Leestijd: 4 minuten
Categorie: Trends and Reports
Auteur: Yuri Bobbert
De rol van de Chief Information Security Officer (CISO) verandert in hoog tempo. Waar de functie ooit vooral technisch georiënteerd was, komen er tegenwoordig een tal van nieuwe verantwoordelijkheden bij. De topman leunt steeds meer op de CISO, maar dit is niet zonder risico.
De CISO is niet langer alleen verantwoordelijk voor het “technisch beveiligen van cyber”; in plaats daarvan ligt de focus op het beheren van risico’s die echte impact hebben op bedrijfsdoelen.
Volgens de Telegraaf zien we dit terug in hogere salarissen, een breder takenpakket en een sterkere positie binnen het C-level. Maar in hoeverre is dit beeld realistisch?
De groeiende verantwoordelijkheden van de CISO
Vooral in Europa zien we dat salarissen achterblijven bij die in de VS, maar dat de druk op de CISO desondanks onverminderd toeneemt. Nieuwe wet- en regelgeving – zoals de mogelijkheid om CISOs persoonlijk aansprakelijk te stellen bij beveiligingsincidenten – dwingt organisaties om security hoger op de agenda te zetten.
Maar security draait niet meer uitsluitend om IT. Cyberrisico’s raken de hele organisatie, van reputatiemanagement tot operationele continuïteit. Met de opkomst van AI, smart devices (IoT en OT) en een groei aan bedrijfsspionage is de CISO niet langer slechts een technisch expert, maar een strateeg binnen het C-level.
De zogenaamde oplossing: de CISO moet zichzelf ‘simpelweg’ blijven ontwikkelen. Dit is wel erg kort door de bocht. Hoe waardevol persoonlijke ontwikkeling ook is, één persoon kan niet alle verantwoordelijkheden blijven dragen zonder de juiste ondersteuning. Zonder adequate tools, samenwerking en een duidelijke rolverdeling binnen de organisatie wordt de last voor de CISO al snel onhoudbaar.
Van traditioneel naar modern: hoe CISO-verantwoordelijkheden zijn veranderd
In de praktijk zien we twee typen CISOs ontstaan.
De traditionele CISO kiest vaak voor een solistische aanpak en probeert zelf het overzicht te houden. Hij of zij is vaak eigenwijs, pragmatisch en legt de nadruk op technische oplossingen en jargon, wat andere afdelingen kan afschrikken. Hij of zij kan snel overbelast raken en onvoldoende draagvlak creëren binnen de organisatie.
De moderne CISO beseft dat security een bedrijf kritisch onderwerp is dat breder gedragen moet worden. Het kan simpel en pragmatisch: taken kun je delegeren en je moet nauw samenwerken met andere afdelingen. Deze CISO weet prioriteiten te stellen: waar ligt de grootste bedrijfsimpact, en welke risico’s moeten als eerste worden aangepakt?
De balans tussen cybersecurity en bedrijfsstrategie
Neem het volgende voorbeeld: een middelgrote organisatie heeft met een grote hoeveelheid phishing aanvallen te maken. Een traditionele CISO richt zich op hetgeen waar hij of zij invloed op heeft, zoals het invoeren van een nieuw e-mailfiltering systeem. Een moderne CISO zal het breder aanpakken: naast dit e-mailfiltering systeem betrekt hij de rest van de organisatie bij een bewustwordingscampagne.
Mijn mening: de uitdagingen waarmee een CISO te maken krijgt, kunnen te groot worden als ze niet op de juiste manier worden ondersteund. Denk aan strengere wetgeving (NIS2, DORA, GDPR) en de toenemende kosten van datalekken (gemiddeld inmiddels 4,45 miljoen dollar). Een solistische CISO die zich enkel op ‘IT-security’ richt, gaat vroeg of laat tegen de grenzen van die aanpak aanlopen.
Hoe organisaties de uitbreidende rol van de CISO kunnen ondersteunen
Security is een gedeelde verantwoordelijkheid. Betrek alle afdelingen bij dit proces en zorg dat zij hun rol begrijpen. Uit onderzoek blijkt dat 96% van de CEO’s cybersecurity als een cruciale groeistrategie beschouwt. Tegelijk voelt 74% zich niet comfortabel in het verdedigen van een cyberincident, wat de rol van de CISO nog belangrijker maakt.
Behandel security niet als een technisch thema, maar als integraal onderdeel van risicomanagement en bedrijfsdoelen. Dat vereist een vaste plaats van de CISO aan de bestuurstafel.
Net zoals een CFO financiële systemen nodig heeft, heeft de CISO tools nodig om risico’s inzichtelijk te maken en prioriteiten te stellen. Alleen zo kan hij of zij belangrijke besluiten maken op basis van actuele en relevante data.
Faciliteer trainingen en zorg voor samenwerking tussen IT, compliance, juridische afdelingen en zelfs externe experts. Een cultuur waarin continu leren en verbeteren centraal staat, is onmisbaar voor effectieve security.
Cybersecurity leadership: Waarom CISO-verantwoordelijkheden verder gaan dan IT
De druk op de CISO neemt toe, niet alleen door toenemende dreigingen en complexere technologie, maar ook door strengere wet- en regelgeving. Toch ligt de oplossing niet alleen bij persoonlijke ontwikkeling van de CISO. Cybersecurity is al lang niet meer alleen een technisch onderwerp. Het raakt de kern van je bedrijf: continuïteit, reputatie en het voldoen aan wetten en regels.
Organisaties moeten investeren in het bieden van overzicht en een cultuur van samenwerking. Zo wordt cybersecurity een kerntaak van de hele organisatie, in plaats van het domein van één overbelaste specialist.
