Information security en privacy professionals vragen zich vaak af of ze wel begrepen worden. Als je een technische achtergrond hebt ben je opgeleid om ervoor te zorgen dat je gelijk hébt en veel minder om gelijk te kríjgen. Nu helpt de nieuwe wet- en regelgeving rond privacy om de onderwerpen beter op tafel te krijgen bij bestuurders en managers, maar dan nog blijft het lastig hoe je dat het beste doet.
Harde cijfers
De Automatiseringsgids publiceerde vorig jaar een artikel waarin een onderzoek van de Register werd aangehaald. Hieruit bleek dat maar liefst 71% van de 1000 geïnterviewde CEO’s stelt dat beveiligingseisen een rem zetten op hun mogelijkheden om op een goede manier het bedrijf te runnen. Daarnaast bleek dat ze weinig op hebben met hun IT-beveiligers. Schokkend?
Het leidt tot situaties als: Beveiligers die geen gehoor vinden bij het management, projecten die gestart worden zonder beveiliging te betrekken, maatregelen die maar niet getroffen worden ondanks duidelijke afspraken hierover en een directie die hier niet op ingrijpt.
Helaas vooral herkenbaar. Er is hier sprake van een duidelijk falen van de communicatie tussen de beveiligers en de rest van de organisatie. En als communicatie faalt, dan is het aan de zender om de boodschap, vorm en/of wijze van presenteren aan te passen om de kloof alsnog te overbruggen.
Hoe dan?
Stel, jij bent zo’n professional en je wilt de boodschap goed krijgen en zorgen dat jouw organisatie de noodzakelijke en juiste dingen gaat doen. Hoe krijg je dat dan voor elkaar? In ieder geval niet door vanuit je ivoren toren beleid te schrijven en te hopen dat iedereen dat vanzelf gaat volgen. En ook niet door met veel vaktermen en ingewikkelde technische platen aan te tonen dat het echt nodig is. Het gaat er niet om dat ze zien hoe slim je bent, maar om het zo simpel te maken dat ze het snappen en zelf bedacht hadden kunnen hebben. Of zoals Nelson Mandela het zei:
“Een ware leider legt een besluit niet op, maar zorgt ervoor dat mensen het zichzelf opleggen.”
Eerst begrijpen, daarna gelijk krijgen
De kunst is dus om te zorgen voor de juiste ‘vertaling’ van jouw boodschap. Wil jij de organisatie er toe bewegen om de “juiste dingen” te gaan doen? Prima, maar dan zul je wel moeten begrijpen wat de “juiste dingen” zijn in termen van de organisatie. De business heeft nu vaak het gevoel dat ze niet geholpen worden en maar al te vaak hebben ze nog gelijk ook. Eerst begrijpen dat zaken doen gelijk is aan risico nemen, begrijpen hoe de beveiligingsrisico’s zich verhouden tot de business risico’s, begrijpen hoe we beveiliging echt bij kunnen laten dragen aan de business doelstellingen. Alleen dan kunnen we als professionals de business echt helpen en hier ook de erkenning voor ontvangen die we verdienen. Om gelijk te krijgen, zul je eerst moeten “begrijpen”.
Of zoals Stephen R Covey het in zijn beroemde boek verwoordde, is een van de zeven eigenschappen van effectief leiderschap:
“Eigenschap 5: Probeer eerst te begrijpen, dan begrepen te worden.”
Information security: focus op herkenbare doelen
Een ervaren security professional moet in staat zijn om de information security strategie zo te formuleren dat het voor iedereen in de organisatie kristal helder is hoe de information security strategie de business strategie ondersteunt. Hierdoor wordt de discussie over nut en noodzaak grotendeels vermeden en neemt het draagvlak toe. Zo wordt security niet ervaren als last maar als ‘enabler’.
Voor de business herkenbare doelen omvatten o.a.:
– strategische waarde
– bijdrage aan de business doelen
– reputatie, merkwaarde of concurrentiekracht kostenverlaging of omzetverhoging
Met andere woorden: De business wil niet horen hoe iets werkt, maar wil vooral begrijpen wat het hen oplevert!
Als je als security professional de bijdrage van het security beleid en de implementatie ervan niet in bovengenoemde termen kunt uitdrukken? Dan is er iets mis met of de inhoud of je wijze van communiceren.
Wil jij nog niet opgeven en beveiliging zijn rechtmatige plek binnen jouw organisatie geven? Dan zal je dus de samenhang van die twee werelden moeten doorgronden en die kennis moeten gebruiken om een win-win situatie voor beide werelden te creëren. Wil je meer weten over hoe ook jij dit kunt leren? Dan is de CISO Masterclass – georganiseerd door Dick Brandt en Johan Bakker – wellicht wat voor jou.