| De eerste editie van de jaarlijkse IG&H CISO Pulse laat zien dat organisaties moeite hebben om de snelle adoptie van AI bij te benen. De polsslagmeting onder cybersecurityleiders wijst op een groeiend cyberrisico door intern gebruik van AI-tools, terwijl governance, beleid en securitymaatregelen achterblijven. Volgens IG&H verschuift de grootste AI-dreiging daarmee van externe aanvallers naar ongecontroleerde AI-adoptie binnen organisaties zelf.
De IG&H CISO Pulse is een jaarlijks terugkerende peiling naar de belangrijkste prioriteiten, zorgen en investeringen van cybersecurityleiders. Voor de eerste editie sprak IG&H met CISO en cybersecuritymanagers uit onder meer de financiële sector, zorg, retail en IT. Het onderzoek combineert kwalitatieve interviews en kwantitatieve inzichten en werd uitgevoerd tussen februari en maart 2026. |
| Waar AI lange tijd vooral werd gezien als een technologie die cybercriminelen krachtiger maakt, signaleren securityleiders nu vooral risico’s aan de binnenkant van de organisatie. Medewerkers gebruiken generatieve AI steeds vaker voor codegeneratie, analyses en configuraties, terwijl controlemechanismen en richtlijnen nog onvoldoende zijn ingericht.
“Het grootste AI-risico is niet alleen offensieve AI, maar vooral ongecontroleerd gebruik binnen de organisatie,” zegt Giovanni Ferronato, Senior Manager Cybersecurity bij IG&H. “Medewerkers gebruiken deze tools al op grote schaal. Het echte risico ontstaat wanneer AI-adoptie sneller gaat dan governance, waardoor securityteams onvoldoende zicht en controle hebben.” AI-governance stijgt snel op de bestuursagenda Volgens IG&H ontstaat daardoor een fundamentele spanning: bedrijven willen snel profiteren van AI voor productiviteit en innovatie, terwijl de randvoorwaarden voor veilig en compliant gebruik nog onvoldoende volwassen zijn. “Securityteams zitten gevangen tussen twee realiteiten,” zegt Davide Bonalumi, Head of Cybersecurity bij IG&H.“De business beweegt snel met AI om efficiëntievoordelen te realiseren, terwijl de fundamenten voor veilig en compliant gebruik nog worden opgebouwd. In 2026 wordt die spanning een thema op bestuursniveau.” Van ransomware naar verborgen AI-risico’s Voorbeelden zijn AI-gegenereerde code en infrastructuurconfiguraties die leiden tot misconfiguraties of verborgen kwetsbaarheden. Ook groeit de zorg over datalekken via publieke AI-tools, vooral bij organisaties waar dataclassificatie en databeleid nog onvoldoende zijn ingericht.Volgens de onderzoekers verschuift cybersecurity hierdoor van een puur technisch vraagstuk naar een governance- en controlestuk. Organisaties bewegen van ‘doing security’ naar ‘proving security’: het continu kunnen aantonen dat processen, monitoring en compliance op orde zijn. Monitoring en resilience krijgen prioriteit “Ransomware zelf is niet langer het grootste probleem,” aldus Ferronato. “De echte vraag is hoe snel organisaties systemen weer operationeel krijgen.” Volgens IG&H zullen organisaties AI niet langer kunnen blokkeren, maar moeten leren beheersen. Dat vraagt onder meer om duidelijke usage policies, technische guardrails, dataclassificatie en continue monitoring van AI-gebruik. “De volgende fase van cybersecurity draait niet om het stoppen van AI,” concludeert Bonalumi. “Het draait om kunnen aantonen dat AI-gebruik zichtbaar, beheerst en verdedigbaar is.” Foto IG&H
|
