Tijdens mijn lange carrière als CISO ben ik altijd geboeid geweest door de vraag waarom sommige beveiligssexperts mislukken en andere succes hebben. Als manager heb ik leiding gegeven aan IT'ers die er een geweldige hekel aan hadden als er collega's van de beveilings-afdeling langskwamen. Gaandeweg ontdekte ik wat de goede veiligheidsexperts onderscheidde van hun mislukte collega's. In deze reeks wil ik mijn bevindingen met jullie delen.

Grappende CSO's

Volgens sommigen is de oplossing simpel: uitgebreidere opleidingen en beter gekwalificeerd personeel moeten het niveau van de securitymedewerker opschroeven. Anderen menen dat Information Assurance (IA)-personeel beter betaald, geselecteerd en begeleid moet worden. Daarmee zal bijna niemand het oneens zijn, ook ik niet. Toch heb ik overal op de wereld falende medewerkers gezien die aan alle bovenstaande kwalificaties voldeden en omgekeerd. In werkelijkheid vallen veel van deze voorwaarden buiten de verantwoordelijkheid van de veiligheidsmedewerker. Die kan natuurlijk specifiek kiezen voor bedrijven die veel aandacht hebben voor opleiding, salaris en carrièremogelijkheden, maar op de huidige arbeidsmarkt is die keuzevrijheid beperkt.

CSO's (chief security officers) grappen weleens dat ze graag willen werken bij een bedrijf waar onlangs een groot veiligheidslek is geweest, liefst met een verlies van miljoenen dollars. Dat kostte hun voorganger zijn baan, maar betekent dat zij op het moment dat ze in dienst treden volledige medewerking en alle financiële middelen krijgen om de klus te klaren. Maar in de dagelijkse realiteit komt dit nauwelijks voor en moeten securitymedewerkers roeien met de riemen die zij hebben.

Hoe kunnen veiligheidsexperts dan het verschil maken? Welke eigenschappen moeten zij beslist hebben? De komende maanden zal ik een aantal oplossingen aandragen. Daarbij ben ik er wel van uit gegaan dat de lezers beschikken over basisvaardigheden en een professioneel cv. Iedereen kan zich een securityprofessional noemen, maar als je het verschil niet weet tussen een versleutelde laptop en SSL, dan kun je beter eerst terug naar de schoolbanken.

Probleem 1: veiligheidsexperts staan bekend als dwarsliggers

Vaak worden securitydeskundigen gezien als mensen die het feestje bederven. Dat is een serieuzer probleem dan op het eerste gezicht het lijkt, want dat negatieve beeld zet onze geloofwaardigheid op het spel. In het bedrijfsleven gebeurde dit onlangs bijvoorbeeld bij het enthousiaste onthaal van cloud computing. Er verschijnen duizenden artikelen over de ROI, kostenbesparingen en andere kansen, terwijl security-experts juist schrijven dat cloud computing niet werkt en veiligheidsrisico's met zich meebrengt. Maar zouden de veiligheidsrisico’s nu echt zoveel toenemen door gebruik van de cloud?

Het gaat erom dat veiligheidsdeskundigen alleen het slechte nieuws lezen, terwijl de rest van de IT-wereld de goede kanten van cloud computing leert kennen. Een eerste tip is dus: lees meer over de positieve kanten van nieuwe technologische ontwikkelingen en niet slechts hoe eenvoudig ze kunnen worden gekraakt.

Oplossing 1: maak naam als oplossingsgerichte doener

Verkoop niet alleen maar 'nee' tegen je klanten en biedt veilige oplossingen aan. Wees een oplossingsgerichte doener in plaats van een doemdenkende dwarsligger. Ga uitzoeken hoe een nieuw project tijdig, binnen het budget en afdoende beveiligd kan worden afgerond. Dit lijkt misschien een open deur, maar moet worden bekeken vanuit het perspectief van de klant. Die ziet liever een meedenkende veiligheidsdeskundige dan een dwarsligger.

Tijdens mijn loopbaan heb ik ondervonden dat securitypersoneel vaak wordt gezien als pessimistisch en negatief. Zorg dus dat je wordt gezien als iemand die oplossingen aandraagt en niet als negatieve zuurpruim. Help ook anderen om dit aspect van hun werk te verbeteren, aangezien het imago van de gehele organisatie ook van invloed is op jouw eigen carrière.

Goed uitgevoerde securityprogramma's zijn een resultaat van succesvolle mensen, processen en technologie. Ongetwijfeld zijn er veel onderdelen van ons werk die we niet in de hand hebben. Toch stel ik voor om goed te kijken welke onderdelen je wel zelf kunt verbeteren: een andere houding is dan een goed uitgangspunt. Als oplossingsgerichte doener zul je zeker beter presteren.

Bron: Techworld