GUBERNA Directors Sparkle - Alex Driesen

Vanuit zijn werk binnen technologiebedrijven groeide de interesse van Alex Driesen voor samenwerking met startups en het goed beheer ervan. Zijn achtergrond bestaat uit een combinatie van computerwetenschappen, management en een passie voor strategiebeleid en goed bestuur. Lynn Paine, Professor Corporate Governance bij Harvard, heeft hem daarbij sterk geïnspireerd. In 2022 zouden volgende thema’s op de tafel van bestuurders moeten liggen: ‘War on talent’, permanent bijsturen van waarde-creatie en waarde-behoud in een VUCA wereld, verhoogde aandacht voor ESG topics, en meer dan ooit is het imperatief om een gedegen cybersecuritybeleid te installeren.

Klassieke corporate governance gaat dikwijls vooral over value preservation, terwijl in startups nog alle waarde gecreëerd moet worden.

In het kader van het GUBERNA Directors Sparkle interview van januari 2022, heb ik de eer een gesprek te voeren met Alex Driesen, CEO, lid van adviesraden en bestuurder. Ik leerde Alex kennen tijdens de GUBERNA opleiding Director Effectiveness in 2017. Graag stel ik hem enkele vragen naar zijn ervaringen sindsdien. Hij is eveneens goed geplaatst om een aantal tips mee te geven voor bestuurders in startups en kmo’s.

Vanuit mijn veldwerk in technologiebedrijven (Barco, Zetes, Nallian) groeide de interesse voor samenwerking met technologie startups en het goed beheer ervan. Uest, Prosteps/Tilroy, Volta Ventures, en nu ook CEO bij Toreon. Mijn achtergrond bestaat uit een combinatie van computerwetenschappen, management en een passie voor strategiebeleid en goed bestuur. Met name Lynn Paine, Professor Corporate Governance bij Harvard, heeft destijds mijn interesse voor de fine art of corporate governance getriggerd, en daar ben ik haar uitermate dankbaar voor. Vanuit deze inspiratie en beroepservaring heb ik mij ingewerkt in adviesraden en in bestuursvergaderingen. 

Zo heb ik bij technologiebedrijf Zetes mee kunnen bouwen aan de groei van een kleine Brusselse KMO naar een internationale marktleider in 18 landen met 1.200 medewerkers en 250 miljoen omzet. Via een beursnotering is Zetes later opgegaan in Panasonic. 

Bij Nallian heb ik de startup/scaleup scene langs de binnenkant leren kennen, de pijn van de early stage entrepreneur gevoeld zo je wil. Vertrekkende van een stukje technologie hebben we - met de hulp van een risicokapitaalfonds - wereldwijd een datadeelplatform voor logistiek in cargoluchthavens in de markt kunnen zetten.

Bij Toreon, een ambitieuze groep van momenteel een 50-tal consultants in cybersecurity en privacy, ben ik vanuit een onafhankelijk bestuursmandaat doorgeschoven naar een CEO-rol.

Veel van de onderwerpen zijn gelijkaardig, doch er zijn wat andere prioriteiten die bij momenten alles domineren. De volgende ‘funding’ ronde halen is er zo eentje bijvoorbeeld.

Er zijn ook best wat verschillen op fundamenteel vlak. De kijk op langetermijnoverleving is er zo eentje. In een startup is dat niet noodzakelijk de belangrijkste drijfveer. Wat bedoel ik daar mee? Een startup wordt soms gedefinieerd als een experiment, waarbij wordt nagegaan of het initiatief kans heeft om op termijn ‘te knallen’. En als het die kans niet heeft, dan is het zaak om zo snel mogelijk en met zo weinig mogelijk middelen tot die conclusie te komen en de boel te stoppen.

Dat lijkt, alleszins op het eerste zicht, enigszins te botsen met de klassieke verwoording van het doel van deugdelijk bestuur, i.e. waarde-creatie op lange termijn, met continuïteit van de onderneming’. Als je een startup beschouwt als een experiment, is het per se nastreven van continuïteit van de onderneming niet relevant.

