Iedere organisatie heeft een crisisplan voor een cyberincident. Draaiboeken liggen klaar, crisisteams worden geactiveerd en technische specialisten weten welke stappen ze moeten zetten zodra het alarm afgaat. Maar vrijwel geen enkele organisatie bereidt de persoon voor die tijdens zo’n crisis de belangrijkste beslissingen moet nemen.
Tekst: SANDER HULSMAN Beeld: ZYN GLOBAL
De organisatie heeft een crisisplan’, zegt Ashish Shrestha, ‘maar niemand bereidt de leider voor die uiteindelijk de verantwoordelijkheid draagt.’ Voormalig groeps-ciso van Jaguar Land Rover Shrestha stond aan het roer tijdens een van de meest spraakmakende cybercrises van de afgelopen jaren.
Het is een uitspraak die de kern vormt van zijn verhaal. Wie hem spreekt, merkt al snel dat hij nauwelijks over technologie begint. Natuurlijk, hij werkte bijna twintig jaar in de internationale cybersecuritywereld en bekleedde sleutelposities bij onder meer Shell en Jaguar Land Rover. Tegenwoordig is hij ceo en medeoprichter van Zyn Global. Maar als Shrestha terugkijkt op zijn carrière, spreekt hij liever over mensen dan over systemen. ‘Cybersecurity is niet langer uitsluitend een technologievraagstuk’, zegt hij. ‘Het is steeds vaker een vraagstuk van besluitvorming met diep menselijke gevolgen.’
Juist hij zou kunnen vertellen over ransomware, geavanceerde dreigingsactoren of de nieuwste ai-aanvallen. Toch kiest hij bewust een andere invalshoek. ‘Technologie blijft zich ontwikkelen. De menselijke natuur verandert veel langzamer. Uiteindelijk zijn het mensen die de kwaliteit bepalen van de beslissingen die onder onzekerheid worden genomen.’
Wie denkt dat Shrestha al vroeg wist dat hij chief information security officer (ciso) zou worden, heeft het mis. Zijn loopbaan ontwikkelde zich niet volgens een strak uitgestippeld plan. ‘Ik heb nooit gezegd: ik wil ooit groeps-ciso worden. Mijn ambitie was altijd om betekenisvol werk te doen en telkens de volgende uitdaging aan te gaan.’
Die houding bracht hem in uiteenlopende internationale omgevingen, waar hij leerde dat cybersecurity veel verder gaat dan firewalls en detectiesystemen. Vooral zijn jaren bij Shell vormden daarin een belangrijk fundament. ‘Je leert daar omgaan met een enorme complexiteit. Verschillende landen, verschillende culturen, verschillende risico’s. Maar vooral leer je dat veiligheid nooit alleen een technisch vraagstuk is. Uiteindelijk draait het altijd om mensen.’
Juist daar ontstond zijn fascinatie voor leiderschap. ‘In het begin van je carrière denk je vooral na over oplossingen. Later realiseer je je dat de echte uitdaging niet zit in de techniek, maar in het meenemen van mensen.’
Volgens Shrestha verandert de rol van de ciso fundamenteel. Wat vroeger vooral een it- en gegevensbeveiligingsdiscipline was, verschuift nu naar het bieden van een veilige, betrouwbare en onderling verbonden ervaring, een stabiele wereldeconomie en het beschermen van onze manier van leven in de digitale paradigmaverschuiving waarin we ons nu bevinden.
‘De vraag is niet langer of een organisatie bescherming nodig heeft en wat we moeten beschermen, maar iets fundamentelers: waarom is deze bescherming eigenlijk belangrijk? Wie beschermen we? Wat proberen we te behouden en wat is de impact als we dit verkeerd aanpakken?’
‘Technische kennis blijft belangrijk, maar het onderscheid wordt steeds minder gemaakt op basis van wie de beste techneut is.’ Volgens hem worden andere vaardigheden steeds belangrijker. ‘Kun je complexe risico’s begrijpelijk uitleggen? Kun je vertrouwen opbouwen? Kun je mensen meenemen in moeilijke beslissingen? Kun je rust brengen wanneer iedereen naar jou kijkt? Dat zijn uiteindelijk leiderschapskwaliteiten. Geen technische.’
