De jaarlijkse Isaca Europe conferentie staat dit jaar volledig in het teken van AI, digitale governance en het vinden van een balans tussen innovatie en controle.
Waar AI bij veel bedrijven direct geïmplementeerd en gebruikt wordt, benadrukt ISACA de nood aan verantwoordelijkheid. “AI duikt tegenwoordig in elk gesprek op,” zegt CEO Eric Prush. “Het is de eerste vorm van technologie die elke laag van een organisatie raakt en dat is best griezelig.”
Van IT-audit tot digital resilience
ISACA, 55 jaar actief en goed voor 190.000 leden wereldwijd, bouwde zijn reputatie op rond vier pijlers: IT-audit, cybersecurity, risk en governance. Volgens Prush is de missie nooit commercieel geweest: “Wij worden niet gedreven door winst, maar door het verbeteren van de competenties van professionals, en zo indirect ook van de ondernemingen waarvoor ze werken.”
De organisatie speelt vandaag in op de extreme groei van AI-toepassingen met twee nieuwe certificeringen: AI Audit (AAIA) en AI Security Management (AAISM). Die moeten auditors en securitymanagers leren om algoritmes te beoordelen op betrouwbaarheid en risico. “We waren als eerste op de markt,” aldus Prush. “Onze examens zijn opgesteld volgens de American National Standars (ANSI). Geloof mij, ze zijn moeilijk. Veel deelnemers beseffen pas tijdens het studeren hoeveel ze nog niet weten.”
Europese complexiteit
ISACA’s Chief Global Strategy Officer Chris Dimiatriadis schetst een ander probleem: Europa en haar regelgevingen. “Het is een grote en diverse wereld op vlak van wetgeving,” stelt hij. Via meer dan 230 lokale chapters probeert ISACA haar globale visie te vertalen naar nationale realiteit.
De organisatie is bezig aan een update van haar bekende frameworks, zoals COBIT en CMMI, om ze af te stemmen op nieuwe wetten zoals DORA, Cyber Resilience Act en AI Act. “We koppelen onze opleidingen en certificaten rechtstreeks aan de noden van die regelgevingen,” aldus Dimiatriadis. “Maar eerlijk: de regelgeving verandert sneller dan onze updatecyclus van twee à drie jaar.”
Skill gap groeit aanzienlijk
Dimiatriadis waarschuwt voor een nakend tekort aan gespecialiseerd talent. “Bijna zestig procent van de Europese organisaties zegt dat hun cybersecurity teams onderbemand zijn, en de helft kampt met retentieproblemen.” Dat tekort vertraagt de adoptie van veiligheidsframeworks. “Iedereen heeft het over AI, maar bijna geen enkel van die bedrijven heeft een AI-beleid opgesteld,” zegt hij. “Dat is een groot risico voor veilige implementatie.”
Neuzen in dezelfde richting
De Belgische voorzitter Egide Nzabonimana ziet dezelfde pijnpunten. “We hebben een tekort aan talenten en resources,” zei hij. “Dat maakt IT-governance moeilijker: organisaties willen waarde creëren, maar missen de mensen om dat te doen.” Zijn chapter probeert dat te verhelpen via opleidingen en partnerships met onder meer de Cyber Security Coalition en het Data Protection Institute.
Toch merkt hij dat veel bedrijven nog in de ontdekkingsfase zitten. “Ze weten nu dat AI bestaat … Dat is al iets,” lacht Nzabonimana. “Er moet veel meer gebeuren op het vlak van opleiding en methodologie. Sommige bedrijven verbieden AI gewoon op de werkvloer uit angst, terwijl anderen het beter aanpakken door hun mensen te trainen en te begeleiden.”
lees ook
België pionier in NIS2-regelgeving: Hoe komt dat?
Samenwerking is daarin cruciaal. “De partijen versterken elkaar te weinig,” legt hij uit. “België telt al tal van cybersecurity organisaties, van het CCB tot Vlaio en het nieuwe Cyber Security Centrum Vlaanderen, maar ze werken vaak nog te geïsoleerd.” ISACA probeert bruggen te op te zetten. Daarin wordt COBIT opnieuw genoemd als framework. “COBIT is ontwikkeld door globale experts,” zegt Nzabonimana. “Bedrijven hoeven het warm water niet opnieuw uit te vinden, maar gewoon al weten dat die tools bestaan.”
Kenniskloof verkleinen
In Nederland klinkt een vergelijkbare boodschap, maar met meer nuchterheid. “Wij zijn een kennisvereniging voor IT-audit, risk en security-professionals,” zei Dwayne Valkenburg, voorzitter van ISACA Nederland. Zijn team organiseert wekelijks netwerkevents voor honderden deelnemers, maar ook hij merkt dat compliance achterblijft.
“Wanneer er iets nieuws komt, zoals een regelgeving, reageren organisaties eerst afwachtend,” zegt hij. “CIO’s staan vaak niet te springen om eerst te voldoen aan regelgeving, ze hebben andere prioriteiten.” Vooral kmo’s vinden frameworks als COBIT te complex. “Voor grote organisaties blijft het een stevige fundering,” geeft Valkenburg toe, “maar voor kleine bedrijven is het vaak te veel.”
ISACA Nederland probeert dat gevoel weg te werken via samenwerkingen met universiteiten en door goedkopere opleidingen aan te bieden. “We willen de kenniskloof verkleinen,” verduidelijkt hij. “Daarom geven we trainingen met kortingen en integreren we ons materiaal in academische cursussen.”
AI: productiviteit of chaos?
Prush analyseert de snelle AI-transitie. “Iedereen heeft het over AI. Elke kans, groot of klein, wordt gegrepen voor miljoenen dollars. Dat is chaos.” Zijn grootste bezorgdheid is echter het verlies van intellectueel eigendom. “Als iemand onze content steelt en in een groot taalmodel stopt, is die voorgoed verloren,” zei hij. “We hebben miljoenen geïnvesteerd in kennis. Hoe beschermen we dat in een wereld waar alles één druk op de knop verwijderd is van uit je handen te glippen?”
We moeten elkaar vaker spreken, want morgen is alles alweer anders
Eric Prusch, CEO bij ISACA
ISACA wil invloed uitoefenen op regelgeving, maar ziet dat overheden moeite hebben om bij te blijven. “Veel landen staan nog aan het begin. We proberen hun te helpen om te weten welke risico’s er spelen en welke stappen ze nu al moeten nemen.” De organisatie werkt samen met de Britse Cyber Security Council en de Europese Commissie, maar ook dat blijft een proces van lange adem.