Kelvin Rorive: “Als de directie trots zegt ‘mijn securityteam heeft dit bereikt’, dan ben ik het gelukkigst”
“Ik hoor weleens: ‘Kelvin, jij bent een kostenpost.’ Feitelijk klopt dat, maar ik ben óók de sleutel om het bedrijfsmodel te kunnen garanderen.”
Zijn boodschap sluit naadloos aan op het onderzoek van KPN Zakelijk en Security Innovation Stories naar innovatie in security. Waar veel organisaties worstelen met prioriteiten en budget, laat Kelvin zien dat echte vooruitgang begint bij zichtbaarheid, communicatie en volwassenheid.
Security zichtbaar maken
Kelvin vertelt hoe hij als CISO merkte dat zijn team fantastisch werk deed, maar dat niemand dat zag. “Ik hoorde: het SOC is zo duur, kan het niet goedkoper? Toen dacht ik: wacht even, dit klopt niet.”
Hij begon actief te rapporteren over wat het team bereikte: welke aanvallen werden tegengehouden, wat de impact was, en wat de investeringen opleverden. “Als bestuurders snappen wat security oplevert, verandert de toon. Dan krijg je trots in plaats van twijfel.”
Volgens Kelvin is zichtbaarheid daarom de sleutel tot draagvlak. “Zodra ik de directie hoor zeggen: ‘Mijn securityteam heeft dit als resultaat’, dan weet ik dat we het goed doen. Dan is het geen afdeling meer die geld kost, maar een team dat bijdraagt aan het succes van het bedrijf.”
Van kostenpost naar waarde
Budgetgesprekken blijven lastig, erkent hij, maar hij draait het liever om. “Security is een voorwaarde om te kunnen groeien. Zonder goede beveiliging kan je geen vertrouwen opbouwen, geen nieuwe markten aanboren en geen partnerships aangaan.”
Zijn vergelijking is herkenbaar: “Niemand ziet remmen of airbags als een kostenpost. Ze horen gewoon bij een goed ontworpen auto. Zo zou het met security ook moeten zijn.”
Voor andere organisaties heeft hij een duidelijke les: laat zien wat je bereikt, en gebruik die inzichten om de business mee te nemen. “Rapportages moeten niet technisch zijn, maar visueel, begrijpelijk en relevant. Zodat ook bestuurders trots kunnen zijn op hun securityresultaten.”
Volwassenheid begint bij inzicht
Interessant genoeg vindt Kelvin dat meer incidenten geen slecht teken zijn. “Als het aantal incidentmeldingen stijgt, betekent dat meestal dat je organisatie volwassener wordt. Mensen weten waar ze moeten melden en nemen security serieus.”
In plaats van incidenten te verbergen, moeten bedrijven volgens hem inzetten op leren en verbeteren. “Je volwassenheid blijkt niet uit het aantal aanvallen dat je voorkomt, maar uit hoe je reageert, evalueert en beter wordt.” Ook dat is innovatie in security: groeien door inzicht, niet door illusie.
Samenwerking in de keten
Als bestuurslid van de stichting CCRC ziet Kelvin van dichtbij hoe organisaties beter worden door samen te oefenen. “We willen eigenlijk heel Nederland aan het cyberoefenen krijgen. Niet ‘Heel Holland Bakt’, maar ‘Heel Holland Hacked’.”
Hij merkt dat echte vooruitgang ontstaat als bedrijven oefenen in ketenverband, niet in isolatie. “Veel aanvallen lopen via leveranciers. Dan helpt het niet als iedereen op zijn eigen eiland oefent.”
Conclusie: security wordt volwassen als het gedeeld eigenaarschap krijgt
Voor Kelvin draait cyberweerbaarheid om trots, inzicht en samenwerking. Securityteams moeten zichtbaar maken wat ze doen, organisaties moeten leren van incidenten, en bestuurders moeten durven zeggen dat beveiliging waarde creëert. “Als je wil dat de business je serieus neemt, moet je laten zien wat je toevoegt — niet wat je kost,” zegt hij.
“Als de directie trots zegt ‘mijn securityteam heeft dit bereikt’, dan ben ik het gelukkigst.”
Benieuwd naar het volledige interview met Kelvin Rorive? Luister hier aflevering 6 van de NLSecure[ID]-podcast.