Boek bespreking
Titel: Cyberrisico als kans
Ondertitel: strategisch cyberrisicomanagement in het informatietijdperk
Auteur: Roel van Rijsewijk
Te koop bij: diverse webshops.
Dit boek is ten eerste een introductie in de digitale revolutie en wat nu eigenlijk cyberrisico is.
Cyberrisico’s, en risico’s van cloud computing in het algemeen krijgen inmiddels hype status. Denk alleen maar aan Snowden, het ongebreideld datagraaien door overheden, en vele hacks en data breaches die het nieuws halen.
De digitale revolutie, die er eerst nog leuk en behulpzaam uitzag, begint zijn donkere kanten te laten zien. En de dialoog er over gaat vaak in termen van good guys, bad guys en strijd. Niet verwonderlijk dat het voorwoord is geschreven door Dick Berlijn, Generaal b.d., voormalig Commandant der Strijdkrachten.
In dit boek wordt deze digitale revolutie, en diens risico’s, vanuit een historisch perspectief uiteengezet. De vele voorbeelden kende ik vrijwel allen, want ik ben op dit gebied werkzaam als cursusleider en adviseur. Maar ik zie ze zelden zo helder uitgelegd, en in voldoende detail uitgewerkt om de werkelijke risico’s te leren inzien. Ik vind alleen
al de voorbeelden eigenlijk verplichte kennis voor tenminste elke professionele ITer.
Maar wat is nu het antwoord op die risico’s? Volgens de auteur is zwaarder beveiligen en verder dichttimmeren niet de oplossing. En het is ook niet goed te verkopen. Security verkopen via het aanjagen van angst heeft zijn langste tijd gehad.
Roel van Rijsewijk’s centrale stelling is dat het hanteren van cyberrisico’s eigenlijk de essentiële keerzijde is van de digitale revolutie. Open communicatie tussen bedrijven onderling en met consumenten is de kern van die ontwikkeling. De risico’s daarvan horen er bij, en moeten adequaat worden behandeld. Wie met die revolutie wil mee racen, moet ook goede remmen hebben.
En daarmee laat de auteur de omkering in de titel zien. Het zijn de goede remmen die de auto in staat stellen om harder te rijden. Max Verstappen wint geen races omdat zijn auto sneller is, maar omdat hij beter kan remmen.
De weg naar het beter hanteren van cyberrisico’s is door dat voortdurend te koppelen aan de voordelen die het aangaan van die risico’s kan opleveren. Dat maakt dan ook de business case.
En dan kom ik op mijn belangrijkste punt van kritiek op het boek. Het smaakt naar meer. Hoe doen we deze koppeling nu in detail in een specifieke case? Hoe verloopt de afweging naar precies genoeg controle nu in de praktijk? Daar zou ik graag meer uitwerking en voorbeelden van zien.