Opvallend genoeg denkt Shrestha niet dat organisaties een tekort hebben aan informatie. Integendeel. ‘We hebben steeds meer data, dashboards en ai. Tijdens een crisis ontbreekt het zelden aan informatie.’
‘Goed oordeelsvermogen.’ Hij formuleert het bijna als een levensles: ‘Meer informatie leidt niet automatisch tot betere beslissingen.’ Juist daar ziet hij de grootste uitdaging voor de komende jaren. ‘Ai kan ons helpen patronen te herkennen en cognitieve belasting te verminderen. Maar context, ethiek en verantwoordelijkheid blijven menselijke eigenschappen.’
Die overtuiging vormt ook de basis van Zyn Global. ‘We moeten technologie gebruiken om mensen betere beslissingen te laten nemen. Humans must lead. Technology must augment.’
Halverwege het gesprek komt Jaguar Land Rover ter sprake. Als Group CISO in de afgelopen twee decennia heeft Shrestha enkele van de meest complexe cybercrises van de afgelopen jaren geleid. Hij vermijdt bewust operationele details.
‘Uit respect voor mijn voormalige werkgevers en professionele vertrouwelijkheid ga ik niet in op operationele details.’ Toch bevestigde die periode de leiderschapsprincipes waar hij al lang in geloofde. ‘Tijdens een crisis verandert je rol volledig. Mensen kijken niet meer naar je functie; ze kijken naar jou.’
Voor Shrestha draait leiderschap op zulke momenten niet om het hebben van alle antwoorden. ‘Leiderschap betekent voor mij duidelijkheid creëren wanneer onzekerheid overheerst, kalm blijven wanneer anderen onrust voelen en mensen helpen samen goede beslissingen te nemen. Ik heb leiderschap altijd gezien als een vorm van dienstbaarheid. Als mensen een moeilijke situatie verlaten met meer vertrouwen, meer verbondenheid en meer handelingsperspectief dan toen ze binnenkwamen, heb je als leider je werk goed gedaan.’
Voor veel buitenstaanders eindigt een cybercrisis op het moment dat systemen weer online komen. Voor de ciso begint dan vaak pas de verwerking. ‘De druk verdwijnt niet zodra de technische respons op gang komt’, zegt Shrestha. ‘Sterker nog, voor de leider begint het dan pas.’
Organisaties investeren miljoenen in business continuity, disaster recovery en crisismanagement. Maar wie bereidt de leider voor die onder grote tijdsdruk beslissingen moet nemen waarvan de gevolgen soms pas maanden of jaren later duidelijk worden? ‘We bereiden organisaties voor op operationeel herstel, maar nauwelijks op de menselijke tol die zo’n crisis vraagt van de mensen die de verantwoordelijkheid dragen.’
Ashish Shrestha zal op de eerste dag van Cybersec Netherlands 2026 (9 en 10 september, Jaarbeurs Utrecht) het podium betreden als keynotespreker om zijn praktijkervaring en thought leadership te delen over de menselijke kant van cyberleiderschap en cyberweerbaarheid. ‘De meeste ciso’s herkennen dit onmiddellijk. Tijdens een crisis staat alles in dienst van de organisatie. Je adrenaline neemt het over. Je slaapt nauwelijks, leeft op koffie en beslissingen en probeert tegelijkertijd rust uit te stralen naar je team, de directie, toezichthouders en externe partners.’
Maar zodra de crisis voorbij is, volgt vaak iets waar niemand het over heeft. ‘Dan verwacht iedereen dat je gewoon weer doorgaat.’ Hij noemt het één van de grootste blinde vlekken binnen het vakgebied. ‘We hebben het veel over cyberweerbaarheid. Maar hoe weerbaar zijn de mensen die die weerbaarheid moeten organiseren?’
Op de vraag welke eigenschap een goede ciso onderscheidt van een uitstekende ciso hoeft Shrestha niet lang na te denken. ‘Vertrouwen.’ Niet technologie. Niet certificeringen. Niet ervaring. Vertrouwen. ‘Vertrouwen bouw je vóór een crisis. Tijdens een crisis wordt het getest.’
