ChannelConnect LIVE Congres – verslag deel 3 – Security

De derde spreker op het congres van de wintereditie van ChannelConnect LIVE, gisterochtend in DeFabrique in Utrecht, was Mabel de Vries, een leading securityspecialist in Nederland. Als Security Lead Digigurus en directeur/oprichter van XSecutive weet zij als geen ander wat er speelt in de wereld van informatiebeveiliging en compliance en hoe je als channelpartner over deze complexe materie op een zinvolle én zakelijk relevante manier met je klant en diens organisatie in gesprek zou moeten gaan.

 

Met de groei van IoT komen er steeds meer connected devices op de markt, en daardoor ook steeds meer ‘achterdeurtjes’ voor mensen met minder goede bedoelingen. Vrij vertaald: meer IoT betekent ook meer security-risico’s en vragen als ‘wat gebeurt er met mijn data?’ en ‘waar staat die data dan?’ Mabel de Vries probeert een brug te slaan tussen security en IoT.

live

“De ontwikkelingen binnen de IT gaan razendsnel en ‘disruptief’ is bijna het nieuwe ‘innovatief’. En dan kom ik vanuit mijn discipline reactief met de vraag: dat is allemaal heel mooi en aardig, maar hoe zit het nou met safety? Los van internet is nog altijd het veiligst!’
Ik werk deels in opdracht van de overheid, maar sinds een jaar of tien besteed ik de helft van mijn tijd aan opdrachtgevers uit het bedrijfsleven waarvoor ik de veiligheidsproposities van jullie, de resellers, beoordeel en toets op geloofwaardigheid.

Goed luisteren is vak apart

Mijn taak is het om een brug te slaan tussen wat jullie als leveranciers mijn opdrachtgevers vertellen en wat bestuurders nodig nodig hebben in hun organisatie. Uit die praktijk ken ik maar al te veel situaties waarbij de vraag wat er écht nodig is niet of onvoldoende wordt aangekaart, waardoor de klant het gevoel heeft dat er niet naar hem geluisterd wordt, dan wel dat het probleem zoals de reseller dat percipieert wordt opgelost, maar in de kern onopgelost blijft. De mooiste oplossingen die je als leverancier kunt bieden hoeven niet altijd de beste te zijn voor het échte probleem zoals de klant dat ervaart. Goed luisteren blijkt soms lastig!”

Eerlijk duurt het langst, nog steeds…

De Vries: “Het woord disruptie is vanmorgen al meerder keren gevallen en ik haal het aan in de context van veranderingen binnen organisaties. Waar tien jaar geleden in een projectteam 10 procent extern was, vijf jaar geleden was dat al opgelopen tot 60 procent en in de vijf projecten waar ik momenteel bij betrokken ben is dat inmiddels 80 procent. In dat verband spreek ik regelmatig met leveranciers en met mijn ruim twintig jaar ervaring in de IT-wereld kan ik uit die gesprekken aardig afleiden wie me een mooi verhaal probeert te vertellen en wie oprecht en eerlijk is over zijn business. Dat laatste sla je op, omdat openheid en eerlijkheid jou als projectmanager verder helpt om je werk goed te doen. Het vertrouwen dat je daarmee verwerft helpt je ook verder in je business: je kunt nog zulke mooie oplossingen hebben, maar als je het vertrouwen van de beslissers niet krijgt heb je een probleem.”

Spreek de taal van je gesprekspartner

Een ander punt van aandacht is je goed te realiseren met wie in de organisatie je aan tafel zit. “Met IT-mensen spreek je een andere taal als met een bestuurder. Beiden willen hetzelfde probleem opgelost hebben, maar de woorden worden anders gepercipieerd. Probeer (vermeende) tegenstrijdigheden uit het verhaal te krijgen en zoek dan vervolgens de kortste weg tussen de problematiek van de klant en jouw oplossing. Vind uit in welke fase van het aanschafproces de klant zit en probeer je oplossing pas dan naar voren te schuiven als de klant daaraan toe is.”

ChannelConnect-LIVE-Mabel-podium
Mabel Gina de Vries

Waarom kiezen organisaties vaak voor een projectmatige aanpak? De Vries: “Simpel, omdat het veilig is. Je hebt een proeftuin, je probeert wat en als het niks is probeer je iets anders. Gaat het wel goed, dan kan het verbreed worden naar de rest van de organisatie. Maar daarmee ben je er nog niet, je moet je voortdurend blijven afvragen waar je van waarde bent voor de klant. Om van de eerste stap naar de volgende te gaan heb je naast kennis ook veel geduld nodig. Als voorbeeld heb ik de AVG of GDPR genomen. Iedereen roept over 25 mei 2018 en ik ken nog maar één van de 109 organisaties die tegenover de Autoriteit Persoonsgegevens durft te zeggen dat ze op tijd klaar zullen zijn. Velen zullen die datum niet halen, maar ik kan als tip meegeven dat je in dat geval je audit moet beginnen met ‘We zijn niet klaar op 28 mei, en wel hierom….’ Dan laat je in elk geval zien dat je bezig bent om erover na te denken.”

Bepaal wat echt belangrijk is en bescherm dat 

“Maar los van wetgeving zijn er nog andere belangrijke redenen om bepaalde (bedrijfs)informatie te beschermen. Bijvoorbeeld als je naar de beurs gaat en je cijfers lekken te vroeg naar de markt heb je een probleem: miljoenen down the drain, imagoschade, koersval, you name it. Als het om security gaat, vraag dan gewoon uit wat het allerbelangrijkst voor een organisatie is om te beschermen en waarom. Ik hanteer een lijstje met vier vragen: Wat (soort informatie en bron), Waarom (wat is het risico bij verlies/diefstal), Hoe (waar zit risico in datalekken) en Maatregel (wat biedt afdoende bescherming). Verder moet je je vragen op verschillende niveaus in de organisatie stellen, zoals hieronder is aangegeven.

Wees vooral ook eerlijk in wat je zegt. Ik hou van mensen die durven toe te geven dat ze zo nu en dan de plank ook faliekant kunnen misslaan. Doorgaans leren ze van die mislukking en kunnen daardoor ook hun klanten ervoor behoeden. Die eerlijkheid maakt de business en het vak gewoon leuker en je onderscheidt je ermee als betrouwbare gesprekspartner. Goede beveiliging is vaak een combinatie van diverse factoren, soms is het awareness, soms zijn het technische maatregelen, dan weer het verbeteren van een proces, het is zaak om dat goed uit te vragen.

De branche moet eindgebruikers leren hun tools optimaal in te zetten

Het is overigens schrikbarend als ik zie dat bij heel veel organisaties de helft van de beschikbare security-tools gewoon niet wordt gebruikt, daar zou de branche echt iets aan moeten doen. Ook zorgwekkend is dat veel organisaties niet weten waar hun data staat, waar de backup zich bevindt en wat het verschil is tussen een backup en disaster recovery. Laat staan dat ze weten waar hun archief staat. Die organisaties – en hun leveranciers – beseffen niet dat de gelaagdheid van hun infrastructuur cruciaal is: pas als je weet hoe de infrastructuur in elkaar zit kun je passende securitymaatregelen aandragen. In het kader van GDPR zijn dat niet alleen technische maatregelen, maar ook organisatorische. Waar het uiteindelijk om draait is de vraag welke uitdagingen van de klant je écht kunt oplossen. Op die terreinen kun je jezelf bewijzen en een trusted advisor voor je klanten zijn.”

Meer informatie: www.xsecutive.com