GUBERNA Directors Sparkle

GUBERNA Directors Sparkle - Alex Driesen

13-01-2022

Besturen in technologische kmo’s en hoe het onderwerp cybersecurity in de bestuurskamer van elke organisatie behandelen

Vanuit zijn werk binnen technologiebedrijven groeide de interesse van Alex Driesen voor samenwerking met startups en het goed beheer ervan. Zijn achtergrond bestaat uit een combinatie van computerwetenschappen, management en een passie voor strategiebeleid en goed bestuur. Lynn Paine, Professor Corporate Governance bij Harvard, heeft hem daarbij sterk geïnspireerd. In 2022 zouden volgende thema’s op de tafel van bestuurders moeten liggen: ‘War on talent’, permanent bijsturen van waarde-creatie en waarde-behoud in een VUCA wereld, verhoogde aandacht voor ESG topics, en meer dan ooit is het imperatief om een gedegen cybersecuritybeleid te installeren.

Klassieke corporate governance gaat dikwijls vooral over value preservation, terwijl in startups nog alle waarde gecreëerd moet worden.

Zolang je het doel (‘purpose’, ‘the why’) goed voor ogen houdt, komt degelijk bestuur dikwijls neer op gezond verstand, aangevuld met voldoende theoretische kaders en ervaring om vanuit verschillende lenzen naar de realiteit te kijken, en voldoende diversiteit om dat aantal kaders nog uit te breiden. Dat aangevuld met mijn voorkeur voor de methode van Socrates (ik stel vooral vragen), geeft een zicht op mijn ingesteldheid als bestuurder.

Al deze thema’s komen helder aan bod in het gesprek dat we voerden met Alex Driesen voor GUBERNA Directors Sparkle.

Alex Driesen
CEO at Toreon | Cybersecurity and Privacy - let us do the worrying AND mentor your teams

www.linkedin.com/in/alexdriesen
Mobile    +32 478 401 404
Email    alex.driesen@oxygen2.co

Alex Driesen

In het kader van het GUBERNA Directors Sparkle interview van januari 2022, heb ik de eer een gesprek te voeren met Alex Driesen, CEO, lid van adviesraden en bestuurder. Ik leerde Alex kennen tijdens de GUBERNA opleiding Director Effectiveness in 2017. Graag stel ik hem enkele vragen naar zijn ervaringen sindsdien. Hij is eveneens goed geplaatst om een aantal tips mee te geven voor bestuurders in startups en kmo’s.

Alex, mag ik vragen u kort voor te stellen en in welke context en met welke inspiratie u bestuurdersmandaten opneemt?

Vanuit mijn veldwerk in technologiebedrijven (Barco, Zetes, Nallian) groeide de interesse voor samenwerking met technologie startups en het goed beheer ervan. Uest, Prosteps/Tilroy, Volta Ventures, en nu ook CEO bij Toreon. Mijn achtergrond bestaat uit een combinatie van computerwetenschappen, management en een passie voor strategiebeleid en goed bestuur. Met name Lynn Paine, Professor Corporate Governance bij Harvard, heeft destijds mijn interesse voor de fine art of corporate governance getriggerd, en daar ben ik haar uitermate dankbaar voor. Vanuit deze inspiratie en beroepservaring heb ik mij ingewerkt in adviesraden en in bestuursvergaderingen. 

Zo heb ik bij technologiebedrijf Zetes mee kunnen bouwen aan de groei van een kleine Brusselse KMO naar een internationale marktleider in 18 landen met 1.200 medewerkers en 250 miljoen omzet. Via een beursnotering is Zetes later opgegaan in Panasonic. 

Bij Nallian heb ik de startup/scaleup scene langs de binnenkant leren kennen, de pijn van de early stage entrepreneur gevoeld zo je wil. Vertrekkende van een stukje technologie hebben we - met de hulp van een risicokapitaalfonds - wereldwijd een datadeelplatform voor logistiek in cargoluchthavens in de markt kunnen zetten.

Bij Toreon, een ambitieuze groep van momenteel een 50-tal consultants in cybersecurity en privacy, ben ik vanuit een onafhankelijk bestuursmandaat doorgeschoven naar een CEO-rol.

