Security en resilience: weerbaarheid is een bestuursvraagstuk geworden

Tijdens een ronde tafel met IT-beslissers uit onder meer industrie, publieke sector en IT-dienstverlening stond precies die vraag centraal. Niet vanuit een technologisch perspectief, maar vanuit governance, risicomanagement en continuïteit. De rode draad: honderd procent veiligheid bestaat niet. Weerbaarheid draait uiteindelijk om voorbereiding, bewustzijn en de snelheid waarmee je kunt herstellen als het misgaat.

Van techniek naar bestuur

Waar security jarenlang vooral werd gezien als een technisch probleem, verschuift het zwaartepunt steeds nadrukkelijker naar de bestuurskamer. Deelnemers herkennen dat CIO’s security inmiddels structureel op de agenda van directie en raad van bestuur zetten. Niet omdat techniek tekortschiet, maar omdat de impact van incidenten direct raakt aan reputatie, continuïteit en financiële resultaten.

“Security is geen IT-issue meer,” stelt een van de deelnemers. “Het gaat over afwegingen: wat kost het om iets af te dekken, wat kost het als het misgaat, en welke risico’s accepteer je bewust?” Die afwegingen zijn bij uitstek bestuurlijk. IT kan adviseren, maar het bestuur moet besluiten.

Daarbij groeit ook het besef dat absolute zekerheid een illusie is. Wie denkt alles te kunnen dichttimmeren, creëert schijnveiligheid. De vraag is niet óf er iets misgaat, maar wanneer – en hoe goed je daarop bent voorbereid.

Zwakke plekken: mens, proces en cultuur

Opvallend is de brede consensus dat technologie zelden de grootste zwakte vormt. Firewalls, monitoring en back-ups zijn meestal op orde. De kwetsbaarheid zit vaker bij mensen en processen.

Een deelnemer uit de publieke sector verwoordt het scherp: “Mensen zijn meestal positief ingesteld. Ze gaan niet uit van het slechte in anderen. Als je je niet bewust bent van de risico’s, ligt data zo op straat. Die bewustwording is bij ons nog ver te zoeken.”

Het probleem is hardnekkig. Awareness-programma’s bestaan vaak al jaren, maar beklijven niet altijd. “Het interesseert mensen vaak niet, tot ze zelf getroffen worden. Dat is de grootste bottleneck,” klinkt het.

Daarnaast worden processen onderschat. Wat gebeurt er concreet als systemen uitvallen? Wie beslist? Welke afhankelijkheden zijn er? “Er wordt veel naar de menselijke factor gekeken,” merkt een deelnemer op, “maar processen wegen minstens zo zwaar. Wat is de impact van een aanval in de interne keten? Dat bewustzijn ontbreekt vaak.”

Awareness: faciliteren, dwingen of straffen

Over de vraag hoe je gedrag verandert, lopen de meningen uiteen. Vrijwel iedereen ziet het belang van awareness, maar de aanpak verschilt. Trainingen, phishingcampagnes en cyberwargames worden veel genoemd als effectieve middelen.

Een deelnemer uit de automotive sector deelt een concreet voorbeeld: “We hebben een awareness-programma gehad dat in het begin best lastig was. Tot we er een soort game van maakten. Op een paar achterblijvers na pakt iedereen het goed op.”

Toch wordt ook lichte dwang niet geschuwd. “Straffen doen we intern wel. Op een gegeven moment kun je steeds minder tegeltjes aanklikken, tot je alleen nog het tegeltje voor het awareness-programma ziet. Dat zorgt voor een soort security-schaamte en dat helpt echt.”

Anderen zijn terughoudender. “Ik ben meer van faciliteren dan straffen,” stelt een deelnemer uit de AI- en roboticasector. “AI maakt alles complexer. Je kunt mensen wel straffen, maar daarmee help je ze niet om te leren.”

Wat wel breed wordt gedeeld: awareness moet ook het management bereiken. “Niet alleen medewerkers, ook managers zijn zich vaak niet bewust van alle gevaren en gevolgen,” klinkt het.

Beleid zonder uitvoering is zinloos

Veel organisaties hebben inmiddels securitybeleid, maar de uitvoering laat te wensen over. Dat wordt gezien als een van de grootste uitdagingen. “Je kunt beleid opschrijven,” zegt een deelnemer, “maar als je het niet volgt omdat je even een klant wilt helpen, heb je er weinig aan.”

Zeker in organisaties waar IT niet de core business is, wringt het. Processen zijn ingericht op dienstverlening en snelheid, niet op risicobeheersing. Governance is dan cruciaal, maar lastig te borgen zonder duidelijke visie vanuit de top.

“Wij hebben wel risk- en compliance managers,” zegt een deelnemer uit de publieke sector. “Maar ook dan geldt: beleid is nutteloos als het niet goed wordt uitgevoerd. Daar hapert het bij ons nog wel eens.”

Voorbereid zijn wanneer het misgaat

Incidenten laten zich niet voorspellen. Dat maakt uitgebreide draaiboeken vaak weinig effectief. “Er zijn duizenden scenario’s,” stelt een deelnemer uit de automotive sector. “Je weet nooit hoe je geraakt wordt.”

