrisico-s.html