De Digital Workforce vraagt om een nieuwe CISO

In dit artikel:

Martin Kraemer, CISO Advisor bij KnowBe4, houdt zijn dag bezig met wereldwijde cybersecurityontwikkelingen en adviseert CIO’s en CISO’s van grote organisaties over risicostrategie en governance. Hij signaleert dat geopolitieke verschuivingen en EU-beleid de markt sterk herijken: Europa stuurt aan op technologische soevereiniteit, met Frankrijk als voorbeeld dat zich losmaakt van Amerikaanse cloudleveranciers en een eigen overheidscloud opbouwt. Dat heeft verstrekkende gevolgen voor bedrijven die in internationale ketens zijn ingebed en afhankelijk zijn van bepaalde cloudservices en datacenters.

Kraemer beschrijft een fundamentele verschuiving binnen KnowBe4 van Human Risk Management naar wat hij de Digital Workforce noemt. De werkvloer wordt steeds meer een hybride ecosysteem van mensen én honderden AI-agents per medewerker. Platforms die uitsluitend door bots worden bevolkt of waar bots fysieke mensen inhuren illustreren hoe het traditionele organigram verandert. Veel AI-agents nemen nu taken over die voorheen door hoogopgeleide kantoormedewerkers werden uitgevoerd: verzamelen, analyseren, beslissen en acties uitvoeren.

Die nieuwe werkelijkheid vereist een gefaseerde aanpak. Eerst moet een basis van compliance en awareness gelegd worden, met praktische hulpmiddelen zoals wachtwoordmanagers en laagdrempelige meldknoppen. Pas daarna kunnen organisaties toewerken naar gedragsverandering en uiteindelijk een holistische security-cultuur waarin techniek en menselijk gedrag samengaan met technische guardrails voor AI.

Kraemer waarschuwt voor nieuwe, onzichtbare dreigingen: prompt-injectie is de AI-equivalent van social engineering. Een voorbeeld is een EchoLeak-aanval op Microsoft Copilot waarbij een verborgen instructie in een e-mail door een AI-agent wordt opgepikt, waarna gevoelige gegevens via integraties (bijv. Slack) stilletjes naar een aanvaller worden gestuurd — zonder dat een medewerker bewust iets fout deed. Zulke aanvallen tonen aan dat traditionele phishingtrainingen onvoldoende zijn als AI-agents e-mails en bestanden autonoom verwerken.

Identiteits- en toegangsbeheer moet daarom ook voor algoritmes herontworpen worden. Kraemer pleit voor een eigen identiteitsklasse voor autonome AI-agents met strikt afgebakende taken en permissies, omdat bots anders te veel vrijheid krijgen en onbedoeld schadelijke handelingen uitvoeren. Omdat datastromen sneller gaan dan mensen kunnen bijhouden, is het inzetten van AI om AI te monitoren onontkoombaar; die monitoring moet continu getest worden met vaste testcases en input-filtering moet prompts onderscheppen voordat ze agents bereiken.

Over vertrouwen betoogt Kraemer dat Zero Trust intern onmisbaar blijft — alles controleren en verifiëren — terwijl de CISO naar buiten toe moet kunnen aantonen dat risico’s beheersbaar zijn, zodat de organisatie als betrouwbare partner kan blijven optreden. Hij waarschuwt ook tegen het geloof dat AI massaal mensen zal vervangen; veel ontslagen worden volgens hem om economische redenen gerechtvaardigd met AI als excuus. Operationele kosten, energieverbruik en de echte prijs van AI zullen de businesscase van grootschalige vervanging relativeren.

Praktische adviezen voor CISO’s: creëer zichtbaarheid op zowel menselijk gedrag als actieve en shadow-AI; bied veilige alternatieven voor onveilige handelingen; evalueer elke nieuwe AI-agent op drie punten: gevoeligheid van data, mate van autonomie en bevoegdheden. Begin projecten met zeer beperkte autonomie en schaal pas op wanneer monitoring robuust is.

De kern van Kraemers boodschap: de Digital Workforce is geen puur IT-probleem maar een operationeel bedrijfsrisico. Wie dit met KPI’s en dashboards meetbaar maakt, blijft compliant, toont ROI en verandert cybersecurity van kostenpost naar strategisch fundament. De CISO van de toekomst moet zowel technische beheersing van algoritmes als het behoud van menselijke security-cultuur waarborgen.