Alain Rees · 12-07-2026 · 9 min leestijd
Als CISO en als CISO Office wil je weten waar je staat, zowel op het niveau van de organisatie als op dat van je eigen functie. Rapporteren aan het bestuur volgt daar vanzelf uit. Het echte doel is dat je genoeg meet om te kunnen sturen en op tijd bij te sturen. In dit artikel lees je hoe je dat doet met indicatoren, hoe je onderscheid maakt tussen presteren en doelen halen, en hoe je op twee niveaus meet zonder te verdrinken in cijfers.
In het kort
- Je meet niet om te rapporteren, maar om te kunnen sturen en op tijd bij te sturen.
- Een prestatie-indicator (KPI) laat zien hoe je presteert, een doelindicator (KGI) laat zien of je het doel haalt.
- Je meet op twee niveaus, namelijk de organisatie en het CISO Office.
- Elke indicator heeft een streefwaarde en een richting, en periodieke metingen geven de trend en een stoplicht.
- Begin met handmatige metingen die voor elk onderwerp werken, en automatiseer later waar dat kan.
Veel organisaties rapporteren wel over informatiebeveiliging, maar meten te weinig om er echt op te kunnen sturen. Een rapportage vertelt achteraf wat er is gebeurd, terwijl je met goede metingen tijdens de rit kunt bijsturen. Dat verschil is groot. Een bestuur dat elk kwartaal een rapport krijgt, weet hoe het ervoor stond, maar een CISO die de trend volgt, ziet aankomen dat een doel buiten bereik raakt en kan er nog iets aan doen.
Meten dient daarom vooral je eigen sturing. De rapportage aan het bestuur volgt er vanzelf uit, want als je de goede dingen meet, heb je het verhaal voor het bestuur al klaar.
Om te kunnen sturen, gebruik je twee soorten indicatoren die elkaar aanvullen.
Een prestatie-indicator, de KPI, laat zien hoe goed je presteert op weg naar een doel. De gemiddelde hersteltijd van kritieke kwetsbaarheden is zo'n indicator, want die vertelt hoe snel je werkt.
Een doelindicator, de KGI, laat zien of je het doel ook echt haalt. Het percentage kritieke kwetsbaarheden dat binnen de afgesproken termijn is hersteld, is zo'n indicator, want die vertelt of je de norm haalt die je jezelf hebt gesteld.
De twee horen bij elkaar. De KPI stuurt je dagelijkse werk, de KGI bewaakt of dat werk tot het gewenste resultaat leidt. Samen voorkomen ze dat je hard werkt zonder je doel te halen, of je doel haalt zonder te weten hoe.
Waar je staat, is een vraag op twee niveaus, en je meet ze allebei.
Het perspectief van de organisatie laat zien hoe de organisatie er op het gebied van beveiliging voor staat. Denk aan de kwetsbaarheden die op tijd zijn hersteld, de incidenten die tijdig zijn gemeld en de continuïteitsplannen die zijn beproefd.
Het perspectief van het CISO Office laat zien hoe je eigen functie presteert in het aansturen en bewaken daarvan. Denk aan de beoordelingen die op tijd zijn getoetst, de registers die actueel zijn en de rapportage die op tijd bij het bestuur ligt.
Deze twee kunnen uiteenlopen. De organisatie kan het goed doen terwijl het CISO Office achterloopt, of andersom. Door beide te meten, houd je zicht op de blinde vlek die ontstaat als je alleen naar het ene niveau kijkt.
Een bruikbare indicator is meer dan een getal. Je legt per indicator een aantal eigenschappen vast:
Met deze eigenschappen wordt een indicator zelfstandig leesbaar. Iedereen ziet in één oogopslag wat er wordt gemeten, wat het doel is en wie erover gaat.
Een indicator komt tot leven door te meten. Periodiek leg je een waarde vast, met de datum, het getal en een korte toelichting. Uit die reeks metingen volgt vanzelf de trend en de actuele stand.
De vergelijking met de streefwaarde geeft vervolgens een stoplicht. Staat de waarde op of boven de streefwaarde, dan is de indicator op koers en kleurt hij groen. Zit hij daar net onder, dan vraagt hij aandacht en kleurt hij oranje. Blijft hij achter, dan kleurt hij rood. Zo zie je in één blik waar het goed gaat en waar je moet ingrijpen, zonder eerst een tabel te hoeven ontleden.
