Hoe trek jij beslissers over de streep?

De blog Security Anders Bekeken heb ik opgezet omdat iedereen een stukje van de waarheid in handen heeft. Het verhaal van de blinde wijzen en de olifant geeft het mooi weer. Je moet als securityprofessional de delen van het hele verhaal aan elkaar knopen. En met dat verhaal kun je dan anderen beter overtuigen.

Ik heb overigens geleerd dat overtuigen start met innemen van de basispositie. Die basispositie komt neer op het ‘inleven in de ander’. Kortom, stem je boodschap af op degene die je wilt overtuigen.

Overtuigen is trouwens maar één van de manieren om iemand iets te laten doen wat jij wilt. Je kunt ook straffen, belonen en inspireren. Nu denk ik zelf dat, bij een investeringsbeslissing voor de securityroadmap door de directie, straffen en belonen niet ‘im Frage’ zijn. Je kunt proberen ze te inspireren, maar veelal zie je bij dit soort gesprekken/vergaderingen de deelnemers dansen rond het ‘rationele’ kampvuur.

Als je het investeringsplan, op basis van je securityroadmap, mag presenteren aan de directie denk dan eens aan de volgende beschrijvingen van dezelfde vakantiebestemming.

• Een prachtig wit strand, wit licht, blauwe lucht, groene palmbomen, mooi gekleurde schelpen, vissen die je kon zien zwemmen, veel mooie vogels die overvlogen, schitterende kleuren in de lucht en nog veel meer om te zien.
• Ruisende wind door de palmen, een kabbelende zee en zingende vogels, allemaal rustgevende geluiden.
• Het strand voelt lekker warm aan, de zon verwarmt je lichaam, toch niet te warm, een lekker briesje, je voelt je er prettig bij.
• Als je aankomt op het strand neem je plaats onder de palmbomen, je gaat zwemmen, droogt weer onder de palmbomen en gaat iets drinken. Rond het middaguur ga je wat eten en daarna weer zwemmen.

Er is een duidelijk verschil in taalgebruik. Dit heeft te maken met de voorkeur van de vakantieganger. De eerste denkt in plaatjes en beschrijft alles visueel. De tweede heeft een voorkeur voor geluiden en is auditief ingesteld. De derde richt zich volledig op zijn gevoel. Iets moet goed voelen, dat heet kinestetisch. De laatste beschrijft alles in volgorde. Die vakantieganger is auditief-digitaal ingesteld. Visueel, auditief, kinestetisch en auditief-digitaal zijn termen die gebruikt worden binnen Neuro Linguistisch Programmeren (NLP).

Als je hier gebruik van wilt maken, dan moet je dus wel weten wat de voorkeur is van degene die je wilt overtuigen. Hoe je dit doet vind je hier terug.

Maar veelal weet je niet wat de voorkeuren zijn van degenen die je toespreekt. Dan kun je het verhaal in zoveel mogelijk stijlen vertellen. Maar, als je de voorkeur wel weet kun je jouw verhaal krachtiger over de bühne brengen.

In de volgende figuur zie je een ander mooi voorbeeld van afstemming op de doelgroep. In de supermarkt vind je al jouw voorkeuren op ooghoogte terug. De moeder zoekt naar aantrekkelijke producten op haar ooghoogte. De dochter ziet weer lekkere dingen in het andere schap.

Om even bij de taal van de supermarkt te blijven twee voorbeelden die de situatie toch net weer rooskleuriger voorstellen dan de werkelijkheid. Eerst de vele soorten eieren en dan de vele soorten kip.

Maar als je hierin gelooft moet je toch ook eens de andere kant van het verhaal tot je nemen. Zie de volgende figuur.

Ik zal je niet lastigvallen met allerlei ethische kwesties. Het gaat mij er om dat je je verhaal zo inkleurt dat de beslissers ja zeggen tegen je security roadmap. Terug naar het securitydomein.

Er is een onderzoek uitgevoerd  naar de manier waarop bloggers en journalisten in de States gesproken hebben over de onthullingen van Snowden. Het onderzoek ontdekte dat erg creatief was omgegaan met de term surveillance. In dit artikel is een interactieve infographic te zien waar je kunt zien welke termen allemaal gebruikt zijn. De onderstaande figuur geeft bijvoorbeeld allerlei nautische termen weer.

