CISO search voor kritieke infrastructuur: OT-expertise als dealbreaker

De vorige CISO vertrok na een reorganisatie en de positie stond al 5 maanden open. Het profiel was extreem complex: de CISO moest ervaring hebben met zowel IT- als OT/ICS-beveiliging, NIS2 compliance voor kritieke infrastructuur, board-level communicatie in het Nederlands en Duits, en minimaal 10 jaar leidinggevende ervaring in een gereguleerde omgeving.

Drie traditionele executive search bureaus hadden elk 8-12 weken gezocht zonder een geschikte kandidaat te vinden. Het probleem: zij hadden geen netwerk in de niche waar IT-security leiderschap en OT/ICS-kennis samenkomen. De Raad van Bestuur eiste dat de positie uiterlijk binnen 2 maanden was ingevuld, omdat de NIS2-deadline naderde en de organisatie zonder CISO geen adequate governance had.

MVPermanent voerde een targeted executive search uit, specifiek gericht op het snijvlak van IT-security leiderschap en OT/ICS. We benaderden 23 potentiele kandidaten uit ons netwerk van senior security leaders met ervaring in energie, water en industriële sectoren. Elke kandidaat werd beoordeeld op een scorecard met 14 criteria, van SCADA-beveiliging tot bestuursrapportage.

Het verschil zat in onze sectorkennis: we begrepen dat een CISO in de energiesector niet alleen een security strateeg moet zijn, maar ook iemand die de operationele realiteit van een controlekamer begrijpt. We organiseerden een assessment met een casestudy gebaseerd op een realistisch OT-incident scenario. De uiteindelijke kandidaat scoorde in de top 3 van alle CISO-profielen die wij ooit hebben beoordeeld.