Soms heb je van die momenten. Dan vallen ineens een aantal puzzelstukjes op z'n plaats en ontstaat er een nieuwe realiteit. In je hoofd althans. Een tijd lang heb je het idee dat de rest van de wereld het niet meer begrijpt. Hoe kan het toch dat niet iedereen op hetzelfde moment een vergelijkbare ingeving krijgt? Hoe is het toch mogelijk dat ik dit niet eerder heb gezien? Iets dergelijks overkwam mij enkele weken geleden. Ik woon momenteel in Londen, en kom daardoor iets meer dan gemiddeld in aanraking met de Engelse televisie. Programma's over de Britse hoofdstad hebben dan mijn voorkeur. Zo zat ik afgelopen maand te kijken naar het programma Mind the Gap. Dat is een door de BBC opgenomen zoektocht naar het succes van Londen ten opzichte van de rest van Groot Brittannië. Waarom trekt Londen meer kapitaal en talent aan dan enig andere stad in Europa? Ligt hier wellicht het geheime recept van succes? Welk bedrijf zou niet, net als Londen, een aantrekkingskracht op kapitaal en talent willen hebben?
Laat je inspireren
In de documentaire is Boris Johnson, de burgemeester van Londen, aan het woord. In mijn optiek een gezellig studentikoos type die niet helemaal lijkt te passen in het doorgaans stijve Engeland. Hij legt uit, dat het succes vooral gezocht moet worden in conglomeratie, ofwel opeenhoping. Als voorbeeld haalt hij aan dat het nieuwe Europese hoofdkantoor van Google op Kings Cross station wordt gebouwd, pal tegenover de kunstacademie. Het idee is, dat de IT nerds genspireerd worden door hun kunstzinnige buren en dat de kunstenaars op hun beurt in aanraking komen met technologische mogelijkheden. Door buren bij elkaar te plaatsen die elkaar versterken, ontstaat een sfeer van inspiratie en innovatie. Deze bruisende sfeer van nieuwe ideen trekt vervolgens weer mensen met kapitaal aan.
Competitieve en complementaire relaties
Ik heb even teruggekeken in mijn oude theorieboeken over bedrijfsstrategie, omdat ik me iets realiseerde. Ik heb moeten leren, dat er zakelijk gezien slechts twee type relaties bestaan: competitieve en complementaire. Als je niet goed oplet zou een complementaire relatie best kunnen omslaan. Het bedrijf waar je al jaren zaken mee doet kan zijn dienstverlening hebben uitgebreid en op vlakken met je gaan concurreren. Dat laatste zie ik overigens veel bij IT afdelingen die een deel van hun werk hebben ondergebracht bij een extern IT bedrijf, maar dat terzijde.
Het matrix model, samen polderen
Wat ik me realiseerde, zit eigenlijk nog veel fundamenteler in de bedrijfsvoering en gaat terug naar de beginjaren tachtig. Wat toen erg in de mode kwam was de matrix organisatie. Veel organisaties zijn vandaag de dag nog ingericht volgens dit principe. Het idee is simpel: je maakt twee mensen verantwoordelijk voor hetzelfde, maar dan uit een ander perspectief. Zo ontstaat er een gedwongen overlegstructuur en de mogelijkheid om impliciete controle uit te oefenen. Het gevolg zou moeten zijn, dat de kwaliteit omhoog gaat door overleg in combinatie met de spanningsboog die ontstaat vanuit de verschillende perspectieven. Het zakelijk polderen was geboren. Omdat organisaties op termijn ook wel inzagen dat al dit ge-polder de snelheid behoorlijk uit de onderneming haalde zijn op de matrix-kruispunten een paar voorrangsregels ontstaan. Vooral ego, in combinatie met budget lijken de voorrang te bepalen.
De securist, van zuiver geweten naar zeurende huisvrouw
Maar wat heeft dit allemaal met security en Cqure te maken? Dit is toch een artikel voor en door securisten? Inderdaad: Los van de duidelijke competitie die uitgaat van het matrix model, is het me opgevallen dat vooral de securisten aan het kortste eind lijken te trekken. Alsof het al niet erg genoeg is dat dit vakgebied vaak niet als complementair wordt gezien, is het in de meeste gevallen zelfs georganiseerde competitie geworden. Op zich begrijpelijk dat de securist zich in de afgelopen jaren heeft moeten bewijzen en een plek aan de tafel heeft moeten verdienen. Die gedwongen bewijsdrang is echter een beetje doorgeschoten. De securist is langzaam veranderd van de positie van zuiver geweten van de organisatie naar zeurende huisvrouw. Logisch dat de kinderen nu niet meer alles netjes vertellen, of stiekem de grens opzoeken. Het wordt dan ook hoog tijd dat we dit vakgebied grondig onder de loep nemen.
Hoe richt je security dan in?
Naar mijn bescheiden mening moet security veel meer als complementair vakgebied opgenomen worden in de organisatie. Geen afdeling security, maar security experts als onderdeel van het netwerk team, van het platform team en van het applicatie team. Geen security monitoring als aparte afdeling, maar twee monitoring teams binnen het normale ITIL proces. In mijn optiek moet de eerstelijns securist opgenomen worden in de normale IT huishouding. Security moet eigenlijk functioneel georganiseerd worden. Ik pleit dan ook voor een functionele aansturing vanuit kaders die gesteld worden vanuit een controle perspectief. Binnen het security vakgebied beter bekend als de tweede lijn, de security officer, die in mijn optiek onder de kapstok van de CFO zou moeten vallen, aangezien daar de aangewezen persoon zit voor de controle van de organisatie. Een controleur moet objectief kunnen controleren.
Hetzelfde principe geldt overigens voor veel meer vakgebieden binnen onze bedrijven. In te veel gevallen kom ik competitie tegen. Afdeling X begrijpt het niet, en afdeling Y doet niet wat ze moeten doen, enzovoort. Energie die in de verkeerde dingen zit. Energie die niet gaat zitten in een beter product of een tevreden klant, moet zoveel mogelijk verbannen worden. Omdat security volgens mij zowel bijdraagt aan een beter product en een tevreden klant, is het van groot belang dat de competitie op dit gebied uit de organisatie wordt gehaald, en dat de securist zijn rol als kwaliteits-geweten weer kan aannemen.