Security Metrics en Bestuursrapportage
Meten Of Gokken
Cybersecurity is hier geen technisch zijspoor, maar onderdeel van continuiteit, aansprakelijkheid en reputatie.
Voor Security Metrics en Bestuursrapportage werkt sturing alleen met meetbare doelen, duidelijke escalatie en tijdige besluiten.
Zo wordt dit onderwerp geen periodieke discussie, maar een bestuurbaar onderdeel van reguliere bedrijfsvoering.
Directe maatregelen (15 minuten)
Waarom dit telt
De kern van Security Metrics en Bestuursrapportage is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.
Het dashboard dat niemand begreep
De CISO presenteerde trots het nieuwe security-dashboard aan de raad van bestuur. Zevenentwintig grafieken. Kleurcodes. Trendlijnen. Het aantal geblokkeerde malware-pogingen (1,2 miljoen vorige maand!), het percentage systemen met de laatste patches (87%!), de gemiddelde tijd om een kwetsbaarheid te verhelpen (34 dagen!). De bestuurders knikten beleefd. Na afloop vroeg de CEO in de wandelgang aan de CFO: “Zijn we nu veilig of niet?” De CFO haalde zijn schouders op. “Geen idee. Maar we blokkeren blijkbaar heel veel malware.”
Dit is het fundamentele probleem met security-rapportage aan het bestuur. Security-professionals rapporteren wat ze meten. Bestuurders willen weten wat het betekent. Die twee zijn zelden hetzelfde.
Dit hoofdstuk helpt u om die kloof te overbruggen – of u nu de CISO bent die moet rapporteren, of de bestuurder die het rapport moet beoordelen. Het doel is eenvoudig: een security-rapportage die het bestuur daadwerkelijk informeert, in plaats van alleen maar te imponeren.
Waarom traditionele security metrics falen
De meeste security metrics die in rapportages verschijnen, hebben een gemeenschappelijk probleem: ze vertellen het bestuur hoeveel werk de security-afdeling doet, maar niet hoe veilig de organisatie is. Dat zijn twee fundamenteel verschillende dingen.
Volume-metrics zijn inhoudslos. “We hebben vorige maand 1,2 miljoen aanvallen geblokkeerd” klinkt indrukwekkend, maar zegt niets. Waren dat serieuze aanvallen of geautomatiseerde scans die elke firewall tegenhoudt? Is 1,2 miljoen veel of weinig voor een organisatie van deze omvang? En als we er 1,2 miljoen tegenhielden, hoeveel zijn er dan doorgekomen?
Technische metrics zijn onvertaalbaar. Het percentage systemen op de laatste patchlevel is relevant voor de IT-afdeling, maar een bestuurder kan er geen risicobeslissing op baseren. Is 87% goed? Zitten de ontbrekende 13% op kritieke systemen of op printers?
Activiteitsmetrics meten inspanning, niet effect. Het aantal uitgevoerde pentests, het aantal afgeronde security awareness trainingen, het aantal geimplementeerde firewallregels – het zijn allemaal maatstaven voor hoeveel er gedaan wordt, niet voor hoe effectief het is.
De test: Als een metric niet leidt tot een beslissing, hoort hij niet in een bestuursrapportage. Elke metric die u presenteert moet beantwoorden: “Moeten we hier iets mee?” of “Zijn we op koers?”
Operationele metrics vs. bestuursmetrics
Het onderscheid is essentieel. Operationele metrics zijn voor het security-team: ze sturen dagelijkse beslissingen en prioriteiten. Bestuursmetrics zijn voor de raad van bestuur: ze informeren strategische beslissingen over risico, investering en richting.
| Kenmerk | Operationele metric | Bestuurslevel metric |
|---|---|---|
| Publiek | Security-team, IT-afdeling | Raad van bestuur, directie |
| Taal | Technisch, specifiek | Zakelijk, risicogericht |
| Frequentie | Dagelijks tot wekelijks | Maandelijks tot kwartaal |
| Doel | Bijsturen van operaties | Informeren van beslissingen |
| Voorbeeld | “Gemiddelde patchtijd: 14 dagen” | “Van onze kritieke systemen is 96% binnen de afgesproken termijn gepatcht” |
| Actie | Het team past de patchplanning aan | Het bestuur besluit of het risico acceptabel is |
Het verschil zit hem in de vertaling. Een operationele metric zegt: “Dit is wat we zien.” Een bestuurslevel metric zegt: “Dit is wat het betekent voor de organisatie.”