Waardecreatie op lange termijn blijft nog altijd rechtop staan, alleen moeten we dan als unit-of-analysis wat breder kijken dan de specifieke onderneming. Als je dat bekijkt van het perspectief van alle stakeholders van het bedrijf, dan is het nog steeds goed voor LT waarde-creatie dat je een onderneming die niet gaat knallen stopt, want dat geeft iedere betrokkene weer de mogelijkheid om tijd en middelen te investeren in nieuwe ondernemingen die mogelijk wel gaan knallen. Rationeel klopt dat, doch emotioneel blijft dat moeilijk, en het duurt doorgaans even vooraleer iedereen in het bestuur deze rationele stelling deelt.

Mijn expertise? Vooral perspectief brengen. Mijn ervaring als bestuurder situeert zich vooral bij wat kleinere ‘tech’ bedrijven die willen groeien. Daar zitten startups tussen doch ook wat matuurdere ambitieuze ‘tech’ bedrijven die voor een transformatie staan (businessmodel omgooien – dikwijls met implicaties op cultuur, of aan internationalisering willen beginnen), en die kan ik helpen vanuit mijn ervaring bij o.a. Zetes. Ik heb immers die groei van een kmo-tje naar een 30x grotere internationale beursgenoteerde speler meegemaakt, en ik heb daarbij ook alle mogelijke fouten gemaakt. Ik heb daarbij het geluk gehad binnen Zetes diverse rollen te kunnen opnemen, gaande van strategie en corporate development op HQ tot ‘regional leadership’ diep in het veld, steeds in nauwe samenwerking met de CEO.
Combineer dat dan met het perspectief van een Venture Capitalist, en het perspectief van iemand die ook langs de binnenkant van een startup de ‘early stage enterpreneurial pains’ heeft gevoeld. Die ervaringen, aangevuld met een relatief brede theoretische basis en mijn voorkeur voor de methode van Socrates (ik stel vooral vragen), geeft een zicht op mijn ingesteldheid als bestuurder. De mensen met wie ik werk vertellen mij dan dat ze aan dit perspectief bieden en bevragend optreden hier en daar wel eens iets aan hebben.

Een van de onderwerpen die vandaag op board meetings van belang zijn, denken we maar aan het stilleggen van Maersk, Asco, Picanol en anderen, zijn cyberaanvallen. Het financieel dagblad stelt zelfs de vraag of cybersecurity het belangrijkste onderwerp moet zijn in de boardroom. Inderdaad 1,4 miljard digitale bestanden worden gestolen, een stijging van 86% ten opzichte van vorig jaar. Met uw achtergrond als CEO van een cybersecurity consulting bedrijf ben ik benieuwd welke boodschap u bestuurders zou geven om een goed cybersecurity beleid te installeren?

Een Cyber attack met 100% zekerheid voorkomen kan je niet. Hooguit kan je de kans op voorkomen verlagen, en de impact ervan beperken.  Het is een beetje zoals met uw huis.  Als ik u vraag of uw woning goed beveiligd is, gaat u daar waarschijnlijk positief op antwoorden. Zet daar echter een SWAT-team op van 20 man met een tank en die geraken ook binnen. Het is dan ook belangrijk in te schatten wie interesse kan hebben om binnen te geraken.

Als u me vraagt naar een goed cybersecurity beleid, dat is de eerste vraag of er überhaupt een cybersecurity beleid is? Je kan je niet voorstellen hoeveel organisaties daar nog nooit over nagedacht hebben, laat staan er één hebben geïnstalleerd.

Een snelle manier om dat te weten te komen als bestuurder, is eens te polsen naar het ‘incident response playbook’  - wat schiet er in gang bij een cyber incident?  Als hier een onvoldoende antwoord op komt, is het zeer waarschijnlijk dat niemand daar serieus mee bezig is.

Je kan niet starten met iemand hiervoor aan te werven, want je hebt geen idee van de ‘size of the challenge’, je weet niet wat je niet weet en dus ook niet welk profiel (‘kaliber’) je nodig hebt.  Daarom start je best met de situatie in kaart te (laten) brengen, een quick assessment van waar je staat en waar je zou moeten staan in je specifieke situatie (een bakker en een bank vertonen nu eenmaal een verschillende digitale kwetsbaarheid en accepteren verschillende risiconiveaus). Het afwegen van de risico’s ten opzichte van het aanvaardbaar risiconiveau geeft u dan een inzicht in de ‘gap’ waaraan gewerkt kan worden.

