Orange Cyberdefense waarschuwt voor CISO-crisis

Het verloop onder CISO’s in Nederland is nog steeds zorgwekkend hoog, met een gemiddelde verblijfsduur van slechts 2 tot 3 jaar. Deze snelle wisselingen brengen bedrijven ernstig in gevaar. Elk vertrek slaat namelijk gaten in de cybersecuritystrategie en maakt de organisatie kwetsbaarder voor cyberaanvallen. Matthijs van der Wel-ter Weel, strategisch adviseur bij Orange Cyberdefense, waarschuwt: “Bedrijven moeten dringend actie ondernemen. Geef CISO’s een stevige stem in de boardroom en bied betere ondersteuning om burn-outs te voorkomen.”

Veel CISO’s vertrekken niet alleen vanwege betere financiële voorwaarden, maar vooral door het gebrek aan budget en commitment binnen de organisatie. Ze zien wat er mis is, vragen om middelen om het op te lossen, maar krijgen die niet. Dit leidt tot demotivatie en het besef dat ze het risico niet willen dragen. “In de kleine cybersecuritywereld kennen CISO’s elkaar goed, waardoor het moeilijker wordt om een nieuwe CISO te vinden als budget en middelen ontbreken”, zegt Matthijs van der Wel-ter Weel.

Het hoge verloop onder CISO’s is een groeiend probleem dat ernstige gevolgen heeft. Elke keer dat een CISO vertrekt, verliest de organisatie cruciale kennis en continuïteit. Dat vergroot het risico op beveiligingslekken. Bedrijven moeten hun CISO’s daarom beter beschermen en ondersteunen.

Gevolgen van een hoog CISO-verloop Het snelle verloop van CISO’s ondermijnt de algehele cybersecuritystrategie. De belangrijkste gevolgen van dit hoge verloop zijn volgens Van der Wel-ter Weel:

• Verlies van continuïteit

Bij het vertrek van een CISO gaat cruciale kennis over de IT-infrastructuur, eerdere incidenten en interne processen verloren. Deze informatie is vaak moeilijk volledig over te dragen, waardoor grote gaten in de beveiliging ontstaan.

• Niet aangepakte risico’s

Een nieuwe CISO heeft tijd nodig om de strategie te doorgronden en potentiële zwakke plekken te identificeren. In deze overgangsperiode kunnen cyberdreigingen ongemerkt blijven, wat de organisatie extra kwetsbaar maakt.

• Financiële impact

Het vervangen van een CISO brengt aanzienlijke kosten met zich mee, van werving tot onboarding. Daarnaast is er een tekort aan gekwalificeerde CISO’s, wat de situatie verder bemoeilijkt.

• Verlies van productiviteit

Zonder een goed ingewerkte CISO verliezen cybersecurityteams vaak hun richting, wat leidt tot vertragingen, onduidelijke prioriteiten en lagere productiviteit. Dit vergroot het risico op beveiligingsincidenten.

• Verlaagd teammoreel

Het vertrek van een CISO kan het moreel van het team schaden. Het verlies van een sterke leider en mentor zorgt voor onzekerheid en kan leiden tot verdere uitstroom van teamleden. Maatregelen om CISO’s te behouden

Om het hoge verloop onder CISO’s tegen te gaan, moeten bedrijven hun aanpak herzien. Volgens Van der Wel-ter Weel zijn deze essentiële maatregelen nodig om CISO’s te ondersteunen en te behouden:

• Betere toegang tot directies

Ondanks de urgentie van cybersecurity, hebben veel CISO’s onvoldoende toegang tot het bestuur. Zonder directe toegang tot de boardroom kunnen ze niet de strategische invloed uitoefenen die nodig is om effectieve cybersecurity te waarborgen. Bedrijven die cybersecurity als een puur technisch probleem blijven zien, blijven achterlopen.

• Hogere salarissen

Veel bedrijven bieden geen marktconforme salarissen en beloningen voor CISO's, ondanks de hoge vraag naar gekwalificeerde professionals. Dit leidt ertoe dat CISO’s vertrekken naar beter betaalde functies bij de concurrentie. Zolang bedrijven niet bereid zijn serieus te investeren in digitale veiligheid, zullen ze hun CISO’s blijven verliezen.

• Sterke bedrijfscultuur

Cybersecurity moet diep verankerd zijn in de organisatiecultuur. CISO’s moeten voelen dat de hele organisatie, van top tot werkvloer, achter hen staat. Alleen wanneer cybersecurity prioriteit krijgt in elke laag, voelen CISO’s zich écht gesteund.

• Mentorschap en begeleiding

Een sterke mentor of coach is essentieel om CISO’s door de uitdagingen van hun functie te loodsen. Met de juiste begeleiding kunnen ze sneller groeien, zelfverzekerder optreden en blijven ze langer gemotiveerd. Zonder deze steun dreigen CISO’s uitgeblust te raken en de organisatie te verlaten.

• Voldoende middelen en ondersteuning

Een CISO zonder de juiste middelen is als een generaal zonder leger. Zonder voldoende budget, geavanceerde tools en een bekwaam team is het onmogelijk om effectieve cybersecurity te waarborgen. Bedrijven die beknibbelen op deze middelen sturen hun CISO rechtstreeks richting burn-out. De veranderende rol van de CISO

Volgens onderzoeksbureau Gartner staat risicomanagement nu hoog op de agenda van CEO’s. Dit benadrukt hoe cruciaal het is dat CISO’s niet alleen technische oplossingen bieden, maar ook strategisch advies geven over het beheersen van cyberrisico’s. Cybersecurity is daarmee niet langer alleen een IT-kwestie, maar een integraal onderdeel van de bedrijfsstrategie. Deze verandering vraagt om meer middelen en invloed voor CISO’s, zodat zij hun organisatie beter kunnen beschermen tegen de toenemende dreigingen.

Van der Wel-ter Weel concludeert: “Het gaat dus niet alleen om het behouden van talent, maar ook om het creëren van een organisatie waarin cybersecurity echt verankerd is. CISO’s moeten meer zijn dan probleemoplossers; ze moeten de ruimte en middelen krijgen om proactief te werken en de beveiliging van de organisatie naar een hoger niveau te tillen. Zonder die strategische vrijheid zullen ze blijven vertrekken, en blijft de digitale weerbaarheid van bedrijven in gevaar.”