KRI’s vs. KPI’s
Twee afkortingen die vaak door elkaar worden gebruikt, maar die fundamenteel verschillen.
Key Risk Indicators (KRI’s) zijn vooruitkijkende signalen. Ze waarschuwen dat een risico toeneemt voordat het zich manifesteert. Denk aan de oliedruk in een motor: als die daalt, weet u dat er een probleem aankomt voordat de motor vastloopt.
Key Performance Indicators (KPI’s) meten hoe goed uw bestaande maatregelen presteren. Ze kijken terug: hoe snel reageerden we? Hoeveel procent van de doelstelling hebben we gehaald?
| Type | Richting | Vraag die het beantwoordt | Voorbeeld |
|---|---|---|---|
| KRI | Vooruitkijkend | “Neemt ons risico toe of af?” | Percentage kritieke systemen ouder dan end-of-life |
| KPI | Terugkijkend | “Presteren onze maatregelen zoals afgesproken?” | Percentage incidenten dat binnen de afgesproken tijd is opgepakt |
Een goed bestuursdashboard combineert beide: KRI’s om te weten waar u heen gaat, KPI’s om te weten of uw maatregelen werken.
Tien bestuurswaardige security metrics
Hieronder tien metrics die geschikt zijn voor een bestuursrapportage. Ze zijn concreet, meetbaar, en vertaalbaar naar zakelijke beslissingen. Geen organisatie hoeft alle tien te gebruiken – kies de vijf tot zeven die het best passen bij uw risicolandschap.
1. Tijd om kritieke kwetsbaarheden te verhelpen
Wat u meet: De mediaan aantal dagen tussen de publicatie van een kritieke kwetsbaarheid en het moment dat alle getroffen systemen gepatcht zijn.
Waarom het ertoe doet: Aanvallers exploiten bekende kwetsbaarheden vaak binnen dagen. Hoe langer u wacht, hoe groter het risicovenster.
Streefwaarde: Kritiek: < 7 dagen. Hoog: < 30 dagen.
Type: KPI
2. Percentage systemen met MFA
Wat u meet: Het percentage van alle gebruikersaccounts en externe toegangspunten dat beschermd is met multi-factor authenticatie.
Waarom het ertoe doet: Gestolen wachtwoorden zijn de meestgebruikte aanvalsvector. MFA blokkeert het overgrote deel van deze aanvallen.
Streefwaarde: 100% voor externe toegang en admin-accounts. > 95% voor alle gebruikers.
Type: KPI
3. Dekkingsgraad endpoint-beveiliging
Wat u meet: Het percentage van alle endpoints (werkplekken, servers, mobiele apparaten) met actieve en up-to-date beveiligingssoftware (EDR).
Waarom het ertoe doet: Elk onbeschermd endpoint is een potentieel bruggenhoofd voor een aanvaller.
Streefwaarde: > 98%.
Type: KPI
4. Gemiddelde detectietijd (MTTD)
Wat u meet: De gemiddelde tijd tussen het moment dat een beveiligingsincident plaatsvindt en het moment dat het gedetecteerd wordt.
Waarom het ertoe doet: Aanvallers die weken of maanden ongedetecteerd in uw netwerk zitten, richten exponentieel meer schade aan. De mediane verblijftijd bij ransomware-aanvallen is gedaald, maar ligt nog steeds op dagen tot weken.
Streefwaarde: < 24 uur voor kritieke incidenten.
