AI in control

Aan het begin van dit nieuwe decennium, in deze eerste editie van 2030, wil ik mijn enthousiasme delen over de nieuwste beta-release van het ISMS-tool Trusted in Control 3.0. Wie had gedacht dat ik, na al die jaren als CISO, nog zoveel plezier zou beleven aan het dagelijks managen van informatiebeveiligingsuitdagingen? Met deze tool voel ik me eindelijk écht in control. Het biedt niet alleen direct inzicht en overzicht, maar geeft ook weloverwogen advies en de mogelijkheid om tot op het kleinste detail door te dringen. Dat geeft vertrouwen. Ja, je kunt het niet helpen om dan even te glunderen…

Gisteren liep ik nog risicoanalyses door voor twee afdelingen. Het ISMS had alles al voorbereid: gebruikersgedrag en applicatiegebruik waren geanalyseerd, threat intelligence was vergaard, en de business impact werd gemodelleerd tegen de meest recente geopolitieke ontwikkelingen. Het resultaat? Een heldere samenvatting van aanpassingen en aanbevelingen, die ik vervolgens samen met de verantwoordelijke managers doornam. Ze gingen direct akkoord. De behandelplannen? Automatisch ingediend bij portfolio management, inclusief prioritering ten opzichte van andere lopende initiatieven.

Na de koffie nam ik nog even het door het ISMS gegenereerde rapport door over de naleving van de ISO 27001-structuur. Op enkele kleine verbeterpuntjes na – die overigens al automatisch verwerkt zijn in de behandelplannen – zag alles er piekfijn uit. Drie principiële punten in het autorisatiebeleid vroegen om een kleine aanpassing vanwege de nieuwste technische updates in Defender voor Windows 13. Geen stress: deze punten staan ook automatisch op de agenda voor de volgende stuurgroepvergadering.

Onze leveranciers blijven trouw hun data aanleveren, de meeste zelfs on-demand via de nieuwste IIEP*-versie 2.1. Een paar onderleveranciers hebben hun processen nog niet op orde, maar omdat hun bijdrage onder onze risicodrempel valt, hoeven we ons daar niet meer druk om te maken. Het systeem regelt het.

Een ander indrukwekkend aspect van Trusted in Control 3.0 zijn de integraties voor het automatisch scannen en beoordelen van kwetsbaarheden. Dagelijks monitort het systeem onze IT-omgeving op bekende en opkomende dreigingen, inclusief softwarekwetsbaarheden, configuratiefouten en ongepatchte systemen.

Wat deze tool uniek maakt, is de intelligentie achter de kwetsbaarhedenscan. Het gaat niet alleen om detectie, maar ook om context. Zodra een kwetsbaarheid wordt ontdekt, beoordeelt het ISMS direct de potentiële impact op onze specifieke infrastructuur en prioriteert de aanpak op basis van het risico. Wat geautomatiseerd in gang gezet kan worden, wordt meteen afgehandeld.

Na de lunch wierp ik een blik op het ISMS-dashboard. Alle KPI’s staan netjes op groen. Afwijkingen? Die worden al gecorrigeerd voordat iemand ze überhaupt kan waarnemen. Volgende week staat de certificatie-audit op de planning, en alle seinen staan op groen. Het is bijna jammer dat ik niet nú al met een druk op de knop alle auditrelevante gegevens direct naar de auditor mag sturen, dat komt volgende week. Het stage 1-rapport wordt dan automatisch gegenereerd, compleet met een voorstel voor het stage 2-rapport. Op het eind van de dag hebben we het in handen.

De stage 2 audit vereist nog een controlebezoek, omdat de certificeringsinstanties dit formeel voorschrijven. Maar wie weet hoe lang nog? PCI-DSS-audits verlopen inmiddels volledig automatisch. Dat ik dit nog mag meemaken!

Het is een koude maar zonnige winterdag. Alles loopt gesmeerd; ik besluit een frisse neus te halen met een boswandeling. Terwijl ik nadenk over nieuwe security-initiatieven en een paar afleveringen van mijn favoriete podcast luister, realiseer ik me dat dit ISMS precies biedt wat technologie zou moeten doen: rust creëren, ruimte maken voor visie.

En dan… schrik ik wakker. Het is 2025. Een paar zweetdruppels lopen langs mijn voorhoofd. Ik kijk op de klok. Het is bijna tijd om op te staan en weer aan de slag te gaan. Welke worstelingen met het ISMS-tool wachten er vandaag op me?

*IIEP = ISMS Information Exchange Protocol
 

Lex Borger
Security consultant bij Tesorion en oud-hoofdredacteur van iB-Magazine.
Lex is bereikbaar via lex.borger@tesorion.nl

Deze column verscheen in IB1-2025.