Column


Column Patric Versteeg

Ontdek je plekje

Onlangs stond ik voor mijn masterstudenten om een college te geven over de security-organisatie en de rol van de securitymanager (CISO). Gefundeerd op de wijze schriften van onder andere ISACA en ISC(2) heb ik een presentatie gemaakt behorende bij het college. Diverse besturingsmodellen passeerden de revue en natuurlijk ook de belangrijkste opmerking: “Niet onder IT!” Allemaal conform de heersende publicaties en opvattingen over ons vakgebied.

Mandaat?
Aangezien mijn studenten toch al wat er ervaring hebben in de praktijk (ik schat de gemiddelde leeftijd op zeker 30) komen termen zoals als ‘governance’ en ‘mandaat’ volop aan bod. Zonder de juiste governance en zonder mandaat wordt het niets toch? Rapporteren aan de ‘board’ is het hoogste goed, met je eigen team en je eigen budget. En je moet zelf kunnen beslissen zonder dat je hiervoor ruggespraak hoeft te houden (losjes geciteerd uit hoofdstuk 1 van de CISO Desk Reference Guide van Matt Stamper, Bill Bonney en Gary Hayslip). Verantwoording afleggen doe je aan de CEO en aangezien deze jou toch niet begrijpt, kun je eigenlijk doen en laten wat je wilt. JIJ bent immers de specialist.

Nu ben ik van nature geen conformist, eigenwijs en soms wat tegendraads. Zo ook als ik mijn studenten onderwijs. Als ik geen praktijkinzichten zou hebben dan zou ik mij misschien aan de harde leer van de regenende orde vasthouden maar nu daag ik ze (en jou) uit. Moet je echt aan ‘de board’ rapporteren? Is het zo belangrijk dat jij mandaat moet hebben om succesvol te zijn?

Vertrouwen
Naar mijn inzichten is dat geheel afhankelijk van de organisatie waar je werkzaam bent, met welke interne cultuur je geconfronteerd wordt en hoe ‘groen’ de organisatie is ten aanzien van informatiebeveiliging. Een ding is zeker: iemand in de organisatie vindt het wél belangrijk, hij of zij betaalt immers je salaris of je factuur. Dit is jouw promotor.

Het is jouw taak om de ‘trusted advisor’ te worden en blijven van diegene die jou in het zadel heeft geholpen. Deze persoon is immers jouw liaison naar de organisatie, de board of bestuur. Binnen negentig dagen meteen andere rapportagelijnen proberen te bewerkstelligen, en daarmee jouw liaison passeren, getuigt in ieder geval niet van veel karakter of dankbaarheid voor de geboden kans. Weg vertrouwen.

Trusted advisor
Wat heb ik mijn studenten meegeven? Dat informatiebeveiliging geen democratie en geen dictatuur is. Dat je prima kunt opereren vanuit de ‘underdogpositie’ als je maar de juiste wegen bewandelt, de juiste ‘soft skills’ inzet en samen met je promotor resultaten boekt. Onthoud dat je als trusted advisor moet adviseren. Dat je dus niet verantwoordelijk bent en dus ook niet op die manier moet acteren.

Wil jij als aanstromend talent of als securitymanager (met promotie in het vooruitzicht) niet steeds van werkgever moeten wisselen, vertrouw dan niet te veel op de harde leer van de heersende orde. Maak jezelf een zachte weg eigen waarmee je echt succesvol kunt zijn en waarmee zowel jij als jouw organisatie kan groeien binnen dit vakgebied.


Lees meer over