Vanuit zo’n assessment krijg je al snel een idee over de draagwijdte van de uitdaging, zodat je kan bepalen wat voor talent er op te zetten, om met die ‘gaps’ aan de slag te gaan. Zo’n talent hoeft niet per se intern en per se full time (er is overigens wereldwijd een tekort van 1,5 miljoen mensen met dit soort kennis), er zijn voldoende bedrijven die dat ondertussen “as a service” aanbieden. Verschillende overheden waaronder de Vlaamse moedigen deze aanpak overigens aan door initiële assessements en roadmaps te subsidiëren voor KMO’s.

Als er al wel iemand serieus mee bezig is, rijst de vraag hoe effectief en gebalanceerd het beleid is? Om weer de parallel te trekken met uw woning, soms komen veiligheidsadviseurs huizen tegen waar er geïnvesteerd is in kogelvrij glas op de 3^e verdieping, doch waar de voordeur permanent openstaat. In het digitale domein is men zich er soms zelfs niet van bewust dat er überhaupt een voordeur is.

Dus ook hier vertrekt het van het in kaart laten brengen:

• Wat is belangrijk voor je business, wat zijn je kroonjuwelen?
  • Je gaat je huis anders beveiligen als je daar ook de Mona Lisa hebt hangen.
  • Heb je ‘mission critical’ systemen die ten allen tijde moeten blijven draaien? Die kamers ga je zwaarder beveiligen. Heb je (digitale) activa te beveiligen ?
  • Is er regelgeving die je boetes oplegt als je op sommige aspecten onvoldoende scoort? Druk vanuit Compliance.
• Waar sta je op de verschillende dimensies die bijdragen tot risico reductie?
  • Op zowel vlak van ‘People, Processes (organisatie, ‘policies’) & Tech’
• Waar zou je moeten staan in functie van uw risico appetijt?
• Wat is dan de ‘roadmap’ om het gat te dichten?
• En wat zij de initiatieven & investeringen die je de komende periode zou moeten doen om de grootste return te hebben?

Een goed cybersecuritybeleid komt dus neer op een ‘roadmap’ uittekenen waarbij invulling wordt gegeven aan risicobeperking met die prioriteiten die het grootste marginaal nut hebben, goed wetende wat de residuele risico’s zijn en of die in lijn zijn met de doelstellingen van de organisatie. Er bestaan voldoende ‘frameworks’, dikwijls sectorspecifieke, om daarbij te helpen. (b.v. NIST – Identify / Protect / Detect / Respond / Recover, CIS-18, ISO27001, …)

• Op zijn minst dat er binnen de organisatie iemand is die zich voor het cyber domein verantwoordelijk voelt. Iemand die de rol van Chief Information Security Officer (CISO) opneemt.
• Dat er een gestructureerd en ‘comprehensive’ plan van aanpak ligt.
• Dat je een overzicht hebt van wat de risico’s zijn, en dat je je kan vinden in de beslissingen daarrond. Waarbij ook voldoende gedefinieerd is vanaf welke overschrijding van risico’s de bestuursvergadering betrokken wordt.
• Dat je begrijpt wat de implicaties zijn van je keuze.
• Dat de Compliance voldoende gerespecteerd wordt
• En vooral dat de cultuur in de goede richting gaat. Het gros van de incidenten vertrekt vanuit de actie van een medewerker.

Als je echt wil uitmunten kan deze aanbeveling aangevuld worden met volgende elementen:

• Maak van Cybersecurity een vast agendapunt op je bestuur en behandel dit in een voor elk bestuurslid begrijpbare taal. Educatie over Cybersecurity werkt hier ondersteunend.
• Laat de CEO zelf rapporteren over cybersecurity in plaats van dit volledig uit te besteden aan de CISO.  Hij kan zich daarbij laten ondersteunen door de CISO voor details, analoog aan ondersteuning door de CFO. Dit ‘line-of-business’ ownership is van belang om CS cultureel in te bedden.
• Vul dit desnoods aan met externe partijen die rechtstreeks de board informeren, naar analogie met een klassieke externe auditor.
• Creëer een specifiek cyberrisk comité. Dat klinkt misschien ‘wishfull thinking’ doch voor meer en meer organisaties wordt dit een noodwendigheid:
  • Gartner voorspelt in 2025 dat 40% van de boards een cyber comité zullen hebben opgezet.
  • GM bijvoorbeeld heeft er zo één. Dit komt misschien vreemd over voor een automobielbedrijf, doch is meer dan nodig als je bezig bent met ‘driverless cars’, internet of things, e-commerce, …
• ‘Last but not least’ is het aan de bestuursleden zelf om het goede voorbeeld te geven in cyberhygiëne: zorg dat niemand je paswoord heeft en/of dat het gemakkelijk te kraken valt, werk in een beveiligde omgeving, …!

