Witold Kepinski - 09 juli 2026

Zscaler-CISO Sam Curry: Stop met praten over risico in de boardroom

Tijdens de Zenith Live 2026 conferentie van zero trust specialist Zscaler in Wenen zocht Witold Kepinski, Director Content bij Dutch IT Leaders en Dutch IT Channel, de diepte op met Sam Curry (foto), CISO bij Zscaler. Met een indrukwekkende loopbaan bij security-pioniers zoals McAfee, Cybereason en Arbor Networks, én een academische achtergrond in natuurkunde, filosofie en terrorismebestrijding, werpt Curry een verfrissend en diepgaand licht op de werkelijkheid achter internationale cybersecurity. Zijn duidelijke boodschap aan CIO's en CISO's: stop met praten over risico's, start een revolutie in je security operations (SecOps) en bereid je voor op een fundamentele verschuiving in hoe we autorisatie en arbeid organiseren.

Zscaler-CISO Sam Curry: Stop met praten over risico in de boardroom image

De impact van AI op arbeid: Efficiëntie versus effectiviteit

De discussie over AI richt zich in de boardroom vaak puur op margeverbetering en banenverlies. Curry nuanceert dit direct door banen op te splitsen in twee categorieën: inelastische en elastische rollen. Inelastische taken bieden louter efficiëntiewinst. Dit zijn de processen die organisaties eigenlijk al jaren hadden moeten automatiseren, maar waarbij dat technisch complex was. Hier zal inderdaad minder menselijke arbeid nodig zijn.

De echte transformatie zit echter in de rollen waar AI de effectiviteit vergroot. "Neem het voorbeeld van radiologen," legt Curry uit. "Toen AI zijn intrede deed in de radiologie, dacht men dat 90 procent van de specialisten overbodig zou worden. Het tegendeel bleek waar. Omdat AI sneller en meer beelden kan analyseren, kwamen er juist meer bevindingen, meer vervolgonderzoeken, meer consulten en meer patiënteninteractie. Er zijn nu juist méér radiologen nodig, die bovendien strategischer werk leveren."
Curry vergelijkt dit met de Industriële Revolutie: toen mechanische spierarbeid werd overgenomen door machines, ontstond er een enorme behoefte aan monteurs, logistici en productontwikkelaars. De economie werd complexer en het werk verschoof naar denkwerk.

AI-governance buiten de IT-afdeling

Binnen de software-engineering zorgt AI eveneens voor een metamorfose. Ontwikkelaars transformeren van pure codeerders naar volwaardige computerwetenschappers. Omdat AI helpt bij het documenteren en ondersteunen van code, ligt het innovatietempo ongekend hoog.

De grootste uitdaging op het gebied van AI-governance ligt volgens Curry dan ook buiten de IT- en engineeringteams. Dankzij 'low-code' en 'no-code' toepassingen kan vandaag de dag iedereen — van marketing en sales tot finance — applicaties bouwen en AI-modellen aansturen.

"We moeten direct governance inrichten buiten engineering om redundantie te voorkomen, data-integriteit te bewaken en te zorgen dat toepassingen veilig en binnen de juiste kaders worden gebruikt. Bij Zscaler hebben de CIO en ik dit tot een prioritaire missie gemaakt, inclusief specifiek budget en heldere processen. Hier ligt een enorme kans voor channelpartners en MSP's om klanten strategisch te adviseren over deze culturele omslag."

De dreiging van georkestreerde aanvallen en de 'Patch-muur'

Op het gebied van security signaleert Curry een zorgwekkende kanteling. Waar AI voorheen door zowel aanvallers als verdedigers als losse tool werd ingezet, verschuift het speelveld nu naar volledige georkestreerde aanvallen door AI. "We zien een omkeer: de mens helpt nu de AI in plaats van andersom. Modellen zoals Claude Opus worden al gebruikt om complexe aanvalsketens te regisseren."
Bovendien staat de introductie van nieuwe geavanceerde 'frontier'-modellen zoals Mythos voor de deur. De eerste impact hiervan zal volgens Curry niet direct een golf van spectaculaire hacks zijn, maar een onhoudbare stroom aan software-updates. Dit creëert een acute noodzaak voor IT-leiders, MSP's en MSSP's om klanten te helpen veerkrachtig te blijven. Organisaties moeten nadenken over rigoureuze maatregelen zoals tijdelijke code- of productiefriezes om de uptime en beschikbaarheid te garanderen. Dit vereist een compleet nieuwe dialoog tussen security en de business.

Autorisatie op internet-schaal: De 'Authenticity Chain'

Wanneer AI-agents verregaande autonomie krijgen en acties gaan uitvoeren namens gebruikers, ontstaat er een fundamenteel autorisatieprobleem. Een veelgehoorde angst is dat een gemanipuleerde prompt (prompt injection) of een hallucinatie van een AI-agent de schade (blast radius) binnen een bedrijfsnetwerk exponentieel kan vergroten. Curry, die in het verleden grappend de 'CTO van 's werelds grootste sleutelhangermaker' werd genoemd vanwege zijn expertise in identity en tokens, stelt dat we de autorisatiestructuur volledig moeten herzien via scoped authorization.

Op desktop- of intern teamniveau hoeven organisaties volgens hem niet direct een onafhankelijk identiteitsmodel voor agents op te tuigen. Wat wel vereist is, is een sluitende audit-trail die elke actie en elke benaderde databron koppelt aan de uiteindelijk verantwoordelijke menselijke gebruiker. Dit vraagt om een overlap van Role-Based Access Control (RBAC) en Attribute-Based Access Control (ABAC).

