Loopbaan

Security
De CISO en organisatiesensiviteit

De CISO en organisatiesensiviteit

Welke soft skills zijn belangrijk voor de securityspecialist?

29 april 2019

Organisatiesensitiviteit. Volgens mijn persoonlijk leiderschap coach rol ik met mijn ogen en trek ik een vies gezicht als ik het woord uitspreek.

Hetgeen waarschijnlijk voortvloeit uit het gebrek aan organisatiesensitiviteit dat mij wel eens in een heel grijs verleden verweten is en ik dit meteen associeer met een hoop politiek, ellebogenwerk en dubbele agenda’s. En het rare is dat ik niet eens de exacte definitie van dat woord in context van mijn functie als Chief Information Security Officer (CISO), ken. Het laatste heeft er dan ook toe geleid dat ik het functioneren van de CISO vanuit een met een andere blik ben gaan bekijken. 

Als echte techneut, letterlijk met de littekens van slepen met 42U rekken op mijn vingers, heb ik elke kans aangepakt om mijzelf technisch en vakinhoudelijk te verrijken en hierdoor te groeien in een organisatie. Steeds weer volgde ik een nieuwe training, opleiding of cursus maar waarvan er geen één, als onderdeel van het curriculum, je opleidt voor het samenwerken met een bestuur of directie. Organisatiesensitiviteit voor de CISO is blijkbaar nog niet uitgevonden.

Verschillende internationale publicaties, maar ook mijn 20+ jaar ervaring (bijvoorbeeld door mijn verschillende opdrachten, interactie met andere security professionals), leren mij dat er nogal wat werk aan de winkel is om ons als techneuten “Soft Skills” (inclusief organisatiesensitiviteit) te leren. Wij (security techneuten) hebben vaak geen achtergrond waar veel tijd en aandacht is besteed aan levensbeschouwing, maatschappij & cultuur en wij hebben ons vaak beperkt tot leren van “techniek”.  Daarnaast is “soft skills” in ieder geval geen vast onderdeel van de standaard security Post – HBO & Masteropleidingen of onderdeel van de geijkte CISSP, CISM, C|CISO etc. certificeringen.

Over CISO Soft Skills is inhoudelijk nog weinig gepubliceerd, op een enkel boek na. De meeste publicaties gaan in op aanwijzen van de problematiek maar leveren geen significante bijdrage aan het oplossen hiervan. Het QIS (Qualification of Information Security) is een stap in de goede richting. Deze specificeert, aan de hand van het Europees e-Competence Framework (e-CF), een aantal kern competities van de CISO maar geeft geen inhoudelijke richting aan deze competenties in context met het functioneren van de CISO.

Samen met de Hogeschool Utrecht en het Platform voor Informatiebeveiliging (PvIB) wil ik hier verandering in brengen. Ik ga onderzoek doen naar de definitie van CISO soft skills, hoe deze te meten zijn en wat deze skills beïnvloed. Daarnaast ga ik ook de interactie met het beroepenveld aan. Samen moet dit gaan leiden tot het The CISO Benchmark. En daarmee geef ik ook deels invulling aan mijn persoonlijke academische promotie (PhD).

Zo hoop ik een bijdrage te leveren aan het beter functioneren van een CISO binnen een organisatie.

Deelresultaten worden gepubliceerd op de CISO-Benchmarkwebsite, LinkedIn en Facebookpagina. Versteeg zoekt nog een promotor voor zijn onderzoek.

Reactie toevoegen
7
Reacties
Rick Strijbos Security Academy 14 mei 2019 11:45

Ha Johan, ik ontvang altijd super goede feedback van cursisten die naar jullie CISO Masterclass zijn geweest. Negens en tienen! Daarom verwijs ik graag naar jullie door en werken we graag met jou als docent in onze cursussen!

Patric J.M. Versteeg 14 mei 2019 09:17

te kunnen bewerkstelligen.

Groet,

Patric

Patric J.M. Versteeg 14 mei 2019 09:17

te kunnen bewerkstelligen.

Groet,

Patric

Patric J.M. Versteeg 14 mei 2019 09:17

te kunnen bewerkstelligen.

Groet,

Patric

Patric J.M. Versteeg 14 mei 2019 09:17

te kunnen bewerkstelligen.

Groet,

Patric

Patric J.M. Versteeg 14 mei 2019 09:15

Ha Johan,

Ja! Ik heb de CISO Masterclass als een hele bijzondere (en effective) bijdrage aan mijn Soft Skills ervaren. Jouw opleiding is dan ook niet het standaard leren, slidedeck kijken, examen maken verhaal.

Ik beveel jouw opleiding dan ook ten sterkste aan als je als CISO wilt werken aan je Soft Skills. In de toekomst hoop ik met mijn onderzoek jouw programma te kunnen verrijken en een bijdrage en verrijking aan jouw programma te

Johan Bakker (CISO Masterclass BV) 13 mei 2019 15:35

Hoi Patrick,

Heb je artikel met belangstelling gelezen en ben het met je eens; het CISO-schap moet uit de technische sfeer getrokken worden en er moet in opleidingen veel meer aandacht komen voor de communicatieve skills en zaken als invloed, besluitvorming en strategie.

Dat is precies de reden waarom Dick Brandt en ikzelf in 2013 gestart zijn met de CISO Masterclass, waarin we de security professionals leren om op een integere en constructieve wijze de verantwoordelijkheden daar te leggen waar ze horen en invloed uit te oefenen op het draagvlak voor security en de besluitvorming hierover op tactisch en strategisch niveau.

Hoewel de CISO Masterclass geen reguliere opleiding is, maar een korte, intensieve masterclass, hoop ik wel dat je het als een positieve bijdrage aan de soft-skills in ons mooie vakgebied hebt ervaren!

Groet, Johan