Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > AI en Edge Computing: Transformatie van Cybersecurity Governance op Directieniveau
AI en Edge Computing: Transformatie van Cybersecurity Governance op Directieniveau

AI en Edge Computing: Transformatie van Cybersecurity Governance op Directieniveau

by Patrick Spencer updated november 13, 2025 Beheer van cyberbeveiligingsrisico's
Reading Time: 9 minutes

Raden van bestuur staan voor een fundamentele verschuiving in hun toezicht op cyberbeveiliging. De vraag is niet langer óf er geïnvesteerd moet worden in bescherming, maar hoe de zakelijke impact ervan gemeten kan worden en hoe deze groei mogelijk maakt in plaats van belemmert.

Deze evolutie komt voort uit drie samenkomende krachten: autonome AI-systemen die zonder voortdurende menselijke tussenkomst handelen, geavanceerde aanvallen die misbruik maken van netwerk­infrastructuur en toenemende druk om beveiligingsrendement in zakelijke termen aan te tonen. Bestuurders moeten nu sneller en met meer complexiteit risico’s navigeren, terwijl ze investeringen onderbouwen met meetbare resultaten.

Belangrijkste inzichten

  1. AI Governance vereist formeel toezicht van de raad. Organisaties met C-level sponsoring voor AI-initiatieven rapporteren 78% van de tijd ROI, vergeleken met lagere succespercentages wanneer verantwoordelijkheid verspreid blijft. Raden moeten toezichtmechanismen opzetten die dataprivacy, beveiligingscontroles en schaalbaarheid waarborgen voordat AI-systemen van pilot naar productie gaan.
  2. Beveiligings­statistieken moeten verbonden zijn aan zakelijke prestaties. Traditionele compliance-metingen zoals patchpercentages en aantallen kwetsbaarheden tonen niet aan hoe beveiligingsinvesteringen omzet beschermen of groei mogelijk maken. Bestuurders hebben statistieken nodig die risicoreductie aantonen in dezelfde taal als financiële en operationele rapportages, zodat strategische kapitaalallocatie mogelijk wordt.
  3. Netwerkperimeter­verdediging staat onder aanhoudende aanval. In 2024 begon ongeveer een derde van de datalekken met het uitbuiten van kwetsbaarheden in publiek toegankelijke infrastructuur, vaak gericht op routers, VPN’s, firewalls en andere randapparaten. Raden moeten prioriteit geven aan intelligence-gedreven patching, verbeterde detectie buiten de perimeter en segmentatie van waardevolle assets.
  4. Agentische AI-systemen creëren nieuwe governance-uitdagingen. In tegenstelling tot voorspellende AI die data analyseert, onderneemt agentische AI autonoom actie en neemt beslissingen binnen vastgestelde parameters. Google Cloud’s agentische AI-studie 2025 meldt 88% positieve ROI, 85% betere dreigingsidentificatie en 65% snellere oplossingstijd voor beveiligingscases, maar succes vereist formele kaders die ongeautoriseerde inzet voorkomen en gevoelige data beschermen.
  5. Risicoverantwoordelijkheid moet verder gaan dan alleen beveiligingsteams. Leiders van business units moeten eigenaar zijn van de beveiligingsrisico’s die aan hun processen verbonden zijn, van klantdata in sales tot bescherming van financiële systemen. Deze verdeling zorgt ervoor dat beveiliging de juiste aandacht krijgt waar zakelijke beslissingen worden genomen, waardoor cyberbeveiliging een bedrijfsbrede verantwoordelijkheid wordt in plaats van een IT-functie.

Agentische AI: een uitdaging die raden niet kunnen negeren

Traditionele AI-systemen voorspellen uitkomsten. Agentische AI-systemen—die plannen en handelen via tools onder menselijk toezicht—voeren taken uit, nemen beslissingen binnen vastgestelde parameters en werken onder supervisie in plaats van voor elke stap goedkeuring te vereisen.

Dit onderscheid is belangrijk voor governance. Wanneer AI-systemen van analyse naar actie gaan, ontstaan nieuwe blootstellingspunten. Een AI-agent die leveranciersbetalingen beheert kan per ongeluk frauduleuze transacties goedkeuren. Een geautomatiseerd systeem dat klantvragen afhandelt, kan gevoelige data lekken als het niet goed begrensd is.

