De stem van de CISO 2025: zorgen, kansen en blijvende druk

Cyberdreiging: vertrouwen versus kwetsbaarheid

Maar liefst 76% van de CISOs verwacht een ernstige cyberaanval binnen 12 maanden, een forse stijging ten opzichte van vorig jaar. Tegelijkertijd vindt 67% dat hun organisatie een sterke securitycultuur heeft. Deze paradox illustreert de spanning: hoewel men vertrouwen heeft in de eigen aanpak, beschouwt men een aanval vrijwel als onvermijdelijk. De focus moet daarom verschuiven van verdediging naar veerkracht en herstelvermogen.

Aanvallen vanuit alle hoeken

De top van de zorgenlijst is divers: e-mailfraude (37%), insider threats (37%), ransomware (36%), cloud account take-over (34%), malware en supply chain aanvallen (beide 33%). De gemene deler: datalekken. Opvallend: twee derde van de CISOs geeft aan dat hun organisatie bereid is losgeld te betalen bij een ransomware-aanval. Dit benadrukt de noodzaak van een holistische strategie waarin alle aanvalsvectoren serieus worden genomen.

Data sprawl en dataverlies

De explosie van data en de opkomst van generatieve AI hebben het moeilijker gemaakt om gevoelige informatie te beschermen. Hoewel 98% van de organisaties een Data Loss Prevention-programma claimt, heeft het merendeel alleen technische maatregelen getroffen. De grootste oorzaak van dataverlies blijft de mens: van nalatige tot kwaadwillende insiders. Governance, bewustwording en contextbewuste beveiliging zijn cruciaal.

De mens blijft het grootste risico

66% van de CISOs ziet mensen als de grootste kwetsbaarheid, ondanks dat 68% vindt dat medewerkers de basisprincipes van security begrijpen. Awareness-training staat opvallend laag op de prioriteitenlijst en slechts 70% heeft een structureel insider risk-programma. Het gat tussen kennis en daadwerkelijk gedrag vraagt om doorlopende training, beleid en monitoring.

AI: vriend én vijand

AI is hét thema in 2025. 60% van de CISOs ziet generatieve AI als een risico, met name vanwege datalekken via publieke tools. Tegelijkertijd wil 64% juist veilige toepassing van AI mogelijk maken. Twee derde van de organisaties heeft inmiddels richtlijnen opgesteld. De conclusie: AI kan security versterken, maar vraagt om duidelijke governance en beleid.

De rol van de CISO in de boardroom

De relatie tussen CISOs en besturen is verslechterd: alignment daalde van 84% in 2024 naar 64% in 2025. Besturen maken zich vooral zorgen om bedrijfswaardering, reputatie en downtime. Minder CISOs vinden dat cybersecuritykennis verplicht zou moeten zijn bij bestuurders. CISOs moeten cybersecurity blijven positioneren als strategisch bedrijfsrisico en niet slechts als compliance-vraagstuk.

Blijvende druk en persoonlijke verantwoordelijkheid

De verwachtingen zijn hoog en onveranderd: 66% ervaart te hoge druk en 67% voelt zich persoonlijk verantwoordelijk bij incidenten. Hoewel steeds meer organisaties CISOs beschermen tegen persoonlijke aansprakelijkheid, neemt de druk en het risico op burnout toe. Duurzaam leiderschap vraagt om niet alleen technische investeringen, maar ook aandacht voor de mentale en organisatorische ondersteuning van CISOs.

Conclusie

Het 2025-rapport laat zien dat de uitdagingen voor CISOs blijven stapelen. Dreigingen zijn divers, dataverlies is alomtegenwoordig en mensen blijven de zwakste schakel. Generatieve AI is de nieuwe wildcard: bron van zorg én kans om beveiliging te versterken. De rol van de CISO staat daarmee onder grotere druk dan ooit. Mogelijk is het tijd om de functie op te splitsen in een operationele tak (incidentrespons, verdediging) en een strategische tak (governance, risk & compliance). Wat vaststaat: de CISO blijft de spil in het beschermen van organisaties tegen de steeds complexere dreigingen van morgen.

Wilt u meer lezen over dit rapport, raadpleeg dan de website van Proofpoint en download the whitepaper.