Splunk Rapport: CISO’s krijgen wereldwijd meer invloed in de C-suite en bestuurskamers

Splunk heeft vandaag in samenwerking met Oxford Economics het CISO Report 2025 uitgebracht, een wereldwijd onderzoeksrapport waarin de doelen, prioriteiten en bedrijfsstrategieën voor Chief Information Security Officers (CISO’s) en hun directies worden beschreven.

De opkomst van de CISO naar de C-suite gaat gepaard met beter contact met de bestuurskamer, een luisterend oor bij de CEO en de capaciteit om strategische beslissingen voor het bedrijf te nemen. Zo’n 82% van de ondervraagde CISO’s rapporteert nu rechtstreeks aan de CEO, een aanzienlijke stijging ten opzichte van 47% in 2023. Bovendien neemt 83% van de CISO’s enigszins vaak of meestal deel aan bestuursvergaderingen. Hoewel 60% erkent dat bestuursleden met een cybersecurity-achtergrond een grotere invloed hebben op beveiligingsbeslissingen, zegt slechts 29% van de CISO’s dat hun directie ten minste één lid heeft met expertise op het gebied van cybersecurity.

Michael Fanning, Chief Information Security Officer bij Splunk: “Naarmate cyberbeveiliging steeds centraler komt te staan bij zakelijk succes, hebben CISO’s en hun raden van bestuur meer mogelijkheden om hiaten te dichten, meer afstemming te krijgen en elkaar beter te begrijpen bij het stimuleren van digitale veerkracht. Voor CISO’s betekent dit dat ze de bedrijfsvoering buiten hun IT-omgeving moeten begrijpen en nieuwe manieren moeten vinden om de ROI van beveiligingsinitiatieven over te brengen op hun directies. Voor bestuursleden betekent dit dat ze zich committeren aan een cultuur waarin beveiliging voorop staat en de CISO raadplegen als primaire belanghebbende bij beslissingen. Om deze groepen bij elkaar te brengen, moeten directies worden opgeleid over de details van cyberbeveiliging en moeten CISO’s de taal en behoeften van het bedrijf begrijpen. Dit terwijl ze beveiliging ook een zakelijke enabler maken.”

Shefali Mookencherry, Chief Information Security en Privacy Officer van de Universiteit van Illinois Chicago: “Het leiden en beheren van de cyberbeveiligings- en privacyprogramma’s bij een instelling voor hoger onderwijs vereist sterke samenwerking en communicatie van bestuursleden tot privacyleiders, personeel, docenten als studenten. Zo kunnen we ervoor zorgen dat beveiliging wordt geïntegreerd in alle aspecten van de organisatie. Naarmate de rol van de CISO complexer en belangrijker wordt voor organisaties, moeten CISO’s in staat zijn om beveiligingsbehoeften in evenwicht te brengen met bedrijfsdoelstellingen. Ze moeten de cultuur en de waarde van beveiligingsinvesteringen moeten weten te verwoorden. Door sterke relaties op te bouwen tussen verschillende afdelingen en belanghebbenden, kunnen CISO’s begeleiding en leiderschap bieden om zodoende cyberbeveiligings- en privacyprogramma’s te stimuleren.”

De impact van het afstemmen van de CISO en de directie
Bestuursleden met een CISO-achtergrond rapporteren sterkere relaties met beveiligingsteams en hebben meer vertrouwen in de beveiligingshouding van de organisatie. Ze zijn minder geneigd dan andere directie leden om te denken dat ze te weinig doen om het bedrijf te beschermen (37% versus 62% onderzoeksgemiddelde). Respondenten van directies meldden uitstekende of zeer goede werkrelaties tussen de CISO’s en de directie op de volgende gebieden:
● Vaststellen en afstemmen op strategische cybersecurity-doelen (80% voor besturen met een CISO lid versus 27% voor andere besturen)
● Communiceren over de voortgang ten opzichte van mijlpalen, het behalen van beveiligingsdoelen en het registratieplan (60% voor besturen met een CISO zitten versus 16% voor andere besturen)
● Adequaat budgetteren om doelen te bereiken (50% voor besturen met een CISO versus 24% voor andere besturen)

CISO’s met gezonde relaties met het bestuur kunnen vaker profiteren van een betere samenwerking binnen de hele organisatie en rapporteren bijzonder sterke partnerschappen met IT-operations (82% versus 69% van andere CISO’s) en engineering (74% versus 63% van andere CISO’s). CISO’s met goede bestuursrelaties krijgen ook meer kans om use cases voor generatieve AI na te streven, zoals het opstellen van regels voor dreigingsdetectie (43% versus 31% van andere CISO’s), het analyseren van gegevensbronnen (45% versus 28% van andere CISO’s), incidentrespons en forensisch onderzoek (42% versus 29% van andere CISO’s) en proactieve opsporing van bedreigingen (46% versus 28% van andere CISO’s).

