De CISO als Business Enabler: Fred Streefland over leiderschap, innovatie en de toekomst van cybersecurity

DoorAnja den Hertog

De rol van de CISO is allesbehalve statisch en vereist veel meer dan enkel technische kennis. Tijdens de Security Innovation Stories podcast opname, deelde Fred Streefland, Field CISO bij Solvinity, zijn visie op het vakgebied.

“Het CISO-vak maakt je nooit saai.”

In dit gesprek, waarin Fred zijn uitgebreide ervaring en inzichten deelde, werden de grootste uitdagingen van de CISO besproken en de vaardigheden die nodig zijn om deze rol succesvol uit te voeren. Fred benadrukt dat security niet alleen een technisch vraagstuk is, maar een fundamenteel onderdeel van de bedrijfsstrategie. Hij deelt een pragmatisch stappenplan dat beginnende CISO’s helpt om hun rol effectief te vervullen en organisaties helpt bij het verbeteren van hun cybersecurityaanpak.

De grootste uitdagingen voor de CISO van vandaag

De rol van de CISO is de afgelopen jaren drastisch veranderd. Waar security vroeger vooral een technische aangelegenheid was, is het nu een bestuurskwestie geworden. Toch is die verschuiving in veel organisaties nog niet volledig gerealiseerd.

“Een CISO moet niet gezien worden als een vrijblijvende adviseur, maar als een adviseur met mandaat,” stelt Fred.

Hij wijst erop dat veel CISO’s nog steeds moeite hebben om hun rol op het juiste strategische niveau te positioneren. Besturen verwachten wel dat risico’s worden afgedekt, maar geven niet altijd het mandaat en de middelen die daarvoor nodig zijn. Hierdoor blijft security te vaak reactief in plaats van proactief.

Daarnaast signaleert Fred nog een belangrijke communicatieve uitdaging: “Je moet kunnen uitleggen: wat zijn de risico’s, wat kost het, wat levert het op?” Veel CISO’s spreken nog teveel in technische termen, waardoor hun boodschap onvoldoende landt bij de board. Effectieve CISO’s weten technische risico’s te vertalen naar begrijpelijke, zakelijke risico’s en concrete investeringsvraagstukken.

Security moet naar de bestuurskamer

Volgens Fred moet security niet alleen binnen de IT-afdeling leven, maar een integraal onderdeel zijn van het strategische bedrijfsplan. “Begrijp het grote plaatje. Wat is het doel van de organisatie en wat moeten we vooral voorkomen?” zegt hij.

Om die integratie te bereiken, adviseert Fred om te starten met een gedegen risicoassessment. Daarbij benadrukt hij dat frameworks zoals NIST of ISO27001 enorm helpen om structuur te bieden en security volwassen te maken: “Het geeft houvast. Alles wordt meetbaar, en dat helpt enorm richting de board.”

Met meetbare voortgang en een duidelijke link naar businessdoelstellingen kan de CISO security uit de sfeer van angst en compliance halen, en positioneren als strategische meerwaarde.

Hardnekkige misvattingen over de CISO-rol

Ondanks de groeiende strategische relevantie van security, leven er nog steeds veel misvattingen over de rol van de CISO. Fred noemt enkele voorbeelden:

  • “De CISO is geen firewallbeheerder,” benadrukt hij. De rol gaat veel verder dan technische maatregelen; het draait om het managen van risico’s op organisatieniveau.
  • “Technische kennis is handig, maar je moet de business begrijpen.” Zonder inzicht in bedrijfsdoelen en -processen kan een CISO nooit effectief adviseren.
  • “Certificeringen zoals CISSP zijn mooi, maar ervaring, zoals het meemaken van een echt cyberincident, is veel waardevoller.” Theorie biedt kaders, maar praktijkervaring leert je omgaan met crisis, onzekerheid en snelle besluitvorming.

“Positioneer de CISO hoog in de organisatie, niet onder de CIO of CTO. Anders blijft security te veel een IT-feestje.”

Een onafhankelijke CISO kan kritischer en breder adviseren, zonder verstrikt te raken in IT-operationele belangen.

Essentiële vaardigheden voor een succesvolle CISO

Naast technische kennis zijn er volgens Fred een aantal vaardigheden onmisbaar voor een CISO die écht impact wil maken:

  1. Communicatie: “Een CISO moet kunnen praten met developers én boardmembers.” Die vertaalslag tussen tech en strategie is noodzakelijk om draagvlak te creëren.
  2. Leiderschap: “Je bent het boegbeeld van security in je organisatie.” Een goede CISO inspireert, motiveert en wijst de weg, ook als het spannend wordt.
  3. Zichtbaarheid: “Sta op de zeepkist. Iedereen moet weten wat je doet en waarom het belangrijk is.” Door zichtbaar te zijn, voorkom je dat security ongrijpbaar of abstract blijft.
  4. People skills: “Je moet mensen mee kunnen nemen in je verhaal. Cybersecurity moet niet bedreigend voelen, maar iets zijn waar iedereen zich verantwoordelijk voor voelt.” Succesvolle security gaat over samenwerking – niet over controle en straffen.

Het 5-stappenplan voor beginnende CISO’s

Voor CISO’s die net beginnen, ontwikkelde Fred een pragmatisch stappenplan gebaseerd op zijn jarenlange ervaring:

  1. Leer de organisatie kennen: “Steek de thermometer in de organisatie. Praat met mensen, stel vragen.” Begrijp de cultuur, de doelstellingen en de risico’s.
  2. Managen van verwachtingspatronen: “Vraag aan de board: wat verwachten jullie van mij?” Zonder duidelijke verwachtingen loop je het risico de verkeerde prioriteiten te stellen.
  3. Risicoassessment uitvoeren: “Maak risico’s zichtbaar, prioriteer ze samen.” Focus eerst op de grootste risico’s – je kunt niet alles tegelijk aanpakken.
  4. Gebruik een framework: “NIST, ISO27001 – frameworks geven structuur en meetbaarheid.” Dat maakt security minder abstract en makkelijker bestuurbaar.
  5. Realistische planning: “Denk in jaren, niet in maanden. Je hebt minimaal twee à drie jaar nodig om echt impact te maken.” Verwachtingsmanagement richting bestuur en medewerkers is noodzakelijk om duurzame verbeteringen te realiseren.

De rol van de CISO in 2025

Fred maakt duidelijk: een succesvolle CISO combineert technische kennis met visie, leiderschap en excellente communicatieskills. Security is niet louter een technisch vraagstuk, maar een fundamentele bedrijfsstrategie.

Met zijn pragmatische stappenplan, diepgewortelde ervaring en scherpe analyses biedt Fred een helder kompas voor iedere organisatie die cybersecurity echt serieus neemt.

“Never a dull moment in het CISO-vak.”

Over Fred

Met ruim zestien jaar ervaring in cybersecurity en een achtergrond bij de Koninklijke Luchtmacht, IBM, Accenture en Palo Alto Networks, mag Fred Streefland zich met recht een expert noemen in het securitylandschap. Tegenwoordig is hij Field CISO bij Solvinity, waar hij organisaties helpt hun cloudomgevingen veilig te houden en security structureel op de strategische agenda te zetten.
“Ik zit vooral bij klanten. Wij moeten zorgen dat de omgevingen die wij beheren veilig zijn,” vertelt Fred. Zijn achtergrond, gecombineerd met een diepgaand begrip van zowel techniek als bestuur, maken hem tot een unieke bruggenbouwer in het veld.

Vergelijkbare berichten