Op een oude fiets moet je het leren

In mijn jeugd heb ik veel gesport. Ik speelde hockey en tennis. Daarbij spreek ik niet over topsport maar er bestond wel aandrang om te winnen en steeds beter te willen spelen. Nu zijn hockey en tennis sporten waar je veel creativiteit in kwijt kunt. Er zijn weinig stramienen waarbinnen je moet blijven om tot een goede prestatie te komen.

Op een gegeven moment kwam er een squashclub in het dorp. Een grote hal werd neergezet en ik was gelijk verkocht. Tennis werd ingeruild voor squash en ik begon fanatiek mijn vrije tijd in het spelletje te stoppen. Het eerste seizoen waren er al clubkampioenschappen en ik stond in de finale tegen een sluwe ervaren vos. Met 3-0 werd ik van de baan gemept. Maar ik was wel tweede bij de clubkampioenschappen!

In de jaren hierna nam het fanatisme niet af en heb ik steeds de uitdaging gehad om squash te spelen via vaste stramienen. Lange slagenwisselingen en een groot gebrek aan creativiteit. Ballen moesten strak langs de muur geslagen worden. Ook de juiste lengte speelde een belangrijke rol. Met mijn niveau heb ik eigenlijk altijd geworsteld om die stramienen tot in perfectie uit te kunnen voeren.

In de beginjaren is in die strijd, mede door de onkunde van een startende squashspeler, menig racket gesneuveld. De ontwikkeling op het vlak van het materiaal was enorm. En ik ben vaak gezwicht voor de nieuwste en mooiste rackets. Drie weken later stond ik dan weer met een kapot racket op de baan. Het mooie was dat de fabrikanten hun rackets voorzien hadden van de tekst 'Due to the nature of the game of squash we can not guarantee this racket'.

Briljant, je kocht een duur racket, maar de garantie was niet eens tot aan de deur. Gewoonweg omdat er teveel muren in het spel zijn waartegen je het racket kunt beschadigen.

Waarom vertel ik je dit? Twee zaken die ik hierboven beschrijf zie ik in mijn professie terugkomen.

Vooropgesteld, ik zie veel organisaties fanatiek hun IT en bijbehorende security regelen. Toch valt het op dat veel investeringen in security gebaseerd worden op de keuze van het beste apparaat. Na veel 'Fear, Uncertainty en Doubt' door fabrikanten en commerciële broeders van 'Wij van WC-eend' kiezen organisaties vaak voor het 'beste' product. De kostenoverwegingen even daargelaten.

Het tweede aspect is het gebrek aan structuur waarmee securityprocessen worden uitgevoerd. Soms voeren organisaties te weinig securityprocessen uit. Elders houden organisaties er een ad-hoc beleid op na en wordt pas gereageerd als er een virusinfectie plaatsvindt.

Gelukkig worden technische securityoplossingen wel gegarandeerd en kun je er denkbeeldig naar hartelust mee tegen de muren van je securityorganisatie aan slaan. Toch maakt de beste apparatuur je nog niet de professional die je moet zijn in dit vakgebied. Messi scoort meer dan 85 keer in een seizoen, maar niet doordat hij de beste schoenen draagt. Hij is wel de beste speler, en krijgt daarom ook de beste schoenen. 

Ik zie de fabrikanten trouwens nog niet hun apparatuur sponsoren aan organisaties die security op topsport niveau willen uitvoeren.

Je zult daarnaast security moeten gaan organiseren volgens saaie vaste stramienen van security management. Enerzijds het leren spelen op een gestructureerde wijze, en anderzijds het volharden in het steeds beter uitvoeren van de vaste stramienen maken je tot de profspeler die je moet zijn.

Als squashspeler luisterde ik goed naar mijn trainer. Hij leerde mij een betere speler te worden. Ook gaf hij me advies over mijn materiaalkeuze. Gelukkig trof ik trainers die met beide voeten op de grond stonden, en koos ik voor goed materiaal. De duurste rackets bleven in de winkel. Ze hebben me geleerd hoe ik via lange vaste stramienen de mogelijkheid had om steeds beter te gaan spelen. Het was aan mij en mijn gebrekkige talent om daarbij het onderste uit de kan te halen.

Tegenwoordig sta ik niet vaak meer op de squashbaan. De instelling om steeds beter te worden is niet gewijzigd. Professioneel bezoek ik daarom regelmatig een coach die mij leert werken volgens vaste stramienen. Het doel is om beter te worden.

Ik wil je meegeven om goed na te denken over de wijze waarop je security organisatiebreed wilt opzetten. Verlaat het ad-hoc beleid en overweeg welke risico's je wilt afdekken. Zoek daar de goede middelen voor. Daarnaast zul je procesmatig aan de gang moeten. Security management is wat anders dan ITIL, ITSM of COBIT. De verwevenheid daarmee is bij de een groter dan bij de ander. Maar security management kent een eigen set processen en procedures die vervlochten moeten worden met de processen van je IT-beheer.

Die procesmatige aanpak maakt security management net zo saai als een slagenwisseling van 20 tot 30 forehandslagen langs de muren van een squashbaan. Maar net als met squash kun je jezelf bij security management geen rare fratsen veroorloven. Die worden direct afgestraft.

Ik heb al vaker aangegeven dat je eens met de juiste security partner om tafel moet gaan zitten. Bespreek dan waar je volgend jaar wilt staan op het gebied van security management. Laat je begeleiden en opleiden tot een betere speler op het vlak van security. Leer lange saaie slagenwisselingen te maken op het gebied van security. Laat je niet iedere keer verleiden tot het aanschaffen van de duurste materialen.

Als je de opzet en de uitvoering van het spel niet beheerst maken de duurste technische hulpmiddelen geen prof van je! 

Anders dan de titel doet vermoeden zul je de oude fiets niet moeten gebruiken. Haal echter wel het beste uit je huidige security infrastructuur! Dat lukt door een goede procesmatige opzet van het beheer en het bijbehorende security management.

Ik hoor graag waar jij volgend jaar wilt staan op het gebied van security. Waar wil jij beter in worden? Welke aspecten van security management in jouw organisatie wil je beter gaan organiseren en uitvoeren?

Succes met de volgende virusuitbraak!