Wat zijn volgens u de voornaamste onderwerpen die in 2022 de aandacht van bestuurders in KMO’s en andere organisaties verdienen?

GUBERNA Directors Sparkle

De onderwerpen voor de bestuurstafel veranderen nooit echt spectaculair, doch als ik er dan toch een paar moet uitnemen voor ‘tech’ bedrijven, kan ik het volgende meegeven.

  • De‘War on talent’ wordt er niet beter op, zeker in het digitale domein, waar er al enige tijd schaarste is. De pandemie en de lock-downs hebben even een rem gezet op de natuurlijke rotatie doch tegelijk mensen doen twijfelen over hun prioriteiten. Op hetzelfde moment is de ‘social glue’ binnen bedrijven wat geërodeerd. Dat is een tricky cocktail. Nu zien we een inhaalbeweging. Het uitzicht op een economische herleving doet mensen natuurlijk shiften en daardoor zal de rotatie wellicht nog toenemen. 
  • Verhoogde aandacht voor ESG. Wat al dan niet maatschappelijk geaccepteerd wordt, is snel aan het evolueren – anticipeer.  En als je een bedrijfstak actief bent die zwaar afhankelijk is van de energieprijzen …
  • Het belangrijkste is nog de algemene onzekerheid. Niemand ziet de uitloper van de pandemie echt helder, de staatsschuld is weer stevig aangedikt wat waarschijnlijk gaat leiden tot wat fiscale implicaties, we zitten op de langste bull-run ever doch hoelang nog, supply chains liggen overhoop en geopolitieke spanningen nemen toe. We leven vandaag in een VUCA wereld (volatile, uncertain, complex & ambiguous) met als enige zekerheid dat de toekomst onzeker is. Dat wil zeggen dat we ons daarop moeten organiseren. In een voorspelbare wereld maak je je interne sterktes sterker, steeds beter worden in wat je al doet. In een volatiele wereld moet de raad van bestuur aandacht hebben voor de wendbaarheid van de organisatie. Dit vraagt niet alleen een continue bevraging van de ‘purpose’ van de onderneming, maar ook het continu herconfigureren van de waardeketen, over organisaties heen. In het verleden werd vooral aandacht besteed aan robuustheid, Taleb heeft ons geleerd antifragility op te zoeken, structuren zo op te zetten dat ze onder stress beter kunnen functioneren. Dat kan door in plaats van te opereren als geïsoleerde silo’s organisaties te baseren op fluïde open netwerken en te denken in termen van adaptieve waardesystemen en ecosystemen.
  • Wellicht ben ik gebiased doch ook cybersecurity is een niet te onderschatten onderwerp, ook in de bestuurskamer, beetje in functie van hoe cruciaal het digitale is in de bedrijfsvoering. Elke sector en organisatie wordt vroeg of laat getroffen en heeft er dus mee te maken. Afhankelijk van de kwetsbaarheid, zal een cyber aanval, die steeds meer professioneel georganiseerd wordt, een al dan niet belangrijke impact op de bedrijfsvoering en soms levensvatbaarheid teweegbrengen.

Wat zijn uw ervaringen tot dus ver, met welke expertise kan u een bestuur van een kmo en startup verrijken? En is dat hetzelfde spel?

Veel van de onderwerpen zijn gelijkaardig, doch er zijn wat andere prioriteiten die bij momenten alles domineren. De volgende ‘funding’ ronde halen is er zo eentje bijvoorbeeld.

Er zijn ook best wat verschillen op fundamenteel vlak. De kijk op langetermijnoverleving is er zo eentje. In een startup is dat niet noodzakelijk de belangrijkste drijfveer. Wat bedoel ik daar mee? Een startup wordt soms gedefinieerd als een experiment, waarbij wordt nagegaan of het initiatief kans heeft om op termijn ‘te knallen’. En als het die kans niet heeft, dan is het zaak om zo snel mogelijk en met zo weinig mogelijk middelen tot die conclusie te komen en de boel te stoppen.

Dat lijkt, alleszins op het eerste zicht, enigszins te botsen met de klassieke verwoording van het doel van deugdelijk bestuur, i.e. waarde-creatie op lange termijn, met continuïteit van de onderneming’. Als je een startup beschouwt als een experiment, is het per se nastreven van continuïteit van de onderneming niet relevant.

Waardecreatie op lange termijn blijft nog altijd rechtop staan, alleen moeten we dan als unit-of-analysis wat breder kijken dan de specifieke onderneming. Als je dat bekijkt van het perspectief van alle stakeholders van het bedrijf, dan is het nog steeds goed voor LT waarde-creatie dat je een onderneming die niet gaat knallen stopt, want dat geeft iedere betrokkene weer de mogelijkheid om tijd en middelen te investeren in nieuwe ondernemingen die mogelijk wel gaan knallen. Rationeel klopt dat, doch emotioneel blijft dat moeilijk, en het duurt doorgaans even vooraleer iedereen in het bestuur deze rationele stelling deelt.

Mijn expertise? Vooral perspectief brengen. Mijn ervaring als bestuurder situeert zich vooral bij wat kleinere ‘tech’ bedrijven die willen groeien. Daar zitten startups tussen doch ook wat matuurdere ambitieuze ‘tech’ bedrijven die voor een transformatie staan (businessmodel omgooien – dikwijls met implicaties op cultuur, of aan internationalisering willen beginnen), en die kan ik helpen vanuit mijn ervaring bij o.a. Zetes. Ik heb immers die groei van een kmo-tje naar een 30x grotere internationale beursgenoteerde speler meegemaakt, en ik heb daarbij ook alle mogelijke fouten gemaakt. Ik heb daarbij het geluk gehad binnen Zetes diverse rollen te kunnen opnemen, gaande van strategie en corporate development op HQ tot ‘regional leadership’ diep in het veld, steeds in nauwe samenwerking met de CEO.
Combineer dat dan met het perspectief van een Venture Capitalist, en het perspectief van iemand die ook langs de binnenkant van een startup de ‘early stage enterpreneurial pains’ heeft gevoeld. Die ervaringen, aangevuld met een relatief brede theoretische basis en mijn voorkeur voor de methode van Socrates (ik stel vooral vragen), geeft een zicht op mijn ingesteldheid als bestuurder. De mensen met wie ik werk vertellen mij dan dat ze aan dit perspectief bieden en bevragend optreden hier en daar wel eens iets aan hebben.

Welke boodschap zou u bestuurders geven om een goed cybersecurity beleid te installeren?

Een van de onderwerpen die vandaag op board meetings van belang zijn, denken we maar aan het stilleggen van Maersk, Asco, Picanol en anderen, zijn cyberaanvallen. Het financieel dagblad stelt zelfs de vraag of cybersecurity het belangrijkste onderwerp moet zijn in de boardroom. Inderdaad 1,4 miljard digitale bestanden worden gestolen, een stijging van 86% ten opzichte van vorig jaar. Met uw achtergrond als CEO van een cybersecurity consulting bedrijf ben ik benieuwd welke boodschap u bestuurders zou geven om een goed cybersecurity beleid te installeren?

Een Cyber attack met 100% zekerheid voorkomen kan je niet. Hooguit kan je de kans op voorkomen verlagen, en de impact ervan beperken.  Het is een beetje zoals met uw huis.  Als ik u vraag of uw woning goed beveiligd is, gaat u daar waarschijnlijk positief op antwoorden. Zet daar echter een SWAT-team op van 20 man met een tank en die geraken ook binnen. Het is dan ook belangrijk in te schatten wie interesse kan hebben om binnen te geraken.

Als u me vraagt naar een goed cybersecurity beleid, dat is de eerste vraag of er überhaupt een cybersecurity beleid is? Je kan je niet voorstellen hoeveel organisaties daar nog nooit over nagedacht hebben, laat staan er één hebben geïnstalleerd.

Een snelle manier om dat te weten te komen als bestuurder, is eens te polsen naar het ‘incident response playbook’  - wat schiet er in gang bij een cyber incident?  Als hier een onvoldoende antwoord op komt, is het zeer waarschijnlijk dat niemand daar serieus mee bezig is.

Moet cyber hoger op de agenda?