Voor complexere, persistente AI-agents die over meerdere workloads heen opereren, kijkt Zscaler naar standaarden zoals Spiffe en Whimse. Het doel is om een ononderbroken 'authenticity chain' te bouwen.

"We moeten voorkomen dat er een algehele anonimisering optreedt in de backend. In het verleden zagen we dat een unieke, ingelogde gebruiker aan de voorkant via middleware uiteindelijk op één centrale database-account in de backend stuitte die miljoenen malen werd gebruikt. Daardoor raakte je de traceerbaarheid en verantwoording kwijt. Dat mogen we met AI niet laten gebeuren."

Curry benadrukt dat Zscaler in de kern een autorisatiebedrijf is op internet-schaal, gericht op de interactie van anything to anything. Dat is vele malen complexer en relevanter dan traditionele point-in-time beslissingen (zoals: is dit bestand veilig, of is deze gebruiker wie hij zegt dat hij is).

De SecOps-revolutie: Weg met de 'Queue Managers'

Met de opkomst van intelligente, autonome agents verandert ook de inrichting van het Security Operations Center (SOC). Curry pleit voor een radicale 'SecOps-revolutie', analoog aan de DevOps-golf van destijds. DevOps draaide om agile werken, korte sprints, het minimaliseren van technical debt en het snel uitfaseren van wat niet werkt.

Binnen SecOps introduceert Curry het concept van het 'Yellow Team' (het bouwteam), als aanvulling op Red (attack) en Blue (defense). Security-teams moeten ophouden met het puur managen van wachtrijen en het handmatig schrijven van correlatieregels. AI neemt dat routinewerk over.

"De traditionele indeling in Tier 1, Tier 2 en Tier 3 analisten verdwijnt," voorspelt Curry. "Net als de radiologen moeten security-analisten gaan werken in korte sprints en kleine security-applets schrijven. Hun focus moet liggen op het vinden van het échte signaal, dicht bij de bron en de applicatie. Ze moeten functioneren als medisch specialisten die verantwoordelijk zijn voor de uitkomst, met AI als hun onmisbare intermediair." Dit betekent ook dat de opleiding binnen de sector zal verschuiven naar een model van master-en-gezel (apprenticeship of residency), vergelijkbaar met de medische wereld.

Digitale soevereiniteit in een versnipperd Europa

Gevraagd naar de Europese focus op data-soevereiniteit en de afhankelijkheid van Amerikaanse hyperscale AI-infrastructuur, benadrukt Curry dat dit een wereldwijd fenomeen is. Landen als Canada, India, Singapore en Australië worstelen met exact dezelfde vraagstukken, al loopt Europa wetgevend voorop.

Voor CISO's is het de kunst om architecturen te ontwerpen waarbij data veilig door Large Language Models (LLMs) kan worden benut zonder de corporate compliance te schenden. Curry's advies is helder: zet druk op je vendors. CISO's moeten scherp zijn op de inrichting van de data plane, de logging plane en de policy plane, maar ook op de fysieke toegang tot systemen. "Zscaler zorgt er bewust voor dat data niet onnodig 'at rest' blijft staan en lokaal binnen soevereine grenzen kan worden opgeslagen. Maar let op: soevereiniteit evolueert. Binnen Europa willen de Fransen hun data vaak niet op Duits grondgebied en vice versa. Het is dus complexer dan louter Europa versus de rest van de wereld."

Advies voor de boardroom: Spreek de taal van de business

Veel CISO's worstelen met hun imago als de 'afdeling van Nee' wanneer ze met het bestuur praten over AI-risico's. Curry adviseert om direct de banden aan te halen met de Chief AI Officer en medestanders te zoeken binnen legal, finance en operations.

Als algemene regel geeft hij CISO's mee om te communiceren over de zes kernthema's die er voor een directie écht toe doen:
1.    Omzet (Revenue)
2.    Kosten en marges (Cost & Margin)
3.    Risico (Risk)
4.    Klanttevredenheid (Customer Satisfaction)
5.    Medewerkersefficiëntie (Employee Efficiency)
6.    Strategie (Strategy)

"Praat niet constant over risico. Iedereen wéét dat je de security-persoon bent en dat je je zorgen maakt over risico. Als je de businesskamer binnenstapt en alleen over IT-beveiliging praat, denkt iedereen: 'Wat heb ik fout gedaan?' Maar als je spreekt in algemene businesstermen en analogieën gebruikt, zien ze je als een partner die helpt doelen te realiseren door security juist uit de weg te ruimen. Luister met nederigheid en blijf dicht bij het businessprobleem van je klant."

Finale takeaway: Word 'disruption proof'

Als filosofisch slotwoord wijst Curry erop dat AI niet zomaar een technologische trend is, maar een ontologische verschuiving voor de mensheid. "Copernicus toonde aan dat we niet het middelpunt van het universum zijn. Darwin liet zien dat we niet de absolute top van de evolutie zijn. Freud stelde dat we niet eens de meester zijn over onze eigen geest. En AI vertelt ons nu dat we in de businesscontext niet eens meer de slimste zijn."

De ultieme opdracht voor CIO's en CISO's is dan ook om hun organisatie 'disruption proof' te maken. AI is pas de eerste golf. Hierna volgen disrupties op het gebied van quantum computing, synthetische biologie, robotica en nanotechnologie. "IT- en bedrijfsprocessen moeten zo worden ingericht dat ze elke disruptie kunnen overleven, zelfs wanneer er meerdere tegelijkertijd optreden. Wendbaarheid en veerkracht zijn de enige ware antwoorden op de toekomst."

Fundaments BW + BN Clickhouse BN + BW
Data Expo 2026 BN