Dennis van Dijk is al meer dan 15 jaar actief in cybersecurity. Hij begon als consultant en is nu CISO bij de provincie Noord-Holland. Voor CISO's United gaat hij in op een thema dat bij veel overheidsorganisaties speelt: de reorganisatie. Wat betekent dat voor informatiebeveiliging? En hoe zorg je dat het risico niet op de schouders van de CISO belandt?
De reorganisatie die iedereen ziet aankomen, behalve security
Gemeenten reorganiseren. Dat is geen nieuws. Wat wél vaak over het hoofd wordt gezien, is het effect daarvan op informatiebeveiliging. Dennis van Dijk ziet het in zijn dagelijkse praktijk: structuren verschuiven, mensen vertrekken, en verantwoordelijkheden raken zoek. "Je krijgt knippen in de organisatie die anders worden neergelegd. Samenwerkingsverbanden veranderen. En daarmee heb je ook een kennisgap, omdat processen veranderen en mensen misschien niet meer helemaal weten waar de verantwoordelijkheid ligt."
Er is volgens hem een wezenlijk verschil tussen twee soorten reorganisaties: die waarbij werk verplaatst wordt, en die waarbij de manier van werken fundamenteel verandert. Dat onderscheid bepaalt hoe groot de impact op informatiebeveiliging is en hoe de CISO moet optreden.
De rol van de CISO stopt niet bij het advies
Zodra een reorganisatie zich aandient, is de eerste stap voor Dennis helder: het gesprek aangaan met de beslissingsmakers niet achteraf, maar bij het begin van het proces. "Je gaat met de beslissingsmakers om tafel om te kijken: wat zijn de doelstellingen, en in hoeverre raken die het informatiebeveiligingswezen?Welke risico's zijn er en welke risico's ontstaan door de reorganisatie?"
De taak van de CISO is daarin niet om te beslissen, maar om geïnformeerde besluitvorming mogelijk te maken. Dennis is daar helder over: het eigenaarschap van het risico hoort bij het bestuur, niet bij de CISO.
"De voorname taak van de CISO is om de beslissingsmakers geïnformeerd een beslissing te laten maken."
Dat klinkt eenvoudig. Maar wat als die beslissing haaks staat op het advies?
Het gebeurt. Een bestuur neemt een besluit buiten het advies van de CISO om Dennis vindt dat je dan je werk nog niet gedaan hebt. "Dan moet je als CISO de grote broek aantrekken en zeggen: jongens, nogmaals, er zijn risico's die we hiermee nemen. Die moet je kwantificeren en kwalificeren. En uiteindelijk is het alsnog niet aan jou om te beslissen, maar je wilt het bestuur wel meenemen door het gehele proces en hier adviseren."
Maak het zakelijk, niet persoonlijk
Eén van de krachtigste lessen die Dennis deelt, is ook de meest menselijke: koppel feiten los van emotie. Zeker in een vakgebied dat draait om dreiging, risico en verantwoordelijkheid is dat makkelijker gezegd dan gedaan."Zodra je het persoonlijk gaat maken, handel je sneller vanuit emotie. Terwijl de organisatie juist een rationeel advies nodig heeft. Het is uiteindelijk altijd een zakelijke beslissing. Ondanks dat het gemeenteland is."
Wat hem daarbij helpt, is relativeren. Het vermogen om de ernst van cyberdreiging serieus te nemen zonder erin te verdwalen. "Hetgeen waar we ons dagelijks mee bezighouden is de ernstige cyberdreiging. Uiteindelijk doen we het altijd voor de doelstellingen van een organisatie. En je trekt aan het einde van de dag die deur dicht."
Heleen van de Groep, Social Ethical Hacker en Gedragsexpert bij Brooklyn Partners geeft aan: "Wat Dennis beschrijft is gedragsmatig gezien één van de lastigste dingen die er is: onder druk rationeel blijven terwijl je brein schakelt naar zelfbescherming en daardoor sneller vanuit emotie wil handelen. We personaliseren risico's, zeker als we er verantwoordelijk voor worden gehouden. Dit kan frustratie en stagnatie tot gevolg hebben. Wat helpt: jezelf een vaste vraag aanwennen op het moment dat je voelt dat het persoonlijk wordt. Bijvoorbeeld: wat is hier het zakelijke belang? Wat betekent het voor de organisatie als… Deze vragen halen je uit de emotie, zetten je terug in je rol en leggen eigenaarschap waar het hoort."
Eigenaarschap beleggen begint niet bij security
Eén van de grootste valkuilen die Dennis benoemt: de CISO die het cyberrisico op zijn eigen schouders laat belanden. De oplossing? Eigenaarschap van meet af aan in de organisatie verankeren en dat doe je niet alleen via het bestuur. Hij wijst op een stakeholder die vaak wordt vergeten: HR.
"Het is heel goed om van begin af aan te starten met awareness, en daarin speelt HR een grote rol. Wat verwachten we nou binnen deze organisatie van medewerkers?"
Awareness is niet het startpunt, maar het sluitstuk. Dennis pleit voor een gelaagde aanpak: eerst techniek, dan proces, dan de mens. "Awareness is bedoeld om het restrisico op te pakken dat overblijft na techniek en proces. Maar vaak wordt het te snel ingezet als standaardoplossing. Prima, maar dan moeten we wel kijken wat we daar precies van verwachten."
Heleen geeft aan: “Door die bewustwording te laten landen via bestaande HR-structuren en leertrajecten, hoeft de CISO niet tegen de bestaande structuren organisatie in te duwen, maar kan je er op meevaren. De weerstand verdwijnt als je meebeweegt met wat er al is.’’
De reorganisatie als spiegel voor de CISO zelf
Het meest onverwachte inzicht uit het gesprek met Dennis gaat niet over de organisatie, maar over de CISO zelf. Want een reorganisatie verandert niet alleen de structuur van een gemeente. Het verandert ook wat die gemeente nodig heeft van haar CISO.
"Een reorganisatie is ook een moment in de tijd om intern bij jezelf te kijken: wie ben ik in deze organisatie? Waar sta ik voor? Hoe zie ik het vakgebied? En past dat dan nog?"
Een stabiliserende CISO past bij een compliance-gedreven omgeving. Een innoverende CISO past bij een organisatie die de koers radicaal omgooit. Beide zijn waardevol. Maar de match moet kloppen, voor de organisatie én voor de persoon zelf. "We vragen dat tenslotte ook steeds van onze organisaties die reflectie op waar zijn we mee bezig en kan het veiliger? Dus waarom niet van onszelf?"
Dit artikel is gebaseerd op zijn gesprek in de podcast CISO's United, een initiatief van Brooklyn Partners. Luister de aflevering op Spotify, of bekijk ‘m via YouTube.