Je zal maar CISO van een organisatie zijn. Stress en onvoldoende steun binnen de organisatie jaagt minstens de helft van de cybersecurityleiders richting een andere job.
Gartner kijkt met weinig optimisme naar de rol van de CISO binnen bedrijven. Het analysebureau voorspelt dat tegen 2025 de helft van de cybersecurityleiders van job zal wisselen, waarvan een kwart zal kiezen voor een functie die niets meer met cybersecurity te maken heeft. Gartner haalt hiervoor de vaak slechte werkomstandigheden in waarin cybersecurityprofessionals moeten opereren.
“Security-experts worden geconfronteerd met onhoudbare niveaus van stress”, zegt Deepti Gopal, analist bij Gartner. “CISO’s zijn in de verdediging, met als enige mogelijke uitkomsten dat ze niet gehackt worden of wel. De psychologische impact hiervan heeft directe gevolgen voor de kwaliteit van de beslissingen en de prestaties van cyberbeveiligingsleiders en hun teams.”
Cultuur van de organisatie
De cultuur van de organisatie heeft een grote impact op het welzijn van de cybersecurityprofessionals. Cyberbeveiligingsprogramma’s die gericht zijn op naleving, weinig steun van het management en een lagere mate van volwassenheid in de sector zijn volgens Gartner indicatoren dat een bedrijf security niet ernstig genoeg neemt.
Dit soort bedrijven kent bijgevolg een groter verloop van securityprofessionals, met alle gevolgen van dien. “Burn-out en vrijwillig verloop zijn het gevolg van een slechte organisatiecultuur. Stress eliminerenet is een onrealistisch doel, maar mensen kunnen uitdagende en stressvolle banen aan in culturen waar ze worden ondersteund”, predikt Gopal.
De menselijke factor
Daarnaast is het ook de verantwoordelijkheid van de werknemers om het leven van hun CISO makkelijk te maken. Mensen worden beschouwd als de zwakke schaal. De beveiligingsteams kunnen wel regels opstellen, de werknemers moeten die ook nog altijd willen volgen.
En daar wringt in veel organisaties ook het schoentje: uit een enquête die Gartner in de lente van 2022 afnam blijkt dat 69 procent van de werknemers de richtlijnen rond gebruik van technologie wel eens aan de laars lapt. 74 procent vindt dat dat wel eens moet kunnen om een taak sneller af te ronden. Gartner voorspelt dat tegen 2025 de helft van de organisaties formelere richtlijnen zal opstellen om interne risico’s te beperken; nu doet tien procent dat nog maar.
Organisaties doen er maar beter aan om hun cybersecurityprofessionals in de watten te leggen. Er heerst namelijk een structureel tekort aan experten op de arbeidsmarkt, ook in ons land. Agoria omschrijft de stiel zelfs als een ‘knelpuntberoep’.