Kijk zelf maar eens welke termen er voor surveillance bestaan. Je ziet dat met een beetje creativiteit je jouw verhaal goed kunt opleuken. Zo leuk zelfs dat beslissers ja gaan zeggen tegen je security roadmap.

Dus als de organisatie dit moet kunnen doen.

  

Dan zeg je dat je dit nodig hebt.

Omdat de werkelijkheid er zo uit ziet.

Ik zou zeggen: ‘Veel creativiteit toegewenst bij het opleuken van je verhalen’. 

Hou je wel een beetje in want security blijft natuurlijk wel een serieus vakgebied!

Meer geven dan gewenst

Pas op dat je alleen levert wat er van je gevraagd wordt!

Securityprofessionals houden graag hun kaarten op de borst. Je kunt veel van ze vragen, maar de ware profs laten weinig los. Dat is gebaseerd op het principe van 'need to know'. Ik weet het wel, jij vraagt het aan me, maar jij hoeft het niet te weten. Kinderlijk gedrag eigenlijk. Jij mag mijn geheimpje niet weten. Lekker puh!

Deze week is echter pijnlijk duidelijk geworden dat het bovenstaande mechanisme met voeten getreden wordt. Allereerst heb ik het dan over de 'Heartbleed' bug. Er wordt binnen OpenSSL aan een server een vraag gesteld. Vervolgens geeft de server een uitgebreider antwoord dan is gewenst. Er zijn hierdoor vele geheimen op straat terecht gekomen. De onderstaande cartoon legt het uit. 

(www.businessinsider.com)

Nog meer toelichting vind je op NUTECH.nl.

Mocht je willen weten of een server kwetsbaar is test dat dan even via de Chrome-plugin Chromebleed.

De NSA weet trouwens al 2 jaar hiervan en heeft er dankbaar gebruik van gemaakt. 

Meer geven dus dan gevraagd wordt. 

Een ander triest bericht heeft te maken met de Nederlandse Zorg Autoriteit. 300 GB aan data openbaar voor iedereen in de organisatie. Probleem daarbij is niet dat er meer gegeven werd dan gevraagd. Men vraagt aan de NZA niet om gevoelige gegevens. Men vraagt juist aan de NZA of ze die zo goed mogelijk beveiligd willen wegstoppen in de kelders, de archieven, de kluis, ... 

Nee, het probleem ligt anders. Mijn medeleven gaat namelijk uit naar een kritische klokkenluider die dit jaren heeft aangezien en er uiteindelijk mee naar buiten is gekomen. Een dossier van vele honderden pagina's. De NRC heeft hierover uitgebreid bericht.

Het principe van een klokkenluider is veelal dubbel. Eerst houdt hij alles netjes binnenboord en kaart dingen aan binnen de organisatie. Principieel de juiste instelling. Als hij echter keer op keer bot vangt komt de andere kant van de klokkenluider naar boven. Ongevraagd gaat hij de misstanden vrijgeven en zoekt hij de publiciteit. 

Ongevraagd geeft een klokkenluider meer, terwijl er juist gevraagd is om niets naar buiten te brengen. 

De klokkenluider in het geval van de NZA heeft uiteindelijk zelfmoord gepleegd. En dat steekt. 

Daar bloedt mijn hart van. 

Daarna hebben de autoriteiten binnen de NZA ongevraagd de kaarten op de borst gehouden. Pas toen de journalisten vragen gingen stellen hebben ze openheid van zaken gegeven. 

Als securityprofessional zeg ik: 'Je hebt dan netjes gevoelige informatie voor jezelf gehouden'.

Maar ook ik kan straks in de dossiers bij het NZA terecht komen. Dan zeg ik toch echt dat ze eerder openheid van zaken hadden moeten geven. 

Als je de komende weken de gelovige dagen van Goede Vrijdag en Pasen weer gaat vieren, sta dan eens stil bij de criteria die jij hanteert bij het principe van geven en nemen. Geef je meer dan je neemt? Doe je dit ook ongevraagd? 

Jij bent toch niet bevangen door de Heartbleed bug?

Fijne dagen gewenst.