De toelichting bij elke meting is belangrijker dan hij lijkt. Die verklaart een uitschieter, legt een aanname vast en maakt de meting later navolgbaar.
Bij het meten loont het om praktisch te beginnen. Handmatige periodieke metingen vormen de beste basis, want die werken voor elk onderwerp. Ook een indicator als de meldingsbereidheid bij phishing, die uit je bewustwordingsplatform komt, leg je zo eenvoudig vast.
Een deel van de indicatoren kun je later automatisch voeden uit gegevens die je al hebt. Denk aan de gemiddelde hersteltijd, het aantal risico's boven de tolerantie, de termijnen uit de Cyberbeveiligingswet, de herzieningsdata van je registers en de implementatiegraad van je Verklaring van Toepasselijkheid. Dat is een verstandige vervolgstap, al is het geen voorwaarde om te beginnen.
Alles voor elke indicator automatisch willen meten, is een valkuil. Het zou een enorme en deels onmogelijke bouw vragen, terwijl een handmatige meting per kwartaal je vaak al precies genoeg vertelt om te sturen. Begin daarom handmatig, en automatiseer gericht waar het echt tijd bespaart.
Als je meet, ontstaan er twee soorten overzicht die elkaar aanvullen.
Voor je eigen sturing gebruik je een scorekaart, oftewel een overzicht met per indicator het stoplicht en een mini-trend, gegroepeerd per perspectief en per onderwerp. Die scorekaart is je werkinstrument, waarmee je in één beeld ziet waar je staat en waar je moet bijsturen.
Voor het bestuur vat je dit samen in een blok met prestatie- en doelindicatoren in de reguliere managementrapportage. Het bestuur hoeft niet elke indicator te zien, maar wil de stand op hoofdlijnen, de trend en de punten die aandacht vragen. Zo blijft meten dicht bij het doel: het is de brug tussen je dagelijkse sturing en de verantwoording aan het bestuur.
Indicatoren horen in de basis van je managementsysteem, bij elk plan, want het is bestuurs- en managementinformatie, net als de managementrapportage zelf. Het beheer ervan ligt bij de managers en de beheerders die ook de onderliggende onderwerpen beheren, zodat de indicator dicht bij de bron blijft.
Zo sluit het meten direct aan op je informatiebeveiliging en risicomanagement (ISMS) en op onderwerpen als kwetsbaarhedenbeheer. De indicatoren vormen zo de stuurlaag boven de rest van je beheersing, in plaats van een losse verzameling cijfers.
De onderstaande voorbeelden helpen je op weg. Kies er een klein aantal uit, want beter een paar indicatoren die je echt bijhoudt dan een lange lijst die verwatert.
Organisatie, hoe doet de organisatie het
| Onderwerp | Indicator | Type | Streefwaarde |
|---|---|---|---|
| Kwetsbaarheden | Kritieke kwetsbaarheden binnen de hersteltermijn hersteld | KGI | ≥ 95% |
| Kwetsbaarheden | Gemiddelde hersteltijd van kritieke kwetsbaarheden | KPI | ≤ 14 dagen |
| Risicomanagement | Toprisico's met een actueel behandelplan | KGI | 100% |
| Risicomanagement | Risico's boven de tolerantie zonder acceptatie | KPI | 0 |
| Incidenten | Meldplichtige incidenten binnen 72 uur gemeld | KGI | 100% |
| Incidenten | Gemiddelde doorlooptijd van incident tot opgelost | KPI | dalen |
| Privacy | Verwerkingen met een geldige grondslag en een actuele herziening | KGI | 100% |
| Continuïteit | Continuïteitsplannen die het afgelopen jaar zijn beproefd | KPI | 100% |
| Naleving | Implementatiegraad van de Verklaring van Toepasselijkheid | KGI | stijgen |
| Bewustwording | Meldingsbereidheid bij phishing | KPI | stijgen |
CISO Office, hoe doet de CISO het
| Indicator | Type | Streefwaarde |
|---|---|---|
| Beoordelingen binnen de termijn getoetst volgens het vier-ogenprincipe | KPI | ≥ 90% |
| Risico's met een toegewezen eigenaar en behandelaar | KGI | 100% |
| Registers binnen hun herzieningsdatum (risico's, documenten, verwerkingen) | KPI | ≥ 95% |
| Achterstallige taken in het CISO Office | KPI | dalen |
| Maatregelen die op tijd op effectiviteit zijn getest | KPI | ≥ 90% |
| Kwartaalrapportage aan het bestuur op tijd opgeleverd | KGI | ja |
Wat is het verschil tussen een KPI en een KGI? Een prestatie-indicator (KPI) laat zien hoe goed je presteert, bijvoorbeeld de gemiddelde hersteltijd. Een doelindicator (KGI) laat zien of je het doel haalt, bijvoorbeeld het percentage dat binnen de termijn is hersteld. De KPI stuurt het werk, de KGI bewaakt het resultaat.
