Waarom cultuur essentieel is voor een succesvol securityteam

Als het gaat om security, ligt de focus vaak op technologie. Maar eigenlijk is dit slechts een deel van de overweging – de rest gaat over zakelijke kwesties, persoonlijke motivatie en de drivers van een team. Wil je een echt effectief securityprogramma voor je organisatie, stel het dan samen op basis van de cultuur en dynamiek van het bedrijf. Een sterke cultuur binnen je securityteam is namelijk een van de belangrijkste indicatoren voor het succes ervan. Nog belangrijker zelfs dan de keuze voor bepaalde producten.

Cultuurclash

Als je continu weerstand ondervindt bij zaken die de organisatie juist vooruit zouden moeten helpen, is dat een sterke indicator voor een probleem in de cultuur. Maar dit kan ook veel subtieler zijn. Als de focus ligt op getrackte issues en technische problemen (oftewel: interne metingen), terwijl de organisatie vooral externe risico’s en speed-to-market belangrijk vindt, hoeft dit niet meteen als probleem te worden ervaren. Zeker wanneer een securityteam het alleen vanuit zijn eigen standpunt bekijkt, en in dat opzicht goed bezig denkt te zijn. Zonder de juiste culturele aanpak die past bij de organisatie, kan het zes tot twaalf maanden duren voordat dit soort problemen duidelijk worden.

Omdat teamcultuur zo’n grote impact op succesvolle security kan hebben, kun je als CISO maar beter voor een sterke cultuur zorgen. Bijvoorbeeld door rekening te houden met onderstaande overwegingen.

1.    Spreek dezelfde taal

Een belangrijk onderdeel van de cultuur van een team, is de verhouding van dat team ten opzichte van de rest van de organisatie. Stel bijvoorbeeld dat het securityteam issues en problemen puur als technologieproblemen ziet. Terwijl het bij de meeste andere afdelingen vaker gaat om de juiste inzet van kapitaal of het meetbaar kunnen maken van succes. Breng het securityteam daarom op de hoogte van discussies over waarde en risico-assessments die al gebeuren binnen het bedrijf, zodat ze in dezelfde taal gaan denken.

2.    Ontwikkel sterke relaties

Als er geen samenwerkingsmindset is, komt er geheid een moment waarop dingen niet goed werken. Laat securityteams daarom sterke relaties ontwikkelen met andere afdelingen in de rest van de organisatie. Sommige teams zijn logisch om mee samen te werken, zoals Operations en Software Development. Maar hoe zit het met HR, Legal of de klantenservice? Idealiter bepaal je al in een vroeg stadium de basisregels voor wat de verwachtingen zijn, wat voor samenwerking er nodig is, en hoe je securityteam de rest van de organisatie erbij zal betrekken.

3.    Zorg voor afstemming met het management

Laten we ook het belang van afstemming tussen het standpunt, de wensen en verwachtingen van het management en wat volgens het securityteam hun taak is, niet vergeten. Als een team is gefocust op het leveren van kwaliteit terwijl het management alleen bezig is met kostenbesparing of compliance, kan dat zijn weerslag hebben op hoe het team zichzelf en zijn doelstellingen zal zien.

Security is mensenwerk

Uiteindelijk hebben de meeste uitdagingen rondom veranderingen te maken met het voorbijgaan aan de menselijke aspecten die hier onderdeel van zijn. Daarom is het voor CISO’s belangrijk om de psychologie, de culturele impact van hun beslissingen en de emotionele component ervan te begrijpen.

Zorg ervoor dat je hiervoor de juiste mensen aantrekt of op de juiste plek zet. Denk ook aan zaken als diversiteit en een grotere variëteit aan manieren van denken, benaderingen en meningen. Dat brengt andere waarden in een discussie, wat uiteindelijk de aanpak van securityteams zal verbeteren.

Uiteindelijk kunnen CISO’s de grootste impact hebben op securitycultuur en bedrijfsrisico’s door hun klantrelaties te begrijpen. Hoewel IT’ers zichzelf misschien niet zien als mensen die direct te maken hebben met klanten, hebben ze wel degelijk interne klanten die ondersteund moeten worden. En dus moet er – net als met eindgebruikers en externe klanten – vertrouwen opgebouwd worden tussen securityteams en de rest van de organisatie. Dat is essentieel voor succes, en zonder een sterkte cultuur heel moeilijk te bereiken.

Door: Ben Carr, Chief Information Security Officer bij Qualys