Hoe voorkom je als CISO dat je een burn-out krijgt?

Andy Rose CISO Proofpoint

In de koffiebar op securityconferenties en tijdens diners met leidinggevenden is men het over één ding vrijwel unaniem eens: de functie van CISO wordt steeds zwaarder. Ondanks hogere salarissen en meer beschikbare middelen zet deze trend zich door, waardoor securityleiders steeds meer stress ervaren of zelfs een burn-out krijgen.

De oorzaken van stress

Er zijn meerdere oorzaken voor deze toenemende druk. Een daarvan is dat er sprake is van een sneeuwbaleffect. Veel securityleiders begonnen ooit met IT-beveiliging, wat uitgroeide tot informatiebeveiliging en vervolgens cybersecurity werd. Steeds namen de verantwoordelijkheden toe. Nu betreden we het tijdperk van 'cyberweerbaarheid', dat eigenlijk alles omvat.

Een andere reden is dat zowel onze organisaties als onze maatschappelijke systemen steeds complexer worden. Dit leidt tot chaotisch, onvoorspelbaar systeemgedrag, binnen een maatschappij die steeds afhankelijker is van deze systemen. Het gevolg is dat we leven in een samenleving die steeds kwetsbaarder wordt voor heet falen van systemen.

Als kers op deze afschuwelijke taart krijgen CISO's te maken met juridische straffen voor hun handelen, zoals jarenlange gevangenisstraffen of torenhoge boetes. Het is geen verrassing dat veel CISO's overwegen op te stappen en dat steeds meer medewerkers al duidelijk hebben gemaakt dat de 'topfunctie' niets voor hen is?

"Ik voel me oké, echt waar!"

Velen van ons denken dat we de stress wel kunnen verdragen, maar een burn-out voel je zelden aankomen. In extreme gevallen zijn er fysieke symptomen, zoals pijn op de borst of paniekaanvallen. Meestal blijven de problemen echter onopgemerkt, vaak met behulp van zelfmedicatie zoals alcohol, of door zich regelmatig af te zonderen van familie en vrienden.

Een burn-out is echter explosief en ontstaat meestal plotseling wanneer een onbeduidende situatie opeens te veel wordt. Voor het individu is het meestal moeilijk om een burn-out te zien aankomen, hoewel familie, vrienden en collega's er wel enig zicht op kunnen hebben.

Bovendien kan stress onze ethiek ondermijnen. Bepaalde data over het hoofd zien of de situatie net iets rooskleuriger voorstellen, kan verleidelijk zijn als je daarmee voorkomt dat je tijdens de volgende bestuursvergadering onder extra druk en stress komt te staan. Dit kan echter leiden tot een opeenvolging van slechte keuzes, met mogelijk catastrofale gevolgen.

Dus hoe kunnen we dit aanpakken en toch succesvol zijn zonder dat onze geestelijke gezondheid en ethiek in gevaar komen?

Het antwoord is niet eenvoudig. In feite is de oplossing zelfs vreselijk vaag: simpel gezegd moet iedereen zijn eigen pad bewandelen, want we verwerken dingen allemaal op onze eigen manier. Maar besef wel dat je een pad moet vinden, en wees je bewust van dat pad! Coping-mechanismen werken veel beter als je je ervan bewust bent en de positieve (zoals lichaamsbeweging of dankbaarheid) kunt toepassen en de negatieve (zoals sociaal isolement of alcohol) kunt beperken.

Zet eerst je eigen zuurstofmasker op

Goed voor jezelf zorgen is essentieel, en dat kan op vele manieren. Misschien weiger je problemen te laten etteren door ze regelmatig onder ogen te zien. Bijvoorbeeld door elke dag een moeilijk probleem aan te pakken en een oplossing te vinden. Als dat niet lukt, stel de kwestie dan niet eindeloos uit. Vraag je collega's om input, advies en hulp.

