Terwijl organisaties miljoenen investeren in cybersecurity, brandt de persoon die dit moet coördineren op. Steeds meer CISO’s ervaren burn-out, gedreven door verantwoordelijkheid zonder mandaat. En daarmee ontstaat een kwetsbaarheid die geen enkele tool kan dichten.
Jeroen Schipper is Chief Security Advisor bij DEFION Security en werkt met directies, raden van bestuur en CISO’s op het snijvlak van inhoud, organisatie en mens. “Wat me opvalt is dat uitgeputte CISO’s geen incidenten zijn, maar een structureel patroon. Ik zie sterke CISO’s die inhoudelijk precies weten wat nodig is, maar die vastlopen op governance, mandaat en besluitvorming op bestuursniveau.”
Wereldwijd heeft 63 procent van de CISO’s het afgelopen jaar burn-out ervaren of gezien, blijkt uit het Voice of the CISO rapport van Proofpoint. “In Nederland ligt dat percentage op 56 procent volgens dat rapport”, zegt Schipper. Voor hem is de oorzaak helder. “CISO’s dragen de verantwoordelijkheid, maar missen het mandaat. Ze waarschuwen, maken risicoanalyses, maar dringen niet door tot het hoogste niveau. Dat is een kloof die de hele organisatie kwetsbaar maakt.”
Patroon van frustratie
Schipper spreekt regelmatig met CISO’s die worstelen. Het verhaal is telkens hetzelfde: ze signaleren risico’s, onderbouwen die met concrete analyses, doen voorstellen. Maar het bestuur zegt nee – geen budget, andere prioriteiten. De CISO kan dan een Risk Letter laten tekenen, waarmee het bestuur formeel de verantwoordelijkheid accepteert. Op papier is daarmee de zaak geregeld. Maar wanneer een incident dan toch plaatsvindt, blijkt die handtekening weinig waard. “Het wereldje van de CISO’s in Nederland is vrij klein”, zegt Schipper. “Op het moment dat daar iets gebeurt, sta je bekend als de CISO bij bedrijf X waar het is misgegaan. Ook al heb je zwart op wit dat het risico geaccepteerd was – het kleeft aan jou.”
Voor veel CISO’s wordt het op een gegeven moment een onhoudbare situatie. Ze staan 24/7 paraat, dragen de eindverantwoordelijkheid voor de digitale veiligheid, maar krijgen keer op keer nee te horen op hun voorstellen. Ze zien dreigingen aankomen waar ze niets tegen kunnen doen, omdat het budget of de mensen ontbreken. “Die combinatie van verantwoordelijkheid voelen en tegelijkertijd machteloos staan, vreet aan je.”
Dan ontstaat de keuze: blijven en opbranden, of vertrekken voordat het misgaat. Voor de persoon zelf is dat een ingrijpende beslissing. Voor de organisatie is het een kostbare gok. Vervangingstrajecten voor een goede CISO duren gemiddeld meer dan een jaar. Het is niet zomaar een functie die je even kunt invullen. Je hebt iemand nodig die in staat is om de organisatie snel te doorgronden, die in staat is om een vertrouwensband op te bouwen met het bestuur, die weet waar de kwetsbaarheden zitten.
In die tussentijd stapelen de kosten zich op. Zi is er het salaris van de CISO die ziek thuis zit of met een burn-out uitvalt. “Niet zelden moet je tegelijkertijd een interim inschakelen om het gat te vullen, dus betaal je twee salarissen. Het security team verliest productiviteit omdat er geen sturing is. Projecten lopen vertraging op. En ondertussen wachten de dreigingen niet tot er weer een CISO is”, vat Schipper samen.
Blik van bestuur op CISO
De cijfers onderstrepen hoe nijpend de situatie is. Schipper beschreef in een uitgebreid artikel op LinkedIn hoe de gemiddelde contractsduur van een CISO is gekelderd van 26 maanden in 2020 naar recentelijk slechts 6 tot 9 maanden. Dat duidt op extreme instabiliteit. Nog veelzeggender is dat 90 procent van de CISO’s bereid is een salarisverlaging te accepteren in ruil voor minder stress, van gemiddeld zo’n 8.200 euro per jaar.
