De excellente information security officer – Dagelijks handelen
door Strict op wo 5 dec 2018
Welke principes helpen een (Chief) Information Security Officer (ISO) om succesvol te zijn? We kunnen die principes afkijken van bekende ISO’s, maar we kunnen ook profiteren van kennis en ervaring die elders al beschikbaar is. Nederlandse schoolleiders blijken een verrassend goede evenknie te zijn voor ISO’s.
“De beste Nederlandse schoolleiders blijken een negental principes systematisch toe te passen in hun school”, schreef de heer Greven in 2015. In de vorm van een drieluik (attitude, strategie, dagelijks handelen) laat ik zien hoe je die principes kunt toepassen in een heel ander vakgebied, zoals informatiebeveiliging.
Als ISO herken ik veel in de negen principes. Zonder te pretenderen dat ik enig onderzoek heb gedaan naar excellentie onder ISO’s, beschrijf ik in deze blog de principes die te maken hebben met DAGELIJKS HANDELEN. In mijn vorige blogs heb ik de principes van ATTITUDE en STRATEGIE beschreven. In deze blog volgt ook de conclusie.
DAGELIJKS HANDELEN
De laatste drie principes hebben te maken met de dagelijkse praktijk van de ISO.
7. Visie in dagelijks handelen vertalen
Voor velen is de vertaling van visie of beleid naar concrete acties of maatregelen lastig. De excellente ISO neemt daarin het voortouw door bv. te laten zien hoe een bepaalde beleidsuitspraak is geconcretiseerd in een of meer maatregelen. Daarbij zal hij niet nalaten om in termen van risico’s te benoemen waarom zo’n beleidsuitspraak (en dus de maatregel) belangrijk is. Door de dialoog aan te gaan met belanghebbenden wordt voor hen inzichtelijk hoe ze beleid kunnen duiden en vervolgens koppelen aan activiteiten. Waar nodig zal hij trainingen (laten) geven om het bewustzijn op het gebied van informatiebeveiliging te verhogen. En natuurlijk zal hij zijn kennis en ervaring inzetten om gezamenlijk de best passende maatregelen te bedenken. Planmatig zal hij individuele maatregelen en het algehele informatiebeveiligingsniveau (laten) evalueren (het Plan-Do-Check-Act-proces) en daarover rapporteren.
8. Stimuleren van professioneel gedrag
Alles staat of valt met de bedrijfscultuur van een organisatie. Al zijn de maatregelen nog zo goed gedefinieerd en geïmplementeerd, als niemand ze belangrijk vindt zullen ze weinig effectief zijn. De excellente ISO doet daarom zijn best om overal in de organisatie bewustzijn te creëren en professioneel gedrag te stimuleren. De “tone at the top” is daarbij essentieel. Daar begint de ISO met het creëren van draagvlak. Ook op andere niveaus moet de ISO zijn overtuigingskracht inzetten om het gewenste gedrag te stimuleren. De visie, het beleid en de risico’s van niet voldoen aan de gestelde eisen zijn hierbij leidend. Door inzicht te geven stelt de ISO medewerkers in staat om hun verantwoordelijkheid te doorgronden en daarnaar te handelen.
9. Er zijn…
De drempel om de ISO te benaderen moet zo laag mogelijk zijn. De excellente ISO zal altijd aandacht geven aan een vraag, hoe onbenullig die voor hem misschien ook lijkt. Hij zal bovendien proactief mensen op sleutelposities of afdelingen bezoeken om een vinger aan de pols te houden en waar nodig advies te geven. Hij zorgt er ook voor dat hij een vinger in de pap heeft bij alle beslissingen die consequenties kunnen hebben voor informatiebeveiliging. Dat geldt zowel voor alledaagse dingen als voor grote projecten. Men moet van hem het beeld hebben dat hij er altijd is wanneer het nodig is, bij voorspoed en tegenslag.
Conclusie
Alle negen principes van de excellente schoolleider zijn prima te vertalen naar de excellente information security officer. Geldt dat voor meer beroepen? Dat denk ik zeker. Ook de chefkok, de voetbaltrainer, de circusdirecteur, de dirigent van een orkest, het hoofd van een verpleegafdeling, enzovoorts, kan de principes toepassen.
Maar daarmee zijn we er nog niet. De volgende stap is het invullen van die principes. Enkele vragen die dan naar voren zullen komen:
- Hoe realiseer je een “gedeelde visie” van strategisch t/m operationeel niveau?
- Welk mandaat of positie in de organisatie heb je nodig en hoe krijg je dat voor elkaar?
- Welke competenties heb je nodig in je team, en hoe stuur je daarop?
- Hoe krijg je erkenning voor gerealiseerde verbeteringen?
- Welke inhoudelijke kennis heb je nodig?
- Hoe word je de autoriteit op het gebied van informatiebeveiliging in de organisatie, maar blijf je toch heel toegankelijk?
- Hoe kun je excelleren als de directie geen oor heeft voor de risico’s die je benoemt?
- Waar vind je of hoe word je zo’n schaap met negen poten?
In volgende blogs zal ik hierop ingaan.
De Negen Principes van de excellente schoolleider (Greven, 2015):
zie o.a. https://leiderschapinschool.nl/negen-principes-excellente-schoolleider/en https://www.rensrottier.nl/?p=754
- Technologie (134)
- Nieuws (70)
- 5G (67)
- Continuïteit (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Klantcase (18)
- Webinar (18)
- Blog (16)
- Innovatie (13)
- Mission Critical (13)
- Healthcare (12)
- Overheid (12)
- AI (11)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- december 2024 (4)
- november 2024 (9)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (6)
- augustus 2018 (8)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- maart 2017 (9)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)