Gelijk hebben is niet hetzelfde als gehoor krijgen

DoorFleur van Leusden
Gelijk hebben is niet hetzelfde als gehoor krijgen cover

Het zal menigeen niet zijn ontgaan: praten gaat mij vrij makkelijk af. Ik klets urenlang in mijn podcast. Ik geef talks en presentaties. Makkelijk een gesprek kunnen voeren is een vaardigheid die voor een CISO handig kan zijn. Een CISO die over zich heen laat lopen en met alle winden meewaait, zal moeite hebben om informatiebeveiliging gepast op de agenda te krijgen tussen alle andere belangen en verplichtingen.

Maar zoals met zoveel vaardigheden is mijn vaardigheid in praten ook in sommige gevallen een nadeel.

Ik klets menig middelmatige man met bijbehorend hoog zelfvertrouwen met gemak onder tafel. Maar het dan gekrenkte fragiele ego zal de volgende keer wel 2x nadenken voordat hij mij nog ergens bij betrekt. Hoe handig is dat? Uiteindelijk moet je het toch met je collega's doen.

De bal voor open goal die je beter kunt laten liggen

Inmiddels heb ik in de jaren geleerd dat je pas echt krachtig bent als je die bal die voor het open doel ligt en met slechts een zuchtje over de lijn zal gaan, gewoon laat liggen en wegloopt.

Het is soms zó aantrekkelijk. Tikje tegen de bal en je maakt het doelpunt. Ik moet soms echt op mijn tong bijten als iemand een voorzet doet in een discussie. Maar ik doe het toch meestal maar niet.

CISO’s zijn geen vriendenmagneten (en dat is oké)

CISO worden doe je niet om vrienden te maken zeggen we wel eens. Ondanks dat volgens mij velen van ons op persoonlijk vlak goede en leuke collega's zijn. Ook dat is een kracht van veel van ons. We maken ons meestal niet zo druk over wat anderen van ons vinden. Als anderen denken "ik zeg nu maar even niks", zeggen wij juist even wel datgene wat gezegd moet worden in het belang van de organisatie.

Zo ben ik van nature ook.

Luistert er niemand meer naar mijn podcast? Dan stop ik er toch gewoon mee? Leest niemand meer de columns? Dan ga ik lekker gamen in de tijd die ik voorheen de column schreef. Ik vind het gewoon niet zo interessant wat mensen (die ik vaak niet eens ken!) van mij vinden. Zolang ik mijn werk maar goed doe. De valkuil daarbij is dat je in discussies op de inhoud bruggen verbrand met collega's die je misschien niet meteen, maar zeker later nodig kan gaan hebben.

De zen-master aanpak: stop, adem, complimenteer, vraag

Daarom is het goed om tijdens verhitte discussies, over bijvoorbeeld de laatste pentest bevindingen, soms een stapje terug te doen en naar je eigen boodschap te kijken. Zoals ik van CISO zen-master Dick Brandt leerde:

  • stop
  • haal adem
  • zeg iets aardigs
  • stel een vraag

(We werken nog aan een vorm die een passende afkorting oplevert.)

Laat mensen zelf tot conclusies komen

Dat betekent niet dat je jouw standpunt moet veranderen of onveilige adviezen moet geven. Het betekent vooral dat in plaats van altijd te proberen te overtuigen met feiten/best practices/compliance etc, je ook de route zou kunnen kiezen waarbij iemand zelf tot de conclusie komt die jij misschien eergisteren al had getrokken als expert.

Dit werkt met name goed bij beveiliging, omdat in tegenstelling tot wat je wellicht denkt, mensen geen onveiligheid willen. Het is pas als zij zelf concluderen dat iets niet veilig is, dat ze wellicht meer open staan voor jouw inhoudelijke adviezen.

"Ik zie het belang van dit proces voor onze doelen als organisatie. Laat mij het even samenvatten, want ik heb een vraag. Dus: je wilt deze publieke cloud oplossing zonder back ups, logging, monitoring of MFA gaan gebruiken voor onze meest gevoelige informatie. Hoe kijk jij naar de risico's?"

Oefening baart kunst

Het is geen gouden oplossing voor alle situaties. Maar probeer het eens. En niet alleen als CISO. Ook andere experts in security kunnen hier voordeel mee behalen.

Ik ben zelf nog hard aan het oefenen om er beter in te worden. En soms trap ik die bal nog wel eens dat doel in, terwijl het eigenlijk niet hoefde.

Maar ja, CISOs blijven soms net mensen.

Over Fleur

Fleur is een ervaren professional met meer dan 10 jaar ervaring in informatiebeveiliging. Ze is CISO bij de overheid en produceert een podcast voor CISOs, genaamd ‘CISO praat’. Haar passie ligt bij het vinden van oplossingen en het adviseren over strategische vraagstukken binnen informatiebeveiliging.

Met een focus op de technische en strategische aspecten, duikt Fleur graag de diepte in en onderzoekt oplossingen, zoals het veilig gebruik van openbare wifi-netwerken en effectieve bescherming tegen phishing. Ze is vooral geïnteresseerd in de balans tussen gebruiksgemak en beveiliging én de uitdagingen van specialistische kennis in een digitaliserende wereld.

In haar columns behandelt Fleur fundamentele uitdagingen voor informatiebeveiligers, zoals de effectiviteit van beveiligingsmaatregelen en het groeiende aanbod van beveiligingsdiensten. Ze hoopt haar lezers te inspireren tot nieuwe inzichten en innovatieve ideeën.

Vergelijkbare berichten