Schipper trekt een scherpe vergelijking. “We accepteren niet dat een CFO structureel overbelast raakt zonder back-up of mandaat. Maar bij CISO’s doen we dat nog te vaak, terwijl de impact minstens zo groot is.” Het heeft volgens hem te maken met hoe de CISO-functie wordt gezien. Niet als een strategische partner, maar als een technische functie ergens in de IT-organisatie. Hij benadrukt dat het niet om de zwaarte van de functie gaat. Incidentele druk hoort erbij. “Je moet een soort ’teflon pak’ aanhebben, maar wanneer je structureel wakker ligt van je rol als CISO, is dat misschien het moment om nog eens na te denken of je wel geschikt bent voor de functie.” Het probleem van overbelasting ontstaat vooral wanneer zware verantwoordelijkheid structureel wordt gecombineerd met gebrek aan mandaat en erkenning. “Dan wordt de druk corrosief.”
De kern van het probleem ligt in hoe besturen naar cybersecurity kijken. Onderzoek van Ernst & Young laat de kloof zien: 66 procent van de CISO’s maakt zich zorgen dat de bedreigingen geavanceerder zijn dan hun verdediging, maar slechts 56 procent van de rest van de C-suite deelt die zorg. Hoewel het verschil in percentages beperkt is, laat het zien dat CISO’s structureel meer urgentie ervaren dan de rest van de C-suite. En juist dat verschil in risicoperceptie werkt door in prioriteiten en besluitvorming. Bovendien valt cybersecurity bij veel organisaties nog altijd onder het IT-budget, waarmee het behandeld wordt als een kostenpost in plaats van een strategische pijler.
“Op het moment dat een directie cybersecurity nog steeds als onderdeel van het IT-budget ziet, wordt het lastig”, zegt Schipper. CISO’s zitten dan vaak een paar niveaus lager in de organisatie. Ze hebben moeite om überhaupt hun punten te agenderen, laat staan structureel gehoord te worden. Het is volgens Schipper tweerichtingsverkeer. De CISO moet volwassener worden in de communicatie, maar de organisatie en het bestuur ook. “Bestuurders zijn niet dom. Ze kunnen op het gebied van HR en financiën allerlei moeilijke vragen stellen. Dat moeten ze ook leren doen richting hun CISO.”
Dat vergt van de CISO het vermogen om technische risico’s te vertalen naar bedrijfstaal. “Je komt er niet mee weg om bij de board aan te kloppen en te zeggen: ik heb een half miljoen euro nodig, want dan worden we veiliger. Je moet heel duidelijk kunnen maken wat je precies wilt.” Hij geeft het voorbeeld van softwarepatching. “Hoe sneller je software patcht, hoe kleiner het risico. Maar in plaats van te zeggen ‘we moeten sneller patchen’, kun je het vertalen naar capaciteit: een halve FTE extra bij de IT-afdeling brengt de patchtijd terug van drie weken naar één week. Daarmee loop je twee weken minder risico. Op die manier wordt het een gesprek over risicomanagement in plaats van een abstracte technische maatregel.”
Cyberbeveiligingswet als keerpunt
Maar er is beweging. De Cyberbeveiligingswet (Cbw) maakt bestuurders hoofdelijk aansprakelijk voor cybersecurity. Schipper geeft sessies om bestuurders beter voor te bereiden op hun rol onder de Cbw en ziet dat dit het gesprek verandert. “Ze zijn er heel serieus mee bezig”, ziet Schipper. “Het gaat niet om een theoretische cursus over beschikbaarheid en integriteit. Deze bestuurders leren concrete dilemma’s hanteren en risicoafwegingen maken.” En die risicoafwegingen gaan verder dan voorheen. “Je kunt niet volstaan met alleen een handtekening zetten bij een risicoacceptatie en zeggen ‘We hebben hier geen geld voor’. Je moet nu daadwerkelijk op papier een onderbouwde risicoafweging maken. En daar komt de CISO bij kijken, want die kan hierover adviseren.”