Wat wel werkt, is een generiek crisisraamwerk. Wie belt wie? Wie neemt beslissingen? Welke systemen mogen uit? “Je kunt beter sorry zeggen omdat je een belangrijke toepassing hebt uitgezet, dan sorry omdat je het aanliet en de hele organisatie schade heeft opgelopen.”

Cruciaal is dat mensen aan de knoppen weten welke ruimte ze hebben om te handelen. Oefenen helpt daarbij. War games, crisissimulaties en hersteltests maken risico’s concreet en tastbaar.

Risicomanagement: brug tussen bestuur en operatie

Risicomanagement komt in vrijwel alle discussies terug als verbindende schakel. Het maakt abstracte dreigingen concreet en verbindt operatie en bestuur. Een deelnemer beschrijft het aan de hand van een piramide: reputatie bovenin, daaronder continuïteit, met risicomanagement als fundament.

“Risicomanagement bepaalt je continuïteitsmanagement, en dat heeft weer impact op je reputatie,” legt hij uit. “De basis is inzicht: wat zijn je risico’s, wat dek je af en wat niet?”

Het probleem is dat risicomanagement vaak bij enkele specialisten ligt. “Het moet iets van de hele organisatie zijn,” klinkt het. “Nu blijven te veel risico’s verborgen, terwijl het management ze wél moet kennen om keuzes te maken.”

Wetgeving: repressie of richting?

Over wetgeving zoals NIS2 en DORA zijn de meningen verdeeld. Sommigen zien het vooral als strafmechanisme. “Veel risico’s zijn al vijftien jaar bekend,” stelt een deelnemer. “Als je daar nog steeds geen grip op hebt, mag dat best gestraft worden.”

Anderen zien juist de waarde van kaders en handvatten. “Voor organisaties die niet onwillig zijn, maar niet weten wat ze moeten doen, kan wetgeving helpen,” klinkt het.

Tegelijk is er scepsis over uitvoerbaarheid en toezicht. De vergelijking met de AVG wordt snel gemaakt: groot aangekondigd, beperkt gehandhaafd. Veel deelnemers pleiten daarom voor een proactieve aanpak, met ondersteuning, oefeningen en praktische begeleiding in plaats van alleen repressie.

Weerbaarheid stopt niet bij voordeur

Een belangrijk thema is ketenafhankelijkheid. Organisaties kunnen intern alles op orde hebben, maar alsnog stilvallen door problemen bij leveranciers. “Zelfs als bij ons alles doordraait, liggen we plat als een toeleverancier uitvalt,” aldus een deelnemer.

Risicospreiding wordt daarom steeds belangrijker. Niet alle eieren in één mand, geen volledige afhankelijkheid van één leverancier of cloudplatform. “Wij zijn geen single-vendororganisatie,” zegt een deelnemer. “Dat is bewuste risicospreiding.”

Tegelijk neemt de druk op ketenpartners toe. Een compliance-stempel is niet meer genoeg. “Men vraagt steeds vaker: je bent compliant, maar wat doe je er in de praktijk aan?”

Architectuur als strategische keuze

Architectuurkeuzes blijken steeds vaker strategisch. Multicloud- en multivendorstrategieën worden ingezet om risico’s te beperken, maar botsen soms met managementopvattingen. “Wij pleiten voor multicloud,” zegt een deelnemer uit de publieke sector. “Maar het management kiest voor single cloud, omdat men denkt dat multicloud niet volwassen is.” Dat gebrek aan kennis op bestuurlijk niveau wordt als risico gezien. “Daar ligt de grootste uitdaging voor de komende tijd,” klinkt het.

AI is onvermijdelijk onderdeel van het securitydebat. Het vergroot het aanvalsvlak, democratiseert cyberaanvallen en versnelt datagebruik. Tegelijk biedt het krachtige mogelijkheden voor detectie, analyse en respons.

“AI kan helpen om sneller te bepalen wat géén risico vormt,” zegt een deelnemer. “Anders druk je uit voorzorg te snel op de rode knop.” AI adviseert, maar de mens blijft in de lead. Wel roept AI nieuwe vragen op. “Als we straks met agentic AI werken, wie is er dan verantwoordelijk voor fouten?” Die vraag is nog onbeantwoord.

Weerbaarheid boven schijnzekerheid

De conclusie is voorzichtig optimistisch. Het bewustzijn groeit, risicomanagement krijgt meer aandacht en security is stevig verankerd op bestuursniveau. Tegelijk blijft de uitvoering weerbarstig.

Weerbaarheid draait niet om perfectie, maar om voorbereiding en herstelvermogen. “Als het misgaat,” zo vat een deelnemer het samen, “is dat de enige vraag die je altijd moet beantwoorden.”

AI verandert het speelveld, maar niet de kern. Uiteindelijk gaat het om visie, governance en het lef om keuzes te maken – vóórdat een incident die keuzes afdwingt.