Bij aanvang van de opleiding was Gezang Business Controller IT bij de KVK en de enige IT-controller in de groep. Vergeleken met andere studenten viel ook zijn schat aan levens- en werkervaring op. “Ik was vijftig toen ik aan de opleiding begon en daarmee een van de oudsten. Sommige medestudenten hadden de leeftijd van mijn kinderen. De mix van leeftijden, achtergronden en perspectieven maakte de studie extra leuk.” 

Ondanks zijn jarenlange ervaring in het vak, viel er voor Gezang nog genoeg te leren. “Ik wilde voornamelijk mijn kennis van het vak verbreden, en dat is zeker gelukt. Van internationale belastingen wist ik nog niet veel, omdat het jaren geleden was dat ik bij een grote corporate zat. Ook bestuurlijke informatievoorziening, operations supply chain management en strategie vond ik heel interessant. En hoewel mijn kennis van IT best diep gaat, kreeg ik toch nieuwe zaken aangereikt, bijvoorbeeld op het gebied van architectuur en techniek.” 

Specialisatie in cybersecurity 

Naast kennisverbreding leverde de EMFC-opleiding Gezang ook een nieuwe specialisatie op. “Het handelsregister van de KVK werd vitaal verklaard, waardoor er een enorme ontwikkeling ontstond op het gebied van security. Voor EMFC voerde ik diverse onderzoeken binnen de KVK uit en zo raakte ik enthousiast over cybersecurity. Het is een extreem complex en technisch onderwerp, waar veel in wordt geïnvesteerd. Als daar iets mee misgaat, hebben we niks om op terug te vallen en komt het economisch en maatschappelijk leven tot stilstand. Ik besloot me hier voor mijn scriptie verder in te verdiepen.”  

Wat heeft een directie nodig om onderbouwde besluiten te kunnen nemen over investeringen in cybersecurity? Op die vraag wilde Gezang met zijn scriptie antwoord geven. “Ik heb hiervoor een model opgesteld, dat gebaseerd is op vier pijlers: Resilience (weerbaarheid), Protection (bescherming) Governance & Ecosystem (hoe bestuur je cybersecurity) en Defense (computer security incident management en detectie). Daaraan koppel je de ISO-normering, risicomodellen, het maturity model en euro’s. Hoe volwassen is je protection? Wat kost het om dit te verbeteren en wat zijn de risico’s als je het zo laat? Zo kan je risk based investeren in mensen en middelen.”  

Deze kennis komt goed van pas in de nieuwe functie van Gezang als CISO: “Ik adviseer na het voltooien van mijn interne opleiding de directie op het gebied van security, stel een beleid op en monitor de organisatie. En dan bedoel ik echt de hele organisatie. Want je kan nog zulke geweldige systemen gebruiken en protocollen opstellen; als mensen de regels niet in acht nemen, dan blijft je organisatie niet veilig.” 

Vak apart

Als het aan Gezang ligt, wordt cybersecurity zelfs een apart vak binnen EMFC. “Hoewel er binnen de opleiding ruimschoots aandacht is voor IT, bestaat de koppeling IT finance als business case nog niet. Hoe adviseer je de directie op strategisch niveau? Hoe zorg je dat je maximaal rendement haalt uit de euro’s die je investeert? Cybersecurity is een extreem complex en technisch onderwerp, waar een directie goed geïnformeerde besluiten over moet nemen.” 

Kritisch denken 

Wat Gezang het meeste waardeert aan de EMFC-opleiding? “Je kritische denkvermogen wordt gestimuleerd. Als ik overloop in het werk, heb ik nog weleens de neiging om oppositie tegen mijn ideeën van me af te schudden. Door elk weekend tussen de slimme studenten te zitten, werd ik me weer bewust van het feit dat het juist goed is als mensen kritische vragen stellen en ben ik dat zelf ook meer gaan doen. Ook al ben ik nu geen controller meer, ik heb toch veel aan de opleiding gehad.”