Er is een groter verschil tussen CISO en CISO dan je denkt

Michelle Wols

“Wij richten ons op CISO’s,” zeggen veel IT-beveiligingsbedrijven – of ze zeggen dat de CISO niet genoeg beslissingsmacht heeft. Bij Beyond Products hebben we veel CISO’s geïnterviewd (voor Security Innovation Stories en klantinterviews), en telkens komt de vraag in me op: weet je zeker dat de CISO de juiste doelgroep is?

Inzicht in het CISO-landschap

Geen enkele CISO is hetzelfde. Naast de functietitel zijn er enorme organisatorische verschillen. Een CISO van een gemeente heeft een totaal andere rol dan die van een bank of als marketingvehikel van een SaaS-bedrijf. De verschillen gaan veel verder dan alleen het type organisatie – ze omvatten teamgrootte, capaciteiten, budgettoewijzing en operationele realiteiten.

Maar over welke cijfers hebben we het eigenlijk? Na uitgebreid onderzoek naar het CISO-landschap wilde ik nagaan:

  • Welke soorten bedrijven hebben een CISO?
  • Hoe zijn hun beveiligingsteams gestructureerd?
  • Welke operationele capaciteiten hebben ze daadwerkelijk?
  • Hoeveel virtuele/fractionele CISO’s zijn er?
  • Kiezen veel CISO’s voor het ‘interim’-pad?
  • Waar vinden we CISO’s?

Onderzoeksmethodologie

Dit onderzoek is gebaseerd op openbaar beschikbare LinkedIn profielgegevens van CISO’s in Nederland. De dataset bevat organisatorische informatie zoals bedrijfsgrootte en industrie, allemaal afkomstig van openbare profielen. Alle gegevens zijn geanonimiseerd om de privacy te beschermen, waarbij persoonlijke identificatiegegevens zijn verwijderd tijdens de analyse. Belangrijke beperking: de analyse is beperkt tot CISO’s die een LinkedIn-account hebben.

De huidige stand van zaken van CISO’s

LinkedIn telt 1138 CISO’s in Nederland. Gezien het strategische karakter van de rol is het geen verrassing dat de meeste bij grotere organisaties werken (57%). Van de overige 43% werkt een klein deel (6%) bij IT-beveiligingsleveranciers – zowel producten als diensten. In dit laatste geval wordt hun rol vaak gecombineerd met andere functietitels, variërend van product owner tot HR en finance.

Als we naar sectoren kijken, werkt slechts 16% bij wat we traditioneel als enterprise-level bedrijven beschouwen. Een paar organisaties (met name banken) vertroebelden mijn spreadsheet, omdat zij complete CISO-afdelingen hebben (al deze mensen verschenen in mijn lijst).

Enterprise- en financiële CISO’s: De full-stack leiders

Enterprise CISO’s beschikken over ruime budgetten en steun van het management en leiden grote teams van beveiligingsprofessionals, waaronder dedicated threat hunters, SOC-analisten en security-architecten. Hun organisaties worden geconfronteerd met geavanceerde dreigingen en complexe regelgeving, wat vraagt om uitgebreide beveiligingsprogramma’s.

Deze leiders besteden meer tijd aan stakeholdermanagement en strategische planning dan aan praktische beveiligingstaken. Hoewel ze middelen hebben voor geavanceerde oplossingen, moeten ze ook omgaan met extreem complexe inkoopprocessen. Door de grote investeringen in beveiligingsproducten kiezen ze er soms voor om hun eigen oplossingen te ontwikkelen, wat deuren opent voor dienstverleners in plaats van productbedrijven.

CISO’s bij overheidsorganisaties: De compliance-jongleurs

Overheids-CISO’s, met name bij gemeenten, werken vaak met minimale teams of zelfs solo en combineren de rollen van beveiligingsleider, privacyfunctionaris en compliance-manager. Ze moeten uiterst gevoelige burgergegevens beschermen, zoals burgerservicenummers, terwijl ze werken met beperkte budgetten en steeds geavanceerdere bedreigingen.

De dagelijkse realiteit bestaat uit het balanceren van overmatige compliance-eisen met praktische beveiligingsbehoeften. Deze CISO’s besteden veel tijd aan coördinatie met auditors, het documenteren van processen en het waarborgen van naleving van regelgeving, terwijl ze tegelijkertijd proberen effectieve beveiligingsmaatregelen in stand te houden.

CISO’s in de gezondheidszorg en het onderwijs: De resource-maximaliseerders

CISO’s in de gezondheidszorg en het onderwijs beschermen uiterst gevoelige gegevens met structureel ondergefinancierde beveiligingsprogramma’s. Het onderwijs heeft bovendien te maken met een afname van studentenaantallen, wat leidt tot budgetkortingen die direct invloed hebben op beveiligingsteams.

Met kleine teams moeten ze beveiliging combineren met algemene IT-taken, terwijl ze strenge regelgeving naleven. Deze CISO’s moeten steeds creatiever worden in het handhaven van beveiliging met steeds krimpende middelen en fungeren vaak als zowel strateeg als uitvoerder. Hun teams kunnen geen complexe beveiligingstools of 24/7 monitoring ondersteunen en richten zich daarom op essentiële controles, terwijl ze proberen basisbeveiliging te behouden.

CISO’s bij MKB-bedrijven: De multi-taskers

CISO’s bij MKB-bedrijven opereren in omgevingen waarin beveiliging wordt gezien als een noodzakelijke kostenpost in plaats van een strategische investering. Met minimale of geen toegewijde beveiligingsmedewerkers moeten ze beveiligingstaken combineren met andere IT-verantwoordelijkheden en zich richten op basiscontroles en cloudbeveiligingsfuncties, terwijl ze werken met onvoorspelbare en minimale budgetten.

Hun rol combineert strategische planning met hands-on uitvoering, wat brede technische kennis en sterke communicatieve vaardigheden vereist. Succes hangt af van effectief gebruik van clouddiensten en managed security providers om maximale impact te bereiken met minimale middelen.

Virtuele en interim CISO’s: De flexibele adviseurs

Virtuele CISO’s fungeren als externe beveiligingsleiders voor organisaties die geen fulltime CISO kunnen rechtvaardigen. Ze stellen beveiligingsprogramma’s op, zorgen voor naleving en begeleiden beveiligingsinvesteringen bij meerdere klanten, waarbij ze strategische expertise bieden op parttime of projectbasis.

Deze beveiligingsleiders moeten hun aanpak aanpassen aan de unieke beperkingen van elke klant, waarbij ze zich richten op het opzetten van basiscontroles en het ontwikkelen van beveiligingsbeleid. Ze fungeren ook als vertrouwde adviseurs bij incidenten of grote technologische investeringen.

Toen ik aan dit onderzoek begon, verwachtte ik een aanzienlijk aantal virtuele CISO’s te vinden – gezien alle discussies over dit model en hun actieve aanwezigheid op LinkedIn. De gegevens onthulden echter een verrassende realiteit: er zijn veel minder virtuele CISO’s dan verwacht. Zelfs na het combineren van virtuele en interim CISO’s om een betekenisvolle steekproefgrootte te krijgen, bleven de cijfers opmerkelijk laag. Hun hoge zichtbaarheid op sociale media, gedreven door de noodzaak om te netwerken en klanten aan te trekken, creëert een perceptie van overvloed die niet overeenkomt met de werkelijkheid.

Implicaties voor beveiligingsleveranciers

Het begrijpen van deze verschillen heeft belangrijke gevolgen voor beveiligingsleveranciers:

  • Organisatorische verschillen resulteren in andere prioriteiten. Een fabriek met veel IoT-risico’s is niet hetzelfde als een high-end bank die zijn eigen beveiligingstechnologie ontwikkelt.
  • Pas de complexiteit van de oplossing aan op de capaciteiten van het team.
  • Begrijp het volwassenheidsniveau van de beveiliging binnen de organisatie.

Een belangrijke vraag is altijd hoeveel service je met het product levert. Een kleinere organisatie zal meer behoefte hebben aan ‘doen voor hen’ dan grotere organisaties.

Vooruitblik

Hoewel dit te veel informatie is voor één artikel, blijven er enkele belangrijke vragen over:

  • Hoe willen CISO’s eigenlijk met leveranciers communiceren?
  • Wat is de echte balans tussen audit- en operationele beveiligingsrollen?
  • Welke andere rollen beïnvloeden beveiligingsaankopen?

Schrijf je in voor onze nieuwsbrief als je op de hoogte wilt blijven van de volgende artikelen.

Michelle Wols

Michelle is een expert in het begrijpen van doelgroepen in beveiliging en IT, en het omzetten van de productpositionering van complexe producten in scherpe, overtuigende marketingstrategieën die doel treffen.