Voor CISO’s die jarenlang tegen een muur aanliepen, is dit het momentum. “Nú is het moment om die aansluiting bij het hoogste niveau te zoeken. Je zou als board of management team graag willen dat een CISO aan tafel zit om digitale risico’s te duiden. Dat vraagt natuurlijk wel iets van de CISO zelf.” Sommige CISO’s moeten eerst nog basisdingen uitleggen: wie ben ik, waarom kom ik hier. “Als je nog in die fase zit, heb je nog best wel wat werk te doen”, zegt Schipper. Maar het volstaat niet meer om met een presentatie onder je arm naar het bestuur te gaan. “Het is wel anders dan een paar jaar geleden, toen het een kwestie was van een slide deck meenemen en goede gesprekken voeren. Je moet echt duidelijk hebben wat de relevante, actuele dreigingen zijn, wat de compliance risico’s zijn.”
Vertrouwen en vrijheid
Schipper spreekt uit ervaring. Hij was zelf ruim zeven jaar CISO bij de gemeente Den Haag. Vanaf het begin zat hij aan tafel bij bestuurders en kreeg hij volledige vrijheid binnen een eigen budget. “Het eerste inhoudelijke gesprek vond plaats een half jaar nadat ik was begonnen. Voor de rest kreeg ik te horen: jij bent de expert met je team, jullie weten wat er moet gebeuren.”
Die vertrouwensband maakte het verschil. “Als ik op het allerhoogste niveau belde, werd altijd de telefoon opgenomen. De boodschap was duidelijk: als ik bel, is er iets aan de hand. Op die manier kon ik bewustwording creëren zonder vooraf eindeloze agendadiscussies.” Het werkte beide kanten op. Wanneer zijn team budget kreeg voor gevraagde investeringen, was dat een signaal dat ze gehoord werden en daadwerkelijk maatregelen konden nemen. Als het lastiger werd om budget vrij te maken, kreeg hij altijd de kans om het gesprek aan te gaan. Die feedback versterkte de relatie.
Voor bestuurders ligt de oplossing dan ook voor de hand: neem zelf het initiatief. “Als bestuurders proactief contact opnemen met hun CISO en vragen: leg me uit wat er speelt in jouw wereld en hoe kan ik je helpen – dat zou een wereld van verschil maken. CISO’s die op het randje van een burn-out balanceren, krijg je daarmee mogelijk van die rand.”
Volwassen organisaties gaan verder dan alleen die directe lijn met de top. “In volwassen organisaties zie je dat de CISO niet alleen afhankelijk is van een bestuurder of meerdere bestuurders, maar ook structureel toegang heeft tot andere functies”, zegt Schipper. “Dat verdeelt druk en voorkomt isolatie. De CISO kan steun zoeken bij afdelingen als Risk en Audit, maar natuurlijk ook bij een raad van toezicht of raad van commissarissen.” Een gezonde relatie tussen CISO en board kenmerkt zich volgens hem niet door de afwezigheid van problemen. “Het gaat erom dat moeilijke gesprekken wél plaatsvinden en besluiten expliciet worden genomen. Dat is een teken van volwassenheid.”
De business case
De business case voor investeren in het welzijn van de CISO en zijn team is bovendien ijzersterk. “Kijk alleen al naar de eerder genoemde vervangingskosten. Het duurt vaak meer dan een jaar om een goede, nieuwe CISO te vinden. Tel daar de kosten van productiviteitsverlies, ziekteverzuim en een gedemotiveerd team bij op, en de rekening wordt snel duidelijk.”
Voor bestuurders is de boodschap even urgent. De hoofdelijke aansprakelijkheid onder de Cbw dwingt hen om cybersecurity serieus te nemen. Maar die verantwoordelijkheid blijft papier als ze hun CISO niet daadwerkelijk horen. “Besef wat er gebeurt als je CISO uitvalt. Wie vangt dat op? De schade die dat oplevert – daar moet je over nadenken.”
De paradox is schrijnend: organisaties investeren miljoenen in firewalls en detectiesystemen, maar vergeten de persoon te beschermen die dit allemaal moet coördineren. En wanneer die persoon opbrandt, brokkelt de hele digitale verdediging af. Het is geen HR-kwestie. Het is een strategisch risico dat geen enkele organisatie zich kan veroorloven.