Hoe ziet u de toekomst van de CISO-rol?
Voor bedrijven die AI omarmen, verandert de rol drastisch. De meeste van mijn collega's die al jaren CISO zijn, aarzelen om het te gebruiken, en ik denk dat die aarzeling een echte valkuil is. AI is het beste wapen dat we ooit in de cybersecurity hebben gezien. We werken eraan om code te leveren die vrij is van kwetsbaarheden voordat deze in productie gaat. Dat had ik een paar jaar geleden niet kunnen zeggen. De technologie was er simpelweg nog niet.
Wat dat betekent voor de rol is dat CISO's die AI omarmen, voor een deel beveiligingsleider en voor een deel engineer moeten zijn. Half AI-engineer, half ontwikkelaar. Je moet begrijpen wat de tools produceren en waartoe ze in staat zijn, want je bent in feite de hele dag bezig met het creëren van applicaties. Het leiden van een team van beveiligingsengineers die ook ontwikkelaars zijn, is de toekomst van dit vakgebied, en ik denk dat we daar sneller komen dan de meeste mensen verwachten.
De grenzen tussen CISO en Chief AI Officer vervagen. Een CISO die AI echt omarmt en een AI-officer die beveiliging serieus neemt, zijn in feite vrijwel dezelfde rol.
Je bent in de CISO-functie terechtgekomen met een MBA en een achtergrond in product- en softwareontwikkeling, naast je expertise op het gebied van beveiliging. Dat is geen typisch profiel. Hoe heeft die bredere achtergrond je werk beïnvloed, en denk je dat de functie meer zakelijke kennis vereist dan de meeste organisaties aannemen bij het werven van personeel?
Zakelijke vaardigheden zijn essentieel voor een effectieve CISO. Veel van de meest technisch begaafde securityleiders worstelen juist omdat het omgaan met de raad van bestuur en het managementteam cruciaal is om resultaten te boeken. Er bestaat een bepaalde stijl binnen de securitycultuur die gebaseerd is op angst, onzekerheid en twijfel om beslissingen te nemen. Die aanpak heeft zijn nut, maar brengt je slechts tot een bepaald punt. Het vermogen om te begrijpen wat de business wil en nodig heeft, en daar vervolgens beveiliging op af te stemmen, is een enorm voordeel.
Tegelijkertijd mag je de technische diepgang niet overslaan. Als je die mist, ben je een behoorlijk ineffectieve CISO, omdat je de risico's die je beheert niet echt begrijpt. CISO zijn is de hele dag met vuur spelen. Als je weet wat je doet, begrijp je de gevolgen, weet je wat er mis kan gaan en weet je wat je moet doen als dat gebeurt. Zonder die kennis kan het heel erg misgaan. Ik heb het voor anderen zien aflopen. Je hebt beide nodig om succesvol te zijn.
Het meeste beveiligingsdebat wordt momenteel gedomineerd door AI. Wat ik wil weten is wat vooruitstrevende CISO's vandaag de dag zouden moeten doen om zich voor te bereiden op de risico's die kwantumcomputing in de toekomst mogelijk met zich meebrengt.
Quantum is een lastige kwestie, en de reden is structureel. CISO's zijn van nature gefocust op de actuele problemen. Iemand beschreef de rol ooit aan mij als midden in een bosbrand worden gedropt met de taak om de rand ervan te vinden. Als iets niet urgent en cruciaal is, besteden de meesten van ons er niet veel aandacht aan, tenzij we bewust strategisch te werk gaan.
Kwantumtechnologie valt momenteel in die categorie. We weten dat het uiteindelijk de meeste encryptie zal kraken. De kwantumgeschikte encryptiestandaarden die worden ontwikkeld, zijn theoretisch deugdelijk, maar we weten nog niet zeker hoe ze zich in de praktijk zullen houden. Het updaten van cryptografie, overstappen op wachtwoorden, het versterken van tweefactorauthenticatie: dat alles zal moeten gebeuren, en het is een beheersbare klus. Slimme mensen zijn al bezig met het ontwikkelen van de standaarden, en de rest van ons zal ze overnemen.
Mijn eerlijke inschatting is dat cryptovaluta het eerste doelwit zullen zijn zodra er voldoende kwantumtechnologie beschikbaar is. Het eerste land dat die technologie bemachtigt, zal waarschijnlijk Bitcoin aanvallen, en de commotie die dat veroorzaakt, geeft andere landen de tijd om hun encryptie op orde te krijgen.