Vroege gebruikers rapporteren aanzienlijke opbrengsten. Google Cloud’s agentische AI-studie 2025 meldt 88% positieve ROI, 85% verbetering in dreigingsidentificatie en 65% snellere oplossingstijd voor beveiligingscases.

Het patroon is duidelijk: succes vereist structuur. Bedrijven met C-level sponsoring voor AI-initiatieven behalen 78% van de tijd ROI, tegenover organisaties waar verantwoordelijkheid verspreid blijft over afdelingen.

Raden moeten formele toezichtmechanismen opzetten die drie kernvereisten adresseren:

Dataprivacy moet centraal blijven bij alle AI-inzet. Systemen hebben controles nodig die voorkomen dat gevoelige informatie onjuist wordt verwerkt of gedeeld met onbevoegden. Dit omvat het voorkomen van onbedoelde blootstelling aan publieke AI-modellen, waar data gebruikt kan worden voor training of toegankelijk is voor anderen.

Beveiliging mag geen bijzaak zijn. AI-systemen vereisen dezelfde grondigheid als andere bedrijfskritische infrastructuur. Dat betekent dataclassificatie voordat informatie AI-tools bereikt, toegangscontroles die bepalen wie AI-capaciteiten mag inzetten, en audittrails die exact tonen welke data door wie is geraadpleegd.

Vroege successen moeten opschaalbaar zijn. Pilotprogramma’s bewijzen het concept, maar raden moeten waarborgen dat succesvolle benaderingen herhaalbaar zijn binnen de hele organisatie zonder beveiligingsgaten of compliance-overtredingen te creëren.

Bestuurders moeten aan het management vragen hoe AI-governancekaders pilotsucces vertalen naar bedrijfsbrede waarde. Het gesprek moet gaan over welke controles bestaan om ongeautoriseerde AI-inzet te voorkomen, hoe de organisatie AI-systeemgedrag monitort en of AI-databescherming gelijke tred houdt met AI-adoptie.

Cyberbeveiliging herdefiniëren als bedrijfsstrategie

Compliance-statistieken domineren veel boarddiscussies. Percentage gepatchte systemen, aantal verholpen kwetsbaarheden, afgesloten auditbevindingen. Deze metingen tonen activiteit, maar zelden de zakelijke uitkomsten.

Raden eisen nu een ander gesprek. Beveiligingsleiders moeten prestaties presenteren in dezelfde taal als andere bedrijfsrisico’s: beschermde omzet, voortgezette operaties, behouden klantvertrouwen.

Deze verschuiving vereist het vertalen van technische controles naar zakelijke impact. Een afname van ongeautoriseerde toegangspogingen is minder relevant dan aantonen hoe die pogingen operaties hadden kunnen verstoren of klantdata hadden kunnen compromitteren. Investeringen in fraudedetectiesystemen krijgen meer draagvlak als ze gepresenteerd worden als omzetbescherming in plaats van als compliance-verplichting.

Drie gebieden vragen aandacht van de raad:

Risicoverantwoordelijkheid moet verder gaan dan het beveiligingsteam. Leiders van business units moeten eigenaarschap nemen over beveiligingsrisico’s die aan hun processen verbonden zijn. De salesmanager is eigenaar van risico’s rond klantdata, de CFO van risico’s in financiële systemen. Deze verdeling zorgt ervoor dat beveiliging de juiste aandacht krijgt waar beslissingen worden genomen.

Programmagezondheid vereist operationele statistieken. Raden moeten metingen volgen die beveiligingscontroles verbinden aan uitkomsten zoals systeembeschikbaarheid, fraudereductie of contractvoorwaarden die afhankelijk zijn van beveiligingscertificeringen. Deze statistieken tonen of investeringen in beveiliging bedrijfsdoelen ondersteunen of alleen compliance afvinken.

