De excellente information security officer – Attitude
door Strict op wo 5 dec 2018
Welke principes helpen een (Chief) Information Security Officer (ISO) om succesvol te zijn? We kunnen die principes afkijken van bekende ISO’s, maar we kunnen ook profiteren van kennis en ervaring die elders al beschikbaar is. Nederlandse schoolleiders blijken een verrassend goede evenknie te zijn voor ISO’s.
“De beste Nederlandse schoolleiders blijken een negental principes systematisch toe te passen in hun school”, schreef de heer Greven in 2015. In de vorm van een drieluik (attitude, strategie, dagelijks handelen) laat ik zien hoe je die principes kunt toepassen in een heel ander vakgebied, zoals informatiebeveiliging.
Als ISO herken ik veel in de negen principes. Zonder te pretenderen dat ik enig onderzoek heb gedaan naar excellentie onder ISO’s, beschrijf ik in deze blog de principes die te maken hebben met ATTITUDE. In volgende blogs komen de principes van STRATEGIE en DAGELIJKS HANDELEN aan de beurt.
ATTITUDE
De eerste drie principes hebben te maken met de houding die de ISO aanneemt en uitstraalt.
1. Passie voor informatiebeveiliging
De passie van de ISO is niet meetbaar, maar wel onmiddellijk herkenbaar en die werkt door in het hele bedrijf. De excellente ISO heeft een fundamentele motivatie (innerlijke drijfveer) die hij (of zij natuurlijk) op een aanstekelijke manier uitdraagt, waardoor deze anderen weet te sturen en deelgenoot maakt van zijn missie.
Natuurlijk zijn er ook minder spannende formele zaken die afgewikkeld moeten worden. En ook zijn er audits, evaluaties, vergaderingen en dergelijke die veel tijd en energie kosten. Maar de excellente ISO kijkt verder dan deze horizon, en gebruikt elke gelegenheid om zijn missie enthousiast voor het voetlicht te brengen. Dat maakt het verschil.
2. Wind zaaien…en er staan als het stormt
Er zijn bedrijven die voortkabbelen, waarbij de attitude van medewerkers, de directie en het bestuur wordt gekenmerkt door tevredenheid de gang van zaken. Er zijn ook bedrijven waar veel meer beweging in zit, waar ruimte is voor experimenten en waar constant wordt bekeken wat verder verbeterd kan of moet worden.
Als ISO kun je je niet permitteren om voort te kabbelen. Daarvoor gaan de ontwikkelingen in cyberland veel te snel. Wat vandaag nog voldoende is, is morgen te weinig. Met mogelijk grote gevolgen. De excellente ISO weet medewerkers én directie te overtuigen van nut, noodzaak en impact van informatiebeveiliging als een continu proces. Het is nooit af. Ook niet als je een audit goed hebt doorstaan. De ISO neemt het voortouw door bv. systeem- of informatie-eigenaren uit te nodigen om samen met hem na te denken over de betekenis van nieuwe ontwikkelingen. Wat moeten we daarmee? Hoe wapenen we ons? Welke aanpassingen en investeringen vraagt dat?
Er is geen kookboek dat precies vertelt wat je moet doen, dus soms gaat iets mis. De excellente ISO is daarom veel bezig met het managen van verwachtingen. Hij maakt duidelijk dat 100% beveiliging niet mogelijk, niet nodig en (vanwege de kosten) niet wenselijk is. Wat wel noodzakelijk is, is voorbereiding op incidenten. De ISO kan bv. workshops of rollenspellen organiseren waarin crisissituaties worden doorgenomen. Daar kan hij de organisatie prikkelen om duidelijke keuzes te maken en verantwoordelijkheden te beleggen. En natuurlijk neemt de ISO een belangrijk deel daarvan voor zijn rekening. Op hem kun je bouwen, door zijn kennis, kunde en autoriteit.
3. Positieve grondhouding
Informatiebeveiliging kun je op twee manieren benaderen: het beschermen tegen negatieve effecten, of het mogelijk maken van positieve effecten. Een negatief effect is bv. risico op schade. Vaak kun je dat omdraaien: enkel dankzij beveiliging kunnen bepaalde activiteiten worden uitgevoerd en dus winst opleveren voor een bedrijf. Informatiebeveiliging als business enabler.
Door een positieve houding aan te nemen wordt het eenvoudiger om kansen en oplossingen te vinden in plaats van te blijven hangen in risico’s. Niet denken “dat kan niet, want dan gebeurt X”, maar meer “als we Y doen, dan kunnen we ineens ook Z”.
Voor de ISO is het een hele uitdaging om een organisatie mee te krijgen in een andere manier van denken, zeker als conservatisme de norm is. Juist door met de business mee te denken kan de excellente ISO zijn meerwaarde tonen: hij moet vooral geen boeman zijn die overal beren op de weg aanwijst, maar iemand die meestuurt om de beren handig te omzeilen.
Voorlopige conclusie
Deze drie principes van de excellente schoolleider zijn prima te vertalen naar de excellente information security officer. Geldt dat ook voor de principes met betrekking tot STRATEGIE? Dat lees je in de volgende blog.
De Negen Principes van de excellente schoolleider (Greven, 2015):
zie o.a. https://leiderschapinschool.nl/negen-principes-excellente-schoolleider/en https://www.rensrottier.nl/?p=754
- Technologie (134)
- Nieuws (70)
- 5G (67)
- Continuïteit (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Klantcase (18)
- Webinar (18)
- Blog (16)
- Innovatie (13)
- Mission Critical (13)
- Healthcare (12)
- Overheid (12)
- AI (11)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- december 2024 (4)
- november 2024 (9)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (6)
- augustus 2018 (8)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- maart 2017 (9)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)