AI-ontwikkeling gaat snel, maar mensen blijven onmisbaar in cybersecurity

De impact van AI op cybersecurity

Natuurlijk zorgt AI-technologie wel degelijk voor veel veranderingen en verbeteringen in cybersecurity. Agentic AI, waarbij autonome AI-systemen zelfstandig taken kunnen uitvoeren, heeft bijvoorbeeld het potentieel om de structuur en werking van een Security Operations Center (SOC) ingrijpend te veranderen. Zo lenen ‘tier 1’ SOC-rollen - die zich richten op het verwerken van grote hoeveelheden meldingen en routinetaken zoals het triageren van alerts en het uitsluiten van false positives - zich uitstekend voor automatisering.

Dit soort SOC-rollen worden op termijn wellicht volledig overgenomen door AI Agents, maar securityprofessionals blijven absoluut nodig. Agentic AI is bijvoorbeeld niet geschikt voor taken waarbij context, inschattingsvermogen en creativiteit een cruciale rol spelen, zoals strategiebepaling, geavanceerde threat hunting en diepgaand onderzoek van incidenten. Wel kan een AI-agent helpen om securityteams te ontlasten door routinetaken over te nemen, wat hen vrijstelt om zich te richten op complexere uitdagingen en om sneller en nauwkeuriger om te gaan met dreigingen.

Toegevoegde waarde van mensen in cybersecurity

Juist daarom blijft de toegevoegde waarde van experts bij securitypartners onmisbaar. Waar AI en automatisering helpen om ruis te verminderen en routinetaken te stroomlijnen, bieden menselijke experts iets wat technologie niet kan bieden: kennis van de klant en inlevingsvermogen. Door direct met organisaties in contact te zijn, begrijpen experts de processen bij de klant, welke systemen kritiek zijn en welke risico’s voor die specifieke klant daadwerkelijk prioriteit hebben.

Securityanalisten kunnen bovendien dankzij hun creativiteit en ervaring situaties duiden die niet in een standaardmodel passen, zoals misbruik van nieuwe kwetsbaarheden of wanneer meerdere subtiele signalen samen mogelijk duiden op een groter risico. Ook blijven mensen nodig om AI-systemen te controleren, te valideren en te corrigeren wanneer deze verkeerde aannames doen.

Klantcontact

Hoe dit contact in de praktijk vorm krijgt, verschilt per type securityleverancier. In veel traditionele MDR-modellen blijft de communicatie tussen klant en leverancier vooral transactioneel. De MDR-partner stuurt de klant meldingen, rapportages of incidentupdates, maar is er weinig ruimte voor overleg en er is ook zelden continu inzicht in wat er bij de klantorganisatie speelt, zoals actuele businessprioriteiten, lopende projecten, wijzigingen in de infrastructuur of specifieke risico’s waar een team zich zorgen over maakt. Daardoor kan er een afstandelijke relatie ontstaan waarin belangrijke nuances mogelijk verloren gaan.

In een aanpak waarbij de klant meer bij de hand wordt genomen, staat juist een vast team van specialisten klaar dat actief meedenkt met de klant. Zij bouwen een langdurige relatie op, kennen de technische en organisatorische context en vertalen securityalerts niet alleen naar concrete acties, maar ook naar begrijpelijke adviezen en strategische aanbevelingen. Deze aanpak creëert een veel hechter partnerschap waarin cybersecurity niet wordt gezien als een externe, aparte dienst, maar als een doorlopend proces waarin begeleiding, proactiviteit en vertrouwen centraal staan.

Cloud Expo

Voor organisaties die willen begrijpen hoe zij de balans tussen automatisering en menselijke expertise kunnen versterken in hun eigen securitystrategie, kan het waardevol zijn om hierover verder in gesprek te gaan met een cybersecurity expert. Tijdens Cloud Expo op 3 en 4 december, wordt dit thema uitgebreid besproken door Arctic Wolf in een sessie waarin wordt ingegaan op de rol van mensen binnen moderne cybersecurity. Bezoekers die verdieping zoeken in hoe technologie en mensen elkaar kunnen versterken, zijn van harte welkom om deze talk bij te wonen.

Door: Megan Henchin, Principal Cyber Defence Consultant bij Arctic Wolf