Weerbaarheid is belangrijker dan alleen preventie. Geen enkele organisatie stopt elke aanval. Raden moeten zeker weten dat het bedrijf snel kan herstellen en zich kan aanpassen na incidenten. Dit omvat inzicht in hersteltijd, het testen van disaster recovery-procedures en weten welke systemen het belangrijkst zijn voor bedrijfscontinuïteit.

Wanneer beveiligingsprestaties in boardmaterialen verschijnen naast financiële en operationele statistieken, kunnen bestuurders strategische kapitaalbeslissingen nemen. De vergelijking laat zien of beveiligingsinvesteringen het ondernemingsrisico verminderen tegen vergelijkbare tarieven als andere mitigatiestrategieën.

Innoveren zonder compromis

Raden ervaren constante spanning tussen innovatie mogelijk maken en risico’s beheersen. Nieuwe technologieën beloven een competitief voordeel, maar brengen onbekende blootstellingen met zich mee. AI en automatisering versterken deze dynamiek door zowel kansen als dreigingen te versnellen.

De vraag is niet óf nieuwe mogelijkheden worden ingezet, maar hoe ze verantwoord worden uitgerold. Raden moeten zeker weten dat het management begrijpt hoe technologische keuzes bedrijfsdoelen ondersteunen, in plaats van innovatie om de innovatie.

Dit vereist zicht op diverse dimensies:

Hoe nieuwe tools worden beveiligd is net zo belangrijk als wat ze doen. Een AI-systeem dat klantinzichten biedt, creëert waarde, maar die waarde verdwijnt als het systeem klantdata lekt of bevooroordeelde beslissingen neemt die het merk schaden. Raden moeten vragen hoe beveiliging en privacybescherming vanaf het begin in nieuwe technologie-inzet zijn ingebouwd.

De volwassenheid van controles moet gemeten en gevolgd worden. Organisaties moeten beoordelen hoe goed beveiligingscontroles werken voordat systemen die daarvan afhankelijk zijn worden opgeschaald. Een proof of concept met testdata verschilt wezenlijk van een productiesysteem dat klantinformatie verwerkt. Raden hebben de zekerheid nodig dat beveiligingsmogelijkheden meeschalen met bedrijfsinzet.

Waarborgen moeten innovatie mogelijk maken, niet blokkeren. Het doel is niet om innovatie te voorkomen, maar om deze binnen acceptabele risicotoleranties te laten plaatsvinden. Dit betekent duidelijke criteria opstellen voor de beveiligingsstandaarden waaraan nieuwe systemen moeten voldoen, goedkeuringsprocessen definiëren die snelheid en toezicht in balans brengen, en mechanismen creëren voor snelle bijsturing als zich problemen voordoen.

Vertrouwen tussen raden en beveiligingsleiders maakt dit mogelijk. Wanneer bestuurders begrijpen hoe de CISO risico’s beoordeelt en de CISO de prioriteiten van de raad kent, worden beslissingen sneller genomen en beter afgestemd op de bedrijfsstrategie.

De afbrokkelende netwerkperimeter

Netwerkperimeterapparaten—routers, VPN’s, firewalls, e-mailgateways—blijven primaire aanvalsvectoren. In 2024 begon ongeveer een derde van de datalekken met het uitbuiten van kwetsbaarheden in publiek toegankelijke infrastructuur, vaak gericht op netwerk-randapparaten.

De meeste netwerkapparaten kunnen geen traditionele EDR-agents draaien, wat zicht op hostniveau beperkt en ze aantrekkelijke doelwitten maakt voor zowel criminele groepen als statelijke actoren. Dit gat biedt tegenstanders de kans om voet aan de grond te krijgen zonder de detectiemogelijkheden op werkstations en servers te activeren.

Zero-day-exploits tegen randapparaten namen toe in 2024, waarbij beveiligingsonderzoekers beveiligingsfouten in deze apparaten aanmerkten als belangrijkste toegangspad. De BRICKSTORM-spionagecampagne liet zien hoe tegenstanders deze zwaktes benutten om een hardnekkige aanwezigheid in het netwerk te vestigen.

