Raymond Bierens: bestuurder, stop met streven naar volledige controle

Volgens promovendus, strategisch adviseur en Connect2Trust-voorzitter Raymond Bierens schuilt daarin een fundamentele denkfout. Organisaties worden niet weerbaar door steeds meer controle na te streven, maar juist door te accepteren dat volledige controle niet bestaat. “Je moet accepteren dat je nooit volledig in control bent”, stelt Bierens. “Pas als je dat beseft, kun je echt beginnen met het mitigeren van risico’s.”

Bierens begint met het schetsen van het verkeerde uitgangspunt: de wens van volledige controle. Dit was en is steeds meer een illusie.  Veel bestuurders zoeken houvast in beleidskaders, compliance-eisen en checklists. Begrijpelijk, vindt Bierens. De technologische ontwikkelingen gaan echter zo snel dat dergelijke instrumenten vaak achterlopen op de werkelijkheid.

“Een bestuurder wil natuurlijk een hele duidelijke checklist hebben”, zegt hij. “Maar de technologische ontwikkeling gaat zo snel, dat een goede checklist al achterhaald is als hij uitkomt. Als je daarop wacht, loop je al snel achter de koplopers aan.”

Geen blinde sprong

Volgens Bierens ontstaat daardoor een spanningsveld tussen compliance en risicomanagement. Compliance biedt zekerheid en is daardoor verleidelijk voor bestuurders, maar kan organisaties ook minder weerbaar maken als dit het enige doel wordt. De kunst is volgens hem om niet blind nieuwe technologieën te omarmen, maar daarbij te aanvaarden dat onzekerheden zullen toenemen. “Je moet niet blind de sprong wagen, maar gaan voor een bepaalde mate van risico-acceptatie.”

Dat vraagt om een andere manier van besturen, benadrukt Bierens. Een bestuurder kan niet langer uitgaan van voorspelbaarheid en volledige beheersing, maar moet voortdurende verandering als basis nemen voor het benodigde wendbare beleid in een snel veranderende wereld.

AI legt het probleem bloot

Nergens wordt die bestuurlijke uitdaging zo zichtbaar als bij AI. Bierens ziet veel overeenkomsten met eerdere technologiegolven zoals cloud computing en blockchain. “Eerst wordt het gehypet als iets dat de wereld massaal gaat verbeteren. Vervolgens gaat het de wereld massaal vernietigen. Daarna krijg je een realistische fase, waarin we beseffen de werkelijke mogelijkheden en beperkingen zijn.”

Volgens Bierens wordt de discussie over mogelijkheden en beperkingen bemoeilijkt doordat zelfs experts niet altijd dezelfde definitie hanteren. Dat geldt voor AI, maar ook voor begrippen als soevereine cloud. “Leveranciers van een soevereine cloud hebben er baat bij om de term zo vaag mogelijk te houden, zodat die er z’n eigen USP het beste in naar voren kan laten komen. Ik snap dat vanuit de leverancier, maar het helpt de gebruiker totaal niet.”

Voor bestuurders ontstaat zo een lastig dilemma. Zij moeten investeringsbeslissingen nemen over technologieën waarvan de werking, risico’s en toepassingsmogelijkheden voortdurend veranderen. Bierens hierover: “Het probleem is dat de bestuurder de portemonnee moet trekken, maar vaak heeft niet de kennis over waar dat geld dan heen gaat maar wil ook niet achterlopen op de concurrentie”

Daarmee schuurt AI volgens Bierens tegen een veel bredere vraag aan: hoe neem je goede besluiten wanneer de onderliggende technologie sneller verandert dan de besluitvormingscyclus van de organisatie?

Van controle naar weerbaarheid

Die vraag speelt ook bij cybersecurity en digitale weerbaarheid. Los van de dreiging die misbruik van elke technologie met zich meebrengt: AI zorgt ervoor dat kwetsbaarheden sneller en op grotere schaal kunnen worden gevonden. Daardoor verschuift de focus van voorkomen naar herstellen.

Bierens verwijst naar nieuwe AI-toepassingen – zoals Mythos van Anthropic - die kwetsbaarheden ontdekken in softwarecomponenten die soms al jarenlang in gebruik zijn. Organisaties kunnen daardoor geconfronteerd worden met het ongemakkelijke besef dat aanvallers mogelijk al lang toegang hebben gehad tot hun systemen.

“Dit soort AI-toepassingen zullen steeds meer leiden tot assume breach-strategieën als standaard. Een nog betere firewall is zinloos, want het is feitelijk vast te stellen dat de vijand al binnen zit of binnen is geweest zonder dat je dit via onderzoek kunt vaststellen omdat de logdata niet zo lang wordt opgeslagen.”

Voor veel bestuurders is dat een ongemakkelijke gedachte. Traditioneel ligt de nadruk op preventie: betere beveiliging, strengere controles en meer awareness-trainingen. Volgens Bierens blijft dat belangrijk, maar is het niet langer voldoende.

“Natuurlijk niet”, antwoordt hij op de vraag of bestaande beveiligingsmaatregelen dan overboord kunnen. “Het is niet of-of, het is een dubbelspoor.” Enerzijds moeten organisaties hun technische weerbaarheid blijven versterken. Anderzijds moeten zij zich voorbereiden op het moment dat die bescherming toch tekortschiet.

