In gesprek met een CISO: waarom deze rol steeds belangrijker wordt
Een gesprek met Rémon de Goeij – CISO bij BrabantZorg
In een tijd waarin digitalisering versnelt en cyberdreigingen toenemen, speelt de Chief Information Security Officer (CISO) een doorslaggevende rol. Rémon de Goeij vervult deze functie met een breed pakket aan verantwoordelijkheden, variërend van strategie en governance tot operationele uitvoering.
In dit artikel deelt Rémon zijn visie op het vak, de uitdagingen van de moderne CISO en de ontwikkelingen die hij ziet binnen cybersecurity.
CISO: de rol die strategie, tactiek en operatie verbindt
De functie van een CISO wordt vaak geassocieerd met beleid, governance en rapportages. Maar in de praktijk is het veel meer dan dat. Een CISO werkt op drie niveaus tegelijk: strategisch, tactisch en operationeel. Deze combinatie maakt de rol uniek en uitdagend.
Rémon verwoordt het treffend:
“Mijn functie is met name strategisch en hoger tactisch, maar omdat ik vaak de enige functionaris ben die zich volledig met informatiebeveiliging bezighoudt, moet ik mensen op de werkvloer ook aan de hand meenemen. Dat maakt het werk heel divers.”
Dat betekent dat een CISO niet alleen richting geeft, maar ook uitvoert, ondersteunt en opleidt. Denk aan risicoanalyses, impactanalyses, beleidsontwikkeling en bewustwordingsprogramma’s. Zeker wanneer de organisatie nog groeiende is in volwassenheid, vraagt dat om veel persoonlijke begeleiding.
De grootste uitdaging
Hoewel cyberveiligheid tegenwoordig prominent op de agenda staat, is bestuurlijk draagvlak nog steeds een van de grootste uitdagingen binnen het vakgebied. Een CISO kan pas echt effectief zijn wanneer bestuurders de urgentie voelen en structureel investeren in volwassen informatiebeveiliging.
“Hoe laat je bestuurders inzien dat juist jouw onderwerp prioriteit moet krijgen,” vertelt Rémon. “Iedereen vindt dat zijn onderwerp prioriteit moet krijgen, en dan moet jij duidelijk maken waarom juist informatiebeveiliging nú aandacht nodig heeft.”
Het probleem is herkenbaar in veel organisaties: de CISO wordt aangesteld, maar het fundament (capaciteit, mandaat en duidelijke governance) ontbreekt nog. Daardoor blijft het moeilijk om structurele verbeteringen door te voeren.
Operationele druk
Naast strategisch werk wordt een CISO vaak geconfronteerd met acute vraagstukken. Datalekken, beveiligingsincidenten of hacks vragen onmiddellijke aandacht en hebben impact op de organisatie én betrokkenen.
“Incidenten kunnen klein zijn, maar toch enorm tijdrovend,” legt Rémon uit. “Van onderzoek tot communicatie en afstemming met externe partijen, het hoort allemaal bij de rol.”
Ook onverwachte incidenten, zoals manipulatie van online content of gecompromitteerde accounts, behoren tot de realiteit. De CISO moet snel schakelen, zorgvuldig handelen en vaak meerdere afdelingen en ketenpartners betrekken.
NIS2 en ketendenken
Met de komst van de NIS2-wetgeving verandert de verantwoordelijkheid van organisaties én bestuurders. De norm verschuift van intern gericht naar ketengericht werken. Dat vraagt om scherp leveranciersmanagement en een duidelijke rol voor de CISO.
“De NIS2 betekent dat je niet meer alleen naar jezelf kunt kijken,” zegt Rémon. “Ook leveranciers vallen onder strengere eisen. Je gaat elkaar scherp houden. De keten wordt onderdeel van je beveiligingsscope.”
Daarnaast legt NIS2 veel meer verantwoordelijkheid bij bestuurders. Organisaties moeten kunnen aantonen dat zij adequate maatregelen nemen. En dat vereist volwassen governance en continue aandacht.
