In de dagelijkse praktijk in de bedrijfsvoering kom ik het formatdenken tegen. Compliance wordt ook afgemeten aan een overigens doordacht format.  Waar kennen we formats eigenlijk nog meer van?

Niet de excellent performende zanger, maar het format van ‘got talent’ is de grote kaskraker. Voor het merendeel van de (goede) performers is een tijdelijke aandacht het hoogst haalbare.  Een  format wordt ontwikkeld als een soort van industrialisatie. Het zingen is niet meer zo belangrijk, het unbelievable op het juiste tijdstip gemonteerd wel. Formats kun je opschalen en exporteren, individuele kennis en ervaring niet.

In de organisatorische advieswereld buitelen we al langer over de elkaar snel opvolgende modellen. Veelal een opsomming van correcte reeds bekende inhoud, dat gezamenlijk tot een Top-Down approach wordt gepresenteerd. Omdat de buitenwereld sterk verandert doen we als ultimo de Plan Do Check Act iteraties implementeren. Dit is om in te kunnen spelen op de steeds veranderende actualiteit.  Geheel passend hierbij is het opschalingpotentieel  van zo’n format.

Nu de repeterende activiteiten van de accountancy advieswereld steeds meer in riskformats beschikbaar zijn, is de operationele administratieve tak van de waarde van de big fourmats gedaald. Hier zie je de jongere generatie op inspelen, doordat zij meer gewend zijn aan ICT hulpmiddelen en het accountancy  vakgebied opnieuw aan het uitvinden zijn. Omdat nu veel duidelijker geworden is dat risicomanagement altijd de verantwoordelijkheid van het management blijft, ontstaat er een strategische adviesfunctie die voorbij effectief en efficiënt kijkt en zich richt op compliance en risk in de digitale processen.  

Matthew Stewart schreef ooit: “De enige manier waarop je geld kunt verdienen met strategisch denken is door het idee aan anderen te verkopen”.

De jonge generatie is op zoek naar nieuwe blue oceans.  Omdat we willens en wetens onze gehele informatie infrastructuur vormgeven en koppelen met brakke ict middelen (ook ik koop de looks en niet de veiligheid), ligt hier het beloofde land voor de accountancy.  Hoe krijgt de bedrijfsvoering nu vertrouwen dat wat ze geautomatiseerd uitvoeren, een behapbaar en verdedigbaar risico betreft. Hierdoor wordt een technisch vakgebied gegrepen door compliance formats. Wie pakt hier nu echter het winnende format? Bedrijfsmatig gezien heb je in ieder geval keuze tussen COBIT, ITIL, ISO27002 en NIST. En deze schromen ook niet om naar elkaar te verwijzen of met elkaar te conflicteren. Vergeet OWASP niet, een lijstje met belangrijke dreigingen die niet over het hoofd gezien mogen worden (what’s hot and what not).  Sinds kort buitelen de spelers weer over het privacyrichtlijn format; hier zal best wel weer een interessante certificering uit rollen. De formats an sich leveren ook weer problemen op. Er zijn zelfs programma’s om conflicterende eisen te registreren. Gelukkig vind je af en toe een pareltje, ik refereer Wet van Smith en Thys: Een goed model is een model dat mensen in beweging zet, ongeacht of het ergens op slaat of niet”. (En nog scherper: Omdat management leeft en ademt door middel van modellen en theorieën. Omdat niet iedereen voldoende geëmancipeerd en/of ervaren is om er kritisch mee om te gaan. Omdat theorieën vaak een surrogaat zijn voor zelfstandig denken.)a

Ok, we zijn dus op zoek naar geëmancipeerde voldoende ervaren mensen. Hoe herken je die nu eigenlijk? Voor de security specialist weten we het winnende format. Het meest populair bij recruiters is CISSP en is daarom het sterven waard. Het security vakgebied ontwikkelt zich echter zo snel dat op het inhoudelijke vlak je bijvoorbeeld worstelt met een oude gedachte van  Bell-La Padula en je geen inzicht verkrijgt in de werking van moderne Cloud Access Security Brokers. Toch moet je deze ‘got talent’ winnen en moet je desnoods gewoon de knoppencursussen uit je hoofd leren. Als je er een gehaald hebt, dan zijn de andere (CISM , SANS GSEC en noem maar op) steeds met een ander accent ook goed te doen. Uiteraard zijn deze formats flink afgeschermd door opleidingsfirma’s.

Heb je nu meer aan een opleiding OCSP of aan een stage bij Russische hackers? Welke opleiding heeft nu de meeste aanknopingspunten voor babyfoons, auto’s en Internet Of Things? Inhoudelijk is SANS diepgaander dan de overzichts opleidingen, wel duur.  Er zijn echter wat kapers op de kust in de vorm van MOOC’s zoals Cybrary. Gratis opleidingen, waarbij het verdienmodel uiteindelijk in de grote hoeveelheid gebruikers zit. Zit hier onze toekomst? Onduidelijk is nog of je hier mee gezien wilt worden of wordt dit bij de klant gezien als ramsj? Het gaat uiteindelijk om vertrouwen. Security verliest in ieder geval het elitaire en wordt heel gewoon.  De hoeveelheid security kennis, threat Intel  en weer nieuwe ontwikkelingen zijn voor niemand meer bij te houden. Als er nu een vakgebied is wat uitdagingen levert, dan is dit het wel.  Je een leven lang verbazen over wat er nu weer aan de hand is, is best leuk.  Voorlopig is dit niet in een format te gieten.

Moeten we nu constateren dat de belangrijkste functie van formats blijkbaar niet op het actuele inhoudelijke vlak ligt, maar in hun motiverende of vertrouwen opwekkende rol? Eigenlijk zou ik een  blog moeten schrijven over formats dat mensen gemotiveerd of verhit laat reageren, of het ergens op slaat of niet is dan niet eens relevant.  

post author image

Over Riccardo Oosterbaan

Riccardo Oosterbaan is een IT-strategist met 28 jaar werkervaring. Hij is in staat om doelen van een organisatie om te zetten in praktische informatievoorziening. Hij opereert op het grensvlak van GRC en security. Hij is betrokken...

Meer over Riccardo Oosterbaan

    Leave A Comment