image

Column: De nachtmerrie van security managers

maandag 28 juli 2008, 10:28 door Redactie, 6 reacties

Het is de nachtmerrie van iedere security manager: een norse, mottige beveiligingsspecialist geeft een directielid de wind van voren. In onbegrijpelijk jargon snauwt hij dat beveiligingsregels overtreden zijn, dat het echt niet zo kan en dat het oerstom is. Dan weet je wat er volgt: van ergens bovenaan wordt de security manager toegesproken over de specialist die ver buiten zijn boekje is gegaan. Oepsie!

De security manager, al dan niet CISO of CSO, is op bestuurlijk niveau erg kwetsbaar. Hij is de man van het slechte nieuws – dit mag niet, dat is fout gegaan, dit moet anders. Hij is nooit populair. De norse verongelijkte specialist maakt zijn positie er niet beter op. Zijn carrièrepad leidt dan ook meestal niet naar boven maar de deur uit. Security manager is een eindfunctie, je zit de tijd uit tot je pensioen.

Ben je security manager en niet suïcidaal, dan instrueer je je specialisten om belangrijke gebruikers nooit meer toe te spreken. Dat vinden ze jammer, want preken tegen overtreders is heel lekker, vooral als de overtreder flink hoog in de boom zit. Maar ze luisteren wel naar je, en klagen onderling gewoon iets harder over stupide gebruikers en het incompetente management. Dat schept dan weer een band in het team, dus dat is goed. Een ander gevolg van het verbod is dat uitsluitend overtreders op lagere posities op hun gedrag aangesproken worden. En na een tijdje niemand meer.

Wie spreekt de gebruikers dan wel aan? Beveiligingsbureaus en CERT’s delegeren deze hete aardappel naar het reguliere management, dat er evenmin zin in heeft. Of het wordt alleen op papier gedelegeerd: de mensen die je verantwoordelijk maakt weten het niet. Je gooit het over een muur waar niemand achter staat. Een creatievere oplossing: delegeer het naar HR of de afdeling communicatie - omdat het gaat over interne medewerkers. Waar het op neer komt is dat deze politionele taak vrijwel nergens goed wordt uitgevoerd. Het gevolg laat zich raden: een reeks ongelukkige beveiligingsincidenten waartegen niet adequaat opgetreden is, waarna de security manager op straat geknikkerd wordt.

De security manager kan proberen te vluchten in het bedenken van beleid. Hij trekt een rookgordijn op van ondoorgrondelijke bureaucratie en holt wat achter virussen aan. Maar feitelijk laat hij de situatie op z’n beloop. Dat is geen ramp als je organisatie de marktleider onder de mottenballengroothandels in Stroe is. Maar voor serieuze organisaties is het dansen op de vulkaan.

Wat kan de security manager wél doen? Nou, zelf weggaan en ergens senior security consultant worden bijvoorbeeld. Het betaalt beter en adviseren is risicoloos. Je moet alleen wél de files voor lief nemen. En het is jammer voor het bedrijf dat je verlaat.

Maar ja, weggaan kan altijd nog. Er zijn meer opties. Het gaat in dit probleem vooral om imago en communicatie. Les 1: zorg dat je af en toe goed nieuws hebt. Dat klinkt eenvoudiger dan het is. Koffiemokken uitdelen ís geen goed nieuws. Spreken op een congres ook niet. Je kunt ook niet succesvol systemen bouwen, want die moet je dan weer controleren. Bovendien zal ICT je van broodroof beschuldigen. Overtreders pakken en aan de schandpaal nagelen kan ook al niet, want daartoe heb je geen mandaat. Melden dat je een viruscrisis hebt overwonnen: ja, dat is goed nieuws. Maar doe het niet te vaak, dan wek je de indruk dat je de boel eigenlijk niet onder controle hebt. Uitleggen dat ICT de technische keuzes maakt en dat je alleen maar achteraf kunt signaleren is ook verkeerd, dan veeg je je eigen straatje schoon. Het gaat niet om gelijk hebben. En ook niet om gelijk krijgen. Het gaat helemáál niet om gelijk. Het gaat om geluk.