Waarom meet je op twee niveaus? Omdat de organisatie en het CISO Office kunnen uiteenlopen. De organisatie kan goed presteren terwijl je eigen functie achterloopt, of andersom. Door beide te meten, houd je zicht op het geheel.
Moet je alles automatisch meten? Nee. Handmatige periodieke metingen werken voor elk onderwerp en zijn een goede basis. Een deel kun je later automatisch voeden uit gegevens die je al hebt, al is alles automatiseren onnodig en deels onmogelijk.
Hoe vaak moet je meten? Voor de meeste indicatoren is een meting per kwartaal genoeg om te kunnen sturen, aansluitend op je managementrapportage. Voor snel bewegende onderwerpen kun je vaker meten.
Wat is een goede streefwaarde? Een streefwaarde is haalbaar maar ambitieus, en past bij je risicobereidheid. Geef daarnaast een richting aan, zodat duidelijk is of een hogere of een lagere waarde beter is.
In Kantyra doe je dit met één generieke bouwsteen, de indicator, die voor elk onderwerp werkt. Je kiest per indicator het type, het onderwerp en het perspectief, je legt de eenheid, de streefwaarde en de richting vast, en je wijst een eigenaar aan. Vervolgens leg je periodiek een meting vast, waarna de trend, de actuele stand en het stoplicht vanzelf ontstaan. Om je op weg te helpen, kies je desgewenst een indicator uit een meegeleverde lijst met voorbeelden.
Voor je eigen sturing zie je alles terug op een scorekaart met stoplicht en mini-trend, gegroepeerd per perspectief en per onderwerp. Voor het bestuur komt het samen in een blok met prestatie- en doelindicatoren in de managementrapportage. Zo meet je waar je staat, stuur je op tijd bij en verantwoord je je aan het bestuur, allemaal binnen je ISMS. Vraag een demo aan en ontdek hoe je met indicatoren stuurt op je informatiebeveiliging.
Kantyra is een Nederlands ISMS- en GRC-platform waarmee organisaties hun informatiebeveiliging, risicomanagement en naleving aantoonbaar beheren, in lijn met normen als ISO 27001 en ISO 22301 en met wetgeving als de AVG, de Cyberbeveiligingswet en de AI-verordening.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demoKwetsbaarhedenbeheer is besturen, geen scannen. Dit artikel laat vanuit het CISO-perspectief zien hoe je stuurt in plaats van uitvoert: met beleid, risicogebaseerde prioritering, hersteltermijnen, stuurgetallen en verantwoording aan het bestuur, en hoe dat samenvalt met de vier fasen van het Kantyra-model.
Een losse pentest levert een rapport op, maar pas een gestructureerde aanpak levert waarde. Dit artikel behandelt het pentestbeleid, de pentestkalender, het rapport en de opvolging, en laat zien waarom een pentest vooral een signaal is dat door de vier fasen van het Kantyra-model moet lopen.
De AVG stelt regels aan het verwerken van persoonsgegevens en draait om één kerngedachte: de verantwoordingsplicht. Dit artikel behandelt de grondbeginselen, de zes grondslagen, de rechten van betrokkenen en de datalekmeldplicht, en laat zien hoe de naleving samenvalt met de vier fasen van het Kantyra-model.