Type: KRI (een stijgende trend signaleert toenemend risico)
5. Gemiddelde reactietijd (MTTR)
Wat u meet: De gemiddelde tijd tussen detectie van een incident en volledige beheersing ervan.
Waarom het ertoe doet: Snelle reactie beperkt de schade. Het verschil tussen een incident dat in uren wordt beheerst en een dat dagen duurt, kan miljoenen euro’s zijn.
Streefwaarde: < 4 uur voor kritieke incidenten.
Type: KPI
6. Risicoscore van de leveranciersketen
Wat u meet: Een geaggregeerde risicobeoordeling van uw kritieke leveranciers, gebaseerd op hun beveiligingsvolwassenheid, incidenthistorie en contractuele afspraken.
Waarom het ertoe doet: NIS2 maakt u verantwoordelijk voor de beveiliging in uw keten. Een kwetsbare leverancier is uw kwetsbaarheid.
Streefwaarde: Alle kritieke leveranciers scoren “voldoende” of hoger.
Type: KRI
7. Slagingspercentage phishing-simulaties
Wat u meet: Het percentage medewerkers dat klikt op gesimuleerde phishing-berichten.
Waarom het ertoe doet: Mensen zijn de eerste verdedigingslinie. Dit percentage geeft aan hoe effectief uw awareness-programma is.
Streefwaarde: < 5% klikratio. Dalende trend per kwartaal.
Type: KPI
8. Backup-herstel succesratio
Wat u meet: Het percentage succesvolle restore-tests van kritieke systemen in het afgelopen kwartaal.
Waarom het ertoe doet: Backups die niet werken zijn geen backups. Bij ransomware is dit letterlijk het verschil tussen herstel en betalen.
Streefwaarde: 100% succesvolle restore-tests van kritieke systemen.
Type: KPI
9. Compliancestatus regulatoire verplichtingen
Wat u meet: Een overzicht van de naleving van relevante wet- en regelgeving (NIS2, AVG, branchespecifieke eisen) uitgedrukt als percentage en openstaande bevindingen.
Waarom het ertoe doet: Non-compliance brengt financiele sancties en bestuurdersaansprakelijkheid met zich mee.
Streefwaarde: 100% op verplichte eisen. Geen kritieke openstaande bevindingen.
Type: KPI
10. Percentage end-of-life systemen in productie
Wat u meet: Het percentage systemen in productie dat draait op software of hardware die niet meer wordt ondersteund door de fabrikant.
Waarom het ertoe doet: End-of-life systemen ontvangen geen beveiligingsupdates meer. Ze zijn per definitie kwetsbaar en vormen een groeiend risico.
Streefwaarde: < 2%. Dalende trend. Alle uitzonderingen geregistreerd met compenserende maatregelen.
Type: KRI
Metrics koppelen aan bedrijfsdoelstellingen
Een metric zonder context is een getal. Een metric gekoppeld aan een bedrijfsdoelstelling is een sturingsmiddel. Onderstaande tabel laat zien hoe security metrics aansluiten bij wat het bestuur werkelijk bezighoudt.
| Bedrijfsdoelstelling | Relevante metric | Verband |
|---|---|---|
| Continuiteit van dienstverlening | MTTD, MTTR, backup-herstel succesratio | Snelle detectie en reactie beperken downtime. Werkende backups garanderen herstel. |
| Klantenvertrouwen behouden | Phishing-simulatie slagingspercentage, MFA-dekking | Minder menselijke fouten en sterkere authenticatie verkleinen de kans op een datalek dat het vertrouwen schaadt. |
| Voldoen aan wet- en regelgeving | Compliancestatus, patchtijd kritieke kwetsbaarheden | Directe relatie met NIS2-verplichtingen en AVG-eisen. Persoonlijke aansprakelijkheid van bestuurders. |
| Beheersen van operationeel risico | End-of-life systemen, leveranciersrisicoscore | Vooruitkijkende indicatoren die waarschuwen voordat een risico zich materialiseert. |
| Bescherming van intellectueel eigendom | Endpoint-dekking, detectietijd | Ongedetecteerde inbraken leiden tot datadiefstal. Volledige endpoint-dekking en snelle detectie beperken de blootstelling. |
| Reputatie en merkwaarde | Alle bovenstaande | Een ernstig security-incident raakt de merkreputatie. De metrics samen geven een beeld van de weerbaarheid van de organisatie. |
Goede metrics vormen ook de onderbouwing van uw security-budget. In het hoofdstuk over security-budget en investeren leest u hoe u met deze cijfers een zakelijke businesscase bouwt die het bestuur overtuigt.
