“Een traditionele CISO focust op het afvinken van compliance-vinkjes, terwijl de pionier CISO ernaar streeft om écht veilig werken mogelijk te maken.” Evert van Essen, CEO van Brooklyn Partners, deelt zijn visie op de evoluerende rol van de CISO. Volgens Evert is het tijd om af te stappen van een compliance‐gedreven mindset en te kiezen voor een aanpak die inspeelt op gedrags- en cultuurverandering binnen organisaties.
“De succesvolle CISO van morgen, is de pionier van vandaag”
De digitale wereld verandert razendsnel en vraagt om CISO’s die verder kijken dan puur en alleen technische oplossingen. “De succesvolle CISO van morgen, is de pionier van vandaag,” benadrukt Evert. Voor hem is pionieren als CISO niet enkel een kwestie van technische maatregelen nemen, maar juist het ontwikkelen van leiderschap, visie en het inspireren van medewerkers. Hij stelt dat een pionier CISO niet alleen incidenten moet managen, maar moet investeren in een langetermijnstrategie.
“Als je een toekomstgerichte CISO wilt zijn, dan moet je het onderwerp security niet alleen benaderen vanuit risico’s, maar ook met een concrete visie en een plan,” legt Evert uit. Volgens hem is het essentieel dat CISO’s vanaf het begin een eindvisie formuleren: “Je moet gaan bedenken, waar wil ik staan over zoveel jaar? Wat is mijn eindpunt?”
Deze eindvisie fungeert als kompas voor zowel het inzetten van technische als menselijke interventies. Zo maakt hij duidelijk dat de balans tussen reageren op incidenten en het werken aan duurzame oplossingen begint met het stellen van concrete, lange termijn doelen.
“Als je gaat rennen zonder visie, dan staat je security awareness direct met 10-0 achter.”
Zo realiseer je blijvende verandering in menselijk gedrag
Veel security awareness programma’s schieten tekort omdat zij te veel gericht zijn op compliance en deelname in plaats van op daadwerkelijke gedragsverandering. “Medewerkers doen de training vaak alleen maar om aan de verplichting te voldoen, maar er gebeurt niets met hun gedrag,” constateert Evert.
Om blijvende verandering te realiseren, pleit hij voor een aanpak die medewerkers actief laat ervaren wat het inhoudt om bijvoorbeeld gehackt te worden. “Het is belangrijk om mensen een positieve ervaring te geven waarin ze leren experimenteren en omgaan met de materie,” zegt hij. Dit hands-on leren, zo stelt hij, creëert een dieper begrip en helpt medewerkers om in de dagelijkse praktijk veilig gedrag te vertonen.
Als voorbeeld geeft Evert aan: “Bij phishing-aanvallen draait het om de verleidingstechnieken van hackers. Als je mensen traint op de onderliggende principes van beïnvloeding, dan heb je iets wat tijdloos werkt, ondanks nieuwe technische varianten.” Hierdoor is het niet zozeer de kennis die telt, maar het bewustzijn en het vermogen om verdachte situaties te herkennen en er adequaat op te reageren.
Van risicomanager naar strategisch leider
Wat maakt volgens Evert nu eigenlijk een pionier CISO? “De pioneer CISO kiest niet voor de makkelijkste weg maar de beste weg.” Hij pleit voor een shift in mindset: weg van de traditionele ‘risicomanager’ en richting een adviserende rol die zowel technologie als menselijk gedrag omarmt. Zo doe je dat volgens Evert:
- Visie en ambitie: formuleer een duidelijke eindvisie en werk stap voor stap naar dat doel toe. “Spreek je ambitie uit en ga daarna kijken welke risico’s je als eerste aanpakt,” adviseert hij.
- Gedragsverandering boven kennisoverdracht: blijf niet hangen in het passief overdragen van kennis, maar stimuleer actieve beleving. “Het is niet voldoende om medewerkers te informeren; ze moeten ervaren hoe het is als er een aanval plaatsvindt, zodat ze leren handelen,” legt hij uit.
- Stakeholdermanagement: bouw sterke relaties op met andere afdelingen, zoals communicatie. “Je communicatieafdeling is uiteindelijk het kanaal naar al je medewerkers; een goede samenwerking met hen vergroot je impact enorm,” merkt hij op.
Evert ziet ook grote kansen in de rol van de CISO wanneer deze de dialoog met het bestuur aangaat. In plaats van alleen maar te rapporteren over risico’s, moet de CISO met een toekomstgericht plan en concrete voorstellen komen. “Je rol als CISO is niet om je bestuur bang te maken met risico’s, maar om te laten zien dat je met de juiste middelen de risico’s onder controle krijgt,” benadrukt hij.
De urgentie van proactieve security awareness
De urgentie om nú proactief te handelen in plaats van vast te houden aan traditionele benaderingen is van groot belang. Evert wijst op de toenemende snelheid waarmee data tegenwoordig wordt verwerkt en verplaatst. Hij geeft het voorbeeld van AI: “Als je medewerkers blijft trainen via een standaard e-learning, maar ze blijven vervolgens onveilig werken met tools als Co-Pilot of ChatGPT, dan verlies je simpelweg de controle over de data.”
Voor Evert is het daarom cruciaal dat CISO’s hun medewerkers trainen in het herkennen en veilig omgaan met de nieuwste technieken. “Je kunt niet alles technisch oplossen. Er zal altijd een menselijke component zijn die je moet meenemen in je securitystrategie. Pak de belangrijkste risico’s eerst op en werk stap voor stap. Zorg dat je een sterk team om je heen hebt en maak geen beloftes die je niet kunt waarmaken,” adviseert hij. Het draait erom een duidelijk eindpunt voor ogen te hebben en met een doordacht plan van aanpak de continue druk en uitdagingen te weerstaan.”
De boodschap is duidelijk: in een wereld waar digitale dreigingen continu evolueren, is het nu de tijd om te pionieren. Door te investeren in zowel technologie als menselijk gedrag, kunnen CISO’s hun organisaties niet alleen beschermen, maar ook strategisch laten groeien.
