Je hebt maanden gewerkt aan een waterdicht beleid voor clean desk. Het document is kloppend, de directie heeft het geaccordeerd. Dan gaat het naar het MT. En twee weken later hoor je via de wandelgangen dat de financieel directeur al drie maanden geleden bij de koffieautomaat aan iedereen heeft verteld dat hij het “overdreven gedoe” vindt. De besluitvorming was formeel nog niet begonnen, maar in de praktijk was het besluit wel al genomen.
Beleid overtuigt niemand. Mensen overtuigen mensen
Als security officer ben je bezig met frameworks, risicoanalyses en beheers-doelstellingen. En dat is terecht. De structuur en systematiek zijn de ruggengraat van het vakgebied. Maar de effectiviteit van informatiebeveiliging wordt niet bepaald bij een externe audit. Die wordt bepaald in de dagelijkse keuzes van medewerkers. Die keuzes worden direct en verregaand beïnvloed door wat hun directeur, collega of teamleider over jou en jouw werk heeft gezegd. Draagvlak is daarom geen bijproduct van goed beleid. Het is een onderdeel dat je actief moet managen. En dat management begint bij de koffieautomaat.
Informele gesprekken zijn geen voorbereiding op besluitvorming, ze zijn besluitvorming, maar dan zonder de notulen.
Hoe informele beïnvloeding werkt
Organisaties zijn in de eerste plaats sociale systemen. Pas daarna ook procedurele systemen. Voordat een voorstel de vergadertafel bereikt, heeft het al een reputatie. Iemand heeft zich er positief of negatief over uitgesproken in de lift. Een afdelingshoofd heeft een zorg geuit in een informeel overleg. De CFO heeft een wenkbrauw opgetrokken toen jouw naam viel.
Bovenstaande ervaar je mogelijk als cynisch. Maar echt het beschreven gedrag is menselijk. Mensen vormen meningen op basis van vertrouwen, relaties en ervaring, niet op basis van risicoregisters. Als jij als security officer niet investeert in die relaties, vult iemand anders binnen de organisatie die vacature in. En die iemand anders heeft mogelijk en zelfs waarschijnlijk heel andere belangen dan informatiebeveiliging.
Herkenbare patronen uit de praktijk
- Een securityvoorstel sneuvelt in het MT omdat de operationeel directeur al bij drie collega’s zijn scepsis had gedeeld.
- Een nieuwe maatregel wordt enthousiast omarmd doordat de CISO er al weken over sprak als logische stap — niet als verplichting.
- Een incident wordt snel opgelost omdat de security officer een vertrouwensrelatie heeft met de betrokken teamleider.
- Budget voor awareness-training verdwijnt van de agenda omdat niemand binnen de directie er een persoonlijk belang bij voelt.
Informeel stakeholdermanagement is een vak. Maar zeg nou eens eerlijk. Hoeveel tijd besteed jij aan het schrijven van beleidsdocumenten versus het hebben van informele gesprekken met beslissers? De kans is groot dat die verhouding scheef is in het voordeel van de papieren werkelijkheid. En dat is begrijpelijk want die documenten voelen heel productief. Je kunt ze afvinken. Een gesprek bij de koffiemachine heeft wellicht geen tastbare deliverable, maar wel veel impact.
Informeel stakeholdermanagement betekent dat je bewust en doelgericht investeert in relaties buiten de formele structuur. Niet als manipulatie, maar als professionele communicatie. Jij begrijpt wat de zorgen zijn van de operations manager. Jij weet wat de CFO wakker houdt. Jij spreekt de taal van de business unit die jou het minste begrijpt. En je zorgt dat jouw naam geassocieerd wordt met oplossingen, niet met belemmeringen.
Zo doe je het
Van theorie naar koffiemachine. Maak een informele stakeholderkaart. Wie beïnvloedt wie, buiten de vergaderstructuren om? Daar begint je strategie.
Plan vervolgens geen vergadering, maar een kop koffie. En liefst juist bij stakeholders die afhaken bij officiële overleggen. Stel vragen voordat je zelf begint met praten. Begrijp eerst de wereld van je gesprekspartner en pas daar dan jouw boodschap op aan.
Deel informatie proactief en informeel. Een kort bericht, “even laten weten, er speelt iets”, bouwt meer vertrouwen dan een formeel incidentrapport achteraf.
Wees zichtbaar buiten je eigen domein. Loop mee in een operationeel overleg. Sluit aan bij de lunch van een andere afdeling.
Het gevaar van de ivoren toren
Security officers die zich uitsluitend in hun eigen domein bewegen, worden op den duur irrelevant. Niet omdat hun werk slecht is, maar omdat niemand het meer voelt. De organisatie ervaart security als een afdeling die “nee” zegt, papieren produceert en elk kwartaal langskomt met een risicolijst. Herkenbaar? Dan is het hoog tijd om de ivoren toren te verlaten.
De meest effectieve CISO’s en security officers, zijn opvallend sociaal. Ze zijn nieuwsgierig naar de business. Ze begrijpen de druk op de werkvloer. Ze weten wie de informele leiders zijn en die kennen hen ook. Dat sociale kapitaal is niet soft: het is de harde infrastructuur waarop het beleid kan landen.
Jouw volgende beveiligingsmaatregel begint daarom niet met een risicoanalyse. Het begint met een gesprek. Zet je laptop weg en pak een kop koffie. Investeer in het beveiligingsinstrument dat niet in je toolbox staat maar in het kastje van de pantry.
Wil je weten hoe Protify jou als Security Officer kan ondersteunen? Neem contact op voor een vrijblijvend kennismakingsgesprek met één van onze consultants
