Op werkdagen voor 23:00 besteld, morgen in huis Gratis verzending vanaf €20

Recensie

Elly Stroo Cloeck | 2 april 2021 | 4-6 minuten leestijd

Leading in Digital Security - Gouden tips en waardevolle weetjes

Het grootste security risico op dit moment is ... de menselijke factor, aldus het Engelstalige Leading in Digital Security van Yuri Bobbert en Mark Butterhoff uit 2020.

De ‘weakest link’ in digitale veiligheid volgens Yuri Bobbert en Mark Butterhoff: de eindgebruikers, die security-instructies niet volgen, de ondernemingsleiding, die te weinig aandacht geeft aan deze risico’s, en de securityprofessionals zelf, die het belang van digitale security niet kunnen overbrengen. Hoog tijd om dit te fixen, voordat we met onze hersenen óók in de cloud zitten!

Het boek gaat daarom niet over de techniek van security, maar over communicatie, leidinggeven, cultuur en alle andere zaken die ervoor zorgen dat security een integraal onderdeel van een onderneming is, en niet een apart staande afdeling. De kern van de eerste hoofdstukken is dat securityprofessionals moeten leren praten in de taal van de business en het topmanagement. Omdat te bereiken wordt veel aandacht gegeven aan bekende managementtheorieën en bijpassend jargon.

Natuurlijk ontbreken de praktische zaken niet en ook de (verwachte) toekomstige ontwikkelingen in technologie en dus in security krijgen voldoende aandacht. Het boek is daardoor een mooie mix van theorie, in de vorm van managementmodellen, en praktijk, uit eigen ervaring van de auteurs en uit onderzoek onder securityprofessionals.

12 manieren
Het boek heeft 6 hoofdstukken, die leiden tot ‘12 ways to combat the silent enemy’.

Hoofdstuk 1 is Leading, waarin ook de matrixorganisatie en het high performing team aan de orde komen. Ik vond met name het CISO-Capability model, de verwijzingen naar Jim Collins’ Good to Great, met de Level 5 Executive, en die naar leiderschap bij het leger erg interessant.

In Hoofdstuk 2, Strategizing valt vooral Porter’s Five Forces model op.

Hoofdstuk 3 is Changing, waarin met name het stuk over cultuur mij trof. Het legt het model van Boris Groysberg uit, met daarin 8 waarden (Leren, Plezier, Betekenis, Zorg, Orde, Veiligheid, Autoriteit en Resultaat) die voor meer of minder betrokkenheid van personeel en klantfocus kan leiden. In dit hoofdstuk komen ook ethiek en soft controls aan de orde.

Hoofdstuk 4, Governing, gaat onder andere over KPI’s en wet- en regelgeving. Er worden heel veel voorbeelden van KPI’s gegeven, die zijn opgehaald bij securityprofessionals door één van de vele enquêtes die in het boek worden gebruikt. Opvallend is, wat de auteurs ook zelf aangeven, dat de KPI’s ‘technocratisch’ zijn, en gedrag en cultuur niet echt afdekken.

Dan hoofdstuk 5, dat gaat over Funding, met daarin de Business Case, Klanttevredenheid en ROSI: Return On Security Investment.

Hoofdstuk 6, Trending, geeft de verwachte trends weer, van 2120 (dus over 100 jaar) tot nu. Een uitstekend hoofdstuk waarin ook direct de risico’s als gevolg van hacking zijn benoemd. Neem bijvoorbeeld het toekomstbeeld voor 2050: nanobots in je lichaam zorgen ervoor dat je hersenen ‘in de cloud’ komen, wat leidt tot een ‘Internet of Thoughts’. In 2120 zijn onze hersenen volledig gefuseerd met AI en reizen we al buiten ons zonnestelsel (gebaseerd op het gedachtengoed van Ray Kurzwell). Boeiend! Ik moet zeggen, de impact van de ontwikkelingen en de gevaren ervan zoals weergegeven in dit hoofdstuk, maken de huidige problemen uit de voorgaande hoofdstukken bijna irrelevant. Misschien moet je die zien als goede vingeroefening?

Elk hoofdstuk eindigt met een aantal key takeaways, die weer worden samengevat in de 12 manieren om de stille vijand te verslaan.

Schatkist van IKEA
De inhoud heeft dus veel pareltjes, gouden tips en waardevolle weetjes. Deze schat zit echter in een niet zo heel robuuste schatkist. Ik vond de zinnen niet echt lekker lopen, en realiseerde me later dat dit komt door de soms letterlijke vertaling van hoe wij iets in het Nederlands zouden zeggen. Daarbij komt nog een flink aantal spelfouten. Jammer, want dat doet afbreuk aan de inhoud.

Binnen de hoofdstukken had iets meer structuur wonderen gedaan, veel onderwerpen staan los van elkaar zonder onderlinge verbinding. Wel fijn zijn de vele notes, die onderaan de pagina’s staan, dus steeds bladeren naar het eind van het boek hoeft niet. Daarbij is het boek mooi uitgevoerd met veel afbeeldingen en tabellen in kleur en glanzende pagina’s (wat lastig leest onder een lamp).

Alles bij elkaar doet het me denken aan een schatkist van IKEA: veel kostbare inhoud in een omhulsel wat er mooi uitziet, functioneel is, maar niet robuust. Typisch DIY. Een goede redacteur had geen overgebleven schroefjes gehad…

Inspiratie voor je eigen actieplan
Overall vind ik het knap, hoe de auteurs zoveel kennis in een gevarieerd, mooi uitgevoerd en redelijk leesbaar boek hebben verwerkt. Het geeft veel inspiratie wat je zelf in een actieplan kunt verwerken (verwacht dus geen COBIT achtig raamwerk) en is daardoor supernuttig voor iedereen die in een IT / security gerelateerde management- of executive positie zit. De notes en referenties naar boeken zijn uitgebreid, erg uitnodigend om je verder te verdiepen. De onderwerpen zijn heel breed, en de voorbeelden van problemen waar security-professionals tegen aanlopen zijn herkenbaar uit de praktijk. Dit zorgt ervoor dat je een spiegel wordt voorgehouden, want die silent enemy … ben je dat niet toevallig zelf?

Elly Stroo Cloeck is project- en interim-manager op het gebied van Finance, Internal Audit en Risk Management via haar bedrijf ESCIA. Daarnaast schrijft ze recensies en samenvattingen van managementboeken. Abonneer je op de kwartalige nieuwsbrief.

Populaire producten

    Personen

      Trefwoorden