Degenen die mij kennen weten dat ik al een paar jaar actief ben in het wereldje van de verdedigingskunsten. Een jaartje of twaalf geleden werd ik daarin voor het eerst blootgesteld aan de zogenoemde principe-georiënteerde vechtkunsten. Er ging een wereld voor me open, ik was meteen verkocht en zag al snel dat de principe-georiënteerde aanpak ook in andere delen van mijn leven heel goed werkte. Met name in mijn beroep ging de kwaliteit van mijn werk met sprongen omhoog door een principe-georiënteerde benadering.

Het onderscheid tussen principe-georiënteerd en techniek-gebaseerd is eigenlijk heel eenvoudig. Techniek-gebaseerd leert technieken (trucjes) aan en redeneert heel erg vanuit een “als-dit-dan-dat” standpunt. Het nadeel is dat als de situatie een beetje verandert, de regels/technieken niet meer optimaal functioneren. Als je een situatie niet kent of je misschien nog niet het juiste trucje hebt geleerd, dan val je al snel stil. Deze methode is enigszins beperkt, maar wel erg geschikt voor met name de beginner. Het is eenvoudig aan te leren, vanwege het zwart-wit karakter, en het biedt ruim voldoende houvast om te starten met leren. Er is maar één oplossing en met andere opties hoef je geen rekening te houden.

Daartegenover staat principe-georiënteerd. Je leert hoofdzakelijk de fundamentele principes en het is aan de persoon zelf om een passende vertaling te maken naar een oplossing. Het uitgangspunt is dat iedereen (dus ook elke organisatie en situatie) uniek is en dat er dus geen one-size-fits-all techniek of set aan regels is, die onder alle omstandigheden werkt. De beoefenaar krijgt een overzichtelijk arsenaal aan principes waarmee verschillende situaties getackeld kunnen worden. Je ziet direct dat deze filosofie absoluut niet geschikt is voor beginners. Het vereist ervaring, inzicht en ook de durf om fouten te maken. Dit concept werkt uitmuntend in de chaos van de realiteit, je bent namelijk niet gebonden aan beperkte technieken of vaststaande regels. De shock dat een standaard techniek niet werkt, bestaat niet, want er is geen standaard techniek. De beoefenaar leert spelen, je leert zoeken naar passende oplossingen.

Dit laatste principe werkt niet alleen binnen de verdedigingskunsten, maar ook uitstekend binnen informatiebeveiliging. Het is een vakgebied dat continu onderhevig is aan veranderingen en vrijwel altijd complex is vanwege onderlinge afhankelijkheden, veranderende techniek, veranderende externe factoren, organisatiedoelen die veranderen en verrassingen. Het ene moment ben je in gesprek met technici, het andere moment moet je het topmanagement overtuigen, daarna moet je met spoed een incident oplossen of word je geconfronteerd met een volledig nieuw probleem. Dus waarom zou je als informatiebeveiligingsspecialist vrijwillig je arsenaal beperken?

Met name een wat striktere auditor of security officer raakt wel eens in paniek van deze methode. Ze vinden deze te vrij en te weinig houvast bieden. Want, als er geen techniek vaststaat hoe weet je dan of het goed is? En dat is best begrijpelijk. Deze visie vereist immers nogal wat van de informatiebeveiligingsspecialist. Hij moet weten wat belangrijk is, hij moet kunnen interpreteren en vertalen. Het is niet langer een kwestie van de vinkenlijst en een trucje afdraaien: er moet sprake zijn van ervaring, inzicht en creativiteit! De informatiebeveiligingsspecialist moet een echte vakman zijn. En dat is in mijn optiek een goede zaak. Want informatiebeveiliging is te belangrijk om het behandelen als een trucje.