Mike Jansen: “Het bestuur moet net zoveel weten van IT als van financiën”
“Je kunt straks als bestuurder niet meer zeggen: ik wist het niet,” zegt Mike Jansen, CISO bij PurpleCloud CyberSecurity en Business Continuity Manager bij Booking.com. “De wetgeving verplicht je om te weten wat je systemen doen, hoe weerbaar je bent en of je dat kunt bewijzen.”
Voor Mike begint innovatie in security bij kennis. Niet bij nieuwe technologie, maar bij begrip aan de top. In zijn woorden: “De meeste bedrijven doen IT erbij, in plaats van het te begrijpen. En als je iets erbij doet, doe je het meestal half.”
Over Mike Jansen
Huidige rol: CISO bij PurpleCloud CyberSecurity en Business Continuity Manager bij Booking.com. Daarnaast actief als CEO van SNC en CTO van Ransomwared AI, waar hij meewerkt aan de ontwikkeling van AI-gedreven endpointbeveiliging die wereldwijd op meer dan een miljoen systemen draait.
Achtergrond: Mike begon zijn loopbaan ruim dertig jaar geleden in de IT en groeide uit tot specialist op het snijvlak van techniek, beleid en crisismanagement. Hij werkte mee aan meerdere grote incidentrespons- en hersteltrajecten en schreef mee aan het boek 13 Ransomwared, waarin hij vanuit praktijkervaring laat zien hoe aanvallers te werk gaan. Zijn missie: organisaties helpen om security niet als project, maar als reflex te zien.
Mike noemt zichzelf vaak een tolk tussen twee werelden: die van de techniek en die van het bestuur. “Het management hoeft de techniek niet te snappen, maar moet wel begrijpen wat het betekent. Welke risico’s er spelen, wat het kost en wat het oplevert.”
Die dialoog ontbreekt vaak. “Er worden strategieën uitgestippeld zonder dat iemand vraagt of het technisch kan. En engineers bouwen oplossingen zonder te weten wat de bedrijfsdoelen zijn.” Volgens Mike ligt de kracht juist in de verbinding. “Zodra die twee werelden elkaar gaan begrijpen, kun je echt stappen zetten.”
Hij ziet hoop in nieuwe wetgeving. “NIS2 en DORA dwingen besturen om verantwoordelijkheid te nemen. En terecht. Wie ‘nee’ zegt tegen een risico, moet weten waar hij over praat.”
Compliance is geen einddoel
Veel bedrijven halen opgelucht adem zodra hun audit is afgerond, maar volgens Mike begint het werk dan pas. “Compliance zonder verandering is papier. De documentatie zegt niets als niemand weet wat erin staat.”
Hij werkt aan tooling waarmee 70 tot 80 procent van die papieren snel geautomatiseerd wordt opgezet, zodat consultants zich kunnen richten op de verandering zelf. “Het gaat niet om het document, maar om het gesprek. Begrijpen waarom iets moet, dat maakt het verschil.”
Die praktische kijk komt voort uit ervaring. “Ik heb klanten gezien die technisch sterk waren, maar geen rapportage hadden. En bedrijven met fantastische rapportages die technisch onder de maat waren. De balans vinden is volwassenheid.”
AI als nieuw speelveld
AI is voor Mike zowel zegen als bedreiging. “We gebruiken AI om aanvallen te detecteren en te blokkeren, maar hackers gebruiken het ook. Ze analyseren en veranderen hun aanval binnen seconden.”
Zijn eigen team gebruikt AI voor gedragsanalyse. “We kijken niet alleen naar patronen, maar naar wat normaal is voor een gebruiker. Zodra iemand ineens rare dingen doet, grijpt het systeem in. Dat werkt zelfs tegen zero-days.”
Toch blijft ook hier menselijke sturing nodig. “Je kunt veel automatiseren, maar iemand moet begrijpen wat de AI ziet. Anders vervang je onwetendheid door blind vertrouwen.”
Conclusie: weerbaarheid begint bij begrijpen
Voor Mike is cyberweerbaarheid niet iets wat je kunt uitbesteden. Het begint bij mensen die weten wat er speelt, die verbanden zien en durven doorvragen. “Security is geen apart domein meer. Het is een gezamenlijke verantwoordelijkheid. Bestuurders, engineers, iedereen – allemaal moeten ze genoeg begrijpen om de juiste keuzes te maken.”
“Wie snapt wat er onder de motorkap gebeurt,” zegt Mike, “kan eindelijk sturen in plaats van hopen dat het goed gaat.”
Het interview met Mike Jansen maakt deel uit van een breder onderzoek naar de staat van cyberweerbaarheid in Nederland, uitgevoerd door Security Innovation Stories in samenwerking met KPN. In het rapport delen tientallen security professionals hun visie op innovatie, menselijk gedrag, techniek en de toekomst van digitale weerbaarheid.
