Vorige keer stelden we de vraag waarom beveiligingsdeskundigen falen. Een belangrijk probleem daarbij is dat zij bekend staan als dwarsliggers en niet als oplossingsgerichte doeners. We gaven tips hoe securityprofessionals die negatieve reputatie kunnen veranderen met een positief gerichte aanpak. Deze keer richten we onze pijlen op de uniforme manier waarop veel professionals cyberveiligheid benaderen. We pleiten voor een 'gouden, zilveren en bronzen' aanpak en in uitzonderlijke gevallen zelfs voor 'platina', of juist goedkope alternatieven.

Probleem 2: securitydeskundigen bieden geen alternatieve oplossingen

De meeste securitydeskundigen vinden het makkelijk om zwart-wit te denken. Iets is bijvoorbeeld versleuteld of juist niet. In de beeldvorming bedenkt een creatief team een geweldig ontwerp waarmee alle programmeurs, netwerkbeheerders en anderen instemmen. Dan verschijnen de securitymedewerkers op het toneel, die een compleet afwijkende 'oplossing' aandragen, waardoor het ontwerp ingrijpend verandert. Door hun firewalls, zones, afgesloten gedeeltes en andere veiligheidszaken rijzen de kosten de pan uit, zodat het project vastloopt. De bemoeienis van de securitymedewerkers wordt als negatief ervaren.

Als een meerderheid van je afdeling vindt dat security steeds met dezelfde oplossing op de proppen komt, dan kun je in de problemen komen. Soms kun je ook kiezen voor de eenvoudige weg, als zaken echt zwart of wit zijn. Je wilt bijvoorbeeld zeker weten of je kinderen de waarheid vertellen of een leugen. Maar in je dagelijks werk kunnen de zaken veel ingewikkelder zijn. Toegewijde securitydeskundigen denken nu eenmaal anders dan veel andere ICT'ers. Op dat verschil zullen we de volgende keer terugkomen.

Oplossing 2: bied oplossingen aan in de categorie├źn goud, zilver en brons

Mijn voormalige CIO daagde mij eens uit door te zeggen: 'Hoezo kunnen we geen draadloze netwerken aanleggen? Hoe doen GM, Ford of Dow Chemical dat dan?' Het is een paar keer voorgekomen dat ik mijn werk helemaal opnieuw moest doen, dus dan leer je wel af om alleen maar 'nee' te verkopen en begin je met het aanbieden van alternatieve oplossingen.

Veel organisaties kunnen de beste oplossing niet altijd betalen, ook al zouden de securitymedewerkers zich daarmee veiliger voelen. Soms moet je dus kiezen voor een goedkope of standaardoplossing. Probeer tenminste drie alternatieven te geven. Als je dit goed doet, zullen de meeste teams kiezen voor 'zilver', de veilige middenoplossing. Dat komt omdat de meeste mensen de kosten afwegen tegen functionaliteit en risico.

Alternatieve oplossingen kun je vinden bij onderzoeksbureaus als Gartner en Forrester, in technologietijdschriften of bij collega's bij andere bedrijven. Ook belangenorganisaties, voormalige werknemers of externe experts kunnen alternatieven aandragen. Laat de zakelijke leiders de keuze maken, maar wijs hen op de daaraan verbonden risico's.

Enkele waarschuwingen: kijk uit voor mensen die altijd voor de goedkoopste oplossing kiezen. Bied ook geen alternatieven die niet werken of waarmee je zelf niet kunt leven. Zoek dan liever naar een andere oplossing of laat een externe deskundige het team voorlichten. Die expert moet dan wel het vertrouwen genieten van de zakelijke leiding. Tenslotte moet iedereen straks kunnen leven met de gekozen oplossing.

Bron: Techworld