De CISO zegt: “Neem geen contact met me op” (toch?)

“Neem alsjeblieft geen contact met me op,” zei de CISO. Of toch niet? Leveranciers klagen daar vaak over. En toen ik ooit toch eens een cold e-mail campagne verstuurde naar CISOs heb ik nog nooit zoveel klachten gehad. (Deze e-mail had je niet mogen versturen! En: verwijder mijn gegevens!)

Maar uit interviews voor Security Innovation Stories doemde een ander beeld op: dit waren stuk voor stuk CISO’s die meer dan openstaan voor innovaties, en die mee willen denken – ook als ze het product misschien niet gaan kopen. Wilden toevallig alleen de meest innovatieve CISO’s met ons in gesprek? Ik denk het niet, maar het was een idee dat ik graag wilde testen.

Meer lezen over de CISO? Ik schreef al een aantal artikelen voor dit CISO-onderzoek:

• Er is een groter verschil tussen CISO en CISO dan je denkt
• De rol van de CISO: vooral gericht op risico en audits

Voorbij de mythe

Na het doorzoeken van honderden CISO-profielen vonden we slechts vier vermeldingen over salesberichten. Maar in plaats van contact volledig af te wijzen, lag de nadruk op de kwaliteit van de interactie:

“Opmerking voor sales: geef me je beste filmquote […] anders ga ik ervan uit dat je bericht geautomatiseerd is en negeer ik het. Ik werk graag samen met serieus geïnteresseerde partners, want we hebben partners nodig – geen verkopers die een product afleveren en vervolgens de klant vergeten.”

Deze gedachte kwam vaak terug in ons onderzoek. Geen van de 15 geïnterviewde CISOs gaf aan dat ze leveranciers volledig wilden vermijden. In plaats daarvan benadrukten ze het belang van transparantie en relevante communicatie. Het probleem is dus niet het contact met leveranciers zelf, maar de manier waarop veel verkopers dat aanpakken.

Veel CISOs uitten hun frustratie over leveranciers die duidelijk geen onderzoek hadden gedaan. Ze beschreven hoe ze pitches ontvingen voor producten die hun bedrijf al gebruikte, of voor oplossingen die totaal niet aansloten bij hun sector. Dit is geen “neem geen contact met me op”-probleem; het is een “neem op een intelligente manier contact met me op”-verzoek.

De waarde van oprechte interactie

CISOs staan niet alleen open voor contact met leveranciers – velen zoeken het zelfs actief op. In onze interviews gaven meerdere CISOs aan dat leverancierspresentaties op branche-evenementen een van hun meest waardevolle informatiebronnen zijn over opkomende technologieën en innovatieve beveiligingsaanpakken.

Deze leiders zien interactie met leveranciers als een cruciaal onderdeel van hun kennisontwikkeling. Eén CISO merkte op dat leverancierspresentaties vaak inzichten bieden in nieuwe dreigingen en oplossingen die nog niet in analistenrapporten of academische studies te vinden zijn. Een andere CISO gaf aan dat het vergelijken van verschillende leveranciersaanpakken hen helpt bij het vormgeven van hun eigen strategisch denken.

Deze openheid gaat verder dan alleen evenementen. CISOs waarderen het vaak om vroeg betrokken te worden bij discussies over nieuwe beveiligingsaanpakken of opkomende technologieën. Ze vinden het waardevol om productontwikkeling te beïnvloeden en ervoor te zorgen dat oplossingen echte praktijkproblemen aanpakken.

Vergelijk deze twee outreach-aanpakken:

Generieke AI-“personalisatie”

Beste [voornaam], Ik weet zeker dat u veel risico’s loopt bij [bedrijfsnaam]. Met de toenemende cyberdreigingen is het cruciaal om robuuste beveiligingsmaatregelen te nemen. Onze AI-oplossing heeft bedrijven zoals die van u geholpen om hun risico met 75% te verminderen…

Echte personalisatie

Beste John, Je post vorige week over de uitdagingen in app-beveiliging sprak me erg aan, en daardoor heb ik je profiel bekeken. We zitten in de beginfase van iets dat mogelijk helpt bij [specifiek probleem dat ze noemden], maar eerlijk gezegd weten we nog niet of we op het juiste spoor zitten. Ik zag dat je aan beide kanten hebt gestaan – eerst als ontwikkelaar en nu als securitylead bij een SaaS-bedrijf. Zou je bereid zijn om ons eerlijke feedback te geven? Geen salespitch, want we hebben nog niets te verkopen – we zoeken gewoon iemand die zowel de dev- als de security-kant begrijpt en ons kan vertellen of we het juiste probleem oplossen. Het enige wat ik in ruil kan bieden is koffie en eeuwige dankbaarheid!”

