CISOs erkennen dat geen enkele organisatie volledig veilig is, maar velen geven ook aan dat hun beveiligingsmaatregelen niet op het gewenste niveau zijn. Uit Proofpoint’s 2025 Voice of the CISO Report blijkt dat een derde van de CISOs vindt dat de data binnen hun organisatie onvoldoende beschermd is. Daarnaast geeft 58% aan dat hun organisatie niet goed voorbereid is op een cyberaanval. Slechts 67% is van mening dat het beschikbare budget, personeel en de tools toereikend zijn om de cybersecuritydoelen te behalen. Deze cijfers wijzen op blijvende kritieke beveiligingslacunes in veel organisaties.

Met de toenemende inzet van automatisering en kunstmatige intelligentie door aanvallers, groeit de druk om deze kwetsbaarheden aan te pakken. Een belangrijke lacune is de perceptiekloof: veel CISOs zien hun rol nog steeds vooral als het beschermen van digitale systemen, terwijl zij zich meer zouden moeten richten op het waarborgen van bedrijfscontinuïteit en veerkracht. Volgens Errol Weiss, CSO bij Health-ISAC, moeten CISOs minder vanuit IT-perspectief denken en meer vanuit de impact op de gehele organisatie. Dit helpt hen om risico’s beter te beoordelen en incidenten effectiever te beheersen, zoals bleek uit de impact van de cyberaanval op Change Healthcare in 2024.

Daarnaast is er een snelheidstekort tussen de snelle exploitatie van kwetsbaarheden door aanvallers en de trage reactie van veel beveiligingsteams. Het 2025 Year in Review rapport van Cisco Talos benadrukt dat dreigingsactoren nieuwe kwetsbaarheden vrijwel direct na openbaarmaking misbruiken. Veel organisaties werken nog met verouderde processen zoals maandelijkse penetratietests en patchdagen, terwijl er behoefte is aan real-time aanpassingen en automatisering. CISOs die AI en continue dreigingsexposuremanagement toepassen, verhogen de snelheid van hun verdediging.

Ook de snelheid van de bedrijfsvoering loopt soms vooruit op de beveiliging, waardoor er een kloof ontstaat tussen business en security. Dit vraagt om meer wendbaarheid en integratie van beveiliging in bedrijfsprocessen. Het rapport van Proofpoint en andere bronnen benadrukken dat deze zes lacunes – waaronder perceptie, snelheid van dreigingen, en afstemming met de business – prioriteit moeten krijgen om de weerbaarheid tegen cyberaanvallen te vergroten.