Welke principes helpen een (Chief) Information Security Officer (ISO) om succesvol te zijn? We kunnen die principes afkijken van bekende ISO’s, maar we kunnen ook profiteren van kennis en ervaring die elders al beschikbaar is. Nederlandse schoolleiders blijken een verrassend goede evenknie te zijn voor ISO’s.

“De beste Nederlandse schoolleiders blijken een negental principes systematisch toe te passen in hun school”, schreef de heer Greven in 2015. In de vorm van een drieluik (attitude, strategie, dagelijks handelen) laat ik zien hoe je die principes kunt toepassen in een heel ander vakgebied, zoals informatiebeveiliging.

Als ISO herken ik veel in de negen principes. Zonder te pretenderen dat ik enig onderzoek heb gedaan naar excellentie onder ISO’s, beschrijf ik in deze blog de principes die te maken hebben met DAGELIJKS HANDELEN. In mijn vorige blogs heb ik de principes van ATTITUDE en STRATEGIE beschreven. In deze blog volgt ook de conclusie.

DAGELIJKS HANDELEN

De laatste drie principes hebben te maken met de dagelijkse praktijk van de ISO.

7.  Visie in dagelijks handelen vertalen

Voor velen is de vertaling van visie of beleid naar concrete acties of maatregelen lastig. De excellente ISO neemt daarin het voortouw door bv. te laten zien hoe een bepaalde beleidsuitspraak is geconcretiseerd in een of meer maatregelen. Daarbij zal hij niet nalaten om in termen van risico’s te benoemen waarom zo’n beleidsuitspraak (en dus de maatregel) belangrijk is. Door de dialoog aan te gaan met belanghebbenden wordt voor hen inzichtelijk hoe ze beleid kunnen duiden en vervolgens koppelen aan activiteiten. Waar nodig zal hij trainingen (laten) geven om het bewustzijn op het gebied van informatiebeveiliging te verhogen. En natuurlijk zal hij zijn kennis en ervaring inzetten om gezamenlijk de best passende maatregelen te bedenken. Planmatig zal hij individuele maatregelen en het algehele informatiebeveiligingsniveau (laten) evalueren (het Plan-Do-Check-Act-proces) en daarover rapporteren.

8.  Stimuleren van professioneel gedrag

Alles staat of valt met de bedrijfscultuur van een organisatie. Al zijn de maatregelen nog zo goed gedefinieerd en geïmplementeerd, als niemand ze belangrijk vindt zullen ze weinig effectief zijn. De excellente ISO doet daarom zijn best om overal in de organisatie bewustzijn te creëren en professioneel gedrag te stimuleren. De “tone at the top” is daarbij essentieel. Daar begint de ISO met het creëren van draagvlak. Ook op andere niveaus moet de ISO zijn overtuigingskracht inzetten om het gewenste gedrag te stimuleren. De visie, het beleid en de risico’s van niet voldoen aan de gestelde eisen zijn hierbij leidend. Door inzicht te geven stelt de ISO medewerkers in staat om hun verantwoordelijkheid te doorgronden en daarnaar te handelen.

9.  Er zijn…

De drempel om de ISO te benaderen moet zo laag mogelijk zijn. De excellente ISO zal altijd aandacht geven aan een vraag, hoe onbenullig die voor hem misschien ook lijkt. Hij zal bovendien proactief mensen op sleutelposities of afdelingen bezoeken om een vinger aan de pols te houden en waar nodig advies te geven. Hij zorgt er ook voor dat hij een vinger in de pap heeft bij alle beslissingen die consequenties kunnen hebben voor informatiebeveiliging. Dat geldt zowel voor alledaagse dingen als voor grote projecten. Men moet van hem het beeld hebben dat hij er altijd is wanneer het nodig is, bij voorspoed en tegenslag.

Conclusie

Alle negen principes van de excellente schoolleider zijn prima te vertalen naar de excellente information security officer. Geldt dat voor meer beroepen? Dat denk ik zeker. Ook de chefkok, de voetbaltrainer, de circusdirecteur, de dirigent van een orkest, het hoofd van een verpleegafdeling, enzovoorts, kan de principes toepassen.

Maar daarmee zijn we er nog niet. De volgende stap is het invullen van die principes. Enkele vragen die dan naar voren zullen komen:

  • Hoe realiseer je een “gedeelde visie” van strategisch t/m operationeel niveau?
  • Welk mandaat of positie in de organisatie heb je nodig en hoe krijg je dat voor elkaar?
  • Welke competenties heb je nodig in je team, en hoe stuur je daarop?
  • Hoe krijg je erkenning voor gerealiseerde verbeteringen?
  • Welke inhoudelijke kennis heb je nodig?
  • Hoe word je de autoriteit op het gebied van informatiebeveiliging in de organisatie, maar blijf je toch heel toegankelijk?
  • Hoe kun je excelleren als de directie geen oor heeft voor de risico’s die je benoemt?
  • Waar vind je of hoe word je zo’n schaap met negen poten?

In volgende blogs zal ik hierop ingaan.

 

De Negen Principes van de excellente schoolleider (Greven, 2015):
zie o.a. http://leiderschapinschool.nl/negen-principes-excellente-schoolleider/en http://www.rensrottier.nl/?p=754

Erik is een expert op het gebied van informatiebeveiliging, privacy en risico-management. Hij heeft vele projecten gedaan op het gebied van informatiebeveiliging, IT-infrastructuur, risico-management, identity & access management en business continuity, waarbij hij de rol speelde van consultant, expert, auditor, projectleider, en security officer.