De tweede aanpak laat zien dat er echt begrip is van de achtergrond van de CISO en de specifieke uitdagingen van hun organisatie. Hoewel dit geen garantie is voor een reactie, toont het respect voor de expertise van de CISO en biedt het meerwaarde zonder direct iets te verkopen.

CISOs als business enablers

Een opvallend detail: veel CISOs benoemen in hun profiel expliciet hun rol in het ondersteunen van sales. Dit gaat niet alleen over inkoop – het gaat erom dat ze business enablers zijn die beveiliging kunnen vertalen naar zakelijke waarde.

Deze verkoopondersteunende rol komt in verschillende vormen naar voren. Sommige CISOs noemen hun betrokkenheid bij het verkoopproces van hun organisatie, vooral in B2B-omgevingen waar beveiligingscapaciteiten een belangrijke onderscheidende factor zijn. Anderen benadrukken hun vermogen om de waarde van beveiliging over te brengen aan zakelijke stakeholders.

Misschien wel het meest opvallend: 7% van alle CISOs werkt bij beveiligingsbedrijven, waar ze zowel securityleaders zijn als het bewijs dat hun organisatie security vooropstelt. (De boodschap: ons product is écht veilig.)

De connectie met inkoop

De relatie tussen CISOs en leveranciers draait vaak om inkoop, maar dit gaat verder dan simpelweg afvinken van eisen. Hoewel CISOs mogelijk niet over het volledige budget beslissen, hebben ze aanzienlijke invloed op technologische beslissingen via beveiligingsbeoordelingen en risicomanagement.

Deze invloed gaat verder dan simpele ja/nee-beslissingen. CISOs helpen bij het vormgeven van de security-roadmap van hun organisatie, waarbij ze niet alleen individuele oplossingen evalueren, maar ook hoe verschillende tools en strategieën passen binnen hun algehele beveiligingsaanpak.

Veel CISOs beschouwen de evaluatie van leveranciers als een cruciaal onderdeel van hun rol. Ze kijken niet alleen naar functionaliteiten en prijzen – ze beoordelen leveranciers als potentiële langetermijnpartners die kunnen bijdragen aan hun beveiligingsdoelen.

Wat kan je hiervan leren?

De boodschap is duidelijk: CISOs zijn niet anti-leverancier – ze zijn anti-irrelevantie. Ze willen:

• Gepersonaliseerde outreach die laat zien dat er echt begrip is van hun situatie
• Transparante communicatie over mogelijkheden en beperkingen
• Een partnerschapsbenadering in plaats van een pure salespitch
• Betekenisvolle interacties die hun tijd en expertise respecteren
• Vroege betrokkenheid bij discussies over nieuwe beveiligingsoplossingen
• Leveranciers die hun sectorspecifieke uitdagingen begrijpen

Voor leveranciers betekent dit dat ze hun aanpak voor CISO-engagement fundamenteel moeten heroverwegen. Generieke, AI-gegenereerde personalisatie misleidt niemand. In plaats daarvan vereist succes het opbouwen van echte relaties op basis van begrip van de specifieke context en uitdagingen van een CISO.

Dit betekent misschien minder outreach-pogingen, maar meer betekenisvolle interacties. Het vraagt om onderzoek, voorbereiding en een bereidheid om te investeren in relatieopbouw in plaats van alleen verkopen. Sommige leveranciers moeten hun KPI’s verschuiven van kwantiteit van contacten naar kwaliteit van interacties.

De volgende keer dat je hoort “CISOs willen niet benaderd worden,” bedenk dan: ze willen wél benaderd worden – maar niet gespamd. Het verschil tussen spam en waardevolle outreach komt vaak neer op één simpele factor: heb je je huiswerk gedaan? In een wereld waarin AI-gegenereerde outreach steeds gebruikelijker wordt, zou oprechte persoonlijke betrokkenheid weleens het grootste onderscheid kunnen maken.