Burn-out is een veelvoorkomend verschijnsel op de werkvloer maar één beroepsgroep loopt daarbij in de kijker: security-verantwoordelijken. De eigenheid van de job speelt daarbij een rol. We leggen ons oor te luisteren bij enkele security officers. “Wij zijn geen Superman of Wonder Woman, maar we willen wel de wereld redden.”
Vakorganisaties als Cyber Security Coalition en ISACA zien het soms met lede ogen aan: de uitval binnen het beroep van Chief Information Security Officers (CISO’s) of security-verantwoordelijken. “Een spijtige vaststelling”, beaamt Marc Vael, voorzitter van IT-vereniging SAI en voorheen van ISACA en zelf global risk officer. “Ik zie regelmatig capabele mensen die ons beroep vaarwel zeggen.”
Cijfers kleuren donkerrood
Niet enkel de situatie op het terrein, maar ook onderzoek bevestigt dat er wat aan de hand is. De cijfers willen wel eens verschillen. Ze wijzen echter op een duidelijke trend: security officer is een mentaal risicoberoep.
Ongeveer anderhalf jaar geleden ondervroeg Gartner 178 informatiebeveiligings- en IT-leiders die primair verantwoordelijk zijn voor cyberbeveiliging hoe het met hun welbevinden is gesteld. En wat bleek? Van deze leiders heeft 62 procent persoonlijk ten minste één keer een burn-out ervaren. Bovendien heeft 44 procent dit meerdere malen ervaren.
Ook recenter onderzoek bevestigt de bevindingen. Bijna de helft (49 procent) van de cyberbeveiligingsprofessionals in Nederland heeft last gehad van (ernstige) burn-out verschijnselen. De cijfers zijn afkomstig uit SoSafe’s 2024 Human Risk Review, een grootschalig onderzoek naar het huidige cyberdreigingslandschap. Ook de beveiligingscultuur binnen bedrijven wordt hierin meegenomen. Het rapport baseert zich op de input van meer dan 1.250 beveiligingsleiders in West-Europa.
Oorzaken zijn klassiek
De vraag is natuurlijk hoe het komt dat burn-outs alarmerend vaak voorkomen in de wereld van cyberbeveiliging. Belangrijke factoren van de betrokkenen hiervoor, aangehaald in het Human Risk Review-rapport, zijn onder meer lange werkdagen of overwerk (27 procent) en hoge druk op de werkvloer (26 procent). Nog eens 22 procent noemt het personeelstekort een belangrijke stressfactor.
Andrew Rose, chief security officer bij SoSafe, werd enkele jaren geleden zelf getroffen door een burn-out en herinnert het zich nog goed: “Mijn burn-out ontwikkelde zich langzaam, aangewakkerd door de constante druk om meer te doen, kosten te besparen en nooit te falen”, vertelt hij. “Ik dacht dat deze stress gewoon bij het werk als leidinggevende hoorde, totdat ik symptomen van overbelasting begon te krijgen.”
Meer aan de hand door specifieke functie
De redenen die Andrew Rose aanhaalt, zijn op zich klassieke drijfveren voor een burn-out. Maar dan is er nog de eigenheid van het beroep zelf als security-verantwoordelijke. In het Gartner-onderzoek blijkt ook dat veel cybersecurity verantwoordelijken af te rekenen hebben met onrealistische verwachtingen (37 procent). Bovendien voelen zij zich ook vaak geïsoleerd (36 procent).
Veel CISO’s hebben ook een superheldencomplex, stelt Fleur van Leusden, die Chief Information Security Officer (CISO) in bij de Nederlandse Kiesraad. “We willen de wereld redden en onze bedrijven en organisaties veilig houden. En daar is niks mis mee”, aldus van Leusden. Ze nam onlangs zelfs een podcast op over mentale gezondheid bij CISO’s.
Maar, zo vervolgt Van Leusden, het is erg moeilijk om de wereld te redden als je geen middelen hebt om dat te doen. “Ook al zouden we willen, we zijn geen Superman of Wonder Woman. Dat maakt het moeilijk. Je wilt veel doen om je organisatie te helpen. Soms voelt het als CISO echter aan alsof je organisatie je hulp niet wil. Of zichzelf niet eens wil helpen.”
Een andere aspect is je rol in de organisatie. “Niemand in de kamer is blij je te zien”, stelt Van Leusden. “Dat klinkt erg hard. En dat heeft niets te maken met hoe goed je bent in je job. Het heeft te maken met het feit dat je over het algemeen wordt gezien als de persoon die tegen veel dingen nee zegt.”
En daar is de crisis
Een ander element zijn natuurlijk de crisissen waar security-verantwoordelijken, en eigenlijk IT’ers in het algemeen, tegen aankijken. Want als een bedrijf wordt gehackt, krijgen ze vaak de volle laag. “Ze zien hun collega’s denken: tiens, blijkbaar is hij toch niet zo goed in zijn baan als we dachten”, weet Geert Bauwdewijns, die als ransomware-onderhandelaar vooral bij crisissen moet optreden.
Het is ook een kwestie om security-verantwoordelijken te ondersteunen in tijden van crisis. “Wanneer ik als externe onderhandelaar ergens een bedrijf moet redden, is dit het eerste wat ik doe: IT’ers ervan overtuigen dat het niet hun schuld was”, vertelt de onderhandelaar. “Een boodschap die ik ook herhaal naar hun oversten. Zij wijzen soms met een beschuldigende vinger naar hun IT-afdeling.”
Ook Fleur van Leusden maakte een crisis mee toen ze bij haar toenmalige werkgever af te rekenen had met een veiligheidsprobleem met Citrix-technologie. “We moesten een manier vinden om medewerkers wereldwijd toch te laten werken zonder de hele organisatie in gevaar te brengen”, stelt ze. “Als CISO beslis en doe je dit soort dingen meestal niet alleen; ondersteuning is hierbij cruciaal.”
Het kan altijd erger
Toch is er één aspect waar CISO’s in België en Nederland (voorlopig) van gespaard blijven: de eindverantwoordelijkheid. “Hier zijn wij meer adviseurs en niet persoonlijk aansprakelijk”, aldus Van Leusden. “Maar dat betekent niet dat we niet te maken hebben met sommige van dezelfde problemen en stress waar de Amerikaanse of andere CISO’s mee te maken hebben”, nuanceert ze. “We kunnen niet zo gemakkelijk worden aangeklaagd als er iets misgaat, wat de druk enigszins verlicht.”
Bovendien wijst ze op die adviseursfunctie als het om gemoedsrust gaat. “Het is niet jouw bedrijf. Het is het bedrijf van iemand anders”, stelt ze. “Het is jouw taak om het beste advies te geven dat je kunt geven op basis van al je kennis en ervaring. Dat is alles wat je kunt doen.”