Cyberrisico staat hoog op de agenda van de bestuurstafel. Met de inwerkingtreding van de nieuwe privacyregelgeving per 1 januari 2016 hebben cyberrisico’s veel meer aandacht gekregen. Roel van Rijsewijk probeert ons in zijn boek Cyberrisico als kans, strategisch cyberrisicomanagement in het informatietijdperk de kansen van cyberrisico’s te laten inzien. Zijn standpunt, focus op de risico’s waardoor eigenlijk minimale effort aan het mitigeren van deze risico’s wordt besteed, is zeer herkenbaar, veel organisaties kijken er op die manier naar. Immers, alle inspanningen en kosten hieraan besteed leveren geen extra omzet op.
De auteur, Roel van Rijsewijk, is verbonden aan Deloitte. Hij heeft veel ervaring met cyberrisico’s, op internationaal gebied. Het voorwoord is geschreven door Dick Berlijn, generaal b.d. en ook werkzaam voor Deloitte. In het boek gaat het ook diverse keren over de diensten die Deloitte op dit gebied verleent. Daarmee doet de auteur geen recht aan de vele partijen die zich op deze markt richten.
Het boek bestaat uit 5 hoofdstukken, waarbij vanuit historisch perspectief de informatierevolutie wordt beschreven, gevolgd door verhalen vanuit de frontlinie. Erg interessant vond ik daarbij het figuur waarin de typering van de verschillende actoren naar de mate van motivatie (vastberadenheid) en hoe goed ze zijn. Dit varieert van toevallige ontdekking van een cyberaanval tot door de overheid gesponsorde cyber warfare. Hierbij laat de auteur zien dat als je de actor en zijn motivatie kent, je kunt inschatten hoeveel risico je loopt en welk cyberrisicomanagementniveau benodigd is.
In de hoofdstukken erna pleit Roel van Rijsewijk voor strategisch cyberrisicomanagement, waarbij cyberrisicomanagement aan de agenda van de raad van bestuur moet worden toegevoegd. Hij pleit ervoor dat cyberrisico niet alleen als risico wordt gezien, waarbij de focus ligt op de beheersing van de kosten ten opzichte van de risico’s maar als kans die een onderscheidende factor kan vormen ten opzichte van andere partijen. Zijn stelling is: ‘Cyberrisico’s kunnen leiden tot waardevernietiging, maar vooral ook tot waardecreatie als je die risico’s kunt beheersen’.
Strategisch cyberrisicomanagement gaat om het op strategisch niveau beleggen van cyberrisicomanagement als onderscheidende factor ten opzichte van de concurrentie. Bestuurders hebben geen behoefte aan uitleg waarom een organisatie kwetsbaar is, maar om het bieden van hulp bij besluitvorming rondom mitigerende acties en investeringsbeslissingen. Daarnaast kun je risico’s niet uitbesteden naar toeleveranciers, zoals veel gebeurt, maar moet je als organisatie zelf de regie voeren. De stelling van de auteur dat veelal naar cyberrisico wordt gekeken als risico en kostenpost onderschrijf ik. Als security officer kun je het niet snel goed doen. Bij incidenten schiet je tekort en anders kun je onmogelijk bewijzen dat er niet teveel kosten zijn gemaakt. Oftewel, je doet het nooit goed. Het idee om cyberrisicomanagement als onderscheidende factor en daarmee kans te zien geldt denk ik maar voor een beperkt aantal sectoren, zoals online retail en banken. Maar ook voor zorginstellingen, met cliëntportalen en andere e-health toepassingen kan ik me voorstellen dat dit een onderscheidende factor wordt.
Het laatste hoofdstuk ‘van beveiliging naar weerbaarheid’ is erg interessant om te lezen. Dat is een ontwikkeling die ik bij steeds meer organisaties constateer. De technologieratrace gaat zodanig snel dat inbraken, hacks et cetera niet zijn te voorkomen. Als organisatie moet je dan ook een minimaal basisniveau van beveiliging hebben, maar de aandacht gaat meer verschuiven naar weerbaarheid, het tijdig detecteren van inbraken en beperken van de schade.
Hoewel Cyberrisico als kans een interessant boek is, die aanzet tot denken en mooie voorbeelden biedt, vind ik dat de titel maar beperkt uit de verf komt. Cyberkansen zien we nog niet veel, het boek blijft toch (te) veel risicogericht.
Jan Hoogstra is zelfstandige, IT-consultant. Hij voert opdrachten uit op het gebied van beoordeling en advisering over IT-gerelateerde onderwerpen in de zorgbranche. Zo is hij programmamanager, projectmanager en adviseur op het gebied van bijvoorbeeld IT-strategie en pakketselecties.
Over Jan Hoogstra
Jan Hoogstra heeft meer dan 25 jaar ervaring als IT-adviseur en IT-auditor bij grote accountants- en adviesbureaus. Tijdens zijn loopbaan heeft hij veel opdrachten gedaan op het gebied van informatiebeveiliging en optimalisering van de inzet van IT. Jan is directeur bij CognoSense, dat gespecialiseerd is in de menselijke kant van IT.