Datum
16.10.2025
In deze rubriek willen we een CISO in de schijnwerpers zetten aan de hand van een handvol vragen die DPI stelde.
Luc Van Gimpel, IT Programme Manager bij Lantis beantwoord deze graag.
Wie ben je, en in welke organisatie neem je de rol van CISO op?
Ik ben Luc Van Gompel, al meer dan 4 deccenia actief in IT in diverse rollen en sectoren, ik leergierig en pak graag uitdagingen aan die een meerwaarde hebben voor een organisatie. Momenteel help ik Lantis bij het verhogen van de cyberweerbaarheid en de conformiteit met de NIS2 regelgeving. Lantis is de organisatie die de Oosterweelverbinding realiseert in Antwerpen.
Vanwaar je interesse in security?
Ik ben gedurende een groot stuk van mijn carrière actief geweest in IT in de bank- en verzekeringswereld en security was altijd wel een aspect waar ik mee in aanraking kwam. Gezien de toenemende cyberdreigingen waarmee organisaties te maken hebben vandaag, de steeds complexer wordende technologie en alsmaar toenemende regelgeving rond cybersecurity vind ik het security-thema best wel spannend en uitdagend. Het thema op zich is ook multidisciplinair en zit verweven in alle aspecten die te maken hebben met automatisering in onze bedrijven en overheden. Voor iemand die houdt van variatie is security een droomthema hoewel deze uitdrukking nog steeds haaks staat op de perceptie van security die leeft in onze bedrijven. Dit heeft als gevolg dat de noodzakelijke (verdere) bewustmaking van het thema security een extra uitdaging is.
De CISO rol kan enorm veelzijdig zijn. Welke taken of verantwoordelijkheden spreken je het meeste aan in je rol als CISO?
Mijn interesse gaat voornamelijk uit naar de governance-taken. Security is een complex thema. Organisaties hebben nood aan eenvoudige stuurmiddelen die aangeven hoe veilig of onveilig ze werken vandaag en wat er dient te gebeuren om die cyberweerbaarheid te verhogen. En koken kost geld dus de volgende uitdaging bestaat er dan in om net die extra beveiligingsmaatregelen te bepalen die een organisatie tot op het weerbaarheidsniveau brengt dat in overeenstemming is met hun risico/kost-appetijt. Een mooie opdracht, toch?
Waar ben je als CISO het meeste mee bezig?
Momenteel neemt het op punt stellen van het veiligheidsbeleid en daarin de organisatie meenemen het meeste van mijn tijd in beslag. Maar eens deze oefening gebeurd is, ligt er een mooie basis om verder op te bouwen. Je kan het beleid beschouwen als de fundamenten van security.
Welke eigenschappen zijn onmisbaar voor een CISO?
Het begrijpen van wat kritisch is voor de organisatie en de link kunnen leggen naar cyberweerbaarheidsmaatregelen is superbelangrijk om een realistisch verbeterplan te kunnen uitwerken. Verder is je rekbaarheid om zowel diep technische discussies te kunnen begrijpen, boodschappen op een verstaanbare manier naar het C-level te kunnen brengen als te kunnen meeduiken in business-proces risico-discussies vast en zeker een troef. En daarnaast moet je je ogen en oren open houden voor wat er in de buitenwereld gebeurt op cybersecurity vlak en best ook mee zijn met nieuwe technologische ontwikkelingen.
De evoluties volgen elkaar razend snel op in security, hoe blijf je als CISO op de hoogte van recente ontwikkelingen?
Als je nieuw bent in cybersecurity, kan je met een goede CISO-opleiding relatief snel basiskennis verwerven en structuur brengen voor jezelf in wat er reilt en zeilt in die wereld. Dat helpt enorm om te zien waar je daarna een tandje moet bijsteken om je kennis uit te breiden.
Veel informatie om bij te blijven vind ik terug op het internet en sociale media of in een goed boek wat vaak efficiënter is, maar als je veel wil inzoomen op een bepaald onderwerp op een korte tijd vind ik een opleiding of seminarie nog steeds een prima idee. Voordeel is dat je dan vragen kan stellen of ideëen uitwisselen met gelijkgestemden.
