Sjoerd Resink: “Denken dat je het goed geregeld hebt, is al een risico in cyberveiligheid”
Binnen het gezamenlijke onderzoek van KPN en Security Innovation Stories naar cyberweerbaarheid spreekt Resink over wat hem opvalt bij organisaties die echt stappen zetten: ze blijven kritisch op zichzelf. “Zodra je denkt dat je het goed geregeld hebt, sluipt er gemakzucht in,” zegt hij. “En dat is precies het moment waarop het misgaat.”
Technologie is niet het probleem
Sjoerd herinnert zich hoe zijn kijk op security veranderde toen hij van pentesting overstapte naar beleid en governance. “In mijn tijd als pentester dacht ik dat alles om techniek draaide,” vertelt hij. “Maar nu zie ik dat de techniek vaak niet op orde is, juist omdat het organisatorisch niet op orde is.”
Hij ziet het nog te vaak: bedrijven met meerdere certificeringen en controles die alsnog worden geraakt door iets eenvoudigs. “De basis blijft lastig: wachtwoorden, patches, rechtenbeheer. Dat zijn geen nieuwe thema’s, maar ze worden nog steeds vergeten.”
Volgens Resink is dat geen technisch, maar een organisatorisch probleem. Innovatie in security betekent volgens hem niet nóg een tool, maar beter bestuur. “Zorg dat verantwoordelijkheden helder zijn en dat mensen snappen dat zij zelf onderdeel zijn van security. Dat is veel innovatiever dan een nieuw dashboard.”
Eigenaarschap is de sleutel
Wat volwassen organisaties onderscheidt, is volgens Sjoerd duidelijk: verantwoordelijkheid ligt in de lijn. “Je kan een organisatie niet in je eentje beveiligen,” zegt hij. “Het gaat erom dat de juiste mensen de juiste beslissingen nemen. En dat ze die verantwoordelijkheid ook echt voelen.”
Hij benadrukt dat dit verder gaat dan papieren verantwoordelijkheden. “Formeel kan iets goed zijn vastgelegd, maar als mensen het niet ervaren als hun taak, werkt het niet. Dan blijft security iets van ‘de afdeling’ in plaats van van iedereen.”
“Zodra je denkt dat je het goed geregeld hebt, sluipt er gemakzucht in. En dat is precies het moment waarop het misgaat.”
Die cultuur van eigenaarschap is volgens hem ook een voorwaarde om nieuwe technologieën verantwoord te gebruiken. “AI, cloud, softwareontwikkeling; overal zit security in verweven. Maar alleen als mensen dat ook écht willen dragen, werkt het.”
De valkuil van vertrouwen
Sjoerd waarschuwt voor een denkfout die hij vaak ziet: zelfgenoegzaamheid. “Denken dat je het goed geregeld hebt, is al een risico in cyberveiligheid.” Zodra een organisatie dat denkt, verdwijnt de alertheid die nodig is om fouten te voorkomen.
Hij pleit daarom voor een continu gesprek over risico’s, niet als controlemechanisme, maar als gewoon onderdeel van het werk. “Het gaat niet om afvinken, maar om afwegen. Wat doen we wel, wat niet, en waarom?”
Conclusie: weerbaarheid begint bij eigenaarschap
Voor Sjoerd Resink betekent cyberweerbaarheid: weten wie waarvoor verantwoordelijk is, en dat ook durven dragen. Techniek helpt, maar gedrag bepaalt de uitkomst. “Een organisatie is pas weerbaar als iedereen zich verantwoordelijk voelt voor wat hij doet.”
“Security begint niet bij techniek, maar bij de mensen die haar gebruiken.”
Het interview met Sjoerd Resink maakt deel uit van een breder onderzoek naar de staat van cyberweerbaarheid in Nederland, uitgevoerd door Security Innovation Stories in samenwerking met KPN. In het rapport delen tientallen security professionals hun visie op innovatie, menselijk gedrag, techniek en de toekomst van digitale weerbaarheid.