Vaak komt het er niet zozeer op aan wát je doet, maar op hóe je het doet. Succes, ook met technologie en security, is een kwestie van cultuur. Daar zitten deze vier belangrijke kanten aan, weet Ron Tolido.
Over deze blogger
Ron Tolido is Senior Vice President in Capgemini’s group CTO-netwerk. Verder is hij Advisory & Architecture lead van Capgemini’s global Insights & Data Practice en is hij board member van The Open Group. Hij is de hoofdauteur van Capgemini’s TechnoVision.
“Hoe krijg je alle neuzen dezelfde kant op? Daar hebben wij ook onderzoek naar gedaan, in het kader van onze ‘Digital Transformation’-samenwerking met MIT. In het digitale domein speelt security een grote rol. De kernvraag is: hoe gebruik je technologie om de doelen van je business te behalen? Security kan daarvoor meer zijn dan een defensieve bescherming van wat je al hebt en wat je al doet. Security kan ook een ‘enabler’ zijn en bijvoorbeeld nieuwe activiteiten mogelijk maken. Daarvoor moet je zoals al eerder gezegd ‘Bon risk appétit’ hebben, ofwel een gezonde trek durven hebben in risico.
Het is hoe dan ook zaak iedereen mee te krijgen. De hele organisatie moet doordrongen worden van het belang van security en de hele organisatie moet daarin meegaan. Aan zo’n operatie zitten vier kanten.
1. De visie
Ten eerste de visie. Hoe maak je security onderdeel van je visie? Daarvoor moet je loskomen van de gedachte dat security een ‘passion killer’ is, ofwel een noodzakelijk kwaad dat vooral bezig is met ‘business prevention’. Zet je dit opzij, dan wordt security een aanjager van activiteiten die voorheen onmogelijk of onhaalbaar werden geacht. Vaak wordt er hierbij gedacht aan een bottom-up aanpak. Helaas komt er in de praktijk niet veel van terecht als het niet ook vanuit de top wordt uitgedragen. Er is geen substituut voor commitment vanuit de top. Dit geldt voor allerlei digitale speerpunten, van Big Data en het Internet of Things (IoT) tot aan security. Je moet het daarbij niet overlaten aan een enkel persoon op topniveau. Het hebben van een chief security officer (CSO), of chief marketing officer (CMO), of chief data officer (CDO) op zich is niet voldoende. Natuurlijk is een CSO vaak wel nodig, want het is een vak apart. Maar het is een illusie dat je security onder controle is als je daarvoor iemand hebt benoemd. Dit ontslaat de rest van de board niet van verantwoordelijkheid voor het actief uitdragen van de nieuwe digitale koers, zoals security laten doordringen in de hele organisatie.
2. De organisatie
Het tweede grote punt om alle neuzen dezelfde kant op te krijgen, is de organisatie, of ‘governance’. Je moet je organisatie voorbereiden op de doelen. Qua security heb je te maken met een schaarse competentie. Het kan dus het beste zijn om voorlopig een aparte club hiervoor op te zetten, om zo beter talent te kunnen verwerven. Dit is dan een kenniskatalysator, wat je een ‘Center of Excellence’ kunt noemen.
De opzet is als van een ‘lean startup’, waarmee je gelijk het mentaliteitsverschil vangt tussen security-mensen van de oude en de nieuwe stempel en tussen IT-mensen en de business. Zet dit center van begin af aan wel zo op dat het niet een op zichzelf staande afdeling blijft, het moet op termijn doordringen in de hele organisatie. Het uiteindelijke doel van zo’n center is jezelf opheffen.
3. De cultuur
De derde grote stap is het daadwerkelijk meekrijgen van iedereen. Dat is echt een culturele transformatie. Hoe je alle mensen in de organisatie ervan doordrenkt, zodat iedereen een beetje een security-expert is. Bij nieuwe oplossingen doen we dat door de uiteindelijke gebruikers van begin af aan nauw te betrekken bij de ontwikkeling. Dat heet ‘hothousing, ofwel ‘in een broeikas ontwikkelen.’
Cultuurverandering blijft echter hard werken en blijft tricky. Een cursus of een folder werkt niet. Je moet de mensen hands-on meenemen in het ontwikkelen en omarmen van de nieuwe dynamiek. Daarbij kun je een bepaalde doelgroep binnen je werknemersbestand meer en ook eerder betrekken. Dat kan een deel van je business zijn dat meer afhankelijk is van hetgeen je gaat invoeren, wat er meer baat bij heeft.
Zo’n voorlopende doelgroep voor het hothousen is een onderdeel van de organisatie dat dan ook een wat modernere blik heeft op de materie. Daarmee krijg je later hopelijk de rest van de organisatie beter mee in digitale ontwikkelingen waarvoor security een grote rol speelt. De nieuwe wereld van security is heel erg gekoppeld aan de nieuwe wereld van digitaal. Je hebt een nieuw security-elan nodig.
4. Het beklijven
Tenslotte de vierde grote stap: het aanmaken van de continue business technology-relatie. De visie vanuit de business moet goed aansluiten op de technologie en vice versa. Is het systeem wel zó opgesteld, inclusief het benodigde security-elan, dat het over twee jaar nog voldoet aan de eisen die de business dan heeft? Eisen die je nu nog niet hebt, nog niet weet en misschien ook nog niet kúnt weten.
Het door mij soms vermeden woord ‘platform’ komt hier om de hoek kijken. Je moet platform-denken en daarbij meer iteratief en flexibel te werk gaan. Kijk naar capaciteiten en competenties. Wat zijn de andere soorten capaciteiten die je in huis moet halen en ontwikkelen voor de onbekende toekomst? Deze stap is dus zorgen voor een garantie dat al het voorgaande beklijft. Door elke van deze vier stappen is de aanpak van de ‘lean startup’ verweven, de ontwikkelfilosofie uit het ondertussen befaamde managementboek, dat je tegenwoordig zelfs bij overheden ziet staan.
Security is vaak een sluitpost in ICT projecten. Bovendien is het kostenverhogend en levert het geen direct aantoonbaarheid bijdrage aan de winst. Ook de wetgeving is niet regulerend, daar zit het grootste struikelblok.
Zodra er wetgeving komt met hoge sancties waarin tevens organisaties aansprakelijk zijn voor de bewaking van toevertrouwde persoonsgegevens en een certificeringsverplichting door geautoriseerde auditors dan wordt security een veelbelovende en bloeiende bedrijfstak.