Welke principes helpen een (Chief) Information Security Officer (ISO) om succesvol te zijn? We kunnen die principes afkijken van bekende ISO’s, maar we kunnen ook profiteren van kennis en ervaring die elders al beschikbaar is. Nederlandse schoolleiders blijken een verrassend goede evenknie te zijn voor ISO’s.

“De beste Nederlandse schoolleiders blijken een negental principes systematisch toe te passen in hun school”, schreef de heer Greven in 2015. In de vorm van een drieluik (attitude, strategie, dagelijks handelen) laat ik zien hoe je die principes kunt toepassen in een heel ander vakgebied, zoals informatiebeveiliging.

Als ISO herken ik veel in de negen principes. Zonder te pretenderen dat ik enig onderzoek heb gedaan naar excellentie onder ISO’s, beschrijf ik in deze blog de principes die te maken hebben met STRATEGIE. In mijn vorige blog heb ik de principes van ATTITUDE beschreven. In de volgende blog komen de principes van DAGELIJKS HANDELEN aan de beurt, en de conclusie.

STRATEGIE

De volgende drie principes hebben te maken met de keuzes die de excellente ISO maakt om zijn doelen te behalen, gebruik makend van de middelen die hem ter beschikking staan.

4.  Vitale, gedeelde visie

Elk zichzelf respecterend bedrijf heeft een visie, vaak ook een missie en een strategie. Vaak is het moeilijk om die te vertalen naar het werk van de ISO. Toch ligt hier een belangrijke uitdaging. De excellente ISO zal de directie uitnodigen om mee te denken over de verhouding van die visie tot de taken van de ISO. Daarmee creëert hij wederzijds begrip voor tegenstrijdige belangen waarvoor een oplossing moet worden gezocht.

Als een bedrijf zegt dat “de klant voorop staat”, dan zal de ISO wellicht vragen om investeringen voor privacy-bescherming, terwijl de directie daar niet op zit te wachten. Door een gedeelde visie te ontwikkelen kan onnodige wrijving worden voorkomen. Dat doet de excellente ISO door te sparren met zowel de directie als zijn team. Dat levert een vitale visie op die voor allen duidelijk maakt wat de kaders zijn en welke rugdekking er is.

5.  Werken aan een topteam

Als ISO heb je in de regel een eenzame functie. Vaak heeft een bedrijf maar één ISO, dus is er geen sparring partner op hetzelfde niveau. Hoe kan hij dan zijn professionele kwaliteiten op peil houden? Enerzijds door een topteam op te bouwen waarin kennisdeling en terugkoppeling centraal staan, anderzijds door een sterk extern netwerk te bouwen waar kennis en ervaring kan worden gedeeld.

Door te participeren in relevante fora, discussiegroepen, conferenties e.d. zorgt de excellente ISO voor de nodige frisse wind die hem inspiratie geeft. Uiteraard deelt hij (waar mogelijk) verhalen en nieuwe ideeën die hij opdoet met zijn team. Zo geeft hij inspiratie door en stimuleert hij zijn team om hetzelfde te doen.

6.  Ruimte geven

Een ISO bereidt het informatiebeveiligingsbeleid voor. Dit beleid beschrijft wat een organisatie belangrijk vindt, hoe ze omgaat met informatie en welke beveiligingseisen daaraan worden gesteld. Welke maatregelen op grond van dit beleid moeten worden getroffen hoeft de ISO niet (per se) zelf te verzinnen. Hij kan vertrouwen op de kennis en ervaring van zijn team en elders in de organisatie, zodat risico-management adequaat wordt ingericht. De excellente ISO laat ruimte aan betrokkenen om naar eigen inzicht maatregelen te verzinnen en te implementeren. Wel zal hij daarbij een adviserende rol aannemen, en duidelijk maken welke toetsingscriteria van toepassing zijn, vanuit strategie, visie en beleid van de organisatie. Alle betrokkenen moeten die criteria kennen om actief verantwoording af te kunnen leggen.

Voorlopige conclusie

Ook deze drie principes van de excellente schoolleider zijn prima te vertalen naar de excellente information security officer. Geldt dat ook voor de principes met betrekking tot DAGELIJKS HANDELEN? Dat lees je in de volgende blog 

 

De Negen Principes van de excellente schoolleider (Greven, 2015):
zie o.a. http://leiderschapinschool.nl/negen-principes-excellente-schoolleider/en http://www.rensrottier.nl/?p=754

Deel dit artikel met anderen
Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin
Pin on Pinterest
Pinterest
Email this to someone
email
Print this page
Print

Erik is een expert op het gebied van informatiebeveiliging, privacy en risico-management. Hij heeft vele projecten gedaan op het gebied van informatiebeveiliging, IT-infrastructuur, risico-management, identity & access management en business continuity, waarbij hij de rol speelde van consultant, expert, auditor, projectleider, en security officer.