Skip to main content
Download pdf
choose dutch variant article choose english variant article

Contents

Elly Stroo Cloeck internal link

Leading in Digital Security – Yuri Bobbert en Mark Butterhoff

April 2021 - Publication 2021/1

Boekrecensie

Het grootste securityrisico op dit moment is … de menselijke factor, aldus het Engelstalige Leading in Digital Security van Yuri Bobbert en Mark Butterhoff uit 2020. De ‘weakest link’ is volgens hen: de eindgebruikers, die security-instructies niet volgen, de ondernemingsleiding, die te weinig aandacht geeft aan deze risico’s, en de securityprofessionals zelf, die het belang van digitale security niet kunnen overbrengen. Hoog tijd om dit te fixen, voordat we met onze hersenen óók in de cloud zitten!

C-2021-1-recensie-ENG-klein

Het boek gaat daarom niet over de techniek van security, maar over communicatie, leidinggeven, cultuur en alle andere zaken die ervoor zorgen dat security een integraal onderdeel van een onderneming is en niet een apart staande afdeling. De kern van de eerste hoofdstukken is dat securityprofessionals moeten leren praten in de taal van de business en het topmanagement. Om dat te bereiken wordt veel aandacht gegeven aan bekende managementtheorieën en bijpassend jargon.

Natuurlijk ontbreken de praktische zaken niet en ook de (verwachte) toekomstige ontwikkelingen in technologie en dus in security krijgen voldoende aandacht. Het boek is daardoor een mooie mix van theorie, in de vorm van managementmodellen, en praktijk, uit eigen ervaring van de auteurs en uit onderzoek onder securityprofessionals.

Twaalf manieren

Het boek heeft 6 hoofdstukken, die leiden tot ’12 ways to combat the silent enemy’.

  • Hoofdstuk 1 is ‘Leading’, waarin ook de matrixorganisatie en het high performing team aan de orde komen. Ik vond met name het CISO-Capability-model, de verwijzingen naar Jim Collins’ Good to Great, met de Level 5 Executive, en die naar leiderschap bij het leger erg interessant.
  • In hoofdstuk 2, ‘Strategizing’, valt vooral Porters Five Forces-model op.
  • Hoofdstuk 3 is ‘Changing’, waarin met name het stuk over cultuur mij trof. Het legt het model van Boris Groysberg uit, met daarin acht waarden (Leren, Plezier, Betekenis, Zorg, Orde, Veiligheid, Autoriteit en Resultaat) die tot meer of minder betrokkenheid van personeel en klantfocus kunnen leiden. In dit hoofdstuk komen ook ethiek en soft controls aan de orde.
  • Hoofdstuk 4, ‘Governing’, gaat onder andere over KPI’s en wet- en regelgeving. Er worden heel veel voorbeelden van KPI’s gegeven, die zijn opgehaald bij securityprofessionals door een van de vele enquêtes die in het boek worden gebruikt. Opvallend is, wat de auteurs ook zelf aangeven, dat de KPI’s ‘technocratisch’ zijn en gedrag en cultuur niet echt afdekken.
  • Dan hoofdstuk 5, dat gaat over ‘Funding’, met daarin de businesscase, klanttevredenheid en ROSI: Return On Security Investment.
  • Hoofdstuk 6, ‘Trending’, geeft de verwachte trends weer, van 2120 (dus over honderd jaar) in decennia terug naar nu. Een uitstekend hoofdstuk waarin ook direct de risico’s als gevolg van hacking zijn benoemd. Neem bijvoorbeeld het toekomstbeeld voor 2050: nanobots in je lichaam zorgen ervoor dat je hersenen ‘in de cloud’ komen, wat leidt tot een ‘Internet of Thoughts’. In 2120 zijn onze hersenen volledig gefuseerd met AI en reizen we al buiten ons zonnestelsel (gebaseerd op het gedachtegoed van Ray Kurzwell). Boeiend! Ik moet zeggen, de impact van de ontwikkelingen en de gevaren ervan zoals weergegeven in dit hoofdstuk, maken de huidige problemen uit de voorgaande hoofdstukken bijna irrelevant. Misschien moet je die zien als goede vingeroefening?

Elk hoofdstuk eindigt met een aantal ‘key takeaways’, die weer worden samengevat in de twaalf manieren om de stille vijand te verslaan.

Schatkist van IKEA

De inhoud heeft dus veel pareltjes, gouden tips en waardevolle weetjes. Deze schat zit echter in een niet zo heel robuuste schatkist. Ik vond de zinnen niet echt lekker lopen, en realiseerde me later dat dit komt door de soms letterlijke vertaling van hoe wij iets in het Nederlands zouden zeggen. Daarbij komt nog een flink aantal spelfouten. Jammer, want dat doet afbreuk aan de inhoud.

Binnen de hoofdstukken had iets meer structuur wonderen gedaan, veel onderwerpen staan los van elkaar zonder onderlinge verbinding. Wel fijn zijn de vele noten, die onder aan de pagina’s staan, dus steeds bladeren naar het eind van het boek hoeft niet. Daarbij is het boek mooi uitgevoerd met veel afbeeldingen en tabellen in kleur en glanzende pagina’s (wat lastig leest onder een lamp).

Alles bij elkaar doet het me denken aan een schatkist van IKEA: veel kostbare inhoud in een omhulsel wat er mooi uitziet, functioneel is, maar niet robuust. Typisch DIY. Een goede redacteur had geen overgebleven schroefjes gehad …

Inspiratie voor je eigen actieplan

Overall vind ik het knap hoe de auteurs zo veel kennis in een gevarieerd, mooi uitgevoerd en redelijk leesbaar boek hebben verwerkt. Het geeft veel inspiratie voor wat je zelf in een actieplan kunt verwerken (verwacht dus geen COBIT-achtig raamwerk) en is daardoor supernuttig voor iedereen die in een IT-/security-gerelateerde management- of executivepositie zit. De noten en referenties naar boeken zijn uitgebreid, erg uitnodigend om je verder te verdiepen. De onderwerpen zijn heel breed, en de voorbeelden van problemen waar securityprofessionals tegen aanlopen zijn herkenbaar uit de praktijk. Dit zorgt ervoor dat je een spiegel wordt voorgehouden, want die ‘silent enemy’ … ben je dat niet toevallig zelf?