Het grootste security risico is …. de menselijke factor, aldus het Engelstalige Leading in Digital Security van Yuri Bobbert en Mark Butterhoff uit 2020. Digital Security dekt hierbij zowel information security als cybersecurity af. De ‘weakest link’ wordt gevonden bij de eindgebruikers, die security-instructies niet volgen, bij de ondernemingsleiding, die te weinig aandacht geeft aan deze risico’s, en bij de securityprofessionals zelf, die het belang van digitale security niet kunnen overbrengen.
Het managementboek Leading in Digital Security …
… gaat daarom niet over de techniek van security, maar over communicatie, leidinggeven, cultuur en alle andere zaken die zorgen dat security een integraal onderdeel van een onderneming is, en niet een apart staande afdeling. De kern van de eerste hoofdstukken is dat securityprofessionals moeten leren praten in de taal van de business en het topmanagement. Omdat te bereiken wordt veel aandacht gegeven aan bekende managementtheorieën en bijpassend jargon.
Natuurlijk ontbreken de praktische zaken niet en ook de (verwachte) toekomstige ontwikkelingen in technologie en dus in security krijgen voldoende aandacht. Het boek is daardoor een mooie mix van theorie, in de vorm van managementmodellen, en praktijk, uit eigen ervaring van de auteurs en uit onderzoek onder securityprofessionals.
12 manieren
Het boek heeft 6 hoofdstukken, die leiden tot ‘12 ways to combat the silent enemy’.
- Hoofdstuk 1 is Leading, waarin ook de matrixorganisatie en het high performing team aan de orde komen. Ik vond met name het CISO-Capability model, de verwijzingen naar Jim Collins’ Good to Great, met de Level 5 Executive, en die naar leiderschap bij het leger erg interessant.
- In Hoofdstuk 2, Strategizing valt vooral Porter’s Five Forces model op.
- Hoofdstuk 3 is Changing, waarin met name het stuk over cultuur mij trof. Het legt het model van Boris Groysberg uit, met daarin 8 waarden (Leren, Plezier, Betekenis, Zorg, Orde, Veiligheid, Autoriteit en Resultaat) die voor meer of minder betrokkenheid van personeel en klantfocus kan leiden. In dit hoofdstuk komen ook ethiek en soft controls aan de orde.
- Hoofdstuk 4, Governing, gaat onder andere over KPI’s en wet- en regelgeving. Er worden heel veel voorbeelden van KPI’s gegeven, die zijn opgehaald bij securityprofessionals door één van de vele enquêtes die in het boek worden gebruikt. Opvallend is, wat de auteurs ook zelf aangeven, dat de KPI’s ‘technocratisch’ zijn, en gedrag en cultuur niet echt afdekken.
- Dan hoofdstuk 5, wat gaat over Funding, met daarin de Business Case, Klanttevredenheid en ROSI: Return On Security Investment.
- Hoofdstuk 6, Trending, geeft de verwachte trends weer, van 2120 (dus over 100 jaar) tot nu. Een uitstekend hoofdstuk waarin ook direct de risico’s als gevolg van hacking zijn benoemd. Neem bijvoorbeeld het toekomstbeeld voor 2050: nanobots in je lichaam zorgen ervoor dat je hersenen ‘in de cloud’ komen, wat leidt tot een ‘Internet of Thoughts’. In 2120 zijn onze hersenen volledig gefuseerd met AI en reizen we al buiten ons zonnestelsel (gebaseerd op het gedachtengoed van Ray Kurzwell). Boeiend! Ik moet zeggen, de impact van de ontwikkelingen en de gevaren ervan zoals weergegeven in dit hoofdstuk, maken de huidige problemen uit de voorgaande hoofdstukken bijna irrelevant. Misschien moet je die zien als goede vingeroefening?
Elk hoofdstuk eindigt met een aantal key takeaways, die weer worden samengevat in de 12 manieren om de stille vijand te verslaan.
Schatkist
De inhoud heeft dus veel pareltjes, gouden tips en waardevolle weetjes. Deze schat zit echter in een niet zo heel robuuste schatkist. Ik vond de zinnen niet echt lekker lopen, en realiseerde me later dat dit komt door de vrijwel letterlijke vertaling van hoe wij iets in het Nederlands zouden zeggen. Daarbij komt nog een flink aantal spelfouten, jammer, want dat doet afbreuk aan de inhoud.
Binnen de hoofdstukken had iets meer structuur wonderen gedaan, veel onderwerpen staan los van elkaar zonder onderlinge verbinding. Wel fijn zijn de vele notes, die onderaan de pagina’s staan, dus bladeren hoeft niet. Daarbij is het boek mooi uitgevoerd met veel afbeeldingen en tabellen in kleur en glanzende pagina’s (wat lastig leest onder een lamp).
Alles bij elkaar doet het me denken aan een schatkist van IKEA: veel kostbare inhoud in een omhulsel wat er mooi uitziet, functioneel is, maar niet robuust. Typisch DIY. Een goede redacteur had geen overgebleven schroefjes gehad…..
Evaluatie
Overall vind ik het knap, hoe de auteurs zoveel kennis in een gevarieerd, mooi uitgevoerd en redelijk leesbaar boek hebben verwerkt. Het geeft veel inspiratie wat je zelf in een actieplan kunt verwerken (verwacht dus geen COBIT achtig raamwerk) en is daardoor supernuttig voor iedereen die in een IT / security gerelateerde management- of executive positie zit. De notes en referenties naar boeken zijn uitgebreid, erg uitnodigend om verder te lezen. De onderwerpen zijn heel breed, de voorbeelden van problemen waar security-professionals tegen aanlopen zijn herkenbaar uit de praktijk. Dit zorgt ervoor dat je een spiegel wordt voorgehouden, want die silent enemy…….ben je dat niet toevallig zelf?
Ik gaf het boek 4*.
En wat vind jij? Heb je het al gelezen?
Je kunt dit boek kopen bij Managemenboek.nl en bij Bol.com
Duurzame keuzes: Gratis in Kobo Plus of een boek-met-ervaring bij Boekwinkeltjes.nl.
Verder lezen?
In hoofdstuk 1 wordt het model gebruikt uit de klassieker Good to Great van Jim Collins. Uit een langdurig onderzoek van honderden Fortune 500-bedrijven kwamen elf bedrijven naar voren die in een periode van vijftien jaar explosief groeiden. Een tijdlang presteerden deze elf bedrijven even ‘good’ als hun concurrenten in dezelfde branche, maar plotseling accelereerden ze en werden ‘great’. Wat onderscheidt deze succesvolle bedrijven nu van hun concurrenten en wat kunnen anderen daarvan leren? Collins heeft zijn inzichten in een aantal principes geformuleerd. Het zijn tijdloze factoren voor succes, geen hypes. Eén ervan is Level 5 leiderschap. Koop of lees verder over Good to Great.
In hoofdstuk 3 komen ethiek en soft controls aan de orde, deels gebaseerd op Muel Kaptein’s Waarom goede mensen soms de verkeerde dingen doen, uit 2011. Niet alleen waarom goede mensen soms de verkeerde dingen doen, maar ook: waarom dragen fraudeurs vaak een zonnebril? Waarom is het juist goed om een scheve schaats te rijden, en leiden te veel regels tot vlegels? Aan de hand van 52 bespiegelingen over ethiek op het werk, van wetenschappelijke experimenten tot aansprekende praktijkvoorbeelden, zien we dat de sociale psychologie vaak verrassende antwoorden op deze intrigerende en actuele vragen heeft. Koop of lees verder over Waarom goede mensen..
Dan in hoofdstuk 6 de verwijzing naar het gedachtengoed van Ray Kurzweil, uit zijn klassieker De singulariteit is nabij (The Singularity is Near) uit 2006. Het informeert ons over de op handen zijnde veranderingen op bijna alle belangrijke terreinen van ons bestaan. Denk aan gezondheid, economie, milieu, onderwijs en werk, en over samensmelten van de mens en de technologie. Koop of lees verder over dit boek.
Elly Stroo Cloeck is project- en interim-manager op het gebied van Finance, Internal Audit en Risk Management via haar bedrijf ESCIA. Daarnaast schrijft ze recensies en samenvattingen van managementboeken. Abonneer je hier op de kwartalige nieuwsbrief.
Of abonneer je op de blog-updates!
[email-subscribers-form id=”1″]