Hoe organiseer ik mijn security organisatie?

Verhaal

Ik begin met een verhaal over één van mijn hobbies: modelfotografie. Stel je voor, je staat in een grote studio. Rollen gekleurd papier aan het plafond, muren geschilderd in verschillende tinten steen en zwarte achtergrondschermen. Overal grote flitsers op statieven met wielen. Softboxes van wel twee meter hoog. En op een kleine verhoging staat het model. Door de MUA (make up artist) mooi opgemaakt, de hairstyliste heeft een prachtige suikerspin op het hoofd gezet en de styliste heeft kleding uit de jaren 50 bijeen gezocht.

De fotograaf stuurt het model aan: “Klein stapje naar rechts, prima. Ogen iets wijder open alsjeblieft, mooi. Nek iets langer maken, ja dat is helemaal goed. Schouders wat meer naar achteren en probeer vanuit de hoogte te kijken, ja dat is wat ik bedoel”……

Een vrij strakke aansturing aan een wat minder ervaren model gecombineerd met constante positieve feedback.

Met een ervaren model wordt eerst samen besproken wat de uiteindelijke plaat moet doen: bijvoorbeeld kooplust opwekken, emotie weergeven of fungeren als visitekaartje van een bedrijf. Daarna zal het model zelf al een groot deel van de poses voor haar rekening nemen en de fotograaf in veel mindere mate bijsturen. Logisch als je beiden het zelfde doel voor ogen hebt.

Waarom vertel ik dit verhaal?

De fotograaf is te vergelijken met de chief information security officer (CISO), het model met de information security officers (ISO). Als de ISO’s relatief onervaren zijn moet de CISO strak sturen en veel gedetailleerde policies en instructies opstellen. Als er iets buiten het stramien valt, zal de ISO dat in het slechtste geval negeren en in het beste geval als vraag doorspelen naar de CISO, die vervolgens weer nieuwe extra procedures zal opstellen. Tot die tijd gebeurt er niets.

Bij een volwassen organisatie zullen CISO en ISO’s samen bekijken waar de risico’s liggen en hoe die in de praktijk het beste kunnen worden opgevangen. De CISO zal zich beperken tot de hoofdlijnen en de ISO’s doen de nadere invulling. Omdat de achterliggende doelstellingen bekend zijn, kan de ISO bij een onvoorziene gebeurtenis snel schakelen en maatregelen treffen. Daarna is er tijd om dat met de CISO en collega’s te bespreken.

Volwassenheid

Zelden kom ik een goede inschatting van het volwassenheidsniveau van de security organisatie tegen. En in mijn ogen geeft dat het grote risico dat de CISO te veel doet en daarmee de ISO’s onterecht als onbekwaam behandelt of dat kennis en kunde van de ISO’s overschat worden en de globale richtlijnen onvoldoende opvolging in de lijn krijgen.

Vraag aan de lezer

Zijn binnen uw organisatie bewuste keuzes gemaakt over de aansturing van de security functie in relatie tot het volwassenheidsniveau van de medewerkers? Goede wil is essentieel, maar niet voldoende. Kennis, ervaring, gevoel voor risk en compliance en begrijpen waar het bedrijfsbelang ligt zijn essentieel voor een volwaardige uitvoering van deze steeds belangrijker wordende functies.