Raden moeten proactieve verdediging zien als kostenvermijding in plaats van discretionaire IT-uitgaven. Drie prioriteiten verdienen aandacht:

Kwetsbaarhedenbeheer vereist intelligence-gedreven prioritering. Niet alle kritisch beoordeelde kwetsbaarheden vormen evenveel risico. Organisaties moeten patchinspanningen richten op systemen die daadwerkelijk onder aanval staan, in plaats van alle ernstige bevindingen gelijk te behandelen. Threat Intelligence over welke kwetsbaarheden actief worden uitgebuit, leidt tot effectievere inzet van middelen.

Detectie moet verder gaan dan de perimeter. Zodra aanvallers randapparaten compromitteren, bewegen ze zich lateraal richting waardevolle doelen. Uitgebreide logging en monitoring helpen om inbraken na initiële compromittering te signaleren. Dit omvat het analyseren van authenticatiepatronen, het volgen van ongebruikelijk netwerkverkeer en het correleren van gebeurtenissen over systemen om aanvalsketens te identificeren.

Waardevolle assets vereisen extra bescherming. Virtualisatie-omgevingen, domeincontrollers en systemen die gevoelige data verwerken moeten worden gesegmenteerd en geïsoleerd om de impact van een datalek te beperken. Als perimetercompromittering wordt verondersteld, voorkomen deze controles dat aanvallers zich vrij kunnen bewegen zodra ze binnen zijn.

De perimeter zal blijven afbrokkelen naarmate organisaties clouddiensten omarmen, werken op afstand mogelijk maken en integreren met partners. Raden moeten zeker stellen dat beveiligingsstrategieën hiermee rekening houden, in plaats van te vertrouwen op netwerkgrenzen als bescherming.

Meten wat ertoe doet

Raden hebben beveiligingsstatistieken nodig die verbonden zijn aan zakelijke prestaties. Traditionele metingen—gevonden kwetsbaarheden, gedetecteerde incidenten, gepatchte systemen—tonen activiteit, maar niet de waarde.

Effectieve statistieken beantwoorden drie vragen:

Is de organisatie veiliger dan voorheen? Dit vereist het volgen van trends in de tijd, niet alleen momentopnames. Een afname van geslaagde phishingaanvallen, kortere verblijftijd bij datalekken of betere detectie van dreigingen vóór schade optreedt, zijn allemaal tekenen van vooruitgang.

Ondersteunt beveiliging de bedrijfsdoelen? Statistieken moeten aantonen hoe bescherming groei mogelijk maakt. Dit kan het aantonen van beveiligingsmogelijkheden zijn die grote deals sluiten, het meten van uptime van klantgerichte systemen of het kwantificeren van fraudepreventie in de financiële sector.

Kan de organisatie haar beveiligingsstatus aantonen aan belanghebbenden? Klanten, toezichthouders en partners eisen steeds vaker bewijs van voldoende bescherming. Statistieken die compliance met industriestandaarden, behaalde beveiligingscertificeringen of verholpen auditbevindingen tonen, helpen aan deze vereisten te voldoen.

Het draait om het kiezen van metingen die relevant zijn voor bestuurders die middelen toewijzen. Financiële statistieken spreken aan: kosten per incident, omzetrisico door downtime, of contractwaarde afhankelijk van beveiligingscertificeringen. Operationele statistieken bieden context: tijd tot dreigingsdetectie, herstelsnelheid na incidenten of percentage beschermde high-risk assets.

Raden moeten statistieken afwijzen die meer verhullen dan verduidelijken. Rapporteren dat 99% van de systemen gepatcht is klinkt positief, maar kan verbergen dat de 1% ongepatchte systemen de meest kritieke infrastructuur bevat. Nul datalekken lijkt goed tot het eerste incident aantoont dat detectie tekortschiet in plaats van preventie effectief is.

Praktische stappen voor de raad

Bestuurders kunnen cyberbeveiligingsgovernance bevorderen met concrete acties:

Formaliseer AI-toezicht. Stel duidelijke verantwoordelijkheid vast voor AI-initiatieven op C-level. Definieer goedkeuringscriteria voor AI-inzet die beveiligings- en privacyvereisten bevatten. Evalueer hoe de organisatie voorkomt dat gevoelige data ongeautoriseerde AI-systemen bereikt.