“Je moet een heel goed overzicht hebben van je IT-infrastructuur en -omgeving, om zo goed mogelijk in te kunnen schatten waar een crimineel al binnen zit of is geweest.” Daarmee verschuift volgens Bierens de bestuursvraag van ‘hoe voorkom ik ieder incident?’ naar ‘hoe snel kan ik herstellen als het misgaat?’.

Soevereiniteit: vermogen om te bewegen

Diezelfde gedachte ziet Bierens terug in de discussie over digitale autonomie en soevereine cloud. Ook daar verschuift volgens hem de aandacht van absolute veiligheid naar flexibiliteit. “Je ziet bij een aantal organisaties de discussie over soevereiniteit veranderen in eentje over compatibiliteit en interoperabiliteit.”

In plaats van te vragen of een bepaalde cloudomgeving volledig veilig of volledig soeverein is, zouden bestuurders zich volgens hem moeten afvragen hoe afhankelijk zij ervan zijn geworden. “Je voert dan niet langer de discussie of je veilig bij een Amerikaanse cloud-leverancier zit, maar je kijkt naar of je er snel uit kunt.”

Dat betekent niet dat organisaties voortdurend van leverancier moeten wisselen. Wel dat zij moeten voorkomen dat strategische keuzes onomkeerbaar worden. “Bij een bank kan dat bijvoorbeeld niet wisselen van bankrekening zonder je een nieuw rekeningnummer te krijgen want je huidige bank maakt onderdeel uit van je IBAN-bankrekeningnummer.”

Voor Bierens is dat een illustratie van een bredere bestuursles: wendbaarheid wordt belangrijker dan de perfecte blauwdruk. “Interoperabilitiet is de crux van elke langetermijnstrategie”, zo schetst hij.

Quantum vergroot de onzekerheid

Alsof AI en geopolitieke spanningen nog niet voldoende uitdagingen opleveren, dient zich met quantum computing een volgende technologiegolf aan. Volgens Bierens wordt vaak vooral gekeken naar de gevolgen voor encryptie, maar ligt de werkelijke impact mogelijk veel breder.

Zo kan quantum computing technologische ontwikkelingen versnellen op een schaal die moeilijk te overzien is. “AI gedraagt zich nog steeds op de basis van de wet van Moore: je stopt er x meer rekenkracht in en dat wordt hij x maal sneller. Laat je AI op een quantum computer draaien, dan wordt het een logaritmische versnelling. Dat is niet meer te overzien.”

Tegelijkertijd bepalen ook andere factoren zoals energieverbruik, rekenkracht en innovatie straks de impact. “Als Nederland zijn klimaatdoelstellingen kan halen met 10 quantumcomputers, dan reken maar dat die computers er heel snel komen. Maar als diezelfde quantumcomputers juist heel veel meer energie gaan verbruiken zoals we nu ook zien bij het toename door het gebruik van AI, dan is het nog afwachten welke voor- en nadelen het van elkaar op de korte en lange termijn gaan winnen.”

Dat maakt quantum volgens Bierens – opnieuw - vooral tot een bestuurlijke uitdaging. Organisaties moeten keuzes maken terwijl de technologie nog volop in ontwikkeling is en veel effecten nog onzeker zijn. De vraag wordt daarmee opnieuw niet óf risico’s bestaan, maar hoe organisaties ermee omgaan. “Prima als je een keuze maakt om vol op quantum in te zetten bijvoorbeeld, zolang je je maar bewust bent van de risico’s die dit mee kan brengen en hierop anticipeert.”

Maak risico’s expliciet

Uiteindelijk komt alles samen in één begrip: restrisico. Welke risico’s blijven bestaan nadat alle redelijke maatregelen zijn genomen? Volgens Bierens besteden veel organisaties daar nog te weinig aandacht aan.

“Je kunt maar in beperkte mate je risico’s controleren. Honderd procent veilig bestaat niet.” Juist daarom moeten bestuurders expliciet kunnen vastleggen welke risico’s zij accepteren en waarom. Als je dergelijke risico’s accepteert, weet wat het voor mogelijke impact heeft, dan kies je daar in ieder geval bewust voor”, benadrukt Bierens.

Dat geldt niet alleen voor de eigen organisatie, maar ook voor leveranciers en ketenpartners. Een organisatie kan haar eigen risico’s immers nog zo goed beheersen; wanneer een belangrijke partner dat niet doet, blijft de kwetsbaarheid bestaan.
“Maak dus niet alleen bij jezelf expliciet welke risico’s je accepteert, maar zorg ervoor dat je ketenpartners dit ook doen.”

Wendbaarheid boven zekerheid

Terug naar het beginargument: bestuurders die blijven zoeken naar volledige zekerheid zullen volgens Bierens voortdurend achter de feiten aanlopen. Organisaties die leren omgaan met onzekerheid, risico’s expliciet maken en investeren in herstelvermogen, zijn beter voorbereid op wat er nog komt.

“Prima wanneer je vol op de AI-train springt of juist nog niet voor quantum gaat. Zolang je maar inzicht hebt in de bijbehorende risico’s, ook wat je niet kunt afdekken. Het is pas niet oké wanneer je die keuze niet expliciet maakt. Want dan weet je niet waar je het over hebt en word je erdoor verrast.”

Dat is misschien wel de belangrijkste les voor bestuurders in een tijdperk van AI, cyberdreigingen en quantum computing: niet de illusie van controle maakt organisaties weerbaar, maar het vermogen om te blijven bewegen wanneer de werkelijkheid verandert.

Luister/kijk ook naar deze podcast/vodcast met Raymond Bierens.