De CISO en organisatiesensiviteit

Hetgeen waarschijnlijk voortvloeit uit het gebrek aan organisatiesensitiviteit dat mij wel eens in een heel grijs verleden verweten is en ik dit meteen associeer met een hoop politiek, ellebogenwerk en dubbele agenda’s. En het rare is dat ik niet eens de exacte definitie van dat woord in context van mijn functie als Chief Information Security Officer (CISO), ken. Het laatste heeft er dan ook toe geleid dat ik het functioneren van de CISO vanuit een met een andere blik ben gaan bekijken.

Als echte techneut, letterlijk met de littekens van slepen met 42U rekken op mijn vingers, heb ik elke kans aangepakt om mijzelf technisch en vakinhoudelijk te verrijken en hierdoor te groeien in een organisatie. Steeds weer volgde ik een nieuwe training, opleiding of cursus maar waarvan er geen één, als onderdeel van het curriculum, je opleidt voor het samenwerken met een bestuur of directie. Organisatiesensitiviteit voor de CISO is blijkbaar nog niet uitgevonden.

Verschillende internationale publicaties, maar ook mijn 20+ jaar ervaring (bijvoorbeeld door mijn verschillende opdrachten, interactie met andere security professionals), leren mij dat er nogal wat werk aan de winkel is om ons als techneuten “Soft Skills” (inclusief organisatiesensitiviteit) te leren. Wij (security techneuten) hebben vaak geen achtergrond waar veel tijd en aandacht is besteed aan levensbeschouwing, maatschappij & cultuur en wij hebben ons vaak beperkt tot leren van “techniek”.  Daarnaast is “soft skills” in ieder geval geen vast onderdeel van de standaard security Post – HBO & Masteropleidingen of onderdeel van de geijkte CISSP, CISM, C|CISO etc. certificeringen.

Over CISO Soft Skills is inhoudelijk nog weinig gepubliceerd, op een enkel boek na. De meeste publicaties gaan in op aanwijzen van de problematiek maar leveren geen significante bijdrage aan het oplossen hiervan. Het QIS (Qualification of Information Security) is een stap in de goede richting. Deze specificeert, aan de hand van het Europees e-Competence Framework (e-CF), een aantal kern competities van de CISO maar geeft geen inhoudelijke richting aan deze competenties in context met het functioneren van de CISO.

Samen met de Hogeschool Utrecht en het Platform voor Informatiebeveiliging (PvIB) wil ik hier verandering in brengen. Ik ga onderzoek doen naar de definitie van CISO soft skills, hoe deze te meten zijn en wat deze skills beïnvloed. Daarnaast ga ik ook de interactie met het beroepenveld aan. Samen moet dit gaan leiden tot het The CISO Benchmark. En daarmee geef ik ook deels invulling aan mijn persoonlijke academische promotie (PhD).

Zo hoop ik een bijdrage te leveren aan het beter functioneren van een CISO binnen een organisatie.