Dashboarding en visualisatie
Een goed security-dashboard voor het bestuur voldoet aan drie principes: het is beknopt, visueel en actiegericht.
Beknopt. Maximaal een A4 of een enkel scherm. Vijf tot zeven metrics, niet meer. Als het niet op een pagina past, is het geen bestuursdashboard maar een operationeel rapport.
Visueel. Gebruik stoplicht-kleuren (groen, oranje, rood) voor de huidige status. Gebruik pijlen of trendlijnen voor de richting. Een bestuurder moet in tien seconden kunnen zien: waar staan we, en gaan we de goede kant op?
Actiegericht. Elke metric die oranje of rood scoort, heeft een begeleidende toelichting van maximaal twee zinnen: wat is het probleem, en wat is het voorstel?
Voorbeeld dashboard-indeling
| Metric | Status | Trend | Toelichting |
|---|---|---|---|
| Patchtijd kritiek (mediaan) | GROEN – 5 dagen | Stabiel | Binnen doelstelling van 7 dagen |
| MFA-dekking | ORANJE – 91% | Stijgend | Migratie legacy VPN loopt; verwacht 100% in Q3 |
| MTTD | GROEN – 18 uur | Dalend | Verbetering door nieuw SIEM-platform |
| MTTR | GROEN – 3,5 uur | Stabiel | Binnen doelstelling |
| Phishing-klikratio | ORANJE – 7% | Dalend | Daalt, maar boven de 5%-doelstelling. Extra campagne gepland. |
| End-of-life systemen | ROOD – 8% | Stijgend | Windows Server 2012-omgeving. Migratieplan en budget ter goedkeuring bijgevoegd. |
| Backup-herstel | GROEN – 100% | Stabiel | Alle kwartaaltesten succesvol |
De brondata voor veel van deze metrics – detectietijden, incidentvolumes, trendanalyses – komen uit uw logging- en monitoringinfrastructuur. Het hoofdstuk over logging, monitoring en SIEM beschrijft hoe u die technische basis inricht.
Gouden regel voor het dashboard: Als alles groen is, duurt de bespreking vijf minuten. Besteed de beschikbare tijd aan de oranje en rode items, waar beslissingen nodig zijn.
Rapportagefrequentie en format
| Type rapportage | Frequentie | Inhoud | Doel |
|---|---|---|---|
| Bestuursdashboard | Kwartaal | De 5-7 kernmetrics met status, trend en toelichting | Strategisch inzicht en besluitvorming |
| Security-update | Maandelijks | Korte samenvatting van relevante incidenten, lopende projecten en wijzigingen in het dreigingslandschap | Op de hoogte blijven |
| Incidentrapportage | Ad hoc | Specifiek incident: wat gebeurde er, wat was de impact, wat is de reactie, welke lessen trekken we | Crisismanagement en leren |
| Jaarlijkse security review | Jaarlijks | Terugblik op het jaar, voortgang ten opzichte van strategie, risico-assessment, budget en plan volgend jaar | Strategische planning en budgettering |
Format-tips:
- Begin altijd met de conclusie, niet met de aanleiding. Bestuurders willen eerst weten “hoe staan we ervoor?” en pas daarna “waarom?”