Juist daarom besteedt hij zoveel aandacht aan relaties met bestuurders, collega’s en teams. Niet omdat dat ‘zacht’ leiderschap zou zijn, maar omdat vertrouwen volgens hem de belangrijkste versneller is tijdens een incident. ‘Wanneer bestuurders je vertrouwen, hoef je tijdens een crisis niet eerst je geloofwaardigheid te bewijzen. Dan kunnen alle gesprekken gaan over de juiste beslissingen.’
Volgens Shrestha wordt de kwaliteit van een ciso uiteindelijk niet bepaald door het aantal aanvallen dat wordt tegengehouden. ‘Je wordt beoordeeld op de kwaliteit van je leiderschap wanneer de druk maximaal is.’ Dat vraagt volgens hem om iets wat in cybersecurity nog te weinig wordt ontwikkeld: oordeelsvermogen. ‘Cybersecurity is geen wedstrijd waarin je alle antwoorden hebt. Integendeel. Juist tijdens een crisis beschik je zelden over volledige informatie.’ Daarom gelooft hij ook niet dat organisaties vooral meer data nodig hebben. ‘We hebben behoefte aan betere besluitvorming, niet aan meer dashboards.’
Tijdens het gesprek komt Shrestha zelf met een onderwerp dat hij graag aan het interview wilde toevoegen. ‘Als ik één misvatting zou mogen wegnemen’, zegt hij, ‘dan is het dat cybersecurity nog steeds te vaak wordt gezien als een technisch probleem.’ Volgens hem ligt de echte uitdaging ergens anders. ‘Cybersecurity gaat uiteindelijk over menselijk gedrag. Over vertrouwen. Over samenwerking. Over verantwoordelijkheid.’
Hij ziet nog steeds organisaties die cybersecurity behandelen als een afdeling in plaats van een gezamenlijke verantwoordelijkheid. ‘Zolang medewerkers denken dat cybersecurity iets is van ‘de security-afdeling’, lopen we achter de feiten aan.’ Hij hoopt dat de sector de komende jaren een fundamentele omslag maakt. ‘We beschermen niet alleen organisaties, maar ook de samenleving die steeds afhankelijker wordt van digitale infrastructuur. Cybersecurity is uitgegroeid tot een maatschappelijke verantwoordelijkheid.’
Na bijna twintig jaar in internationale leidinggevende functies richtte Shrestha Zyn Global op. ‘Ik wilde iets bouwen waarmee we leiders helpen betere beslissingen te nemen.’
Juist daarom spreekt hij tegenwoordig veel over leiderschap met een duidelijk doel. ‘Verwar je functietitel nooit met je doel.’ Dat is misschien wel de belangrijkste loopbaanles die hij zelf heeft geleerd. ‘Een titel krijg je van een organisatie. Je doel bepaal je zelf.’
Tot slot vraagt Computable hem welk advies hij jonge cybersecurityprofessionals zou willen meegeven. ‘Blijf nieuwsgierig, investeer in communicatie, leer luisteren en zoek bewust mensen op die anders denken dan jij. Verlies nooit uit het oog waarom je dit werk doet.’
Technologie blijft zich volgens Shrestha ontwikkelen. ‘De menselijke natuur verandert veel langzamer. Daarom wordt de toekomst van cybersecurity niet gevormd door technologie alleen, maar door leiders die vertrouwen bouwen, oordeelsvermogen versterken en mensen samenbrengen rond een gedeeld doel.’
Volgens Ashish Shrestha worden dit de belangrijkste competenties voor toekomstige cybersecurityleiders:
‘Technologie blijft belangrijk, maar uiteindelijk zullen organisaties het verschil maken met leiders die mensen weten te verbinden.’
Tijdens Cybersec Netherlands 2026 verzorgt Ashish Shrestha de keynote over de menselijke kant van cyberleiderschap: When the alarm sounds: the call no leader wants – The human side of being a CISO (based on true events). Daarnaast neemt hij deel aan een paneldiscussie over de mentale belastbaarheid van ciso’s en de vraag hoe organisaties hun cyberleiders beter kunnen ondersteunen tijdens en na een crisis.
Ontdek de nieuwste ontwikkelingen in cybersecurity tijdens Cybersec Netherlands op 9 en 10 september 2026 in Jaarbeurs Utrecht. Laat je inspireren door experts, praktijkcases en innovatieve oplossingen.