Het citaat uit de titel is een opmerkelijk tegengeluid voor de trend van de afgelopen jaren. Na veel lobbywerk om it-security de hoogste aandacht te laten krijgen, klinkt het pleidooi dat security niet in de boardroom hoort.
Dit paradoxale pleidooi voor security komt van Bob Janssen. Hij ziet praktijkproblemen met de huidige eisen aan veilige én flexibele ict-infrastructuren. De meeste CISO’s (chief information security officers) zijn volgens hem al blij als ze een plan en beleid kunnen maken om tot de gevraagde flexibiliteit en de vereiste veiligheid te komen. Implementatie is dan nog niet in zicht.
Vechten tegen de bierkaai
Janssen – oprichter en CTO RES Software – constateert dat CISO’s het gevoel hebben alsof ze vechten tegen de bierkaai. Volgens hem is het bestuur hier mede oorzaak van. De boardroom had van oudsher al weinig interesse in ICT en heeft daar ict-security nog eens bijgekregen. In de praktijk maakt de board zich meer bezorgd over auditors dan over hackers. Eigenlijk is dat ook wel logisch, aldus Janssen, want security zou geen zaak voor het hogere management moeten zijn. Stacy Leidwinger, vice-president products argumenteert: “De board zou zich bezig moeten houden met groei, nieuwe markten, waardetoevoeging en dat alles gericht op de klant. De bestuursraad is te vaak bezig met security-details en dat komt het bedrijfsbestuur en de ict-security niet ten goede.”
Security als payroll
Leidwinger trekt de vergelijking met de uitbetaling van salarissen. Dat is weliswaar een totaal andere activiteit, maar op brede basis beschouwd is die ook essentieel voor het reilen en zeilen van een bedrijf. Security moet volgens haar net als payroll zijn: “Op C-level maakt niemand zich zorgen of werknemers wel betaald worden.” Net zoals er op het hoogste bestuursniveau geen aandacht is voor hóé de betalingen worden gedaan.
ICT-security zou dus eenzelfde positie moeten hebben als payroll: enerzijds essentieel en anderzijds gewoon overgelaten aan de experts op het specifieke gebied. Leidwinger erkent hierbij wel direct dat volwassenheid een eerste vereiste is. Dit omvat dan een volwassen ict-afdeling, een volwassen organisatie plus een volwassen bestuur. ICT moet de benodigde kwaliteit kunnen geven en garanderen, de organisatie moet daarop bouwen, en het bestuur moet erop vertrouwen.
Productiviteit als hoogste goed
De rol van die laatstgenoemde groep, het bestuur, werkt nogal eens als een kink in de kabel. De reactie vanuit topmanagement op een security-incident, zo weet Leidwinger, is te vaak het opleggen van rigoureuze maatregelen. Een voorbeeld is de afkondiging van strenge werkplekvergrendeling, met de gedachte om malware-infecties te voorkomen. Een onbedoeld neveneffect kan dan een afname in de werknemersproductiviteit zijn. En dát is volgens haar nu juist wél een kwestie voor de board.
