Van hindernis naar hulp: hoe CISO’s innovaties kunnen versnellen

Veel digitale innovaties lopen vast of overschrijden hun budget. Een belangrijke oorzaak: het moeizame huwelijk tussen informatieveiligheid en innovatie. Innovatoren zien privacy officers of de CISO (Chief Information Security Officer) vaak als politieagent. Als iemand die risico’s en regels benadrukt in plaats van in oplossingen en kansen denkt. Daarom worden CISO’s vaak te laat betrokken. Als we willen dat innovaties slagen, moet de rol van de CISO veranderen naar een waardevolle samenwerkingspartner die vanaf de start van elk innovatietraject is betrokken. 

Het belang van gedrag

Elke innovatie vraagt gedragsverandering. Neem thuismonitoring, waarbij patiënten thuis gegevens bijhouden over hun gezondheid en zorgverleners op afstand meekijken en helpen wanneer dat nodig is. Als de resultaten van deze innovatie tegenvallen dan komt dat vaak niet door de techniek, maar door menselijk gedrag. Zorgverleners zien de waarde niet of krijgen te weinig hulp bij het anders werken. Als zij weinig patiënten includeren of routine-consulten blijven vasthouden, vallen kosten- en arbeidsbesparingen tegen.

Een ander voorbeeld van het belang van gedragsverandering zien we bij de ontwikkeling en de toepassing van AI. AI kan niet los staan van het zorgproces en voegt los daarvan geen waarde toe. Pas als we het slim gebruiken, ontstaan kansen. We onderschatten dus de benodigde investering in kennis, maar vooral ook in vaardigheden en gedrag.

Bij informatieveiligheid zien we hetzelfde. Organisaties richten zich op protocollen en techniek, maar vergeten dat de meeste incidenten ontstaan door menselijk handelen. Oftewel: veel cyberincidenten komen door gedrag. Je kunt die app voor thuismeten nog zo goed beveiligen, maar als patiënten hun medische gegevens in een onveilige AI-tool zetten, veroorzaken ze op die manier alsnog een datalek. Recent zagen we wat zo’n datalek kan doen met de veiligheid van patiënten en het vertrouwen van patiënten in de zorg.

Hoe bestuurders dit kunnen organiseren

Kortom: zowel innovatie als informatieveiligheid staan of vallen met gedrag. Als security-experts en innovatoren hierin samen optrekken, ontstaat een win-win. Hoe kan die samenwerking tussen informatieveiligheid en digitale innovatie eruitzien?

We geven drie tips:

1. Multidisciplinaire teams:

Zorg voor teams waarin ICT’ers, interne en externe innovatoren, communicatieadviseurs, de CISO én een gedragsdeskundige goed met elkaar kunnen samenwerken. De CISO – of een andere security-professional – benoemt welk veilig gedrag nodig is, de gedragsdeskkundige helpt dit gedrag te realiseren.

2. Gedragsgerichte en adviserende CISO’s

De rol van de CISO ontwikkelt zich van sec toezichthouder naar iemand die ook sparringpartner voor bestuurders en projectteams is. De toezichthoudende rol is natuurlijk cruciaal, maar de grootste waarde ontstaat wanneer de CISO tijdens het innovatieproces ook een adviserende, samenwerkende rol pakt. Klinkt deze combinatie van rollen gek in de oren? Toezichthouders laten zien dat het kan. Ook van hen vragen we immers dat ze de rol van adviseur en toezichthouder combineren.

Bestuurders hebben een belangrijke verantwoordelijkheid om ervoor te zorgen dat CISO’s deze adviserende rol bij innovaties pakken. Op de eerste plaats dienen zij over een heldere visie beschikken. Zij moeten uitdragen hoe belangrijk de rol van gedrag is bij innovatie en informatieveiligheid. Daarnaast ligt er voor de bestuurder een belangrijke rol in de selectie van de CISO en andere experts informatieveiligheid. Zij moeten ervoor zorgen dat de veiligheidsprofessionals in hun organisatie zich niet blindstaren op regels, procedures en techniek, maar dat zij in staat zijn om aandacht te hebben voor de grootste voorspeller van informatieveiligheid: gedrag.

3. Permanente scholing van de CISO

In het snel veranderende zorg- en ICT-landschap is het belangrijk dat CISO’s de mogelijkheid en vrijheid ervaren zich continu te kunnen bijscholen. In de veeleisende rol die zij hebben is er namelijk vaak iets anders dat urgent en belangrijk wordt gevonden in de organisatie. Naast het actueel houden van de kennis van alle veranderingen op het gebied van wetgeving en techniek, is er permanente professionele ontwikkeling nodig om de diverse rollen die je als CISO hebt goed uit te kunnen voeren.

 

Conclusie

Informatieveiligheid en innovatie hoeven elkaar niet in de weg te zitten. Integendeel: met multidisciplinaire teams en een gedragsgerichte CISO versterken ze elkaar. Dat vraagt een gezamenlijke inspanning. Bestuurders zijn aan zet om dit vanaf nu prioriteit te geven. Wie de CISO als waardevolle innovatiepartner weet te vinden, wint zowel aan informatieveiligheid als aan innovatiekracht.

Op de hoogte blijven van onze nieuwste artikelen en ontwikkelingen?

Schrijf je in voor de Nieuwsbrief | Aan de slag met informatieveilig gedrag!

 

Over IVGZ en de auteurs

Het programma Informatieveilig gedrag in de zorg wordt uitgevoerd door stichting ECP | Platform voor de Informatiesamenleving, in opdracht en met financiering van het ministerie van VWS.

Bettine Pluut is organisatiekundige en expert op het gebied van innoveren en transformeren. Zij is directeur van Pluut & Partners en als adviseur verbonden aan het programma Informatieveilig gedrag in de zorg.

Sietske Rozie is radioloog (np), AI-expert en academic director bij business school TIAS. Als adviseur en trainer gedragsverandering is zij verbonden aan het programma Informatieveilig gedrag in de zorg.