Interview | Mandy Andress (ciso Elastic) over fun­da­men­te­le ver­schui­ving in cy­ber­se­cu­ri­ty

Jarenlang draaide cybersecurity om het implementeren van controles, het naleven van regelgeving en het afvinken van compliance-eisen. Maar volgens Mandy Andress, chief information security officer (ciso) van Elastic, is dat tijdperk niet langer toereikend en staan we op een kantelpunt in cybersecurity. Volgens haar maken ai en autonome ai-agents traditionele beveiligingsmodellen steeds minder effectief en moeten organisaties fundamenteel anders naar risico gaan kijken.

Mandy Andress is een van de keynotesprekers op Cybersec Netherlands 2026 (9 en 10 september, Jaarbeurs, Utrecht). Tijdens haar keynote Redefining Risk in the Age of AI: Cybersecurity at a Tipping Point op dag twee zal zij uiteenzetten waarom artificiële intelligentie (ai) organisaties dwingt hun kijk op risico volledig te herzien. ‘Ai is niet langer een opkomende technologie; het is een kracht die vandaag al fundamenteel invloed heeft op het cyberdreigingslandschap. De vraag is niet meer of cybersecurity moet veranderen, maar hoe ingrijpend en hoe snel die verandering moet plaatsvinden.’

Die boodschap komt op een moment waarop organisaties wereldwijd worstelen met de impact van ai. Niet alleen omdat medewerkers steeds vaker ai-tools gebruiken, maar ook omdat cybercriminelen dezelfde technologie inzetten om aanvallen sneller, slimmer en op grotere schaal uit te voeren.

Fundamentele verschuiving

Volgens Andress is de huidige ontwikkeling niet vergelijkbaar met eerdere technologische veranderingen binnen cybersecurity. ‘We bevinden ons op een echt omslagpunt. Dit is geen geleidelijke evolutie. Organisaties moeten stoppen met het benaderen van security als een compliance-oefening en het gaan behandelen als een strategische, risicogedreven discipline.’

Dat sluit aan bij een bredere ontwikkeling in de markt. De afgelopen jaren lag de focus sterk op regelgeving en aantoonbare beheersmaatregelen. Met de komst van onder meer Nis2, Dora en strengere eisen rondom digitale weerbaarheid investeren organisaties volop in governance, rapportages en compliance-trajecten.

Toch groeit binnen de sector het besef dat voldoen aan wet- en regelgeving niet automatisch betekent dat een organisatie voldoende beschermd is. Compliance kijkt immers vaak naar bekende risico’s, terwijl ai juist nieuwe en voortdurend veranderende dreigingen introduceert. Volgens Andress moeten bestuurders, ciso’s en risicomanagers daarom een andere vraag centraal stellen: hoeveel risico is een organisatie werkelijk bereid te accepteren?

Cybercriminelen profiteren als eerste

De snelheid waarmee ai zich ontwikkelt, maakt die discussie urgenter dan ooit. Cybercriminelen experimenteren inmiddels volop met generatieve ai voor phishing, social engineering, malwareontwikkeling en geautomatiseerde verkenning van kwetsbaarheden.

Deze versturen we 3-4x per jaar.