“Je wilt als CISO minder pleisters plakken en meer aan de voorkant zitten: iets nieuws kunnen doen, maar met de risico’s gedekt”, stelt Gregory van den Top, field CISO Northern Europe bij Cloudflare. “AI maakt phishing moeilijker te herkennen en malware past zich continu aan”, stelt hij. Tegelijk doemt een volgende golf op: quantum computing, dat op termijn bestaande versleuteling kan kraken.

AI en legacy-apps vragen om een nieuwe aanpak Die voorbereiding begint bij het accepteren dat beveiliging en gebruiksgemak elkaar niet hoeven te bijten. De CISO verschuift van bewaker naar verbinder die veiligheid én productiviteit organiseert. Waar vroeger de firewall dicht ging, faciliteert security nu de inzet van nieuwe technologie op een verantwoorde manier. Dat vereist heldere AI-richtlijnen: welke data mogen het model in, wie heeft toegang, en wie grijpt in bij afwijkend gedrag? “Beschouw een AI-agent als een extra medewerker; die moet je ook opleiden en begrenzen”, zegt Van den Top.

Daarnaast is er de realiteit van legacy-apps – applicaties die nog steeds in gebruik zijn, maar gebaseerd zijn op verouderde standaarden. Moderniseren is duur en kost tijd; de business kan niet wachten. Volgens Van den Top ligt de sleutel in een platformaanpak waarbij je beveiliging en beleid centraal organiseert en wereldwijd uitrolt. “Je wilt één plek om beleid te zetten, toegang te regelen en verkeer te inspecteren, zodat wat je vandaag verandert, morgen overal geldt.” In de praktijk blijft de legacy-app draaien waar die staat, terwijl je de ‘pijplijn’ ernaartoe beschermt en dataverbindingen sterker versleutelt.

In realtime reageren bij crisisscenario's Snelheid is essentieel bij incidenten zoals een zero-day-aanval – een computeraanval die misbruik maakt van een zwakke plek in software die nog onbekend is bij de ontwikkelaar. “Dan wil je in één klik wereldwijd beleid aanpassen en afdwingen”, zegt Van den Top. “Geen telefoontjes naar zestig locaties, maar één centraal wijzigingspunt.” Zo verschuift incidentresponse van reactief naar proactief.

Cloudflare, dat begon als webversneller en daar security aan toevoegde, zit precies op dat snijvlak, zegt Van den Top. “We bieden een wereldwijd netwerk met meer dan 330 locaties. Daarmee leveren we content-, netwerk- en securitydiensten en een AI-platform dicht bij gebruikers.” Hij geeft als voorbeeld een retailer met een chatbot, deze wil snelle, betrouwbare antwoorden; dan tellen latency (vertraging tussen uitvoeren van een actie en verwerken ervan, bijvoorbeeld door netwerkinfrastructuur), beschikbaarheid en weerbaarheid. Valt een locatie uit, dan schakelt het verkeer door.

Voorbereiden op quantumdreiging Ook toekomstbestendigheid speelt mee. “We hebben post-quantum-cryptografie al standaard in ons netwerk aangezet”, zegt Van den Top. De timing van quantum computing is onzeker, maar aanvallers kunnen eerder experimenteren dan organisaties hun beveiliging vernieuwen. Daarom is het verstandig om nu al dataverbindingen te versterken en versleuteling te moderniseren, ook als interne applicaties nog niet zijn aangepast. “Aanvallers kunnen nu al versleutelde data onderscheppen met het idee die over vijf of tien jaar te ontsleutelen zodra quantumtechnologie beschikbaar komt”, zegt Van den Top. “Daarom is het belangrijk om vandaag al te versleutelen volgens post-quantum-standaarden.”

Beleid, mens en techniek in balans Beleid en cultuur blijven doorslaggevend. Niet elke organisatie wil of moet dezelfde mate van vrijheid toestaan. Sommige kiezen voor ‘bring your own AI’, andere halen eigen tooling in huis en sluiten de rest af. Belangrijk is dat techniek, processen en mensen dezelfde kant op wijzen; anders neemt frictie toe en falen projecten, waarschuwt Van den Top. Begin met concrete use-cases die werk vereenvoudigen, leg vangrails vast (toegang, logging, datagebruik) en borg toezicht via het platform.

“Bestuurders willen weten: wat is de status van onze digitale assets, waar zitten risico’s, en wat doen we eraan?”, zegt Van den Top. “Daarvoor heb je dashboards nodig die inzicht geven in realtime verkeer, prestaties en beveiliging.”

Hoe agendeer je dit bij bestuur en directie? Hij adviseert te focussen op drie vragen. Een: welke bedrijfsdoelen versnellen we met AI en andere innovaties? Twee: welke risico’s accepteren we, en tegen welke kosten mitigeren we de rest? Drie: waar leggen we beheersmaatregelen neer, bij de applicatie, in het netwerk of centraal op een platform dat beleid gelijk afdwingt? Zo wordt security geen rem, maar een versneller.

Wat moet er dan bovenaan de CISO-agenda staan? “Schuif op naar voren. Zorg dat je aan tafel zit bij strategie en verandering. Hoe later je aanhaakt, hoe langer je pleisters blijft plakken.” De opdracht is helder: meebewegen met de business en innovatie mogelijk maken, zonder de kern van security te verliezen.

Wie meer wil horen over de veranderende rol van de CISO, kan op de eerste dag van het event twee sessies bijwonen: Gregory van den Top spreekt tijdens een panel over de toekomst van het vak, en Michiel Appelman presenteert hoe Cloudflare post-quantum-cryptografie al toepast in de praktijk.