Eis zakelijk relevante rapportages. Vraag beveiligingsleiders om prestaties te presenteren in financiële en operationele termen. Vraag om statistieken die aantonen hoe bescherming bedrijfsrisico’s vermindert, niet alleen technische compliance-metingen. Vergelijk beveiligingsinvesteringen met andere risicobeperkende strategieën via consistente kaders.

Beoordeel risicoverspreiding. Controleer of business unit-leiders eigenaarschap nemen over beveiligingsrisico’s in hun domeinen. Evalueer of operationele leiders hun verantwoordelijkheid begrijpen voor het beschermen van klantdata, het waarborgen van systeembeschikbaarheid en het voorkomen van fraude.

Geef prioriteit aan weerbaarheidsplanning. Begrijp het herstelvermogen van kritieke bedrijfsfuncties. Bekijk testresultaten van disaster recovery-procedures. Controleer of back-ups bestaan voor operaties die essentieel zijn voor omzetgeneratie of naleving van regelgeving.

Ondersteun intelligence-gedreven verdediging. Zorg dat kwetsbaarhedenbeheer Threat Intelligence gebruikt om te bepalen welke zwaktes actief worden uitgebuit. Verifieer dat detectiemogelijkheden verder gaan dan de netwerkperimeter om laterale beweging na initiële compromittering te identificeren.

Versterk de relatie met de CISO. Creëer regelmatig direct contact tussen de raad en beveiligingsleiders buiten formele rapportagecycli om. Dit bouwt vertrouwen op waardoor sneller kan worden gehandeld bij urgente risico’s.

Cybersecurity governance voor data evolueert

Cybersecurity governance ontwikkelt zich van een compliance-functie naar een strategische bedrijfsdiscipline. Raden die deze verschuiving herkennen, kunnen beveiliging inzetten als competitief voordeel in plaats van het als overhead te zien.

De organisaties die ROI behalen uit AI-investeringen, beveiligingswaarde in zakelijke termen aantonen en snel herstellen van incidenten, delen gemeenschappelijke kenmerken. Ze hebben duidelijke leiderschapsverantwoordelijkheid, meten uitkomsten in plaats van activiteit en integreren beveiliging vanaf het begin in de bedrijfsstrategie.

Bestuurders hoeven geen technische beveiligingsexperts te zijn om effectief toezicht te houden. Ze moeten de juiste vragen stellen, zakelijk relevante statistieken eisen en zorgen dat het management cyberbeveiliging net zo serieus neemt als andere bedrijfsrisico’s.

Het dreigingslandschap blijft zich ontwikkelen. AI-capaciteiten breiden uit, aanvalstechnieken worden geavanceerder en nieuwe technologieën creëren onbekende blootstellingen. Raden die nu sterke governancekaders opzetten, positioneren hun organisatie om deze complexiteit te navigeren en tegelijkertijd innovatie en groei mogelijk te maken.

Hoe Kiteworks inspeelt op cybersecurityprioriteiten van de raad

De hierboven geschetste governance-uitdagingen vragen om concrete oplossingen. Kiteworks biedt mogelijkheden die direct aansluiten bij prioriteiten op bestuursniveau, op het gebied van AI-gegevensbeheer, risicobeheer cyberbeveiliging, innovatiecontroles en perimeterverdediging.

AI Governance en gegevensbescherming

De AI Data Gateway voorkomt dat gevoelige informatie onbedoeld publieke AI-modellen bereikt via gecontroleerde toegang en monitoring. Automatische dataclassificatie identificeert en beschermt gevoelige inhoud voordat deze AI-systemen bereikt. Volledige audittrails bieden inzicht in welke data door wie is geraadpleegd, ter ondersteuning van het C-level toezicht dat samenhangt met 78% ROI.

Cyberrisico als bedrijfsstrategie

Uitgebreide logging stelt CISO’s in staat beveiligingsprestaties in zakelijke termen te presenteren door verminderde blootstelling, voorkomen datalekken en beschermde omzet aan te tonen. Ingebouwde controles voor GDPR, HIPAA, CMMC en andere regelgeving tonen tastbare risicoreductie. Zero trust-architectuur met granulaire toegangscontrole en encryptie waarborgt veilige voortzetting van bedrijfsprocessen.

