Veel digitale innovaties lopen vast of overschrijden hun budget. Een belangrijke oorzaak: het moeizame huwelijk tussen informatieveiligheid en innovatie. Innovatoren zien privacy officers of de CISO (Chief Information Security Officer) vaak als politieagent. Als iemand die risico’s en regels benadrukt in plaats van in oplossingen en kansen denkt. Daarom worden CISO’s vaak te laat betrokken. Als we willen dat innovaties slagen, moet de rol van de CISO veranderen naar een waardevolle samenwerkingspartner die vanaf de start van elk innovatietraject is betrokken.

Elke innovatie vraagt gedragsverandering. Neem thuismonitoring, waarbij patiënten thuis gegevens bijhouden over hun gezondheid en zorgverleners op afstand meekijken en helpen wanneer dat nodig is. Als de resultaten van deze innovatie tegenvallen dan komt dat vaak niet door de techniek, maar door menselijk gedrag. Zorgverleners zien de waarde niet of krijgen te weinig hulp bij het anders werken. Als zij weinig patiënten includeren of routine-consulten blijven vasthouden, vallen kosten- en arbeidsbesparingen tegen.

Een ander voorbeeld van het belang van gedragsverandering zien we bij de ontwikkeling en de toepassing van AI. AI kan niet los staan van het zorgproces en voegt los daarvan geen waarde toe. Pas als we het slim gebruiken, ontstaan kansen. We onderschatten dus de benodigde investering in kennis, maar vooral ook in vaardigheden en gedrag.

Bij informatieveiligheid zien we hetzelfde. Organisaties richten zich op protocollen en techniek, maar vergeten dat de meeste incidenten ontstaan door menselijk handelen. Oftewel: veel cyberincidenten komen door gedrag. Je kunt die app voor thuismeten nog zo goed beveiligen, maar als patiënten hun medische gegevens in een onveilige AI-tool zetten, veroorzaken ze op die manier alsnog een datalek. Recent zagen we wat zo’n datalek kan doen met de veiligheid van patiënten en het vertrouwen van patiënten in de zorg

Gedrag centraal

Kortom: zowel innovatie als informatieveiligheid staan of vallen met gedrag. Als security-experts en innovatoren hierin samen optrekken, ontstaat een win-win. Hoe kan die samenwerking tussen informatieveiligheid en digitale innovatie eruitzien? We geven drie tips.

1. Multidisciplinaire teams

Zorg voor teams waarin ICT’ers, interne en externe innovatoren, communicatieadviseurs, de CISO én een gedragsdeskundige goed met elkaar kunnen samenwerken. De CISO – of een andere security-professional – benoemt welk veilig gedrag nodig is, de gedragsdeskkundige helpt dit gedrag te realiseren.

2. Gedragsgerichte en adviserende CISO’s

De rol van de CISO ontwikkelt zich van sec toezichthouder naar iemand die ook sparringpartner voor bestuurders en projectteams is. De toezichthoudende rol is natuurlijk cruciaal, maar de grootste waarde ontstaat wanneer de CISO tijdens het innovatieproces ook een adviserende, samenwerkende rol pakt. Klinkt deze combinatie van rollen gek in de oren? Toezichthouders laten zien dat het kan. Ook van hen vragen we immers dat ze de rol van adviseur en toezichthouder combineren.

Bestuurders hebben een belangrijke verantwoordelijkheid om ervoor te zorgen dat CISO’s deze adviserende rol bij innovaties pakken. Op de eerste plaats dienen zij over een heldere visie beschikken. Zij moeten uitdragen hoe belangrijk de rol van gedrag is bij innovatie en informatieveiligheid. Daarnaast ligt er voor de bestuurder een belangrijke rol in de selectie van de CISO en andere experts informatieveiligheid. Zij moeten ervoor zorgen dat de veiligheidsprofessionals in hun organisatie zich niet blindstaren op regels, procedures en techniek, maar dat zij in staat zijn om aandacht te hebben voor de grootste voorspeller van informatieveiligheid: gedrag.

Deze versturen we 3-4x per jaar.