Kortom, je hebt vrijwel alleen maar slecht nieuws. Les 2: breng het anders. Laat met rapportages en post-mortems zien dat je van je fouten leert, goede afspraken maakt, goed samenwerkt en je processen onder controle hebt. Wijs iemand in het team aan als beveiligingsvoorlichter. Kies een gladde prater en goede schrijver die slim en technisch genoeg is om de boodschap te vertalen zonder hem te verminken. Hij is je filter. Laat alle externe communicatie via dit filter lopen. Stuur alleen hem en niemand anders naar de probleemgevallen. Er zijn mensen die dit een leuke klus vinden en hem ook aankunnen. Crisiscommunicatie is een hooggewaardeerd beroep en bovendien een uiterst interessant carrièrepad.

Met een beveiligingsvoorlichter kun je de technisch specialisten in hun hok laten; dat vinden ze zelf ook veel fijner. Maak echter niet de fout één van de specialisten uit te roepen tot voorlichter. Hij kan het misschien wel, maar zal het niet willen. Een specialist beschouwt iedere baanverandering waardoor hij minder achter het scherm zit (e-mail, boekhouding en PowerPoint tellen niet mee) als een achteruitgang. Minder beeldscherm = meer vergaderen, en dat vraagt nu eenmaal een ander slag mensen. Voormalige journalisten, salesmensen en recruiters zijn een betere keuze. Zij zijn bovendien veel minder schaars dan kundige techneuten.

Communicatie, daar gaat het om. Beter en verstandiger communiceren is de belangrijkste vooruitgang die je als security manager kunt maken. Het is natuurlijk niet zo dat een beveiligingsvoorlichter in één keer alles oplost. Bij een grote crisis zullen je mensen zelf op pad moeten; bereid ze daarop voor. Maar de samenwerking met een voorlichter als lid van het team is al mooi. Een beetje communicatietraining sorteert al gauw meer effect dan nog maar weer eens een productcertificaat voor beveiliging. Let daarbij overigens niet op uiterlijk. Een slobbertrui beschermt tegen boze geesten en scheren is slecht voor je aura, schijnt. Laat het gaan. Presenteer het maar als excentriek of Esprit de Corps. Als duidelijk is dat de specialisten onmisbaar zijn en niet alleen om mensen lastig te vallen, dan wordt dat wel geaccepteerd. Niet van harte wellicht, maar toch.

Les 3: gebruik het mediamedicijn met mate. En hype werkt tegen je: als je continu je eigen successen roeptoetert, graaf je voor jezelf een mooie kuil. Maar indien met mate gebruikt, kan een basale marketing- en communicatiestrategie je uit de negatieve spiraal helpen. Verrassend genoeg neemt de veiligheid dan ook toe. Hopelijk volgt er dan ook een intern carrièrepad voor de security manager. Want die files, die worden er niet minder op.


Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

Reacties (6)
28-07-2008, 12:24 door spatieman
leuk verhaal...
28-07-2008, 17:01 door Anoniem
Wat een schaamteloze generalisatie van de specialist...
28-07-2008, 20:56 door Anoniem
Peter,

Je verhaal gaat zeker niet alleen op voor security
specialisten, maar voor specialisten in het algemeen. Hoe
meer senior de functie, hoe minder het over de inhoud gaat
en hoe meer het over communicatie gaat.
29-07-2008, 07:52 door Anoniem
Een generalisatie met een kern van waarheid ;-) goed en
kortbondig verhaal!
29-07-2008, 23:05 door Bitwiper
Goed en herkenbaar verhaal. Na de wijze lessen heb ik besloten om het voetbaltrainer-van-een-grote-club-worden nog maar even uit te stellen :)
02-08-2008, 21:43 door Anoniem
leuk verhaal maar qua inhoud imho niet het beste advies ;
of : ter aanvulling les 4: zie sabsa en wordt volwassen in je vakgebied
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.