Wat bestuursleden zouden moeten doen, is hun CISO's vragen wat ze van plan zijn om hieraan te doen. CISO's moeten de vinger aan de pols houden. Voor zover ik het begrijp, zijn er grofweg acht fundamentele problemen die quantum computing moet oplossen, en ongeveer de helft daarvan is al aangepakt. We hebben nog even de tijd. En er is een nuttig neveneffect van het navigeren door de huidige AI-ontwikkelingen. De snelheid en het aanpassingsvermogen die het van beveiligingsteams afdwingt, is precies de voorbereiding die je nodig hebt. Een CISO die deze periode overleeft, zal goed gepositioneerd zijn wanneer quantum computing zijn intrede doet.
De grens tussen beveiliging en productontwikkeling lijkt te verschuiven. Hoe bepaalt u waar de verantwoordelijkheid van de beveiliging eindigt en die van de ontwikkeling begint?
Het zijn twee kanten van dezelfde medaille, en dat zal niet veranderen. Productontwikkeling richt zich op het goed laten functioneren van producten en het verbeteren van de gebruikerservaring. Beveiliging richt zich op het onderzoeken van de zwakke punten in de constructie en het vinden van kwetsbaarheden waar functionele ontwikkelaars niet naar zoeken. Beide perspectieven zijn noodzakelijk en geen van beide is beter dan de ander. Ze zijn gewoon verschillend.
Aan het begin van een CISO-carrière kan die spanning lastig te hanteren zijn. Beveiligingsteams die engineers komen vertellen dat ze iets verkeerd hebben gedaan, is geen prettig gesprek, en de onderliggende strijd gaat meestal over tijd en middelen. Leren om die relatie anders vorm te geven, om je op te stellen als partner in plaats van als een controleorgaan, is een van de moeilijkste dingen waar een CISO mee te maken krijgt. Het heeft me jaren gekost om dat onder de knie te krijgen.
Wat deze verschuiving, naast ervaring, heeft versneld, is AI. Werk dat voorheen weken aan ontwikkeltijd kostte, kan nu in minuten worden gedaan. Wanneer beveiliging geen knelpunt meer vormt, verandert het gesprek met productteams volledig en beginnen de barrières die deze relatie voorheen definieerden, vanzelf te verdwijnen.
Vertrouwen is de sleutel tot succes. Begrijpen wat productteams motiveert, waar ze zich tegen verzetten, en een partner voor hen worden in plaats van een tegenstander, is hoe je vertrouwen opbouwt en daardoor dingen voor elkaar krijgt. Simpel in theorie, maar niet makkelijk in de praktijk.
Als u in een zaal vol CEO's en bestuursleden zit die op het punt staan een CISO te zoeken, waar zouden zij dan op moeten letten, maar wat misschien over het hoofd gezien wordt?
Creativiteit en het vermogen om snel van koers te veranderen. Dat zijn de kwaliteiten die het vaakst over het hoofd worden gezien.
De risico's waarmee CISO's later dit jaar te maken krijgen, zijn risico's waar we nu nog maar net over nadenken. Een jaar geleden was agentische AI en wat het zou kunnen doen binnen een bedrijfsomgeving wanneer het via bijvoorbeeld een MCP-server met alles verbonden is, geen risico waar de meeste beveiligingsteams zich serieus mee bezighielden. Zes maanden geleden stond het nauwelijks op iemands radar. Het tempo waarin nieuwe bedreigingen opduiken is buitengewoon, en de CISO van de toekomst moet iemand zijn die snel een nieuwe technologie kan leren, testen, uitzoeken hoe deze te beveiligen is en die beveiliging vervolgens implementeren op een manier die de innovatie die het bedrijf nastreeft niet belemmert.
Dat vereist echte creativiteit. Het interessante is dat de traditionele weg naar beveiliging – hacken, penetratietesten, red teaming – precies dat soort denken bevordert. Je bekijkt een probleem en vindt onverwachte oplossingen. Dat instinct is direct overdraagbaar. CISO's met die achtergrond vormen nog steeds een sterke bron van talent.
Maar bestuursleden moeten expliciet op zoek gaan naar die creatieve en adaptieve kwaliteiten, en niet alleen naar technische kwalificaties of jarenlange ervaring. Technische bekwaamheid is belangrijk, maar het is geen vereiste. Wat de succesvolle CISO's onderscheidt van degenen die dat niet doen, is het vermogen om te opereren onder omstandigheden die er niet waren toen ze aan hun functie begonnen.