Meer weten over de NIS2? In samenwerking met Rémon hebben wij een checklist samengesteld. Deze geeft je:
- Direct inzicht in waar je organisatie staat ten opzichte van de NIS2-vereisten.
- Een compleet overzicht van alle maatregelen die wettelijk verplicht zijn, inclusief de 10 officiële beveiligingsdomeinen.
- Concreet houvast om verbeterpunten te prioriteren en compliant te worden.
Bewustwording als fundament voor veiligheid
Een van de meest onderschatte elementen van informatiebeveiliging is bewustwording. Medewerkers, managers én bestuurders moeten begrijpen welke risico’s bestaan en hoe hun gedrag impact heeft op de organisatie.
Rémon ziet bewustwording als een doorlopend proces: “Goede bewustwording stopt niet bij kennis. Het gaat om gedragsverandering.”
E-learning, praktijksessies en gerichte training helpen daarbij, maar het vraagt vooral om continue aandacht. Een CISO moet zichtbaar zijn in de organisatie, aansluiten bij teams en begrijpen hoe processen in de praktijk lopen.
De opkomst van AI
Artificial intelligence biedt kansen, maar brengt ook nieuwe risico’s met zich mee. Daarom speelt de CISO een belangrijke rol in het opstellen van beleid en richtlijnen voor veilig gebruik van AI binnen organisaties.
“Een belangrijk uitgangspunt is dat de mens altijd eindverantwoordelijk blijft,” benadrukt Rémon. “AI mag ondersteunen, maar nooit zelfstandig beslissingen nemen.”
Praktische en duidelijke kaders helpen medewerkers begrijpen wat wel en niet kan. Het is een essentieel onderdeel van digitaal verantwoord werken.
Waarom organisaties moeten investeren in een informatiebeveiligingsorganisatie
Veel CISO’s werken alleen of met beperkte ondersteuning. Dat maakt het lastig om te focussen, structureel te bouwen en alle verantwoordelijkheden effectief te dragen.
“Je zou 60 tot 70 uur kunnen werken om het allemaal bij te houden,” vertelt Rémon. “De rol vraagt om meer capaciteit en duidelijke rolverdeling.”
Een volwassen informatiebeveiligingsorganisatie bestaat minimaal uit rollen zoals:
- CISO
- Functionaris Gegevensbescherming
- Privacy Officer
- (Information) Security Officer
Zonder deze structuur blijft de organisatie kwetsbaar en gaat kostbare kennis verloren.
CISO’s blijven leren omdat het vak nooit stilstaat
Cybersecurity ontwikkelt zich met enorme snelheid. Daarom investeren CISO’s voortdurend in hun eigen expertise via kennisgroepen, webinars en sectororganisaties.
“De kern van informatiebeveiliging is overal hetzelfde, maar de context verschilt,” zegt Rémon. “Door kennis te delen blijf je scherp en relevant.”
Samenvatting: de evolutie van de CISO vraagt leiderschap én visie
Het gesprek met Rémon laat zien hoe veelzijdig, intensief en cruciaal de rol van een CISO is in een wereld waarin digitale afhankelijkheid blijft groeien. De verantwoordelijkheid reikt verder dan techniek of beleid. Het gaat om leiderschap, samenwerking en continue ontwikkeling.
Waar organisaties vroeger vooral reageerden op incidenten, vraagt de huidige tijd om een proactieve aanpak: duidelijke kaders, voortdurende bewustwording, ketendenken en strategische betrokkenheid van bestuurders.
Rémon vervult die moderne rol: een CISO die richting geeft, verbindt en vooruitkijkt. Zijn visie onderstreept dat cybersecurity geen doel op zich is, maar een noodzakelijke randvoorwaarde voor stabiliteit, kwaliteit en vertrouwen.
De toekomst van cybersecurity vraagt om professionals die die breedte aankunnen en organisaties die hen de ruimte geven om te bouwen. Rémon laat zien hoe waardevol die combinatie kan zijn.
Op zoek naar CISO-specialisten?
Wil je jouw IT‑security optimaliseren met de juiste professionals? Neem dan contact met ons op. We kijken graag met je naar de mogelijkheden.
