De mens is zonder meer de belangrijkste Kritische Succes Factor (KSF) bij goede security. Aanbrengen van structuren en processen met raamwerken is belangrijk, maar het is veel belangrijker of mensen het ook echt van je gaan aannemen, en of ze ook blijvend iets met security gaan doen. Dat stelt Yuri Bobbert – Chief Information Security Officer bij NN Group. ICT/Magazine spreekt hem naar aanleiding van zijn proefschrift: ‘Improving the Maturity of Business Information Security’.
Deze indrukwekkende studie rijgt zich als een rode draad door het gesprek heen. In de figuur van Yuri Bobbert komen de wetenschap en de praktijk van information security op unieke manier samen.
Drie jaar geleden begon hij aan zijn opdracht als CISO bij NN Group. Diezelfde functie vervulde hij daarvoor gedurende twee jaar op interim-basis bij het UWV. Hij publiceert regelmatig over information security en was vijf jaar parttime lector Business Information Security bij de Hogeschool NOVI. Als onderzoeker is hij verbonden aan het Digital Security Institute van de Radboud Universiteit in Nijmegen en aan de Universiteit van Antwerpen.
“Information Security moet in de core van de bedrijfsprocessen komen te zitten”, meent Bobbert. “Inmiddels heb ik geleerd dat wat in theorie goed zou moeten werken, zich lang niet altijd zo vertaalt naar de praktijk. Daarom heb ik samen met Talitha Papelard het boek ‘Critical Success Factors for Effective Business Information Security’ geschreven.”
Vijfkrachtenmodel in security
In zijn proefschrift haalt Bobbert het vijfkrachtenmodel aan van Porter, wat bij de meeste managers wel bekend is. “Je brengt je concurrentie in kaart”, licht hij toe. “Je markt en wat zijn de ‘barriers-to-entry’ enzovoort. Dat kun je ook doen voor security.
“Welke belangrijke krachten van buitenaf zijn relevant voor mijn organisatie? Die kun je maar beter in kaart hebben gebracht, want als je eenmaal te maken krijgt met een serieus incident – wat we bij het UWV hebben meegemaakt – dan kun je nog heel moeilijk sturen. Het gaat erom de gedachtegang van een bestuurder op de juiste rails te zetten, zodat hij ook mee gaat denken over hoe je het beter kan gaan doen.”
Volgens Bobbert speelt de CISO meer een bedrijfsmatige rol dan de it-rol. “Partijen als Gartner en Forrester hebben wel een goede blik op de praktijk,” zegt hij, “maar de theorie is wat lastiger. Wetenschappelijk is er weinig over de CISO gepubliceerd dat hout snijdt.”
“Vanzelfsprekend moet je als CISO een goede it-fundering hebben, zoals een CFO ook moet weten hoe een kasboek, balansen en cashflow werken. Om een beweging in gang te zetten, een bepaalde boodschap over te brengen, moet je vooral de businessprioriteiten kennen, zodat je daarop de securityactiviteiten kan afstemmen.”
Lees het hele verhaal online of in ICT/Magazine van november.