95,6% van de security professionals vond deze column de beste column ooit

Het is ook niet makkelijk. Je hebt een IT-bedrijf en je wilt diensten verkopen. Maar de CISO’s nemen hun telefoon niet op. Reageren niet op jouw derde reminder: “Had je mijn vorige berichtje met mijn verzoek om een half uurtje te sparren nog gezien?” Bij jouw standje op dat congres wat je voor veel geld hebt gekocht, loopt iedereen jou straal voorbij. Het is tijd om het anders aan te pakken.

Hoe ver gaan bedrijven?

Na een korte brainstorm kom je tot de conclusie dat het maken van een rapport een uitstekend idee is. Daarmee demonstreer jij jouw kennis en autoriteit op security gebied. Uiteraard moet het allemaal niet te veel gaan kosten. Dus je investeert minimaal in goede onderzoeksmethoden en expertise die de data gaat analyseren. Dat is van secundair belang.

Als mensen het rapport willen lezen, wil je daar natuurlijk wel ‘leads’ uit genereren. Dus verplicht je iedereen eerst om hun e-mailadres en naam aan jou op te geven. Dan krijgen zij een link naar een download van de PDF. Hupsakee!

Maar hoe zorg je dat mensen dat rapport ook echt gaan lezen? Simpel. Je pikt uit het onderzoek een paar dingen die zó raar of opmerkelijk zijn, dat iedereen denkt: ‘Dat kán niet waar zijn.’ En dat is het natuurlijk ook niet. Maar om daar achter te komen, moeten ze eerst hun mailadres aan jou geven en drie verschillende delen van het rapport doorworstelen. Ondertussen heb jij hun contactgegevens en hebben zij jouw website door moeten zoeken om het rapport te vinden.

Kritiek op een bizarre claim

Ik verzin dit niet. Een tijd geleden kwam ik via mijn stamkroeg-socialplatform LinkedIn een artikel tegen dat kopte ‘Kwart van de cybersecurity professionals is niet bekend met NIS2’[1]. Nou, dan zit je goed bij mij. Ik hap wel weer.

Het bijbehorende nieuwsbericht was korter dan deze column is. Maar het kwam erop neer dat een IT-bedrijf 382 ‘personen die eind- of medeverantwoordelijk zijn voor cybersecurity’ had gevraagd of zij wisten wat NIS2 was. Eind- of medeverantwoordelijk is heel wat anders dan wat de kop suggereert. Een eindverantwoordelijke is veelal een bestuurder of directeur. Mits het niet gaat om een security bedrijf, zijn dat nu veelal geen mensen die je zou betitelen als ‘cybersecurity professional’. Het nieuwsartikel verwees niet direct naar de bron van het verhaal. Maar gelukkig was dat met wat zoekwerk nog wel op te snorren. De resultaten waren verdeeld over drie PDFs die op drie verschillende plekken op de website waren geplaatst, waar je niet vooraf van kon zien wat precies in welk deel stond. Daarnaast moest jij voor alle drie de delen jouw mailadres en naam opgeven om de downloadlink te krijgen. Over de methode van onderzoek stond amper iets genoemd. Het suggereert om een online enquête te gaan waaraan ook FG’s en allerlei andere rollen konden meedoen, die niet (direct) met security te maken hebben. Ik reageerde onder de post dat iedereen en diens moeder bij wijze van spreken kon meedoen. En mijn moeder heeft ook nog nooit van NIS2 gehoord. Verrassend!

Zoals iemand die onder de post reageerde zei: ‘Het is bijna knap als het je lukt nog nooit van NIS2 gehoord te hebben als jij in security werkt.’

Begrijp mij niet verkeerd; onderzoek, ook als het niet meteen wetenschappelijk is, binnen security is belangrijk. En ik juich toe dat ook bedrijven investeren in meer onderzoek. Dat hoeft echt niet altijd technisch van aard te zijn. Onderzoeken die meer zeggen over de rol van CISOs of hoe je als bedrijf klanten het beste kunt bereiken, zijn zeker waardevol. Ook als zij niet wetenschappelijk zijn, kunnen zij wel een indicatie geven van wat er speelt binnen het werkveld. Wellicht zelfs aanleiding zijn voor daadwerkelijk wetenschappelijk onderzoek.

Het verschil tussen daadwerkelijk onderzoek en clickbait

Echter, ik zie wel een verschil tussen het type clickbaity onderzoek wat rammelt aan alle kanten en dan ook nog eens met rare resultaten komt en onderzoeken die gedegen in elkaar zitten en een genuanceerd beeld schetsen van een situatie. Belangrijk hierbij vind ik zelf dat men minstens transparant en duidelijk omschrijft wat de werkwijze is geweest dat aan het fundament heeft gelegen van een onderzoeksrapport.

Er is niets mis met een onderzoek (laten) doen binnen security en de uitkomsten daarvan te delen. Als een rapport echter achter een gegevens/betaalmuur zit en in meerdere delen is opgeknipt, gaan bij mij alle alarmbellen rinkelen.

Dus vermijdt alsjeblieft clickbaity uitkomsten, wees helder over jouw onderzoeksmethoden en werp geen onnodige barrières op voor mensen die uit interesse het rapport willen lezen. Zorg dat jouw onderzoeksrapport iets toevoegt. Anders dan een pure uiting van reclame en het genereren van “leads”. Zo draag je bij aan het werkveld en geef je CISO’s vertrouwen dat je snapt hoe hun wereld eruit ziet.

Over Fleur

Fleur is een ervaren professional met meer dan 10 jaar ervaring in informatiebeveiliging. Ze is CISO bij de overheid en produceert een podcast voor CISOs, genaamd ‘CISO praat’. Haar passie ligt bij het vinden van oplossingen en het adviseren over strategische vraagstukken binnen informatiebeveiliging.

Met een focus op de technische en strategische aspecten, duikt Fleur graag de diepte in en onderzoekt oplossingen, zoals het veilig gebruik van openbare wifi-netwerken en effectieve bescherming tegen phishing. Ze is vooral geïnteresseerd in de balans tussen gebruiksgemak en beveiliging én de uitdagingen van specialistische kennis in een digitaliserende wereld.

In haar columns behandelt Fleur fundamentele uitdagingen voor informatiebeveiligers, zoals de effectiviteit van beveiligingsmaatregelen en het groeiende aanbod van beveiligingsdiensten. Ze hoopt haar lezers te inspireren tot nieuwe inzichten en innovatieve ideeën.