Mischa van Geelen: “De CISO heeft vaak de titel, maar niet het mandaat”
“Het is een beetje alsof je iemand vraagt om voor jou een huis te bouwen, maar alle materialen, mensen en vergunningen krijg je er niet bij.” Met dat beeld schetst Mischa, oprichter van Anovum, de dagelijkse realiteit van veel CISO’s. Ze dragen de verantwoordelijkheid voor digitale veiligheid, maar missen de middelen en het mandaat om hun werk goed te doen.
In dit gesprek legt Mischa uit waarom governance belangrijker is dan ooit, hoe wetgeving als NIS2 en DORA organisaties dwingt tot volwassenheid, en waarom security pas echt effectief wordt als bestuurders het niet langer als kostenpost zien, maar als strategische investering.
Over Mischa
Huidige rol: Oprichter en security consultant bij Anovum
Achtergrond: Mischa werkte aan incidentonderzoeken bij onder meer de gemeenten Hof van Twente en Lochem, en was betrokken bij het veiligheidsonderzoek rond de CoronaMelder. Met Anovum helpt hij organisaties bij incident response, pentesting, forensics en security governance.
Governance als het echte fundament onder cybersecurity
Volgens Mischa ligt de kern van volwassen security niet in technologie, maar in governance: de manier waarop processen, verantwoordelijkheden en bevoegdheden zijn ingericht. “We hebben tooling genoeg, het probleem is governance,” zegt hij. Veel organisaties investeren in detectieplatformen en dashboards, maar vergeten te bepalen wie mag beslissen wanneer er ingegrepen moet worden. “Zonder governance is techniek decoratie,” zegt hij. “Het lijkt professioneel, maar als niemand weet wie waarvoor verantwoordelijk is, blijft het een papieren werkelijkheid.”
Mischa benadrukt dat governance niet betekent dat alles bureaucratisch moet worden. “Het gaat om duidelijkheid. Als taken en bevoegdheden goed zijn vastgelegd, voorkom je onduidelijkheid, stress en fouten. En dat geldt niet alleen voor security, maar voor de hele organisatie.”
“Zonder governance is techniek decoratie. Het lijkt professioneel, maar het voegt weinig toe als niemand weet wie waarvoor verantwoordelijk is.”
Waarom bestuurders niet kunnen blijven afwachten
Mischa ziet een hardnekkig patroon: bestuurders verwachten dat de CISO de digitale veiligheid regelt, maar geven hem of haar daar geen formele bevoegdheden voor. “Veel CISO’s staan niet in de Kamer van Koophandel, dus juridisch zijn ze geen bestuurders. Maar als het misgaat, krijgen zij de schuld.”
Hij wijst erop dat het probleem niet alleen cultureel is, maar ook juridisch. “De Arbowet [artikel 3, lid 3, red.] zegt letterlijk dat een werkgever verantwoordelijk is voor een duidelijke verdeling van taken, bevoegdheden en verantwoordelijkheden. Dat geldt ook voor digitale veiligheid. Als bestuurders dat niet regelen, overtreden ze feitelijk de wet.”
Volgens Mischa is het tijd dat organisaties dat besef serieus nemen. Europese wetgeving helpt daarbij. “NIS2 en DORA geven CISO’s eindelijk een steviger positie. Ze dwingen bestuurders om verantwoordelijkheid te nemen in plaats van risico’s af te schuiven. Een bestuurder kan straks niet meer zeggen: ‘Dat is iets van IT.’ Het is bestuur.”
Van kostenpost naar concurrentievoordeel
Mischa ziet dat security nog te vaak wordt behandeld als een verplicht nummer of kostenpost. “Als je het goed inricht, hoeft het niet duur te zijn. Sterker nog, het kan juist waarde toevoegen. Klanten en partners vertrouwen organisaties die hun veiligheid zichtbaar serieus nemen.”
Hij pleit ervoor dat bestuurders security niet langer zien als een verlengstuk van IT, maar als een integraal onderdeel van de bedrijfsstrategie. “Goede security maakt een organisatie wendbaarder, beter voorbereid op incidenten en aantrekkelijker als partner. Het is een teken van volwassenheid, niet van angst.”
Volgens Mischa kunnen bestuurders hier zelf het verschil maken. “Zodra de CISO structureel aan tafel zit bij strategische beslissingen, verandert de dynamiek. Dan wordt security geen rem, maar een voorwaarde voor groei.”
“Security is geen operationele last, maar een strategisch voordeel als je het goed organiseert.”
Van compliance naar vertrouwen: de industrie moet transparanter worden
Hoewel wetgeving een belangrijke drijfveer is, waarschuwt Mischa dat compliance alleen niet genoeg is. “Je kunt alle vinkjes zetten en nog steeds niet veilig zijn. Een pentest-rapport bewijst alleen dat er niets gevonden is, niet dat het goed zit.”
Daarom werkte Mischa mee aan de MIAUW-methodologie: de Methodologie voor Informatiebeveiligingsonderzoek met AuditWaarde. Deze open standaard helpt organisaties om leveranciers beter te toetsen, bijvoorbeeld bij het inkopen van een pentest. “De meeste bedrijven weten niet wat ze moeten vragen om zekerheid te krijgen,” zegt hij. “Met MIAUW geef je ze een concreet instrument: een lijst met vragen, eisen en verwachtingen waarmee je kunt vaststellen of een leverancier het beloofde resultaat ook levert.”
Mischa vindt dat de security-industrie een verantwoordelijkheid heeft om transparanter te worden. “Leveranciers die zeggen dat hun werkwijze een bedrijfsgeheim is, begrijpen het niet. Security draait om vertrouwen – en vertrouwen vraagt om openheid.”
Conclusie: cyberweerbaarheid vraagt om bestuur met lef
Mischa ziet cyberweerbaarheid als een bestuursvraagstuk: zonder mandaat, geen verantwoordelijkheid. Zijn oproep is helder: geef securityprofessionals de ruimte om hun werk te doen, en zie governance als een kans in plaats van een beperking.
“Zolang bestuurders security blijven behandelen als een verplicht nummer, blijft het kwetsbaar. Maar geef de CISO het mandaat dat bij de titel hoort, en het wordt een krachtig onderdeel van de strategie.”
Het interview met Mischa maakt deel uit van een breder onderzoek naar de staat van cyberweerbaarheid in Nederland, uitgevoerd door Security Innovation Stories in samenwerking met KPN. In het rapport delen tientallen securityprofessionals hun visie op innovatie, menselijk gedrag, techniek en de toekomst van digitale weerbaarheid.
