Cybersecurity-consultant Patric Versteeg: 'Communicatie en leiderschap nodig om security te verkopen'
Technisch vernuft is niet genoeg om een ICT-gedreven bedrijfsvoering te beveiligen. Volgens Patric Versteeg zijn in de strijd tegen hackers, phishing en malware ook wat hij noemt 'soft skills' nodig. “Het beveiligingsbeleid van een CISO valt of staat met naleving door verschillende (typen) medewerkers”, vindt deze Cyber Security Thought Leader. “Een digital leader moet daarom goed kunnen communiceren, op verschillende niveaus.”
Patric Versteeg rolde eind jaren negentig de ICT in, een tijd waarin techneuten de beveiliging van hun systemen 'er een beetje bij deden'. “Een tijd ook waarin de ICT-branche ineens heel veel mensen nodig had”, herinnert hij zich. “Mensen werden bijna letterlijk weggehaald bij het bushokje en als je 'muis' kon zeggen, kon je een contract tekenen bij een IT-bedrijf en kreeg je meteen een auto. Bij mij ging dat anders. Mijn eerste werkgever, een softwarehuis in Hoofddorp, vond dat ik gewoon maar m'n best moest doen. 'Benefits' als een telefoon, laptop of auto kwamen later wel. Ik vond dat overigens prima, want het ging mij niet om het geld. Ik was vier toen ik voor het eerst een computer aanraakte, een Commodore C16, en de interesse is altijd gebleven.”
Inmiddels werkt Versteeg alweer twintig jaar als freelance consultant in cyber security, onder meer voor gerenommeerde bedrijven als ING, KPN en ABN AMRO. “Ik ben voor mezelf begonnen toen rond 2002/2003 security opkwam als 'topic'. Ik wilde me onderscheiden en zag grote kansen in cyber security. Nu, heel veel certificeringen verder, ben ik sterk in identificeren waar het in de beveiliging van een ICT-systeem aan schort. Het meest recent heb ik als Chief Information Security Officer (CISO) ad interim bij een internationale handelsonderneming in agrarische producten van scratch af aan een security team van meer dan dertig man opgebouwd.”
Mensen mee krijgen
In 2021 publiceerde Versteeg samen met Pascal Ravesteyn, hoogleraar business process management (BPM) en digital leadership aan de Hogeschool Utrecht (HU), de baanbrekende studie The Soft Skills Business Demands of the Chief Information Officer, het eerste onderzoek ooit naar de 'zachte vaardigheden' bij CIO's en CISO's. Conclusie: het bewustzijn dat security belangrijk, zo niet cruciaal is voor (het voortbestaan van) een organisatie, moet veel breder worden gedragen dan door alleen IT-afdelingen. In zijn securitybeleid moet een CISO daarom mensen in verschillende rollen en op verschillende niveaus mee zien te krijgen: bestuurders in de directie, maar ook 'gewone' medewerkers van allerlei soorten.
“Om het op mezelf te betrekken: ik heb 25 certificeringen waaronder een master certificering in cyber security, maar dat is allemaal IQ-gebaseerd”, relativeert Versteeg. “Alles draait om kennis, maar we vergeten de emotionele coëfficiënt. Terwijl juist sociale vaardigheden als communicatie en leiderschap – denk ook aan iets simpels als 'beleefdheid' – nodig zijn om security écht te verkopen. Je kan nog zo slim zijn, maar ben je volkomen introvert, dan krijg je een securitybeleid niet over de bühne.”
Meer leiderschap tonen
Zeker in een tijd waarin de informatievoorziening in bedrijven in toenemende mate wordt bedreigd, wordt de van oorsprong puur technische functie van CISO meer uitvoerend. Een bedrijf is pas weerbaar tegen cyberdreigingen als álle medewerkers volledig aan de uitvoering van het securitybeleid meewerken, en daarom is een CISO verantwoordelijk voor de informatiebeveiliging in de gehele organisatie.
“CISO's moeten meer leiderschap tonen”, vindt Versteeg. “Verdiep je daarom in sociale stelsels: hoe gaan mensen met elkaar om? Dat je de ene medewerker die toch weer op een neplink heeft geklikt rustig bij de arm moet nemen om connectie te krijgen, terwijl de andere juist heel direct in z'n gezicht moet worden toegesproken. Dat je NRC Handelsblad of het Financieel Dagblad (FD) moet lezen om te kunnen meepraten met je CIO of CFO. En dat je pas écht kunt sparren met je CEO als je de exacte handel van je organisatie begrijpt. Doe je dit allemaal niet, dan word je als CISO nooit succesvol. Dan blijf je 'slechts' een IT-functie vervullen.”
Leiderschap tonen betekent overigens niet dat een CISO zich als een dictator moet gedragen, waarschuwt Versteeg. “Cyber security is weliswaar geen democratie, maar ook geen dictatuur. Wees duidelijk, maar ook tactvol. Lees boeken over persoonlijk leiderschap, van auteurs als Simon Sinek, en ontdek de 'blind spots' bij jezelf. Ik verdiepte me in leiderschap als onderdeel van m'n MBA-opleiding, moest dat in dertien weken afronden, maar ik deed er weloverwogen meer dan twee jaar over. Het is een persoonlijk verandertraject, waar ook coaching voor nodig is. Daarvoor kun je aankloppen bij een betaalde (externe) professional, maar soms ook gewoon bij een collega."
Het gaat vooral om reflectie, benadrukt Versteeg. Dat je onderkent dat je leiderschapskwaliteiten mist. "Ben je 'hardvochtig' IT'er en vind je alleen schermen, doosjes en toetsenborden leuk, klaag dan niet dat je geen onderdeel van het senior management bent. Leer begrijpen dat daar anders wordt gesproken en gedacht. Daar spelen andere belangen.”
Mensen inspireren
Inmiddels heeft de Hogeschool Utrecht een lectoraat cyber security, onder leiding van dr. ir. Raymond Slot, met onder andere een onderzoekslijn voor de zachte kant van cyber security. “Als onderzoeker wil ik daar in de nabije toekomst mijn promotietraject starten”, weet Versteeg. “Iedereen die ik spreek, onderkent dat in cyber security de SQ- en EQ-component te weinig aandacht krijgen. Leiderschap en communicatie maken traditioneel geen deel uit van certificeringen of opleidingen. Maar hoe meer aandacht ik ervoor vraag, hoe meer bewustzijn ik zie ontstaan en hoe meer mensen er iets mee willen doen. Dat is mijn doel: mensen inspireren om deze stok op te pakken.”
Patric Versteeg geeft op dinsdag 21 november een keynote tijdens het Dutch IT Security Event van Dutch IT Channel. “Mijn verhaal gaat over persoonlijke ontwikkeling, maar in een bredere context”, besluit hij. “Het maakt niet uit waar je vaardigheden als communicatie en leiderschap wilt verbeteren: binnen de IT, in een ander vakgebied of gewoon thuis. Mijn visie is op meerdere manieren toepasbaar. Dus wil je weten hoe je kunt reflecteren op jezelf en zoek je een handvat voor verbetering, kom dan luisteren. Ik laat je zien hoe je deze transitie in kunt.”
Patric Versteeg is keynote spreker op de Dutch IT Security Day, die op dinsdagmiddag 21 november 2023 plaatsvindt in Buitenplaats Kameryck. Klik hier voor meer informatie. Of schrijf je direct in!