qeep talking #37

Show notes

In deze laatste aflevering van seizoen 4 spreek ik Eelke de Jong. Hij is Security Manager bij de gemeente Utrecht - net als Ravin destijds in aflevering #19. Toen ging het vooral over risicomanagement en in deze aflevering is het gesprek breder. Wat zijn de ervaringen met sturing op (2) security processen? Hoe houd je iedereen aan boord in een team van 15 security officers die uiteenlopende IT-teams bedienen? Eelke vertelt over zijn ervaringen en deelt daarnaast ook de hoopvolle opbrengst ("winst") van consistent volhouden.

Dit is de laatste aflevering van seizoen 4. Na de zomer start seizoen 5 van qeep talking en gaat de frequentie omhoog omdat ik samen met Kees Hintzbergen De BIO Bazen start (lees er hier meer over). De reguliere, maandelijkse qeep talking afleveringen hebben vanaf seizoen 5 geen video meer.  De BIO Bazen afleveringen juist weer wel. Tot dan!

Web player

Lees je dit in je mailbox en werkt de web player niet?
Luister de aflevering dan hier (of in je favo podcast app).

Videopodcast

Podcast samenvatting

IT-security organiseren bij een grote gemeente

Renco Schoemaker ontvangt Eelke de Jong, IT security manager bij de gemeente Utrecht. Eelke werkt bij Domstad IT, de interne IT-afdeling waar zo'n 300 tot 400 IT'ers werken. Zijn team van ongeveer 15 security-specialisten ondersteunt alle IT-teams met hun securityvragen. Domstad IT levert een breed pakket: netwerk, cloudinfrastructuur, werkplekken, Microsoft-omgeving, telefonie, camera's en data-diensten.

Twee dragende processen

Het security-team draait op twee kernprocessen: risicomanagement en compliance management. Eelke benadrukt dat hij veel tijd heeft gestoken in het afstemmen van die processen met het management. Pas als je die rugdekking hebt — management buy-in — gaan processen ook werken. Renco herkent dat: als de output van zo'n proces rood kleurt, wil je geen discussie over de methodiek. Het moet gaan over de inhoud: wat doen we met dit risico?

Dicht op de teams zitten

Elke IT-security officer is gekoppeld aan een specifiek IT-team. Renco merkt op dat dit anders werkt dan organisaties waar security een eigen jaarplan heeft dat diagonaal door andere teams snijdt, zonder dat capaciteit is afgestemd. Eelke zit veel dichter op de bal. Maandelijks bespreekt hij met alle managers de uitkomsten van beide processen — vaste agendapunten, vaste rapportages. Consequent, steeds opnieuw. Die volharding betaalt zich uit. Eelke ziet dat managers inmiddels praten over "mijn risico" en zelf behandelstrategieën kiezen. Waar het eerder was: "security heeft zorgen, hoe gaan jullie dat oplossen?" — daar ontstaat nu eigenaarschap bij de lijn.

Compliance en risico's: twee kanten van dezelfde medaille

Renco vraagt naar de spanning tussen risicomanagement en compliance. Eelke noemt dit het dossier waar hij het meest over nadenkt. Compliance management kijkt meer op procesniveau, tactisch. Als IAM of contractmanagement goed is ingericht, kunnen andere teams daarop leunen — zogeheten common controls. Risicomanagement is operationeler: een specifieke applicatie waar iets niet klopt en dat bij een incident tot problemen leidt. Beide processen hebben bestaansrecht, maar Eelke ziet aankomen dat ze beter op elkaar moeten klikken. De GRC-tooling staat nu nog apart; daar ligt een deel van de oplossing.

Verbeterplannen als volgende stap

Na het ophalen van inzichten stopt het werk niet. Als bij meerdere teams dezelfde maatregel ontbreekt, rijst de vraag: individueel oppakken of gezamenlijk als procesverbetering? Dat vraagt om afstemming met de vraag- en aanbodkant in de organisatie. Soms wordt het gewoon een project.

Voorop in de strijd

Renco vraagt hoe Eelke zijn team op één lijn houdt. Elke woensdag komt iedereen fysiek bij elkaar. Maar Eelke heeft ook geleerd dat uitzoomen en uitleggen niet genoeg is. Soms moet je zelf de weerstand opzoeken. Toen security officers klem kwamen te zitten tussen hun opdracht en tegendruk vanuit IT-teams, is Eelke zelf naar die overleggen gegaan. Kritiek incasseren hoort erbij. "Escaleer bij mij" zeggen klinkt mooi, maar niet iedereen doet dat zomaar. Dan moet je het zelf opzoeken.

Techniek én uitleggen

Renco stipt aan dat dit andere vaardigheden vraagt dan technisch advies geven. Eelke beaamt dat. Je kunt technisch 100 procent gelijk hebben — als je het niet over de bühne krijgt, loopt iedereen weg en gebeurt er niks. Zijn team heeft bewust een mix van mensen met diepe technische kennis en mensen die sterk zijn in de zachte kant. De combinatie maakt het verschil: snappen wat de ander nodig heeft, en dan pas je eigen verhaal brengen. Renco sluit af met de observatie dat deze aanpak — afhankelijk opstellen, relaties opbouwen, aansluiten bij wat er in teams speelt — de weg is om managers daadwerkelijk op security te laten sturen. Die weg is hobbelig en vraagt doorzettingsvermogen, maar het alternatief ("je moet gewoon dit doen") levert zelden resultaat op.

Postcast website

Alle afleveringen van qeep posted zijn (ook) te vinden op de speciale podcast website. Via deze site vind je ook de links naar Apple Podcasts, Spotify, YouTube, en meer. Gebruik je liever een andere app? Geen probleem: je vindt er ook de directe RSS feed.