Net zoals de mensen in Babel verschillende talen begonnen te spreken, kan meerduidigheid ertoe leiden dat onderliggende patronen en wederzijdse afhankelijkheden worden gemist. Dit kan leiden tot inefficiëntie en conflicten tussen belanghebbenden, zoals afdelingen binnen het bedrijf of tussen ketenpartners, en een gefragmenteerde aanpak van beveiligingsmaatregelen. Het optimaliseren van de cyberweerbaarheid vraagt om expliciete keuzes, ook in de bestuurlijke keuze voor begrippen. Het is van belang dat daarin wordt onderkend dat cybersecurity niet hetzelfde als cyberweerbaarheid is, maar slechts een klein onderdeel in het streven ernaar. Nog beter zou het zijn, zoals hierboven beargumenteerd, als we afstappen van het idee dat we cybersecurity noemen. De door mij bepaalde definitie van cyberweerbaarheid, zoals verwoord in deze rede, kan dienen als uitgangspunt richting harmonisatie van de verschillende opvattingen over de aanpak van cyberrisico’s en praktische toepassing (zie p. 37). Balans in doelen Een derde inzicht is dat er evenwicht moet zijn in onze aandacht voor de vier doelen van cyberweerbaarheid: voorbereiden, reageren, herstellen en aanpassen. Van deze vier doelen krijgen voorbereiden en aanpassen veelal de minste aandacht (Van der Kleij & Leukfeldt, 2019). Cyberincidenten vragen directe actie, terwijl de vermogens tot voorbereiden en aanpassen zonder sterke sturing blijven liggen. Dat is, simpel gezegd, niet handig, want juist door te balanceren of navigeren tussen ervaringen uit het verleden (aanpassen) en verwachtingen voor de toekomst (voorbereiden), zorgen bedrijven ervoor dat ze niet alleen reageren op dreigingen, maar ook een adequate reactie tonen op kansen als die zich voordoen. Dit betekent dat een cyberweerbaar systeem niet alleen zich aanpast bij tegenslagen, maar ook anticipeert en alert is op onverwachte, positieve mogelijkheden, zoals de opkomst van (Gen)AI, om de effectiviteit, veiligheid of duurzaamheid van het systeem te verbeteren. Door te leren van wat in het verleden fout is gegaan kunnen organisaties hun verdediging bovendien versterken en zich beschermen tegen toekomstige cyberdreigingen. Organisaties kunnen leren van hun eigen ervaringen, maar ze kunnen ook proberen te leren van wat fout gaat en wat goed werkt bij andere organisaties (Verweijen, 2022). Het voordeel van dergelijk plaatsvervangend leren is dat organisaties niet gebukt gaan onder de risico’s of kosten van een directe ervaring, maar wel lessen kunnen trekken van andere organisaties om hun eigen cyberweerbaarheid te verbeteren. Zeven inzichten voor optimale cyberweerbaarheid 47
RkJQdWJsaXNoZXIy ODY1MjQ=