Er wordt heel veel geëist van de sollicitanten. Vele jaren ervaring in de cybersecurity, een enorme bak aan technische skills en meerdere certificeringen, zoals bijvoorbeeld CISSP, CISM, of CEH. Maar vooral de verantwoordelijkheid staat vaak niet verhouding met het geboden salaris.
Een CISO zou verantwoordelijk moeten zijn voor het managen van de (digitale) risico’s van de gehele organisatie, zodat de business ongestoord haar ‘business’ kan doen. De verantwoordelijkheid van de CISO is gigantisch, vooral als het een organisatie in een kritieke infrastructuur betreft, zoals een ziekenhuis, een energiecentrale of een voedselwarenfabriek. Het verstoren van hun business kan zelfs direct mensenlevens kosten.
Als ik dan zie dat het geboden salaris van een CISO voor een gemiddeld ziekenhuis met ruim 3.000 medewerkers maximaal € 6.500,- bruto per maand bedraagt, dan word ik daar heel verdrietig van. Helaas is dit eerder regel dan uitzondering, want er zijn (te) veel vergelijkbare voorbeelden vanuit de overheid, de energiesector en andere sectoren.
Het gaat mij niet om het uiteindelijke salaris, maar wel om de waardering van de CISO-functie. Het gaat erom dat cybersecurity serieus wordt genomen door organisaties. Dat ze serieus investeren in cybersecurity en in een kwalitatieve en ervaren CISO. Niet in een CISO met 1 of 2 jaar consultancy-ervaring en een dansdiploma, die wel genoegen neemt met een belachelijk salaris.
Als een organisatie niet serieus investeert in de cybersecurity en de daarbij behorende CISO, dan zal het ‘op zeker’ een cyberincident ondervinden. Uiteindelijk is het salaris van een ervaren CISO nog altijd vele malen lager dan het gevraagde losgeld (‘ransomware’) van cybercriminelen. Misschien moet u die vacature toch nog aanpassen? Het scheelt in ieder geval een hoop ellende en weggegooide pinda’s.
(dit artikel verscheen eerder in ITchannelPRO magazine 2024 #01)