Publicaties
CEO’s: IT-beveiliging hindert bedrijfssucces
De Automatiseringsgids haalt een schokkend onderzoek van de Register aan; maar liefst 71% van 1000 geïnterviewde CEO’s stelt dat beveiligingseisen een rem zetten op hun mogelijkheden om op een goede manier het bedrijf te runnen en dat ze weinig op hebben met hun IT-beveiligers.
Schokkend, maar herkenbaar; beveiligers die geen gehoor vinden bij het management, projecten die gestart worden zonder beveiliging te betrekken, maatregelen die maar niet getroffen worden ondanks duidelijke afspraken hierover en een directie die hier niet op ingrijpt.
Herkenbaar toch? Maar helaas ook begrijpelijk.
Er is hier sprake van een duidelijk falen van de communicatie tussen de beveiligers en de rest van de organisatie. En als communicatie faalt, dan is het aan de zender om de boodschap, vorm en/of wijze van presenteren aan te passen om de kloof alsnog te overbruggen. Het enige alternatief is je er bij neer te leggen dat het allemaal geen zin heeft en een andere baan buiten de beveiliging te gaan zoeken…
Wil jij nog niet opgeven en beveiliging zijn rechtmatige plek binnen jouw organisatie geven? Wil jij de organisatie er toe bewegen om de “juiste dingen” te gaan doen? Prima, maar dan zul je wel moeten begrijpen wat de “juiste dingen” zijn en op basis daarvan de doelstelling en de boodschap van beveiliging moeten vormgeven.
Wil je in je ivoren toren beleid schrijven om dit vervolgens uit te storten over de organisatie of wil je liever onderdeel van de business worden en hen, op basis van een werkelijk begrip van de business doelstellingen en uitgadingen, op een constructieve wijze helpen hun doelstellingen te bereiken?
Wil je het beveiligingsbeleid simpelweg op Intranet publiceren en alle managers en medewerkers middels een e-learning er toe dwingen om er kennis van te nemen, of wil je liever een actieve dialoog aan gaan met de business en het management om te begrijpen hoe je hen kunt helpen om de organisatie als geheel succesvol te laten zijn?
Wil je ieder gaatje dicht timmeren en dogmatisch het beleid doorduwen of wil je liever met de business mee leren denken hoe met een haalbare business case de relevante business risico’s afgedekt kunnen worden?
De business heeft nu vaak het gevoel dat we ze niet helpen en maar al te vaak hebben ze nog gelijk ook. We moeten eerst begrijpen dat zaken doen gelijk is aan risico nemen en hoe de beveiligingsrisico’s zich verhouden tot de business risico’s. We moeten begrijpen hoe we beveiliging echt bij kunnen laten dragen aan de business doelstellingen. Alleen dan kunnen we de business echt helpen en hier ook de erkenning voor ontvangen die we verdienen.
Hier vind je het programma van de CISO Masterclass dat je hier bij helpt.
Succesvol opereren op het grensvlak tussen techniek en business
Information Security Management staat of valt bij de mate van aansluiting en draagvlak die de “information security verantwoordelijke” weet te vinden bij “de business.
De Chief Information Security Officer (CISO) opereert op het grensvlak van techniek en business en dat is in de praktijk niet altijd eenvoudig. CISO’s met een technische achtergrond hanteren doorgaans een analytische insteek, communiceren probleem & oplossing georiënteerd en hebben een andere risicobeleving dan de business. Binnen een technische (ICT) omgeving is dit de norm en werkt dit constructief. Echter, om succesvol te zijn binnen zijn of haar organisatie, moet de CISO zich ook soepel kunnen bewegen in de wereld van de business; de business begrijpen, de taal spreken en “security” kunnen “verkopen”. Van de CISO wordt dus veelzijdigheid verwacht…. (Lees verder in “IB jaargang 14 issue 3”)