Security Officer pas op, je carrière is zó voorbij!

17-12-2012 13:15 | Door Michiel Steltman | Lees meer artikelen over: IT-auditing, Firewall, Compliance | Er zijn 5 reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink
hacker beveiliging security

Informatie security professionals hebben last van een interessante paradox. Een primaire taak van een security officer of engineer is het rapporteren van tekortkomingen in de informatiebeveiliging. Maar door precies dat te doen creëren ze weerstand en schaden ze soms hun eigen carrière.

Laatst sprak ik hierover met een zeer inspirerende man: Raj Samani, cto bij Mcafee en strategic adviser bij de Cloud Security Alliance. Raj refereert in zijn blog  aan de term ciso, wat in de Engelstalige landen staat dat voor chief information security officer. Raj geeft als betekenis ‘career is so over’.

De achtergrond is het gebrek aan aandacht voor informatiebeveiliging op de directietafel van veel ondernemingen. Er is namelijk nog weinig besef van wat informatiebeveiliging inhoud. In veel organisaties wordt het gezien als opstellen van regels voor computergebruikers, en het controleren van de firewall en de virusscanner. Iets wat je dus kunt delegeren aan een technicus. Als de organisatie weinig informatie over security vergaart dan zijn de online risico’s vaak niet bekend. Men denkt dat met de techniek de grootste risico’s wel zijn afgedekt en dat geeft een vals gevoel van veiligheid. Als het in het bedrijf niet eerder fout is gegaan wordt dat gevoel versterkt.

Voorspelbaar

Als je een security officer bent die zijn of haar taak serieus neemt, houd je je bezig met onderzoek en analyses. Je ontdekt wellicht dat er van alles mis gaat, zoals digitale inbraakpogingen of andere grote risico’s. Je gaat beveiligingsincidenten administreren en evalueren. En als er naar jouw oordeel maatregelen moeten volgen, ga je je bevindingen escaleren. Maatregelen kunnen technisch of organisatorisch van aard zijn, het invoeren van werkprocessen of het beleggen van scherpere verantwoordelijkheden of toezicht.

Maar in een organisatie met een matige ‘security awareness’ worden dit soort maatregelen beschouwd als slecht nieuws. De reacties zijn voorspelbaar. Bekende quotes zijn: ’geef me geen problemen, maar kom liever met oplossingen‘. Wat bedoeld wordt zijn oplossingen die niets extra mogen kosten. Dat zou namelijk betekenen dat de directeur aan zijn aandeelhouders moet melden dat hij meer mensen en middelen nodig heeft, terwijl ze niet zijn begroot. En dat is slecht nieuws..

Professionele zwartkijker

Als je om middelen blijft vragen word je gezien als een professionele zwartkijker en constant vergeleken met het beleid voordat jij kwam: niets doen. Er is tenslotte nog niets fout gegaan? Zo erg kan het toch niet zijn? Sommige mensen zien ook overal beren op de weg. We hebben toch die firewall gekocht!? En als je na het afwijzen van je voorstellen decharge vraagt voor de gevolgen, word je aangesproken als iemand die zijn verantwoordelijkheid wil afschuiven. Kortom: de security officer die te weinig middelen heeft om de security op een voldoende niveau te handhaven, is de eerste die de schuld in de schoenen geschoven krijgt als het misgaat. Dat is wat Raj Samani bedoelt met ’ciso‘.

De conclusie is dat je als security officer naast je inhoudelijke ook over politieke vaardigheden moet beschikken om verbeteringen te bewerkstelligen. Een goed werkende strategie is om oorzaak en aanleiding van je slechte nieuws te onderbouwen met externe informatie. Daarom vijf tips:

  • gebruik vragen van klanten of gebruikers over de beveiliging om eventuele tekortkomingen aan te tonen;
  • gebruik actuele gebeurtenissen ( ’kan zoiets ook bij ons gebeuren?’), om de door jou gesignaleerde trends te onderbouwen;
  • communiceer achtergronden in relevante wet- en regelgeving naar de juridische afdeling of de cfo. Die zullen vaak de noodzaak van compliance en het beter beheersen van risico’s steunen;
  • zorg dat je autoriteit op beveiligingsgebied ook buiten het bedrijf erkend wordt, dus schrijf blogs en participeer in security gremia;
  • vraag eerst een klein budget voor een korte audit of penetratietest door een externe partij. Zo kan je met het externe rapport eigen bevindingen onderbouwen. Of, uiteraard, erachter komen dat het toch allemaal wel meeviel…

Door zo te communiceren naar je interne doelgroep, komen zorgen en vragen ook langs een andere weg binnen en gaan de stakeholders jou om hulp vragen om te voorkomen dat zoiets ook binnen hun bedrijf gebeurt.

Deze aanpak vereist dat je je ego ondergeschikt maakt aan het uiteindelijke doel. Beter ben je een redder en probleemoplosser dan een brenger van slecht nieuws. In het belang van je bedrijf én van je carrière.

Michiel Steltman, directeur DHPA

Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

1 vacature
Senior Manager Informatiebeveiliging

BDO IT Consultancy , Utrecht

Top 10 reagerende bezoekers
      Aantal
reacties
Gemiddelde
waardering
Klik voor meer info 1 1981 6.87
Klik voor meer info 2 1142 6.67
Klik voor meer info 3 1495 6.66
Klik voor meer info 4 1210 6.63
Klik voor meer info 5 878 6.59
Klik voor meer info 6 578 6.33
Klik voor meer info 7 416 6.30
Klik voor meer info 8 1081 6.06
Klik voor meer info 9 698 6.05
Klik voor meer info 10 456 6.02