HomeZakelijkThe Digital DutchBlogAlan Lucas: “Als security te laat aanschuift, ben je geen enabler maar een rem”
Labels:

Alan Lucas: “Als security te laat aanschuift, ben je geen enabler maar een rem”

21-04-2026
5 min
“Met bits en bytes kom je de boardroom niet binnen.” Bestuurders haken niet af omdat security te complex is, maar omdat het verhaal ontbreekt. Zolang risico’s worden uitgelegd in technische details in plaats van in keuzes, gevolgen en afwegingen, blijft security iets voor specialisten. Cyberweerbaarheid ontstaat volgens hem pas wanneer security wordt verbonden aan wat een organisatie wil bereiken en welke risico’s zij bereid is te dragen.
HomeZakelijkThe Digital DutchBlogAlan Lucas: “Als security te laat aanschuift, ben je geen enabler maar een rem”

In het gesprek maakt Alan zichtbaar waar dat in de praktijk vaak misgaat. Security schuift te laat aan, wordt gepresenteerd als een verzameling maatregelen en verdwijnt achter compliance-eisen en rapportages. Zonder context en zonder helder verhaal ontstaat schijnzekerheid. Organisaties denken dat ze grip hebben, totdat blijkt dat niemand precies weet wat te doen wanneer het misgaat. Juist daar, in het ontbreken van samenhang en uitleg, ontstaan de grootste risico’s.

​Security komt vaak te laat in beeld

Volgens Alan ontstaat veel frictie doordat security pas aanhaakt wanneer projecten al lopen. Dan wordt het ervaren als een vertragende factor, terwijl het juist had kunnen bijdragen aan betere keuzes. “Als je aan het einde pas aanschuift en zegt dat er nog iets aangepast moet worden, dan ben je geen enabler meer maar een rem.”

Voor organisaties betekent dit dat cyberweerbaarheid niet alleen een inhoudelijk vraagstuk is, maar ook een organisatorisch. Wanneer wordt security betrokken bij besluiten? En heeft security een rol in het vormgeven van verandering, of alleen in het controleren ervan?

“Cyberweerbaarheid begint niet bij controle achteraf, maar bij meedenken aan de voorkant.”

Alan ziet digitale transformaties, cloudmigraties en nieuwe werkvormen als momenten waarop security waarde kan toevoegen. Niet door alles dicht te zetten, maar door risico’s expliciet te maken en mee te nemen in keuzes die toch al gemaakt worden.

Onderzoek Cyberweerbaar Nederland 2026

De digitale dreiging groeit. Hoe goed zijn organisaties voorbereid? Dat onderzocht Security Innovation Stories in opdracht van KPN. 250 securityprofessionals delen hun kijk op digitale weerbaarheid.
Download het onderzoek
Download Executive Summary

Context bepaalt waar je risico echt zit

Een ander punt waar Alan organisaties op uitdaagt, is hun omgang met kwetsbaarheden. In veel omgevingen worden CVE’s, alerts en prioriteiten automatisch vertaald naar acties. Volgens hem leidt dat zelden tot betere weerbaarheid.

“De meest kritieke kwetsbaarheid is vaak niet jouw grootste risico,” stelt hij. Zonder context zegt een classificatie weinig. Waar draait het systeem, wie kan erbij en past een aanvalsscenario bij het dreigingsbeeld van jouw sector?

Door kwetsbaarheden los te zien van hun omgeving ontstaat volgens Alan een vals gevoel van controle. Cyberweerbaarheid vraagt juist om het maken van onderscheid en het durven accepteren dat niet alles tegelijk kan worden opgelost.

Monitoring vraagt om keuzes, niet om volledigheid

Ook bij monitoring en detectie ziet Alan hetzelfde patroon. Organisaties verzamelen steeds meer data, maar worstelen met de betekenis ervan. “Je kan alles in een SIEM stoppen, maar dan moet je nog steeds kiezen waar je je thermometers op instelt.”

Zonder duidelijke use cases blijft monitoring abstract. Teams zien afwijkingen, maar weten niet welke signalen echt relevant zijn voor hun risico’s. Het gevolg is ruis, vertraging en onzekerheid op het moment dat snelheid nodig is.

“Zonder duidelijke keuzes krijg je geen grip, maar alleen meer data.”

Compliance als vertrekpunt werkt averechts

Alan is helder over de rol van compliance. Normen zoals ISO, NIS2 en DORA bieden structuur, maar verliezen hun waarde wanneer ze het doel worden. “Je moet een norm niet volgen om compliant te zijn, maar om weerbaar te worden.”

In de praktijk ziet hij dat certificeringen vaak worden gebruikt als afvinklijst. Dat stelt bestuurders gerust, maar zegt weinig over hoe een organisatie reageert op incidenten of ketenverstoringen.

“Als compliance het eindpunt is, weet je nog steeds niet of je organisatie kan omgaan met wat er misgaat.”

Volgens Alan zouden organisaties elkaar minder moeten bevragen op certificaten en meer op hun aanpak. Welke risico’s zie je, hoe maak je keuzes en hoe zorg je dat je leert van incidenten?

Cyberweerbaarheid vraagt om goede communicatie

Een terugkerend thema in het gesprek is communicatie richting bestuur. Alan benadrukt dat technische uitleg zelden helpt bij besluitvorming. “Met bits en bytes kom je de boardroom niet binnen.”

Besturen willen begrijpen wat de impact is van risico’s, welke keuzes er zijn en wat dat betekent voor continuïteit en vertrouwen. Cyberweerbaarheid ontstaat pas wanneer die gesprekken structureel worden gevoerd en security onderdeel wordt van strategische afwegingen.

Daar ligt volgens Alan ook een verantwoordelijkheid voor CISO’s en securityleads. Niet alleen inhoudelijk sterk zijn, maar ook kunnen uitleggen wat er op het spel staat en waarom bepaalde keuzes logisch zijn.

Conclusie: cyberweerbaarheid vraagt om tijdige betrokkenheid en scherpe keuzes

Voor Alan Lucas draait cyberweerbaarheid om het vermogen van organisaties om security te integreren in hoe zij veranderen en besluiten nemen. Niet door alles te controleren, maar door context toe te voegen, keuzes expliciet te maken en security op tijd aan tafel te brengen. Organisaties die dat doen, zijn beter voorbereid op verstoringen dan organisaties die vooral sturen op compliance en achteraf bijsturen.

“Cyberweerbaarheid ontstaat niet door alles dicht te zetten, maar door te weten waar je bewust ruimte laat.”

Benieuwd naar het volledige interview met Alan Lucas? Luister hier aflevering 5 van de NLSecure[ID]-podcast.

Artikel delen
Tags
Labels: