Kantyra Kantyra

← Alle artikelen

Algemeen

Hoe meet en stuur je je informatiebeveiliging?

Alain Rees · 12-07-2026 · 9 min leestijd

Als CISO en als CISO Office wil je weten waar je staat, zowel op het niveau van de organisatie als op dat van je eigen functie. Rapporteren aan het bestuur volgt daar vanzelf uit. Het echte doel is dat je genoeg meet om te kunnen sturen en op tijd bij te sturen. In dit artikel lees je hoe je dat doet met indicatoren, hoe je onderscheid maakt tussen presteren en doelen halen, en hoe je op twee niveaus meet zonder te verdrinken in cijfers.

In het kort

  • Je meet niet om te rapporteren, maar om te kunnen sturen en op tijd bij te sturen.
  • Een prestatie-indicator (KPI) laat zien hoe je presteert, een doelindicator (KGI) laat zien of je het doel haalt.
  • Je meet op twee niveaus, namelijk de organisatie en het CISO Office.
  • Elke indicator heeft een streefwaarde en een richting, en periodieke metingen geven de trend en een stoplicht.
  • Begin met handmatige metingen die voor elk onderwerp werken, en automatiseer later waar dat kan.

Het verschil tussen meten en rapporteren

Veel organisaties rapporteren wel over informatiebeveiliging, maar meten te weinig om er echt op te kunnen sturen. Een rapportage vertelt achteraf wat er is gebeurd, terwijl je met goede metingen tijdens de rit kunt bijsturen. Dat verschil is groot. Een bestuur dat elk kwartaal een rapport krijgt, weet hoe het ervoor stond, maar een CISO die de trend volgt, ziet aankomen dat een doel buiten bereik raakt en kan er nog iets aan doen.

Meten dient daarom vooral je eigen sturing. De rapportage aan het bestuur volgt er vanzelf uit, want als je de goede dingen meet, heb je het verhaal voor het bestuur al klaar.

Twee soorten indicatoren, de KPI en de KGI

Om te kunnen sturen, gebruik je twee soorten indicatoren die elkaar aanvullen.

Een prestatie-indicator, de KPI, laat zien hoe goed je presteert op weg naar een doel. De gemiddelde hersteltijd van kritieke kwetsbaarheden is zo'n indicator, want die vertelt hoe snel je werkt.

Een doelindicator, de KGI, laat zien of je het doel ook echt haalt. Het percentage kritieke kwetsbaarheden dat binnen de afgesproken termijn is hersteld, is zo'n indicator, want die vertelt of je de norm haalt die je jezelf hebt gesteld.

De twee horen bij elkaar. De KPI stuurt je dagelijkse werk, de KGI bewaakt of dat werk tot het gewenste resultaat leidt. Samen voorkomen ze dat je hard werkt zonder je doel te halen, of je doel haalt zonder te weten hoe.

Twee perspectieven, de organisatie en het CISO Office

Waar je staat, is een vraag op twee niveaus, en je meet ze allebei.

Het perspectief van de organisatie laat zien hoe de organisatie er op het gebied van beveiliging voor staat. Denk aan de kwetsbaarheden die op tijd zijn hersteld, de incidenten die tijdig zijn gemeld en de continuïteitsplannen die zijn beproefd.

Het perspectief van het CISO Office laat zien hoe je eigen functie presteert in het aansturen en bewaken daarvan. Denk aan de beoordelingen die op tijd zijn getoetst, de registers die actueel zijn en de rapportage die op tijd bij het bestuur ligt.

Deze twee kunnen uiteenlopen. De organisatie kan het goed doen terwijl het CISO Office achterloopt, of andersom. Door beide te meten, houd je zicht op de blinde vlek die ontstaat als je alleen naar het ene niveau kijkt.

Hoe je een indicator opbouwt

Een bruikbare indicator is meer dan een getal. Je legt per indicator een aantal eigenschappen vast:

  • het type, dus of het een prestatie-indicator of een doelindicator is;
  • het onderwerp, zoals risicomanagement, kwetsbaarheden, incidenten, privacy, continuïteit, naleving of bewustwording;
  • het perspectief, dus de organisatie of het CISO Office;
  • de eenheid en de streefwaarde, zodat vaststaat wat je meet en wat je wilt bereiken;
  • de richting, dus of een hogere of een lagere waarde beter is;
  • de eigenaar, die verantwoordelijk is voor de indicator.

Met deze eigenschappen wordt een indicator zelfstandig leesbaar. Iedereen ziet in één oogopslag wat er wordt gemeten, wat het doel is en wie erover gaat.

Van meting naar trend en stoplicht

Een indicator komt tot leven door te meten. Periodiek leg je een waarde vast, met de datum, het getal en een korte toelichting. Uit die reeks metingen volgt vanzelf de trend en de actuele stand.

De vergelijking met de streefwaarde geeft vervolgens een stoplicht. Staat de waarde op of boven de streefwaarde, dan is de indicator op koers en kleurt hij groen. Zit hij daar net onder, dan vraagt hij aandacht en kleurt hij oranje. Blijft hij achter, dan kleurt hij rood. Zo zie je in één blik waar het goed gaat en waar je moet ingrijpen, zonder eerst een tabel te hoeven ontleden.

De toelichting bij elke meting is belangrijker dan hij lijkt. Die verklaart een uitschieter, legt een aanname vast en maakt de meting later navolgbaar.

Hoe je meet, handmatig als basis en automatisch als vervolgstap

Bij het meten loont het om praktisch te beginnen. Handmatige periodieke metingen vormen de beste basis, want die werken voor elk onderwerp. Ook een indicator als de meldingsbereidheid bij phishing, die uit je bewustwordingsplatform komt, leg je zo eenvoudig vast.

Een deel van de indicatoren kun je later automatisch voeden uit gegevens die je al hebt. Denk aan de gemiddelde hersteltijd, het aantal risico's boven de tolerantie, de termijnen uit de Cyberbeveiligingswet, de herzieningsdata van je registers en de implementatiegraad van je Verklaring van Toepasselijkheid. Dat is een verstandige vervolgstap, al is het geen voorwaarde om te beginnen.

Alles voor elke indicator automatisch willen meten, is een valkuil. Het zou een enorme en deels onmogelijke bouw vragen, terwijl een handmatige meting per kwartaal je vaak al precies genoeg vertelt om te sturen. Begin daarom handmatig, en automatiseer gericht waar het echt tijd bespaart.

Rapporteren en sturen

Als je meet, ontstaan er twee soorten overzicht die elkaar aanvullen.

Voor je eigen sturing gebruik je een scorekaart, oftewel een overzicht met per indicator het stoplicht en een mini-trend, gegroepeerd per perspectief en per onderwerp. Die scorekaart is je werkinstrument, waarmee je in één beeld ziet waar je staat en waar je moet bijsturen.

Voor het bestuur vat je dit samen in een blok met prestatie- en doelindicatoren in de reguliere managementrapportage. Het bestuur hoeft niet elke indicator te zien, maar wil de stand op hoofdlijnen, de trend en de punten die aandacht vragen. Zo blijft meten dicht bij het doel: het is de brug tussen je dagelijkse sturing en de verantwoording aan het bestuur.

Waar dit thuishoort in je ISMS

Indicatoren horen in de basis van je managementsysteem, bij elk plan, want het is bestuurs- en managementinformatie, net als de managementrapportage zelf. Het beheer ervan ligt bij de managers en de beheerders die ook de onderliggende onderwerpen beheren, zodat de indicator dicht bij de bron blijft.

Zo sluit het meten direct aan op je informatiebeveiliging en risicomanagement (ISMS) en op onderwerpen als kwetsbaarhedenbeheer. De indicatoren vormen zo de stuurlaag boven de rest van je beheersing, in plaats van een losse verzameling cijfers.

Voorbeelden van indicatoren om mee te beginnen

De onderstaande voorbeelden helpen je op weg. Kies er een klein aantal uit, want beter een paar indicatoren die je echt bijhoudt dan een lange lijst die verwatert.

Organisatie, hoe doet de organisatie het

Onderwerp Indicator Type Streefwaarde
Kwetsbaarheden Kritieke kwetsbaarheden binnen de hersteltermijn hersteld KGI ≥ 95%
Kwetsbaarheden Gemiddelde hersteltijd van kritieke kwetsbaarheden KPI ≤ 14 dagen
Risicomanagement Toprisico's met een actueel behandelplan KGI 100%
Risicomanagement Risico's boven de tolerantie zonder acceptatie KPI 0
Incidenten Meldplichtige incidenten binnen 72 uur gemeld KGI 100%
Incidenten Gemiddelde doorlooptijd van incident tot opgelost KPI dalen
Privacy Verwerkingen met een geldige grondslag en een actuele herziening KGI 100%
Continuïteit Continuïteitsplannen die het afgelopen jaar zijn beproefd KPI 100%
Naleving Implementatiegraad van de Verklaring van Toepasselijkheid KGI stijgen
Bewustwording Meldingsbereidheid bij phishing KPI stijgen

CISO Office, hoe doet de CISO het

Indicator Type Streefwaarde
Beoordelingen binnen de termijn getoetst volgens het vier-ogenprincipe KPI ≥ 90%
Risico's met een toegewezen eigenaar en behandelaar KGI 100%
Registers binnen hun herzieningsdatum (risico's, documenten, verwerkingen) KPI ≥ 95%
Achterstallige taken in het CISO Office KPI dalen
Maatregelen die op tijd op effectiviteit zijn getest KPI ≥ 90%
Kwartaalrapportage aan het bestuur op tijd opgeleverd KGI ja

Zo begin je met meten en sturen

  1. Kies een klein aantal indicatoren. Neem per onderwerp een of twee indicatoren, verdeeld over de twee perspectieven.
  2. Leg de eigenschappen vast. Bepaal per indicator het type, de eenheid, de streefwaarde, de richting en de eigenaar.
  3. Meet periodiek. Leg elke meting vast met de datum, de waarde en een korte toelichting.
  4. Beoordeel en stuur bij. Volg de trend en het stoplicht, en grijp in waar een indicator achterblijft.
  5. Rapporteer aan het bestuur. Vat de indicatoren samen in de managementrapportage en houd ze actueel.

Veelgestelde vragen over meten en sturen

Wat is het verschil tussen een KPI en een KGI? Een prestatie-indicator (KPI) laat zien hoe goed je presteert, bijvoorbeeld de gemiddelde hersteltijd. Een doelindicator (KGI) laat zien of je het doel haalt, bijvoorbeeld het percentage dat binnen de termijn is hersteld. De KPI stuurt het werk, de KGI bewaakt het resultaat.

Waarom meet je op twee niveaus? Omdat de organisatie en het CISO Office kunnen uiteenlopen. De organisatie kan goed presteren terwijl je eigen functie achterloopt, of andersom. Door beide te meten, houd je zicht op het geheel.

Moet je alles automatisch meten? Nee. Handmatige periodieke metingen werken voor elk onderwerp en zijn een goede basis. Een deel kun je later automatisch voeden uit gegevens die je al hebt, al is alles automatiseren onnodig en deels onmogelijk.

Hoe vaak moet je meten? Voor de meeste indicatoren is een meting per kwartaal genoeg om te kunnen sturen, aansluitend op je managementrapportage. Voor snel bewegende onderwerpen kun je vaker meten.

Wat is een goede streefwaarde? Een streefwaarde is haalbaar maar ambitieus, en past bij je risicobereidheid. Geef daarnaast een richting aan, zodat duidelijk is of een hogere of een lagere waarde beter is.

Meten en sturen met Kantyra

In Kantyra doe je dit met één generieke bouwsteen, de indicator, die voor elk onderwerp werkt. Je kiest per indicator het type, het onderwerp en het perspectief, je legt de eenheid, de streefwaarde en de richting vast, en je wijst een eigenaar aan. Vervolgens leg je periodiek een meting vast, waarna de trend, de actuele stand en het stoplicht vanzelf ontstaan. Om je op weg te helpen, kies je desgewenst een indicator uit een meegeleverde lijst met voorbeelden.

Een scorekaart met twee perspectieven, organisatie en CISO-Office, elk met indicatoren met een type, een waarde tegenover de streefwaarde, een stoplicht en een mini-trend

Voor je eigen sturing zie je alles terug op een scorekaart met stoplicht en mini-trend, gegroepeerd per perspectief en per onderwerp. Voor het bestuur komt het samen in een blok met prestatie- en doelindicatoren in de managementrapportage. Zo meet je waar je staat, stuur je op tijd bij en verantwoord je je aan het bestuur, allemaal binnen je ISMS. Vraag een demo aan en ontdek hoe je met indicatoren stuurt op je informatiebeveiliging.


Kantyra is een Nederlands ISMS- en GRC-platform waarmee organisaties hun informatiebeveiliging, risicomanagement en naleving aantoonbaar beheren, in lijn met normen als ISO 27001 en ISO 22301 en met wetgeving als de AVG, de Cyberbeveiligingswet en de AI-verordening.

Zien hoe dit in Kantyra werkt?

In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.

Plan een demo

Meer in de fase Algemeen