Innoveren met waarborgen

Beveiligde samenwerkingsmogelijkheden stellen teams in staat gevoelige data te delen voor AI- en automatiseringsprojecten, terwijl beveiligingscontroles gehandhaafd blijven. Beleidsafdwinging zorgt ervoor dat nieuwe technologische inzet de databeveiligingsstandaarden niet ondermijnt. Beveiligingsintegraties koppelen aan bestaande securitytools om zicht te houden op de hele tech stack.

Voorbij traditionele perimeterverdediging

FIPS 140-3 Level 1 gevalideerde encryptie biedt verdediging tegen kwetsbaarheden in randapparaten die verantwoordelijk zijn voor een derde van recente datalekken. Contentgerichte beveiliging beschermt data, ongeacht perimetercompromittering. Geavanceerde monitoring en uitgebreide logging ondersteunen de verbeterde detectieprioriteiten die raden moeten benadrukken.

Deze mogelijkheden vertalen zich direct naar de bedrijfsresultaten die raden nodig hebben: aantoonbare ROI op beveiligingsinvesteringen, verminderd ondernemingsrisico en bescherming die groei mogelijk maakt in plaats van belemmert.

Veelgestelde vragen

Agentische AI-systemen voeren taken uit en nemen autonoom beslissingen binnen vastgestelde parameters, in tegenstelling tot traditionele voorspellende AI die alleen data analyseert. Deze systemen kunnen acties ondernemen die financiële blootstelling, datalekken of compliance-overtredingen veroorzaken zonder de juiste governancekaders. Organisaties met C-level sponsoring voor AI-initiatieven rapporteren 78% van de tijd ROI, waardoor formeel toezicht van de raad essentieel is voor succesvolle implementatie.

Raden moeten statistieken opvragen die aantonen welke omzet is beschermd, welke operaties zijn voortgezet en welk klantvertrouwen behouden is, in plaats van technische compliance-metingen zoals patchpercentages. Effectieve statistieken zijn onder meer kosten per incident, omzetrisico door downtime, tijd tot dreigingsdetectie en -oplossing, en contractwaarde afhankelijk van beveiligingscertificeringen. Deze aanpak stelt bestuurders in staat beveiligingsinvesteringen te vergelijken met andere risicobeperkende strategieën in consistente zakelijke taal.

De meeste netwerkapparaten (routers, VPN’s, firewalls) kunnen geen traditionele EDR-agents draaien, wat zicht op hostniveau beperkt en ze aantrekkelijke doelwitten maakt. In 2024 begon ongeveer een derde van de datalekken met het uitbuiten van kwetsbaarheden in deze publiek toegankelijke systemen. Aanvallers richten zich steeds vaker op zero-day-kwetsbaarheden in perimeterapparaten om een hardnekkige aanwezigheid in het netwerk te vestigen voordat leveranciers patches kunnen uitbrengen.

Salesleiders moeten eigenaar zijn van risico’s rond klantdata, CFO’s van risico’s bij bescherming van financiële systemen en operationele leiders van risico’s in hun eigen domein. Deze verdeling zorgt ervoor dat beveiliging wordt geïntegreerd in zakelijke beslissingen waar ze genomen worden, in plaats van geïsoleerd te blijven als IT-aangelegenheid. Risicoverantwoordelijkheid die verder gaat dan beveiligingsteams maakt van cyberbeveiliging een strategische bedrijfsbrede verantwoordelijkheid.

Raden moeten erop toezien dat het management beveiligingsstandaarden definieert waaraan nieuwe technologieën moeten voldoen vóór inzet, goedkeuringsprocessen opzet die snelheid en toezicht balanceren, en de volwassenheid van controles meet voordat systemen op grote schaal worden uitgerold. Het doel is innovatie mogelijk maken binnen acceptabele risicotoleranties via duidelijke waarborgen, niet het blokkeren van nieuwe mogelijkheden. Vertrouwen tussen raden en CISO’s maakt snellere, beter geïnformeerde beslissingen mogelijk over welke innovaties de bijbehorende risico’s rechtvaardigen.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks