Alan Lucas: “De meest kritieke kwetsbaarheid is vaak niet jouw grootste risico”

​“Je kunt perfect voldoen aan een norm en alsnog kwetsbaar zijn.” Die gedachte vormt de kern van hoe Alan Lucas naar security kijkt. Voor hem draait het niet om het afvinken van controles, tools of certificaten, maar om begrijpen hoe een organisatie daadwerkelijk werkt. Pas als je weet waar processen elkaar raken, waar mensen keuzes maken en waar techniek het gedrag beïnvloedt, kun je bepalen wat echt bijdraagt aan cyberweerbaarheid. Context weegt daarbij zwaarder dan lijstjes, en weerbaarheid vraagt om bewuste keuzes.

Het gesprek past binnen het bredere onderzoek naar cyberweerbaarheid in Nederland doordat het laat zien waar organisaties zichzelf vaak te geruststellen. Dashboards geven houvast, maar laten niet altijd zien waar het grootste risico zit. Compliance biedt richting, maar kan ook afleiden van de vraag die ertoe doet: zijn we voorbereid op wat er mis kan gaan, en weten we hoe we daarop reageren?

Van adviseren naar verantwoordelijkheid

De overgang van Fox-IT naar een interne CISO-rol maakte voor Alan meteen duidelijk wat verantwoordelijkheid in security werkelijk betekent. Waar hij eerder organisaties ondersteunde als leverancier, lag de eindverantwoordelijkheid nu bij hemzelf. “Als je niet meer als leverancier aan de zijlijn staat, maar zelf verantwoordelijk bent, dan gebeurt er iets en ligt de bal ook echt bij jou.”

Dat besef kwam sneller dan verwacht. Al in zijn tweede week bij een nieuwe organisatie kreeg hij te horen dat een database op het dark web was aangetroffen. Hoewel het om oude data ging, was de impact groot. “Toen voelde ik meteen: ik ben hier aangenomen om de boel veilig te houden. Nu moet ik zelf de schoenen aantrekken.” Volgens Alan is dit precies waar cyberweerbaarheid zichtbaar wordt; op het moment dat er daadwerkelijk iets gebeurt. Hoe reageert een organisatie, wie neemt besluiten en wat gebeurt er daarna?

Waarom context belangrijker is dan lijstjes

Een belangrijk deel van het gesprek gaat over hoe organisaties omgaan met kwetsbaarheden. Alan ziet vaak dat securityteams overspoeld worden door CVE-lijsten, prioriteiten en alerts. De reflex is om te beginnen bij wat als ‘kritiek’ wordt aangemerkt, zonder te kijken of dat ook het grootste risico vormt.

“Een kritieke kwetsbaarheid betekent niet automatisch dat die ook het meest kritisch is voor jouw organisatie,” stelt hij. Context bepaalt alles. Welke systemen zijn bereikbaar, welke data staat erop en past een aanvalsscenario bij het dreigingsbeeld dat voor jouw sector realistisch is? Zonder context worden kwetsbaarheden gelijkgetrokken, terwijl risico’s juist verschillen. Cyberweerbaarheid vraagt daarom om durven kiezen en ook om durven laten liggen.

Monitoring zonder richting vergroot onzekerheid

Diezelfde context ontbreekt volgens Alan vaak bij monitoring en detectie. Veel organisaties verzamelen enorme hoeveelheden data, in de hoop niets te missen. In de praktijk leidt dat tot onoverzichtelijke signalen en keuzestress.

“Je kunt alles in een SIEM stoppen, maar dan moet je nog steeds kiezen waar je je thermometers op instelt.” Zonder duidelijke use cases blijft monitoring abstract. Teams zien wel afwijkingen, maar weten niet wat relevant is. Voor Alan is dit een belangrijk onderdeel van cyberweerbaarheid. Niet alles willen zien, maar weten wat je wilt zien en waarom.

Compliance biedt houvast, maar geen zekerheid

Alan is uitgesproken over compliance. Normen en certificeringen hebben waarde, maar alleen als hulpmiddel. “Je moet NIS2 of ISO niet doen om compliant te zijn. Je moet ze gebruiken om weerbaarder te worden.”

Hij ziet regelmatig dat het certificaat het doel wordt, terwijl het gesprek over risico’s en herstelvermogen naar de achtergrond verdwijnt. Dat creëert schijnzekerheid, zowel binnen organisaties als in samenwerkingen met leveranciers. Volgens Alan zouden organisaties elkaar minder moeten beoordelen op papiertjes en meer op hun weerbaarheidsstrategie. Waar bereid je je op voor, hoe maak je keuzes en hoe leer je van wat misgaat?

Cyberweerbaarheid vraagt om timing en uitleg

Een ander terugkerend punt is het moment waarop security wordt betrokken. Te vaak schuift security laat aan bij projecten, waardoor het voelt als een vertragende factor. Alan ziet digitale transformaties juist als kansen om cyberweerbaarheid structureel te versterken.

Dat vraagt wel om een andere rol van de CISO. Technische argumenten maken plaats voor uitleg over risico’s, impact en keuzes. Zeker richting bestuur. “Met bits en bytes kom je de boardroom niet binnen.”

Cyberweerbaarheid ontstaat volgens hem pas als security onderdeel wordt van hoe besluiten worden genomen, niet als sluitpost die achteraf corrigeert.

Conclusie: cyberweerbaarheid ontstaat door context en leervermogen

Voor Alan Lucas draait cyberweerbaarheid om het vermogen van een organisatie om realistisch naar zichzelf te kijken. Niet alles dichtzetten, maar begrijpen waar je kwetsbaar bent, waarom dat zo is en hoe je daarop reageert. Dat vraagt om context, om keuzes durven maken en om het besef dat incidenten onvermijdelijk zijn. Organisaties die daarvan leren, worden weerbaarder dan organisaties die vooral sturen op controle.

Het interview met Alan maakt deel uit van een breder onderzoek naar de staat van cyberweerbaarheid in Nederland, uitgevoerd door Security Innovation Stories in samenwerking met KPN. In het rapport delen tientallen securityprofessionals hun visie op innovatie, menselijk gedrag, techniek en de toekomst van digitale weerbaarheid.