Bestuursraden begrijpen inmiddels dat cyberaanvallen kostbaar kunnen zijn, maar missen vaak inzicht in welke risico’s de grootste bedreiging vormen en waarom bepaalde investeringen prioriteit verdienen. Veel security leiders verliezen daardoor hun grip op het gesprek. De uitdaging ligt niet zozeer in het waarschuwen, maar in het vertalen van risico’s naar concrete zakelijke beslissingen.

Securityteams richten zich doorgaans op het identificeren van bedreigingen, het beoordelen van controles en het meten van blootstelling, terwijl bestuursleden vooral willen weten waar de organisatie kwetsbaar is, wat operationele verstoringen of financiële en wettelijke gevolgen kunnen zijn en welke besluiten nu aandacht vereisen. Wanneer cyberrisico’s als technische updates worden gepresenteerd in plaats van als zakelijke beslissingen, kunnen zelfs urgente kwesties makkelijk worden uitgesteld. Daarom moeten security leiders hun communicatie afstemmen op de verwachtingen van bestuurders.

Deze kloof is extra relevant nu de kosten van een datalek hoog blijven en de concurrentie om middelen toeneemt. Volgens IBM’s 2025 Cost of a Data Breach Report bedroeg de gemiddelde wereldwijde schade door een datalek 4,44 miljoen dollar, een stijging van 10 procent ten opzichte van het voorgaande jaar. Organisaties met een groot tekort aan securityvaardigheden zagen hogere schadebedragen, terwijl het gebruik van AI en automatisering in security de kosten gemiddeld met 3,65 miljoen dollar verlaagde. Deze cijfers onderstrepen het financiële belang van cyberrisico’s, maar vertalen zich niet automatisch in steun van de raad van bestuur. Security leiders moeten duidelijk maken waarom bepaalde risico’s prioriteit verdienen, wat er op het spel staat en waar actie het hardst nodig is. Zonder die verbinding blijven zelfs ernstige bedreigingen te abstract om beslissingen te stimuleren.

Veel bestuursupdates over risico’s schieten tekort omdat ze rapporteren in plaats van aanzetten tot besluitvorming. Besturen horen over pogingen tot aanvallen, openstaande kwetsbaarheden, controletekorten of auditbevindingen, maar die details geven niet aan welke beslissing nodig is. Een lange lijst met risico’s creëert geen urgentie als bestuurders niet kunnen zien welke blootstellingen de grootste zakelijke impact hebben, wat er kan gebeuren als problemen blijven liggen en waar management eerst actie verwacht. Uit recent onderzoek van IANS blijkt dat de interactie tussen CISO’s en besturen meestal beperkt is tot 30 minuten per kwartaal, en slechts 30 procent van de besturen hun relatie met CISO’s als sterk en samenwerkend beschouwt. Effectieve gesprekken zijn kort, gebaseerd op data en direct gekoppeld aan risicotolerantie, zakelijke prioriteiten en rendement op investering. Besturen hebben geen tijd voor uitgebreide technische updates, maar slechts voor een paar duidelijke beslissingen. Leiders die de boardtijd gebruiken om technische diepgang te tonen, missen het grotere doel om het bestuur te helpen risico’s te begrijpen op een manier die actie ondersteunt.

Bestuurders hebben geen uitgebreide uitleg over dreigingsmodellen nodig, maar willen weten wat de organisatie kan verliezen. Cyberrisico’s moeten worden gepresenteerd in termen die besturen gebruiken bij andere zakelijke beslissingen: financiële blootstelling, operationele verstoring, compliance gevolgen, juridische risico’s en de kosten van uitstel. Security leiders worstelen vaak met het vertalen van technische risico’s naar zakelijke urgentie, terwijl bestuurders al begrijpen dat datalekken ernstige gevolgen kunnen hebben.

Afbeelding: Jacob Lund - Shutterstock