Cindy Wubben is CISO bij Visma, verantwoordelijk voor informatiebeveiliging bij veertig tot vijftig bedrijven. Ze ziet dagelijks hoe uiteenlopend de maturity van security-professionals is, en hoe groot het verschil is tussen CISO's die wachten tot ze worden uitgenodigd en CISO's die zichzelf een vaste plek aan tafel organiseren. In CISO's United deelt ze concrete handvatten.
Technische kennis brengt je tot de deur, niet aan tafel
Veel CISO's komen uit de IT. Ze kennen de risico's, begrijpen de systemen en weten wat er op het spel staat. En toch lukt het ze niet om door te dringen tot het bestuur. Cindy herkent het patroon: "Mensen zien een CISO echt als een IT-rol. Ze denken gelijk aan infrastructuur en technische oplossingen. Maar de competenties die je in de boardroom nodig hebt, zijn van een andere orde. Het is belangrijk dat je goed weet hoe je de boodschap overbrengt, dat je de kern weet te pakken, maar ook dat je sociaal bent en mensen weet mee te krijgen.”
“Technische diepgang is waardevol, maar het is niet wat je een mandaat geeft.”
De meest gemaakte fout als een CISO eindelijk aan tafel zit: beginnen met details. Afkortingen, technische incidenten, lijstjes met kwetsbaarheden. "Die details zijn voor zo'n board helemaal niet interessant. Dat zegt ze helemaal niks. Wat wel werkt: vertrekken vanuit de doelen van de organisatie. Wat willen we bereiken? Wat zijn onze klanten? Wat is de context? En daar het haakje aan proberen te maken. Het risico moet voelen als een bedrijfsrisico, niet als een IT-probleem.”
Cindy voegt daar een concreet instrument aan toe. Als een bestuur een risico blijft wegschuiven, vraag ze het te ondertekenen. "Dan ineens beginnen ze wel te begrijpen: oh wacht, dat wil ik toch eigenlijk niet." De handtekening maakt abstract concreet en verschuift de verantwoordelijkheid naar waar die hoort: bij het bestuur, niet bij de CISO.
Kom niet met een probleem, kom met een oplossing
Een boardpresentatie zonder handelingsperspectief is een gemiste kans. Cindy ziet het regelmatig: bestuurders gaan naar huis met het gevoel dat security belangrijk is, maar zonder te weten wat ze moeten doen. "Dan leven we allemaal in de rush van de dag, en dan gebeurt er dus niks."
De voorbereiding begint daarom niet bij de boodschap, maar bij de uitkomst. Wat wil je dat er uit dit gesprek voortkomt? Welke beslissing moet er worden genomen? Welk mandaat of welke middelen heb je nodig? Pas als dat helder is, bouw je de presentatie daaromheen. En overtuigen is niet het doel. "De board is niet per se iemand die je moet overtuigen. Je hebt een gezamenlijk doel: de organisatie laten voortbestaan."
Heleen van de Groep, Social Ethical Hacker en Gedragsspecialist bij Brooklyn Partners: "Wat ik vaak zie is dat mensen die uit de techniek komen heel sterk zijn in analyse, maar moeite hebben met onzekerheid en ambiguïteit. In de boardroom is niet alles maakbaar of meetbaar, en dat voelt ongemakkelijk. De competentie die het meeste verschil maakt is niet presenteren of communiceren, dat is aan te leren. Het is situationeel bewustzijn: voelen wat er in de kamer speelt, zien wanneer iemand afhaakt, aanvoelen welk argument nu landt. Dat ontwikkel je niet uit een boek, maar door het te doen, te evalueren en je comfort zone bewust op te zoeken, precies zoals Cindy beschrijft."
Eigenaarschap verdeel je, verantwoordelijkheid niet
Aan tafel komen is één ding. Iets gedaan krijgen is een tweede. Cindy leerde dat vroeg: bij haar eerste grote rol was zij ineens verantwoordelijk voor informatiebeveiliging van een organisatie van 250 mensen. "In het begin werd alles naar mij toegeschoven. Maar dat kan ik niet allemaal in mijn eentje.”
“De oplossing is niet harder werken, maar eigenaarschap verspreiden.”
“Zoek mensen in de organisatie die het onderwerp interessant vinden, betrek ze en leg verantwoordelijkheid stap voor stap neer waar deze hoort. Begin met iedereen die het leuk vindt erbij te betrekken. En dan ga je dat steeds vaster omkaderen. Eén valkuil daarbij: te grote taken bij te veel mensen neerleggen. We hadden een risico-item met drie eigenaren. Er gebeurde helemaal niks. Want was veel te groot en niemand voelde zich verantwoordelijk." De oplossing is simpel maar vraagt discipline: één eigenaar, een concreet omschreven taak, en actieve opvolging.
Cindy's laatste advies raakt aan iets wat veel CISO's tegenhoudt: de neiging om pas te starten als alles perfect is. "Dan komt het dagelijks stil te staan en doe je daardoor helemaal niks meer." Security verankeren in een organisatie is geen project met een einddatum, het is een groeiproces. Wie na jaar één terugkijkt en ziet dat de basis staat, heeft meer bereikt dan wie na vijf jaar nog steeds wacht op het perfecte plan. "Je moet gewoon ergens beginnen. En ja, kleinere stapjes vind ik beter."
Cindy Wubben is CISO bij Visma. Dit interview is onderdeel van CISO's United, een podcastserie van Brooklyn Partners over leiderschap, gedrag en informatiebeveiliging.