De rol van de CISO: vooral gericht op risico en audits

“Er zijn twee soorten CISO’s. De ene groep houdt zich bezig met compliance en vinkjes zetten, en de andere groep gelooft in procesinnovatie en het oplossen van risico’s.” Deze opmerking van een CISO tijdens een recent interview voor Security Innovation Stories riep een interessante vraag op: hoeveel hiervan is waar?

Dit was één van de vragen die ik wilde beantwoorden tijdens mijn CISO onderzoek. En hoe belangrijk zijn andere specifieke taken en specialisaties voor CISO’s? Dat is de vraag die ik beantwoord in dit artikel.

Lees het voorgaande artikel: Er is een groter verschil tussen CISO en CISO dan je denkt

Wat zegt de data?

Hoewel LinkedIn-profielen niet alles kunnen vertellen over de rol van een CISO, laten ze wel zien welke vaardigheden en verantwoordelijkheden organisaties het meest waarderen. Wanneer CISO’s specifieke onderwerpen in hun profielen benadrukken, suggereert dit dat deze competenties prioriteit hebben binnen hun organisaties – of in ieder geval dat zij denken dat dit het geval is.

Onder Nederlandse CISO’s worden opkomende beveiligingsdomeinen verrassend weinig genoemd, zoals Operational Technology (OT) security, Internet of Things (IoT) security, API security en Application security.

Daarentegen komen termen als “ISO”(-certificeringen) en “audit” veel vaker voor in CISO-profielen. Dit suggereert dat organisaties (én CISO’s?) meer waarde hechten aan compliance- en auditexpertise dan aan diepgaande technische beveiligingsdomeinen.

De compliance-val

Deze focus op compliance en audits kan een veelgehoorde klacht in de security-industrie verklaren: het gebrek aan beslissingsmacht van CISO’s. Een securityleverancier merkte recentelijk op dat ze zich nooit op CISO’s richten omdat zij geen budgetten beheren – in plaats daarvan focussen ze op CTO’s en CIO’s, die wél beslissingsmacht en controle over budgetten hebben.

Dit roept een ongemakkelijke vraag op: als de rol van de CISO voornamelijk draait om audits en compliance, is het dan verrassend dat zij weinig invloed hebben op strategische beslissingen? Vergelijk het met quality assurance (QA): we verwachten niet dat QA-engineers zakelijke beslissingen nemen. Hun rol is om problemen te identificeren en te zorgen dat kwaliteitsnormen worden nageleefd, terwijl de rest van de organisatie bepaalt hoe deze bevindingen worden aangepakt.

Wanneer CISO’s zich uitsluitend richten op compliance en audits, voeren ze in feite dezelfde taak uit als QA-engineers, maar dan voor beveiligingsstandaarden in plaats van productkwaliteit. Ze zetten vinkjes, zorgen voor naleving van kaders en signaleren hiaten – maar ze sturen geen strategische beslissingen aan. Als we QA-engineers niet betrekken bij belangrijke zakelijke beslissingen over productontwikkeling, waarom zouden we compliance-georiënteerde CISO’s dan wel anders behandelen? Dit zou kunnen verklaren waarom veel organisaties hun CISO’s buiten strategische technologie- en bedrijfsdiscussies houden.

Het risico van risicobeheer

Het contrast met andere leiderschapsrollen is opvallend. Marketingdirecteuren nemen duidelijke standpunten in over opkomende trends, technologieën en strategieën. Ze sturen actief de discussie over digitale transformatie, klantbeleving en marktontwikkelingen. In de securitywereld daarentegen is een van de meest verhitte CISO-discussies die ik recent heb gezien, de effectiviteit van security awareness-trainingen.

Waar blijven de CISO’s die het gesprek leiden over strategieën voor dreigingsinformatie? Waarom zien we nauwelijks CISO’s die stevige standpunten innemen over OT-beveiliging of de discussie bepalen over nieuwe security-architecturen? Terwijl marketingleiders hun organisaties zelfverzekerd door digitale transformaties loodsen, lijken veel CISO’s huiverig om hun auditgerichte comfortzone te verlaten.

Deze auditgerichte aanpak creëert mogelijk een vicieuze cirkel: organisaties nemen CISO’s voornamelijk aan voor compliance, waardoor ze hen buitensluiten van strategische securitybeslissingen. Dit versterkt op zijn beurt het beeld dat CISO’s zich vooral met audits en compliance moeten bezighouden.

De volgende stap

De vraag is niet of audit en compliance belangrijk zijn – dat zijn ze. De vraag is of dit de primaire focus van de CISO moet zijn. Nu security-uitdagingen steeds complexer en technischer worden, is het misschien tijd voor organisaties om de balans tussen compliance en technisch security-leiderschap in de CISO-rol opnieuw te overwegen.

Voor leveranciers en security-professionals heeft dit inzicht praktische gevolgen. Als je aan CISO’s verkoopt, besef dan dat hun invloed binnen de organisatie mogelijk beperkt is. Overweeg of andere technische leiders wellicht beter gepositioneerd zijn om beveiligingsinvesteringen te bepalen.

Voor organisaties is het de moeite waard om kritisch te kijken naar de functie-invulling van de CISO. Dient een auditgerichte CISO-rol werkelijk de beveiligingsbehoeften van een organisatie? In een wereld waarin bedreigingen zich snel ontwikkelen, is het misschien tijd om de rol van de CISO uit te breiden naar strategisch security-leiderschap.

Onderzoeksmethode Dit onderzoek is gebaseerd op openbaar beschikbare LinkedIn-profielgegevens van CISOs in Nederland. De dataset bevat organisatorische informatie zoals bedrijfsomvang en sector, allemaal afkomstig van openbare profielen. Om de privacy te beschermen, is alle data geanonimiseerd en zijn persoonlijke identificatiegegevens tijdens de analyse verwijderd. De verwerking van de gegevens bestond uit verschillende stappen: – Verzamelen van openbare profielinformatie – Opschonen van inconsistente functietitels en bedrijfsinformatie – Verrijking met aanvullende openbare bedrijfsgegevens – Analyse van patronen en trends Belangrijke beperkingen: – De analyse is beperkt tot professionals met een LinkedIn-profiel – De data bevat uitsluitend openbaar gedeelde informatie – Het percentage CISOs met een LinkedIn-profiel is onbekend – Functietitels en verantwoordelijkheden kunnen per organisatie verschillen Alle conclusies moeten binnen deze beperkingen worden bekeken. De analyse is gericht op het identificeren van trends en patronen, niet op het leveren van definitieve marktstatistieken.