Het lezen van industriestandaarden kan eveneens zeer leerzaam zijn heb ik ontdekt. Je maakt dan zelf rechtstreeks kennis met de ideeën en technieken zoals de experten deze hebben geformuleerd, weloverwogen en vaak na veel denk en puzzelwerk. Updates van standaarden worden meestal duidelijk geformuleerd zodat je snel weer bij bent.
Het is een klassieke uitdaging voor de CISO om de nodige middelen en ondersteuning te krijgen van het management. Hoe pak jij dit aan?
Europa heeft zichzelf een godsgeschenk gegeven door de NIS2-richtlijn op te leggen aan de lidstaten. Door de NIS2 naleving verplicht te maken voor kritische dienstverleners in de EU gaan organisaties automatisch moeten investeren om op zijn minst hun NIS2-certificaat te behalen. Op zich is dit geen garantie dat al deze bedrijven dan opeens super cyberresistant zullen zijn maar het legt wel een solide basis voor cyberweerbaarheid wat toch een waarde op zich heeft.
Een goede communicatie over security in een organisatie zal tevens de ogen openen van velen wat samen met NIS2 kan zorgen voor een positieve spiraal op termijn die het blijven investeren in cyberveiligheid zal mogelijk maken.
Voor organisaties die niet in het toepassingsgebied van NIS2 vallen en geen andere regelgevingen moeten nakomen op het vlak van cybersecurity, blijft het zaak om businessrisico’s en het actuele beveiligingsniveau zo precies mogelijk in kaart te brengen. Dan is het aan de beslissingsnemers om te kijken of deze in lijn liggen met de cost/risk-appetijt van de organiatie en of er centen en tijd moeten vrijgemaakt worden om de cyberweerbaarheid te verhogen.
Wat zijn een aantal van de belangrijkste dreigingen waar een CISO voor moet waken op dit moment?
Sommige dreigingen zijn algemeen maar andere hangen af van de sector of de organisatie waarin je een security rol uitoefent.
De algemene dreigingen zijn veelal terug te vinden in technologische ontwikkelingen die ook hackers meer mogelijkheden bieden, denk hierbij onder andere aan AI. Maar evenmin te onderschatten zijn de social engineering aanvallen waarbij mensen gemanipuleerd worden om onbewust geld of toegang of gewoon informatie te geven. Ook thema’s zoals souveraine cloud en quantum computing zijn het opvolgen waard.
Meer specifieke of sector gebaseerde dreigingen in deze tijden hebben vaak te maken met geopolitieke instabiliteit en hacktivisme.
Wat zou je als advies meegeven aan mensen die net als CISO zijn gestart in een organisatie?
Dit was een vraag van het CISO examen! Mijn antwoord ging in de richting van: vorm een beeld voor jezelf van de management appetijt voor het verhogen van de cyberweerbaarheid, van de huidige situatie in de praktijk en op de werkvloer, doe een seflassessement en stel een actieplan voor.
In de CISO-opleiding die ik gevolgd heb, werd verteld dat veel CISO’s binnen de 18 maanden de handdoek in de ring gooien omwille van het gevoel van “tegen de bierkaaien te moeten vechten” zonder enig uitzicht op verbetering. Daarmee werd bedoeld dat voorstellen en verbeterplannen voorgesteld door een CISO vaak niet worden aanvaard omdat het management de investering niet wil doen en liever het risico aanvaard. Mijn 2e advies zou zijn: tracht risico’s en de middelen die nodig zijn om de risico’s te mitigeren zo duidelijk mogelijk voor te stellen en te linken aan de activiteiten waar de organisatie voor staat.
"Tracht risico’s en de middelen die nodig zijn om de risico’s te mitigeren zo duidelijk mogelijk voor te stellen en te linken aan de activiteiten waar de organisatie voor staat. ".
Datum
16.10.2025