GUBERNA Directors Sparkle

Absoluut, en wel om minstens de volgende twee redenen:

  • Wij zijn vandaag met zijn allen uitermate afhankelijk geworden van het digitale. Jullie kennen allemaal dikke-truien-dag, de dag dat we collectief de verwarming afzetten. Beeld je eens in dat we daar het IT-equivalent van doorvoeren, alle vormen van IT een dag uitschakelen. We zouden hier vandaag niet geraakt zijn, we kunnen elkaar niet eens bellen om af te spreken. Onze organisaties zijn in toenemende mate van het digitale afhankelijk geworden (denk maar aan e-commerce, bestanden, websites, betalingen, processturingen, medische apparatuur …) en we kunnen ons nauwelijks nog permitteren dat dit uitvalt.
  • Daarnaast zijn de ‘bad guys’ die de cyber aanvallen uitvoeren dermate geprofessionaliseerd (vandaag zijn dit allang geen pukkeltieners meer doch geïndustrialiseerde bedrijfstakken met gespecialiseerde toevoerketens) en is dit voor hen ‘big business’ geworden. Weet overigens dat momenteel 43% van de cyberaanvallen gericht zijn naar KMO’s.

Een cyber beleid zorgt ervoor dat je daar op een doordachte manier mee omgaat.

Hoe begin je nu aan een cyber security beleid?

Je kan niet starten met iemand hiervoor aan te werven, want je hebt geen idee van de ‘size of the challenge’, je weet niet wat je niet weet en dus ook niet welk profiel (‘kaliber’) je nodig hebt.  Daarom start je best met de situatie in kaart te (laten) brengen, een quick assessment van waar je staat en waar je zou moeten staan in je specifieke situatie (een bakker en een bank vertonen nu eenmaal een verschillende digitale kwetsbaarheid en accepteren verschillende risiconiveaus). Het afwegen van de risico’s ten opzichte van het aanvaardbaar risiconiveau geeft u dan een inzicht in de ‘gap’ waaraan gewerkt kan worden.

Vanuit zo’n assessment krijg je al snel een idee over de draagwijdte van de uitdaging, zodat je kan bepalen wat voor talent er op te zetten, om met die ‘gaps’ aan de slag te gaan. Zo’n talent hoeft niet per se intern en per se full time (er is overigens wereldwijd een tekort van 1,5 miljoen mensen met dit soort kennis), er zijn voldoende bedrijven die dat ondertussen “as a service” aanbieden. Verschillende overheden waaronder de Vlaamse moedigen deze aanpak overigens aan door initiële assessements en roadmaps te subsidiëren voor KMO’s.

Hoe doordacht middelen aanwenden?

Als er al wel iemand serieus mee bezig is, rijst de vraag hoe effectief en gebalanceerd het beleid is? Om weer de parallel te trekken met uw woning, soms komen veiligheidsadviseurs huizen tegen waar er geïnvesteerd is in kogelvrij glas op de 3e verdieping, doch waar de voordeur permanent openstaat. In het digitale domein is men zich er soms zelfs niet van bewust dat er überhaupt een voordeur is.

Dus ook hier vertrekt het van het in kaart laten brengen:

  • Wat is belangrijk voor je business, wat zijn je kroonjuwelen?
    • Je gaat je huis anders beveiligen als je daar ook de Mona Lisa hebt hangen.
    • Heb je ‘mission critical’ systemen die ten allen tijde moeten blijven draaien? Die kamers ga je zwaarder beveiligen. Heb je (digitale) activa te beveiligen ?
    • Is er regelgeving die je boetes oplegt als je op sommige aspecten onvoldoende scoort? Druk vanuit Compliance.
  • Waar sta je op de verschillende dimensies die bijdragen tot risico reductie?
    • Op zowel vlak van ‘People, Processes (organisatie, ‘policies’) & Tech’
  • Waar zou je moeten staan in functie van uw risico appetijt?
  • Wat is dan de ‘roadmap’ om het gat te dichten?
  • En wat zij de initiatieven & investeringen die je de komende periode zou moeten doen om de grootste return te hebben?

Een goed cybersecuritybeleid komt dus neer op een ‘roadmap’ uittekenen waarbij invulling wordt gegeven aan risicobeperking met die prioriteiten die het grootste marginaal nut hebben, goed wetende wat de residuele risico’s zijn en of die in lijn zijn met de doelstellingen van de organisatie. Er bestaan voldoende ‘frameworks’, dikwijls sectorspecifieke, om daarbij te helpen. (b.v. NIST – Identify / Protect / Detect / Respond / Recover, CIS-18, ISO27001, …)

Wat wil je zien als bestuurder?

  • Op zijn minst dat er binnen de organisatie iemand is die zich voor het cyber domein verantwoordelijk voelt. Iemand die de rol van Chief Information Security Officer (CISO) opneemt.
  • Dat er een gestructureerd en ‘comprehensive’ plan van aanpak ligt.
  • Dat je een overzicht hebt van wat de risico’s zijn, en dat je je kan vinden in de beslissingen daarrond. Waarbij ook voldoende gedefinieerd is vanaf welke overschrijding van risico’s de bestuursvergadering betrokken wordt.
  • Dat je begrijpt wat de implicaties zijn van je keuze.
  • Dat de Compliance voldoende gerespecteerd wordt
  • En vooral dat de cultuur in de goede richting gaat. Het gros van de incidenten vertrekt vanuit de actie van een medewerker.

Als je echt wil uitmunten kan deze aanbeveling aangevuld worden met volgende elementen:

  • Maak van Cybersecurity een vast agendapunt op je bestuur en behandel dit in een voor elk bestuurslid begrijpbare taal. Educatie over Cybersecurity werkt hier ondersteunend.
  • Laat de CEO zelf rapporteren over cybersecurity in plaats van dit volledig uit te besteden aan de CISO.  Hij kan zich daarbij laten ondersteunen door de CISO voor details, analoog aan ondersteuning door de CFO. Dit ‘line-of-business’ ownership is van belang om CS cultureel in te bedden.
  • Vul dit desnoods aan met externe partijen die rechtstreeks de board informeren, naar analogie met een klassieke externe auditor.
  • Creëer een specifiek cyberrisk comité. Dat klinkt misschien ‘wishfull thinking’ doch voor meer en meer organisaties wordt dit een noodwendigheid:
    • Gartner voorspelt in 2025 dat 40% van de boards een cyber comité zullen hebben opgezet.
    • GM bijvoorbeeld heeft er zo één. Dit komt misschien vreemd over voor een automobielbedrijf, doch is meer dan nodig als je bezig bent met ‘driverless cars’, internet of things, e-commerce, …
  • ‘Last but not least’ is het aan de bestuursleden zelf om het goede voorbeeld te geven in cyberhygiëne: zorg dat niemand je paswoord heeft en/of dat het gemakkelijk te kraken valt, werk in een beveiligde omgeving, …!

Een goed cybersecurity beleid blijft een ‘tricky one’. Cyberrisk heeft haar eigen karakteristieken (van een ‘black swan’) en wordt dikwijls niet goed begrepen door de board. Het zit overal en nergens, terwijl het je bedrijf compleet kan platleggen. Het effect kan inderdaad zo groot zijn dat het een bedrijf uitveegt.

Welke tips kan u nog meegeven in het algemeen om een goede bestuurder te zijn?

Ik heb er vijf geselecteerd, vijf die zijn blijven hangen na interacties met een aantal zeer ervaren bestuurskundigen:

  1. Neem uw rol serieus en actief. Je kan niet op alles evenveel wegen doch probeer in elke bestuursvergadering op 3 à 4 punten echt een verschil te maken. (met dank aan Raf De Caluwé)
  2. ‘Challenge when things go well, help when things go not so well’. Ik zie teveel bestuursleden die steeds aan één kant blijven zitten. (met dank aan Luc Bertrand)
  3. Probeer in de ‘zone of sustainability’ te blijven door alles te bekijken door de 3 lenzen ‘economics, law & ethics’ en heb oog voor diversiteit (niet alleen ‘gender’) (met dank aan Prof. Dr. Lynn Paine)
  4. Wees je zeer bewust van je ‘biasses’ en compenseer daarvoor in je beslissingen (met dank aan Barend van den Brande van Hummingbird, een zeer succesvolle Belgische Venture Capitalist)
  5. Hou te allen tijde het doel (‘purpose’) goed voor ogen. The ‘why’. Waarom zijn we hier, wat proberen we te bereiken. Dikwijls liggen daar de antwoorden. (met dank aan mezelf).

Waarom besloot u om bestuurder te worden en hoe ondersteunt een netwerk zoals de GUBERNA Directors u hierbij ?

Een paar zaken kwamen samen die me aanzetten om de stap naar bestuurder te zetten. Vooreerst heeft Lynn Paine destijds mijn intellectuele nieuwsgierigheid rond corporate governance aangewakkerd met haar paar dozijn steeds meer genuanceerde cases rond dit onderwerp. Deze gevalstudies lijken steevast op het eerste zicht triviaal, tot je daar een set lenzen op loslaat om tot een gebalanceerde visie te komen, een kijk die nodig is om in de ‘zone of sustainability’ te kunnen blijven opereren.  Vervolgens, tijdens mijn periode bij Zetes, beoogde ik een bredere impact en toen ik na een langdurige missie in Afrika terug in Europa aanlandde, ben ik in mijn vrije tijd in de startup community gedoken. Dat start onschuldig met het helpen van een vriend van een vriend met het opzetten van zijn eerste financiering doch voordat je het weet loop je rond met een paar participaties en enkele mandaten en heb ik mij geëngageerd in een risicokapitaalfonds. Die startup community is een verslavende omgeving. Daar circuleert enorm veel jeugdige energie, die je soms enkel wat moet kanaliseren om resultaten te boeken. Van daaruit werd dit snel uitgebreid met matuurdere bedrijven in een zoektocht naar extra complexiteit, waardoor ik me nu concentreer op typisch technologie KMO’s met ambitieuze aandeelhouders en grootse plannen, of dat nu gaat over het totaal omgooien van businessmodellen (en bijhorende nieuwe cultuur) dan wel over internationalisering.

GUBERNA en het GUBERNA Directors netwerk ondersteunen me in mijn ‘lifelong learning’ en ook als HR-netwerk. Ik ben iemand die zijn praktijk graag aanvult met een theoretische onderbouw om op tijd en stond op terug te kunnen vallen. Niet om die theorie dan dogmatisch toe te passen, doch als extra lenzen om naar de realiteit te kijken. Hoe meer van die lenzen je hebt, hoe rijker je beeld en hoe beter je beslissingen. Dat is zo met diversiteit in een groep, evenzeer met diversiteit aan gezichtspunten binnen je eigen hoofd. In het GUBERNA Directors netwerk heb je toegang tot veel interessante mensen die dezelfde passie delen, die je zicht via deze lenzen nog scherper kunnen krijgen en die je in contact kunnen brengen met interessante opportuniteiten. 

Interview conducted by Chris Wouters
GUBERNA Certified Director
Business Partner and Advisor, President Board of Onderwijs van Zusters van Christelijke Scholen van Vorselaar - koepel, Board member Media holding, Board member Lieven Gevaertfonds, Board member Logia
Mobile +32 477 666 083
Email wouters_chris@skynet.be

Chris Wouters

Deelnemen aan GUBERNA Directors Sparkle?

GUBERNA wil een echte gemeenschap zijn waarin elk lid zijn/haar rol van bestuurder in de beste omstandigheden kan uitvoeren. Om de uitwisseling van ervaringen en informatie te stimuleren, hebben de GUBERNA Directors deze interview reeks opgestart in september 2020. Doel: onze leden inspireren via de verhalen van ervaren bestuurders.

Graag nodigen we de GUBERNA Directors en GUBERNA Certified Directors uit om onderwerpen en te interviewen personen aan te reiken. In 2022 leggen we de klemtoon op de volgende onderwerpen:

  • Hoe kan de raad van bestuur bijdragen aan een beter klimaat?

  • Van een factchecking naar een proces gestuurd risicobeheer onder toezicht van de raad van bestuur?

  • De rol van de voorzitter van de raad van bestuur in de digitale transformatie.

  • Hoe kan u uw bedrijf versterken om te groeien door overnames en partnerships en uw corporate governance op orde krijgen?

  • De jonge generatie bestuursleden.

Wil u deelnemen aan GUBERNA Directors Sparkle of heeft u suggesties rond gesprekspartners en onderwerpen? Stuur dan een mailtje naar Danny VandeVyver.