Voorbij de CISO: een kijk op andere kopers van cybersecurity producten
Is de CISO de juiste doelgroep voor cybersecurityleveranciers? Dat was de vraag waarmee ik mijn CISO onderzoek begon. En hij wordt nog relevanter als ik zie hoeveel CISO’s er nou eigenlijk in Nederland zijn. Met iets meer dan 1.100 CISO’s hebben we het over een zeer beperkte doelgroep. En veel van deze CISO’s werken in sterk verschillende contexten, met uiteenlopende niveaus van autoriteit en middelen.
In dit artikel kijk ik daarom voorbij de CISO. Welke kopers zijn er nog meer voor cybersecurity producten?
Meer lezen over “de CISO”? Lees mijn vorige artikelen:
- Er is een groter verschil tussen CISO en CISO dan je denkt
- De rol van de CISO: vooral gericht op risico en audits
- De CISO zegt: “Neem geen contact met me op” (toch?)
Onderzoeksmethodologie
Dit onderzoek is gebaseerd op openbaar beschikbare LinkedIn profielgegevens van CISO’s in Nederland. De dataset bevat organisatorische informatie zoals bedrijfsgrootte en industrie, allemaal afkomstig van openbare profielen. Alle gegevens zijn geanonimiseerd om de privacy te beschermen, waarbij persoonlijke identificatiegegevens zijn verwijderd tijdens de analyse. Belangrijke beperking: de analyse is beperkt tot CISO’s die een LinkedIn-account hebben.
De beperkingen van CISO-targeting
Neem een specifieke threat intelligence-tool gericht op applicatiebeveiliging. Zou een CISO de primaire beslisser zijn voor zo’n gespecialiseerde oplossing? Waarschijnlijk niet. Hoewel ze mogelijk het budget goedkeuren, vertrouwen ze sterk op hun technische teams voor de evaluatie en implementatie. (Tenminste, dat hoop ik voor hun team.) Ze kunnen simpelweg niet in elk beveiligingsdomein expert zijn.
Deze kloof tussen beslissingsbevoegdheid en technische expertise creëert interessante dynamieken. CISO’s fungeren vaker als facilitators dan als directe beslissers voor gespecialiseerde tools. Ze coördineren tussen technische teams die de vereisten begrijpen en het executive leadership dat de budgetten beheert. Maar ze hebben zelden de diepgaande technische kennis om specifieke oplossingen in domeinen zoals threat intelligence, applicatiebeveiliging of OT-beveiliging te beoordelen. (En als ze die wel hebben, dan is hun rol veranderd en zitten ze niet meer in de details.)
De situatie wordt nog complexer als we kijken naar de uiteenlopende achtergronden van CISO’s. Sommigen hebben een technische achtergrond en behouden diepe kennis in bepaalde gebieden. Anderen brengen strategische of risicobeheersingsvaardigheden mee en vertrouwen sterk op hun teams voor technische evaluaties. Deze diversiteit maakt het moeilijk om een one-size-fits-all marketingaanpak voor CISO’s te ontwikkelen.
De CFO-misvatting
Sommige marketeers zeggen dat CFO’s een betere doelgroep zijn, omdat zij de budgetten beheren. Hoewel dit op het eerste gezicht logisch klinkt, wordt een cruciaal punt over het hoofd gezien: budgetbevoegdheid betekent niet automatisch dat ze technische beslissingen nemen.
Ja, CFO’s zijn belangrijke stakeholders, vooral met regelgeving zoals NIS2, die de verantwoordelijkheid voor beveiliging verhoogt. Maar marketingcampagnes specifiek op CFO’s richten? Dat is in mijn optiek een misser.
De reden dat CFO-targeting wordt gepusht, lijkt voort te komen uit een simplistische kijk op besluitvorming binnen organisaties. De logica luidt: “CFO’s beheren budgetten, dus zij beslissen over aankopen.” Maar dit negeert de complexiteit van technische inkoopprocessen, vooral in cybersecurity. Als een CISO of CTO zegt dat een bepaalde tool écht noodzakelijk is, dan zal de CFO echt niet zeggen: ik denk dat we dit niet nodig hebben.
Bovendien kan het richten van marketing op CFO’s averechts werken. De meeste CFO’s zijn niet geïnteresseerd in de technische details van beveiligingsproducten – ze willen weten hoe het risico’s vermindert en de bedrijfsimpact beïnvloedt. Ik kan me niet voorstellen dat een CFO de CISO of CTO belt en zegt: “ik zag een ad over riciso X, heb je daar wel aan gedacht?” Ze moeten zeker betrokken zijn bij grote security-investeringen, maar zijn zelden het juiste startpunt voor specifieke securityoplossingen.
Naar boven en beneden in de hiërarchie kijken
Als noch CISO’s noch CFO’s de ideale doelgroep zijn, waar moeten leveranciers zich dan op richten? Het antwoord ligt in het begrijpen van het volledige spectrum van securitybeslissers en beïnvloeders binnen organisaties. Twee belangrijke benaderingen komen naar voren, elk met eigen voordelen en uitdagingen.
Een doelgroep ‘hoger in de boom’
- CTO’s (meer dan 3.000 in Nederland)
- CIO’s (meer dan 1.000 in Nederland)
Deze rollen hebben vaak zowel de technische kennis als de budgettaire bevoegdheid om zinvolle beslissingen te nemen over security-investeringen. Ze hebben meestal een breder overzicht van het technologische landschap van de organisatie en kunnen beter inschatten hoe beveiligingsoplossingen in de bredere IT-strategie passen.