Een veel voorkomende stressveroorzaker is de continu veranderende context. Dit gebeurt doordat de functie van securityleider tegenwoordig zo divers is. Overweeg grenzen en regels op te stellen voor jezelf en je team. Zorg bijvoorbeeld dat er tussen vergaderingen vijf minuten pauze wordt gehouden om een stapje terug te doen, adem te halen en te resetten voor de volgende uitdaging.

Een zorgcultuur creëren

We moeten niet alleen aan onszelf denken. Wij hebben als leiders de verantwoordelijkheid om ervoor te zorgen dat dit probleem geen gevolgen heeft voor de mensen die op ons of ons personeel rekenen. Schep een klimaat waarbij je team zoekt naar tekenen van stress bij collega's en vraag hen hetzelfde te doen bij jou. Vergeet niet dat een burn-out vaak beter te zien is aan de buitenkant.

Besef ook dat je personeel slechts het topje van de ijsberg is. Achter elk van hen staat een familie die hen steunt, hen aanmoedigt, en hen vergeeft als ze weer eens in de nacht of het weekend moeten werken. Bedank de achterban van je personeel voor hun moeite en opofferingen zodat jij je functie optimaal kunt uitvoeren.

Het rechte pad volgen

Het is essentieel dat we leidinggeven aan teams waarin 'het juiste doen' de enige manier van doen is. Joe Sullivan, voormalig beveiligingschef van Uber, had als taak de toezichthouder te informeren over eventuele overtredingen. Maar had die verantwoordelijkheid niet beter bij Compliance of Legal kunnen liggen? Identificeer deze potentiële problemen en maak anderen verantwoordelijk.

Belangrijker is echter dat je jezelf een ethisch ‘kompas’ geeft. We hebben allemaal onze eigen doelen, taken en ambities. In tijden van stress is het echter gemakkelijk om deze uit het oog te verliezen en je alleen te richten op het probleem dat voor je ligt. Schrijf je persoonlijke principes op en zorg dat je ze altijd bij je hebt als referentiekader.

Als je functie van je vraagt om beslissingen te nemen die je als onethisch beschouwt, vraag je dan af of het tijd is om uit die functie te stappen. Besef dat wij als security leaders een enorm vangnet hebben en dat je met de juiste ethiek en reputatie altijd werk zult vinden. Maar zonder ethiek zal dat vangnet niets waard zijn.

Andy Rose, Resident CISO, Proofpoint

Meer over
Lees ook
Trend Micro scoort 100% op attack visibility in laatste MITRE Engenuity ATT&CK Evaluations

Trend Micro scoort 100% op attack visibility in laatste MITRE Engenuity ATT&CK Evaluations

Trend Micro, leider in cyberbeveiliging, behaalt een perfecte score van 100% met zijn sterke dreigingsdetectieprestaties en hoge inzetsbeoordeling in het laatste MITRE Engenuity ATT&CK Evaluations-rapport voor managed services. Dit rapport geeft inzicht in het vermogen van een oplossing om aanvallen te detecteren.

Nederlandse bedrijven kennen de risico’s van AI-aangedreven cyberaanvallen, maar zijn er nog onvoldoende op voorbereid

Nederlandse bedrijven kennen de risico’s van AI-aangedreven cyberaanvallen, maar zijn er nog onvoldoende op voorbereid

IT- en securityleiders in Nederlandse organisaties zijn zich bovengemiddeld bewust van de gevaren van door kunstmatige intelligentie (AI) aangedreven cyberdreigingen, zo blijkt uit een nieuw onderzoek van Darktrace. Desondanks denkt een meerderheid dat hun organisatie onvoldoende is voorbereid

Belgische cybersecurityspeler Jarviss wil Nederlandse markt veroveren

Belgische cybersecurityspeler Jarviss wil Nederlandse markt veroveren

Jarviss, een van oorsprong Belgische netwerk -en cybersecurityspecialist, breidt uit naar Nederland. Het bedrijf opent een Nederlandse tak onder leiding van Sander Groot, die de rol van Managing Director opneemt voor Jarviss Nederland. In België beschikt Jarviss inmiddels over een sterk klantenportfolio met dank aan een uniek managed service-model1