Acquisitie is niet gewenst — maar misschien wel noodzakelijk

Ik zit ondertussen al lang niet meer op de recruiterstoel. Tegenwoordig ben ik veel vaker strategisch bezig en adviseer ik CISO’s en organisaties. We bespreken het werven van security specialisten, het opschalen van teams en vooral de complexiteit van compliance die in de praktijk moet werken zoals bij ISO 27001 begeleiding.

En wat ik daar zie, is soms eerlijk gezegd schrijnend.

Dezelfde organisaties die luid en duidelijk verkondigen:

“Wij zijn voorzien.”“

Dat is bij ons niet nodig.”

“Wij hebben het al dik voor elkaar.”

Of mijn persoonlijke favoriet:“Acquisitie wordt niet op prijs gesteld.”

Om vervolgens een half jaar later te kampen met personeelstekorten, achterstanden en soms zelfs incidenten.  — vaak het moment waarop organisaties alsnog moeten nadenken over hoe ze hun security team structureel opbouwen

Dat is geen uitzondering. Dit is de norm.

We roepen met z’n allen dat we security belangrijk vinden.

Maar is dat echt zo?

Want als security écht belangrijk is, waarom sluiten we ons dan zo vaak af voor nieuwe inzichten, andere perspectieven en externe ervaring?

Waarom zijn we zo overtuigd dat we “klaar” zijn?

Een certificering houdt cybercriminelen niet tegen.

Een recruiter zorgt er niet voor dat een CISO op zijn stoel blijft zitten.

En jouw organisatie staat niet op zichzelf op een eiland.

Toch gedragen we ons er vaak wel naar.

Alsof het neerzetten van een team, het behalen van een certificaat of het invullen van een rol voldoende is om het probleem op te lossen.

Maar security is geen eindpunt.

Het is iets wat continu onder druk staat.

Continu verandert.

Continu getest wordt.

Weerbaarheid moet je toetsen.

En daarna opnieuw toetsen.

En nog een keer.

Niet alleen intern, maar juist ook door te luisteren naar de ervaringen en adviezen van anderen. Dienstverleners. Andere CISO’s. Organisaties die tegen dezelfde problemen aanlopen — of er al doorheen zijn gegaan.

Want dreigingen ontwikkelen zich tien keer sneller dan jouw IT-omgeving.

Dat betekent dat stilstand geen optie is.

Dat betekent ook dat openstaan voor nieuwe inzichten, tools en oplossingen geen luxe is, maar noodzaak.

En daar zit precies de spanning.

Want op het moment dat je de deur sluit voor acquisitie, sluit je je niet alleen af voor “verkoop”.

Je sluit je ook af voor:

nieuwe kandidaten

nieuwe ideeën

nieuwe inzichten

nieuwe oplossingen

En dat is precies waar het risico ontstaat.

Niet omdat je niets doet.

Maar omdat je denkt dat wat je hebt, voldoende is.

Ik zeg niet dat je elke vorm van acquisitie moet omarmen.

Er is genoeg ruis. Genoeg irrelevante benaderingen.

Maar volledig afsluiten is iets anders.

Want tussen die ruis zit soms precies datgene wat je verder helpt.

De juiste kandidaat.

De juiste aanpak.

Of simpelweg een ander perspectief dat je dwingt om opnieuw te kijken naar waar je staat.

Als je de deur sluit voor acquisitie, dan sluit je je af voor de beste kandidaten, adviezen en tools die beschikbaar zijn.

En ondertussen laat je de deur ergens anders openstaan.

Voor een risico dat je misschien nog niet ziet.

Of een kwetsbaarheid die al langer bestaat dan je denkt.

Of een kwaadwillend persoon die daar wél gebruik van maakt.

De vraag is dus niet of acquisitie gewenst is.

De vraag is of je het je kunt veroorloven om het te negeren?

Is het misschien tijd om eens kritisch te kijken naar hoe jouw securityfunctie écht is ingericht — van strategie tot uitvoering en capaciteit.

→ Bekijk hoe wij organisaties daarbij helpen