Het voordeel van deze doelgroep is hun combinatie van technische kennis en besluitvormingsmacht. CTO’s en CIO’s begrijpen zowel de technische vereisten als de zakelijke implicaties van security-investeringen. Bovendien hebben ze vaak directe controle over budgetten en de autoriteit om strategische technologiebeslissingen te nemen.
Bottom-up benadering
LinkedIn laat zien dat er in Nederland meer dan 19.000 mensen zijn met “informatiebeveiliging” of “security” in hun functietitel. Rollen lopen uiteen van docenten en auditors tot security-architecten, engineers en ontwikkelaars tussen – de mensen die daadwerkelijk met security-oplossingen werken en deze implementeren.
Deze bottom-up benadering erkent dat veel security-aankopen beginnen bij technische teams die behoeften identificeren en oplossingen onderzoeken. Deze specialisten hebben vaak de diepste kennis van specifieke beveiligingsuitdagingen en zijn vaak de eersten die bepaalde oplossingen aan hun leidinggevenden aanbevelen
Een praktisch voorbeeld
Laten we eens kijken naar beveiliging binnen de lokale overheid in Nederland. Er zijn ongeveer 200 gemeentelijke CISO’s – een relatief kleine markt. Maar wanneer we kijken naar mensen in IT-functies binnen deze organisaties, vinden we meer dan 14.000 potentiële contacten.
Dit enorme verschil gaat niet alleen over aantallen, maar weerspiegelt hoe securitybeslissingen in deze organisaties daadwerkelijk worden genomen. Terwijl een gemeentelijke CISO een algemene securitystrategie kan bepalen, vindt de daadwerkelijke evaluatie en implementatie van security-oplossingen vaak plaats op IT-afdelingen.
Bovendien hebben deze IT-professionals vaak aanzienlijke invloed op security-aankopen, zelfs als ze geen directe koopbevoegdheid hebben. Zij zijn degenen die met de tools werken, de systemen onderhouden en de implementatie-uitdagingen aangaan. Hun betrokkenheid is cruciaal voor succesvolle security-implementaties.
Herziening van doelgroepen
De sleutel is inzicht krijgen in het besluitvormingsproces voor verschillende soorten beveiligingsoplossingen. Dit proces varieert sterk, afhankelijk van het type oplossing en de impact ervan op de organisatie.
Strategische oplossingen (bijv. security frameworks, GRC-platforms):
- CISO-betrokkenheid is cruciaal
- Goedkeuring op C-level vereist
- Lange verkooptrajecten
- Intensieve betrokkenheid en adviestrajecten nodig
- Vereist vaak brede steun binnen de organisatie
- Heeft impact op meerdere afdelingen of teams
Tactische oplossingen (bijv. specifieke beveiligingstools, threat intelligence-platforms):
- Evaluatie door technische teams is doorslaggevend
- CISO is mogelijk alleen betrokken bij de uiteindelijke goedkeuring
- Meer technisch georiënteerd verkoopproces
- Productfunctionaliteiten zijn belangrijker dan relaties op directieniveau
- Kan vaak worden geïmplementeerd binnen bestaande werkprocessen
- Vereist minimale organisatorische veranderingen
Dit suggereert een meer genuanceerde aanpak van marktbenadering, waarbij zowel de aard van de oplossing als de organisatorische context wordt meegenomen:
- Ken het type oplossing:
– Is het strategisch of tactisch?
– Wie gebruikt het dagelijks?
– Welk technisch inzicht is nodig om het te beoordelen?
– Hoe past het binnen bestaande processen?
– Welke organisatorische veranderingen zijn nodig voor implementatie? - Breng het besluitvormingsproces in kaart:
– Wie beïnvloedt de beslissing?
– Wie moet het goedkeuren?
– Wie implementeert en beheert het?
– Welke budgetdrempels gelden voor verschillende goedkeuringsniveaus?
– Hoe sluiten technische en zakelijke vereisten op elkaar aan? - Richt je marketingstrategie hierop in:
– Focus op de daadwerkelijke gebruikers en beoordelaars
– Betrek strategische stakeholders waar nodig
– Bouw relaties op meerdere niveaus binnen de organisatie
– Ontwikkel verschillende boodschappen voor verschillende doelgroepen
Wat kan je met deze informatie?
De focus van de beveiligingsmarkt op CISOs als primaire doelgroep moet worden heroverwogen. Hoewel CISOs een cruciale rol spelen in de beveiligingsstrategie en budgetgoedkeuring, zijn ze vaak niet het beste startpunt voor specifieke beveiligingsoplossingen.
Succes vereist inzicht in het bredere beveiligingsecosysteem binnen organisaties en een gerichte marketingaanpak. Dit kan betekenen dat verschillende boodschappen en benaderingen nodig zijn voor verschillende rollen – technische inhoud voor beveiligingsspecialisten, businesscases voor executives en compliancekaders voor risicomanagers.
Het doel is niet om CISOs te negeren, maar om hen te zien als onderdeel van een breder besluitvormingsproces. Door verder te kijken dan alleen de CISO kunnen we effectiever in contact komen met alle relevante beveiligingsstakeholders. Deze genuanceerdere aanpak vergt wellicht meer inspanning, maar zal waarschijnlijk betere resultaten opleveren dan een eenzijdige focus op een beperkte groep CISOs.
Michelle is een expert in het begrijpen van doelgroepen in beveiliging en IT, en het omzetten van de productpositionering van complexe producten in scherpe, overtuigende marketingstrategieën die doel treffen.
