Het verloop onder CISO’s in Neder­land is nog steeds zorgwek­kend hoog, met een gemid­delde verblijfs­duur van slechts 2 tot 3 jaar. Deze snelle wisse­lingen brengen bedrijven ernstig in gevaar. Elk vertrek slaat namelijk gaten in de cyber­se­cu­ri­ty­s­tra­tegie en maakt de organi­satie kwets­baarder voor cyber­aan­vallen. Matthijs van der Wel-ter Weel, strate­gisch adviseur bij Orange Cyber­de­fense, waarschuwt: “Bedrijven moeten dringend actie onder­nemen. Geef CISO’s een stevige stem in de board­room en bied betere onder­steu­ning om burn-outs te voorkomen.”

Veel CISO’s vertrekken niet alleen vanwege betere finan­ciële voorwaarden, maar vooral door het gebrek aan budget en commit­ment binnen de organi­satie. Ze zien wat er mis is, vragen om middelen om het op te lossen, maar krijgen die niet. Dit leidt tot demoti­vatie en het besef dat ze het risico niet willen dragen. “In de kleine cyber­se­cu­ri­ty­we­reld kennen CISO’s elkaar goed, waardoor het moeilijker wordt om een nieuwe CISO te vinden als budget en middelen ontbreken”, zegt Matthijs van der Wel-ter Weel.

Het hoge verloop onder CISO’s is een groeiend probleem dat ernstige gevolgen heeft. Elke keer dat een CISO vertrekt, verliest de organi­satie cruciale kennis en conti­nu­ï­teit. Dat vergroot het risico op bevei­li­gings­lekken. Bedrijven moeten hun CISO’s daarom beter beschermen en ondersteunen. 

Gevolgen van een hoog CISO-verloop

Het snelle verloop van CISO’s onder­mijnt de algehele cyber­se­cu­ri­ty­s­tra­tegie. De belang­rijkste gevolgen van dit hoge verloop zijn volgens Van der Wel-ter Weel: 

• Verlies van conti­nu­ï­teit
  Bij het vertrek van een CISO gaat cruciale kennis over de IT-infra­struc­tuur, eerdere incidenten en interne processen verloren. Deze infor­matie is vaak moeilijk volledig over te dragen, waardoor grote gaten in de bevei­li­ging ontstaan.
• Niet aange­pakte risico’s
  Een nieuwe CISO heeft tijd nodig om de strategie te doorgronden en poten­tiële zwakke plekken te identi­fi­ceren. In deze overgangs­pe­riode kunnen cyber­drei­gingen ongemerkt blijven, wat de organi­satie extra kwets­baar maakt.
• Finan­ciële impact
  Het vervangen van een CISO brengt aanzien­lijke kosten met zich mee, van werving tot onboar­ding. Daarnaast is er een tekort aan gekwa­li­fi­ceerde CISO’s, wat de situatie verder bemoeilijkt.
• Verlies van produc­ti­vi­teit
  Zonder een goed ingewerkte CISO verliezen cyber­se­cu­ri­ty­teams vaak hun richting, wat leidt tot vertra­gingen, ondui­de­lijke priori­teiten en lagere produc­ti­vi­teit. Dit vergroot het risico op beveiligingsincidenten.
• Verlaagd teammo­reel
  Het vertrek van een CISO kan het moreel van het team schaden. Het verlies van een sterke leider en mentor zorgt voor onzeker­heid en kan leiden tot verdere uitstroom van teamleden.

Maatregelen om CISO’s te behouden

Om het hoge verloop onder CISO’s tegen te gaan, moeten bedrijven hun aanpak herzien. Volgens Van der Wel-ter Weel zijn deze essen­tiële maatre­gelen nodig om CISO’s te onder­steunen en te behouden:

• Betere toegang tot direc­ties
  Ondanks de urgentie van cyber­se­cu­rity, hebben veel CISO’s onvol­doende toegang tot het bestuur. Zonder directe toegang tot de board­room kunnen ze niet de strate­gi­sche invloed uitoe­fenen die nodig is om effec­tieve cyber­se­cu­rity te waarborgen. Bedrijven die cyber­se­cu­rity als een puur technisch probleem blijven zien, blijven achterlopen.
• Hogere salarissen
  Veel bedrijven bieden geen markt­con­forme salarissen en beloningen voor CISO’s, ondanks de hoge vraag naar gekwa­li­fi­ceerde profes­si­o­nals. Dit leidt ertoe dat CISO’s vertrekken naar beter betaalde functies bij de concur­rentie. Zolang bedrijven niet bereid zijn serieus te inves­teren in digitale veilig­heid, zullen ze hun CISO’s blijven verliezen.
• Sterke bedrijfs­cul­tuur
  Cyber­se­cu­rity moet diep veran­kerd zijn in de organi­sa­tie­cul­tuur. CISO’s moeten voelen dat de hele organi­satie, van top tot werkvloer, achter hen staat. Alleen wanneer cyber­se­cu­rity priori­teit krijgt in elke laag, voelen CISO’s zich écht gesteund.
• Mentor­schap en begelei­ding
  Een sterke mentor of coach is essen­tieel om CISO’s door de uitda­gingen van hun functie te loodsen. Met de juiste begelei­ding kunnen ze sneller groeien, zelfver­ze­kerder optreden en blijven ze langer gemoti­veerd. Zonder deze steun dreigen CISO’s uitge­blust te raken en de organi­satie te verlaten.
• Voldoende middelen en onder­steu­ning
  Een CISO zonder de juiste middelen is als een generaal zonder leger. Zonder voldoende budget, geavan­ceerde tools en een bekwaam team is het onmoge­lijk om effec­tieve cyber­se­cu­rity te waarborgen. Bedrijven die beknib­belen op deze middelen sturen hun CISO recht­streeks richting burn-out.

De veranderende rol van de CISO

Volgens onder­zoeks­bu­reau Gartner staat risico­ma­na­ge­ment nu hoog op de agenda van CEO’s. Dit benadrukt hoe cruciaal het is dat CISO’s niet alleen techni­sche oplos­singen bieden, maar ook strate­gisch advies geven over het beheersen van cyberrisico’s. Cyber­se­cu­rity is daarmee niet langer alleen een IT-kwestie, maar een integraal onder­deel van de bedrijfs­stra­tegie. Deze veran­de­ring vraagt om meer middelen en invloed voor CISO’s, zodat zij hun organi­satie beter kunnen beschermen tegen de toene­mende dreigingen.

Van der Wel-ter Weel conclu­deert: “Het gaat dus niet alleen om het behouden van talent, maar ook om het creëren van een organi­satie waarin cyber­se­cu­rity echt veran­kerd is. CISO’s moeten meer zijn dan probleem­op­los­sers; ze moeten de ruimte en middelen krijgen om proac­tief te werken en de bevei­li­ging van de organi­satie naar een hoger niveau te tillen. Zonder die strate­gi­sche vrijheid zullen ze blijven vertrekken, en blijft de digitale weerbaar­heid van bedrijven in gevaar.”