Een goed cybersecurity beleid blijft een ‘tricky one’. Cyberrisk heeft haar eigen karakteristieken (van een ‘black swan’) en wordt dikwijls niet goed begrepen door de board. Het zit overal en nergens, terwijl het je bedrijf compleet kan platleggen. Het effect kan inderdaad zo groot zijn dat het een bedrijf uitveegt.

Ik heb er vijf geselecteerd, vijf die zijn blijven hangen na interacties met een aantal zeer ervaren bestuurskundigen:

1. Neem uw rol serieus en actief. Je kan niet op alles evenveel wegen doch probeer in elke bestuursvergadering op 3 à 4 punten echt een verschil te maken. (met dank aan Raf De Caluwé)
2. ‘Challenge when things go well, help when things go not so well’. Ik zie teveel bestuursleden die steeds aan één kant blijven zitten. (met dank aan Luc Bertrand)
3. Probeer in de ‘zone of sustainability’ te blijven door alles te bekijken door de 3 lenzen ‘economics, law & ethics’ en heb oog voor diversiteit (niet alleen ‘gender’) (met dank aan Prof. Dr. Lynn Paine)
4. Wees je zeer bewust van je ‘biasses’ en compenseer daarvoor in je beslissingen (met dank aan Barend van den Brande van Hummingbird, een zeer succesvolle Belgische Venture Capitalist)
5. Hou te allen tijde het doel (‘purpose’) goed voor ogen. The ‘why’. Waarom zijn we hier, wat proberen we te bereiken. Dikwijls liggen daar de antwoorden. (met dank aan mezelf).

Een paar zaken kwamen samen die me aanzetten om de stap naar bestuurder te zetten. Vooreerst heeft Lynn Paine destijds mijn intellectuele nieuwsgierigheid rond corporate governance aangewakkerd met haar paar dozijn steeds meer genuanceerde cases rond dit onderwerp. Deze gevalstudies lijken steevast op het eerste zicht triviaal, tot je daar een set lenzen op loslaat om tot een gebalanceerde visie te komen, een kijk die nodig is om in de ‘zone of sustainability’ te kunnen blijven opereren.  Vervolgens, tijdens mijn periode bij Zetes, beoogde ik een bredere impact en toen ik na een langdurige missie in Afrika terug in Europa aanlandde, ben ik in mijn vrije tijd in de startup community gedoken. Dat start onschuldig met het helpen van een vriend van een vriend met het opzetten van zijn eerste financiering doch voordat je het weet loop je rond met een paar participaties en enkele mandaten en heb ik mij geëngageerd in een risicokapitaalfonds. Die startup community is een verslavende omgeving. Daar circuleert enorm veel jeugdige energie, die je soms enkel wat moet kanaliseren om resultaten te boeken. Van daaruit werd dit snel uitgebreid met matuurdere bedrijven in een zoektocht naar extra complexiteit, waardoor ik me nu concentreer op typisch technologie KMO’s met ambitieuze aandeelhouders en grootse plannen, of dat nu gaat over het totaal omgooien van businessmodellen (en bijhorende nieuwe cultuur) dan wel over internationalisering.

GUBERNA en het GUBERNA Directors netwerk ondersteunen me in mijn ‘lifelong learning’ en ook als HR-netwerk. Ik ben iemand die zijn praktijk graag aanvult met een theoretische onderbouw om op tijd en stond op terug te kunnen vallen. Niet om die theorie dan dogmatisch toe te passen, doch als extra lenzen om naar de realiteit te kijken. Hoe meer van die lenzen je hebt, hoe rijker je beeld en hoe beter je beslissingen. Dat is zo met diversiteit in een groep, evenzeer met diversiteit aan gezichtspunten binnen je eigen hoofd. In het GUBERNA Directors netwerk heb je toegang tot veel interessante mensen die dezelfde passie delen, die je zicht via deze lenzen nog scherper kunnen krijgen en die je in contact kunnen brengen met interessante opportuniteiten.