- Gebruik de taal van het bedrijf, niet de taal van security. Zeg “we kunnen onze klanten drie werkdagen niet bedienen” in plaats van “de RTO van het ERP-systeem is 72 uur”
- Voeg bij elke rode metric een concreet voorstel toe: wat is er nodig (budget, beslissing, prioriteit) om van rood naar groen te komen?
- Houd een bijlage achter de hand met technische details voor bestuurders die doorvragen – maar dwing niemand om die te lezen
Het security-verhaal vertellen
Cijfers alleen overtuigen niet. Bestuurders nemen beslissingen op basis van verhalen die cijfers ondersteunen. Het security-verhaal dat u vertelt moet drie elementen bevatten.
Context. Wat is er veranderd in het dreigingslandschap dat relevant is voor uw organisatie? Niet de 10.000 nieuwe kwetsbaarheden van vorige maand, maar de ene die uw sector raakt.
Prestatie. Hoe presteren onze maatregelen ten opzichte van wat we hebben afgesproken? Waar zijn we op koers, waar niet?
Keuze. Wat vragen we van het bestuur? Een budget, een prioriteitsbeslissing, een risicoaccept? Maak het concreet en maak het beslisbaar.
Een effectieve security-rapportage aan het bestuur duurt maximaal vijftien minuten. Vijf minuten voor het dashboard (alles groen = snel door), vijf minuten voor het verhaal (context, prestatie, keuze), en vijf minuten voor vragen.
Tip voor CISO’s: Oefen uw presentatie op iemand buiten de security-afdeling. Als uw buurman het begrijpt, begrijpt het bestuur het ook. Als u uzelf betrapt op het uitleggen van afkortingen, moet u uw verhaal vereenvoudigen.
Doe dit deze maand
Onthoud: Het doel van security-rapportage is niet om te bewijzen dat het security-team hard werkt. Het doel is om het bestuur in staat te stellen geïnformeerde beslissingen te nemen over risico’s die de organisatie raken. Minder meten, beter begrijpen.
Tot slot: de cirkel is rond
Met dit hoofdstuk sluit u de bestuurderssectie af. In tien hoofdstukken hebt u de volledige boog doorlopen: van de bestuursverantwoordelijkheid voor cybersecurity waarmee het begon, via risicomanagement, wet- en regelgeving, privacy, persoonlijke aansprakelijkheid, budgettering, incidentrespons, leveranciersrisico en cyberverzekeringen, tot aan de metrics waarmee u het geheel meetbaar en bestuurbaar maakt.
Dat is geen toeval. Cybersecurity voor bestuurders is geen losse verzameling onderwerpen – het is een samenhangend geheel. Governance geeft richting. Risicoanalyse bepaalt de prioriteiten. Compliance stelt de kaders. Budget maakt het mogelijk. Incidentrespons vangt het op als het misgaat. En metrics vertellen u of het werkt.
U hoeft geen technisch expert te zijn om uw organisatie veiliger te maken. U hoeft de juiste vragen te stellen, de juiste mensen te mandateren, en de discipline op te brengen om cybersecurity structureel op de bestuursagenda te houden. De tien hoofdstukken in deze sectie geven u daarvoor het vocabulaire, de kaders en de concrete handvatten.
De digitale dreigingen zullen blijven veranderen. Maar een bestuurder die begrijpt wat er op het spel staat, die investeert in de juiste maatregelen, en die regelmatig de thermometer erbij pakt, is geen makkelijk doelwit. En dat is precies waar het om gaat.
Verder lezen in de kennisbank
Deze artikelen in het portaal geven je meer achtergrond en praktische context:
- Compliance — regels volgen zonder je verstand te verliezen
- Incident Response — wanneer het misgaat
- Supply chain attacks — het zwakste schakel-probleem
- "Zijn wij een doelwit?"
- Ransomware — digitale gijzeling voor beginners en gevorderden
Je hebt een account nodig om de kennisbank te openen. Inloggen of registreren.
Gerelateerde securitymaatregelen
Deze artikelen bieden aanvullende context en verdieping: