Het gemiddelde dienstverband van een CISO in Nederland is slechts 2 tot 3 jaar. Dit brengt niet alleen de continuïteit van cybersecuritystrategieën in gevaar, maar vergroot ook de kans op beveiligingsincidenten. Deze maatregelen kunnen het tij keren.
Elk vertrek van een CISO slaat gaten in de verdediging van een organisatie. De kennis over eerdere incidenten, de IT-infrastructuur en processen verdwijnt vaak met hen. Dit soort leegtes zijn moeilijk te vullen en brengen risico’s met zich mee die bedrijven zich niet kunnen veroorloven in het huidige dreigingslandschap.
Het is cruciaal dat bedrijven zich realiseren hoe ernstig dit probleem is. Een gebrek aan ondersteuning, zowel financieel als strategisch, speelt hierin een grote rol. Veel CISO’s vertrekken omdat ze zien wat er mis is, om middelen vragen om dat op te lossen, maar die simpelweg niet krijgen. Die demotivatie leidt vaak tot het besluit om de verantwoordelijkheid niet langer te willen dragen. Het resultaat? Een vicieuze cirkel waarbij bedrijven steeds kwetsbaarder worden.
Reële en directe gevolgen
Dit probleem is niet alleen theoretisch; het heeft zeer reële en directe gevolgen voor de bedrijven die hierdoor worden getroffen. Denk bijvoorbeeld aan het verlies van continuïteit. Een nieuwe CISO heeft tijd nodig om de strategie te begrijpen en aan te passen. Tijdens deze overgangsperiode kunnen ernstige dreigingen ongemerkt blijven.
Daarnaast brengt het vervangen van een CISO aanzienlijke kosten met zich mee. Niet alleen voor de werving en onboarding, maar ook door de verlaging van productiviteit binnen het securityteam. Zonder een goed ingewerkte leider verliest het team vaak zijn richting. Dat leidt tot vertragingen en onduidelijke prioriteiten. De algehele cybersecuritystrategie verslapt, en dit vergroot de kans op ernstige incidenten.
Wat moeten bedrijven doen?
Het wordt hoog tijd dat bedrijven begrijpen hoe belangrijk hun CISO is. De volgende maatregelen zijn essentieel om CISO’s beter te ondersteunen en te behouden:
- Toegang tot de directie: cybersecurity moet bovenaan de strategische agenda staan. Dit kan alleen als de CISO direct toegang heeft tot de top van de organisatie. Alleen zo wordt hun input gehoord en gewaardeerd.
- Marktconforme salarissen: bedrijven moeten bereid zijn om concurrerende salarissen en beloningen te bieden. Zonder dit vertrekken CISO’s naar beter betalende concurrenten. Dat verzwakt de beveiliging van de organisatie.
- Sterke bedrijfscultuur: zorg dat cybersecurity diep verankerd is in de bedrijfscultuur. CISO’s moeten het gevoel hebben dat de hele organisatie, van top tot werkvloer, achter hen staat.
- Mentorschap en begeleiding: een mentor of coach kan cruciaal zijn voor de ontwikkeling en motivatie van een CISO. Met de juiste begeleiding kunnen ze sneller groeien en effectiever presteren, wat hun motivatie vergroot en burn-outs voorkomt.
- Voldoende middelen en ondersteuning: een CISO zonder budget en geavanceerde tools kan zijn werk niet goed uitvoeren. Het is essentieel om voldoende middelen en een bekwaam team te bieden, zodat de CISO effectief kan opereren.
Het probleem van het hoge verloop onder CISO’s is niet zomaar een personeelskwestie. Het is een bedreiging voor de digitale weerbaarheid van bedrijven. Als we geen actie ondernemen, blijven we de kennis en ervaring van cruciale leiders verliezen en worden bedrijven kwetsbaarder voor cyberaanvallen. Het is tijd om CISO’s de waardering, middelen en strategische vrijheid te geven die ze nodig hebben om hun werk effectief te kunnen doen. Want zonder hen staat geen enkele organisatie sterk.
Matthijs van der Wel-ter Weel is strategisch adviseur bij Orange Cyberdefense