Het overbruggen van de kloof tussen CISO en bestuur: prioriteiten, vaardigheden en het meten van succes
Hoewel CISO’s en directies aangeven dat ze beter op elkaar zijn afgestemd op beveiligingsprioriteiten, zijn er nog steeds groeimogelijkheden. De grootste hiaten in topprioriteiten tussen CISO’s en raden van bestuur zijn onder meer:
● Innoveren met opkomende technologieën (52% van de CISO’s beschouwt dit als een prioriteit tegenover 33% voor bestuursleden)
● Bij- of omscholing van beveiligingsmedewerkers (51% voor CISO’s versus 27% voor directies)
● Bijdragen aan initiatieven voor omzetgroei (36% voor CISO’s versus 24% voor besturen)

Directies hebben hoge verwachtingen van CISO’s die bezig zijn met het ontwikkelen van nieuwe vaardigheden om betere bedrijfsleiders te worden. Het leren van nieuwe vaardigheden maakt het werk van de CISO echter complexer: 53% zegt dat hun verantwoordelijkheden en taken moeilijker zijn geworden sinds ze de baan hebben aangenomen. Op de vraag welke vaardigheden CISO’s moeten ontwikkelen, zijn de grootste opportuniteiten in relevantie:
● Zakelijk inzicht (55% voor raden van bestuur versus 40% voor CISO’s)
● Emotionele intelligentie (45% voor raden van bestuur versus 35% voor CISO’s)
● Communicatie (52% voor raden van bestuur versus 47% voor CISO’s)
● Kennis van regelgeving en compliance (44% voor raden van bestuur versus 57% voor CISO’s)

Hoewel raden van bestuur en CISO’s het eens zijn over de belangrijkste KPI’s op het gebied van cyberbeveiliging, zegt 79% van de CISO’s dat de KPI’s voor hun beveiligingsteams de afgelopen jaren aanzienlijk zijn veranderd. Zesenveertig procent van de CISO’s zegt dat het bereiken van beveiligingsmijlpalen een indicatie is van hun succes, vergeleken met slechts 19% van de respondenten van de directie.

Het handhaven van compliance is van cruciaal belang voor het bedrijf
Regelgeving is complexer, uitgebreider en strenger geworden, waardoor snellere rapportage van incidenten nodig is en meer aansprakelijkheid op de schouders van CISO’s wordt gelegd. Hoewel het handhaven van compliance van vitaal belang is voor het bedrijf, rangschikte slechts 15% van de CISO’s de compliance-status als een topprestatiemaatstaf, een aanzienlijke kloof vergeleken met 45% van de raden van bestuur. Eenentwintig procent van de CISO’s gaf aan dat ze onder druk waren gezet om een nalevingsprobleem niet te melden, daarentegen zei 59% dat ze klokkenluider zouden worden als hun organisatie de nalevingsvereisten negeerde.

Bezuinigingen hebben grote gevolgen
Cyberbudgetten weerspiegelen inconsistente ondersteuning en verkeerde afstemming. Hierbij zegt 29% van de CISO’s dat ze een juist budget ontvangen voor cyberbeveiligingsinitiatieven en het bereiken van hun beveiligingsdoelen, vergeleken met 41% van de bestuursleden die denken dat budgetten toereikend zijn. Vierenzestig procent van de CISO’s geeft aan dat ze zich door de huidige dreiging en regelgeving zorgen maken dat ze niet genoeg doen. Achttien procent van de CISO’s gaf aan dat ze, in de afgelopen 12 maanden, een zakelijk initiatief niet konden ondersteunen vanwege bezuinigingen. Daarnaast zei 64% dat gebrek aan ondersteuning heeft geleden tot een cyberaanval. CISO’s rapporteerden ook verminderde beveiligingsoplossingen en -tools (50%), bevriezing van beveiligingsaanwervingen (40%) en verminderde of geschrapte beveiligingstraining (36%) als de belangrijkste kostenbesparende maatregelen. Vierennegentig procent van de CISO’s meldt het slachtoffer te zijn geweest van een ontwrichtende cyberaanval, waarbij 55% deze minstens een paar keer heeft meegemaakt en nog eens 27% ze vele malen heeft meegemaakt.