Boekentip: John P. Kotter, Leading change

Boekentip: John P. Kotter, Leading change

 

Standaardwerk bij verandering in organisaties

Het doel van security-awarenesstraining (training informatiebeveiligingsbewustzijn) is dat mensen hun gedrag veranderen. Vele mislukte verandertrajecten tonen aan dat het veranderen van een organisatie en de mensen daarin niet eenvoudig is. John P. Kotter schreef een internationale bestseller over het doorvoeren van veranderingen in organisaties: Leading change, in het Nederlands vertaald als Leiderschap bij verandering. Dit gaat over grote strategiewijzigingen in multinationale ondernemingen. Maar het kan geen kwaad de essentie en de fases ook in gedachten te houden bij security-awarenessprogramma’s. Hieronder een korte introductie op het boek, zodat je kunt beoordelen of het zinvol is het zelf aan te schaffen.  

Acht fases in verandertrajecten

Door het bestuderen van vele gelukte en mislukte verandertrajecten heeft Kotter ontdekt dat er acht fases zijn, die essentieel zijn voor een succesvolle verandering. Ik zal deze fases kort doornemen en aangeven hoe deze kunnen worden vertaald in een security-awarenesstraject.Leading change 2
  1. Creëer een gevoel van urgentie. Zolang men denkt dat het allemaal zo erg nog niet is, voelt niemand de noodzaak om iets te veranderen. Dit is bij security-awareness een belangrijk punt. Het komt vaak voor dat op alle niveaus geen urgentie gevoeld wordt. De security-officer is een roepende in de woestijn, áls er al iemand is aangewezen om iets aan informatiebeveiliging te doen… Als de hoogste leiding geen urgentie voelt zullen ze geen middelen ter beschikking stellen. Als de dagelijkse leiding geen urgentie voelt zullen ze hun medewerkers niet sturen op en belonen voor veilig gedrag. En als de medewerkers geen urgentie voelen verandert er helemaal niets.
  2. Vorm een leidende coalitie. Mensen met formele en informele invloed moeten deze invloed inzetten om het programma tot een succes te maken.
  3. Visie en strategie ontwikkelen. Dat hoeft voor informatiebeveiliging natuurlijk niet zo groots te zijn als voor een complete reorganisatie. Maar in informatiebeveiliging kun je wel de visie op de gehele organisatie doorvertalen. Gaan we de verantwoordelijkheden lager in de organisatie leggen? Minder regels, meer vrijheid voor de professional aan het bed? Zo veel mogelijk inzet van IT of juist niet? Toegang tot het dossier voor de cliënt? Al dit soort zaken heeft invloed op hoe je informatiebeveiliging en security-awareness implementeert.
  4. Communiceer de visie. Het is belangrijk een consistente boodschap langs diverse kanalen te communiceren. Formele communicatie, als een presentatie van de directeur en een nieuwsbrief, maar vooral ook in informele communicatie de kans aangrijpen om het onderwerp aan te snijden. Een leidinggevende die af en toe, als de situatie daar aanleiding toe geeft, twee minuten met een medewerker over informatiebeveiliging spreekt is heel effectief.
  5. Creëer de juiste randvoorwaarden. Hoe vaak lopen welwillende medewerkers niet tegen hindernissen op die het nieuwe gedrag in de weg staan? Zorg dat ze ruim baan krijgen! Verander de structuur als dat nodig is, zorg dat de medewerkers de juiste vaardigheden verwerven, dat de systemen het nieuwe werken mogelijk maken, en doe iets aan leidinggevenden die stilletjes tegenwerken.
  6. Creëer korte-termijnsuccessen. Laat zien dat er resultaten zijn! Dit werkt zeer stimulerend. Informeer de medewerkers over wat er al bereikt is. Zitten er geen briefjes met wachtwoorden meer op de schermen geplakt? Geen besmettingen meer met malware uit phishingmails? Meer onveilige situaties gemeld? Dit zijn allemaal voorbeelden van resultaten die in korte tijd haalbaar zijn en dus bekend gemaakt kunnen worden.
  7. Bewaken van de verandering: verbeteringen consolideren en meer verandering tot stand brengen. Het is belangrijk dat je doorzet na de eerste successen. Denk niet dat je er al bent. In een eerste ronde kun je alleen de hoogste risico’s adresseren. Zorg dat de hele organisatie aan de beurt komt en dat alle belangrijke onderwerpen een plaats krijgen in de planning.
  8. Verankering van de nieuwe aanpak in de cultuur. Voor security-awareness betekent dat, dat je het niet laat bij een eenmalige trainingsronde. Zorg voor bestendiging door een doorlopend programma. Wat je daarmee bereikt is dat er een veiligheidscultuur ontstaat. Als de medewerkers echt bewustzijn hebben ontwikkeld, zullen zij onveilige situaties signaleren, die aangepakt kunnen worden.
Kortom, al is een security-awarenessprogramma geen grootschalige reorganisatie, het rekening houden met de bevindingen van Kotter kan helpen het programma succesvol te maken.

 

Over John P. Kotter

John Paul Kotter (1947) is een Amerikaans bedrijfskundige en emeritus hoogleraar organisatiekunde en veranderingsmanagement aan de Harvard-universiteit. Hij schreef meedere bestsellers, is eigenaar van Kotter International en wordt beschouwd als goeroe op het gebied van leiderschap en verandering. Meer informatie op www.kotterinternational.com  

Kopen

Het boek Leiderschap bij verandering is te koop bij bol.com voor € 38,50. Of in het Engels: Leading change. Laat ik er open over zijn: als je een boek bij bol.com aanschaft via een link op mijn website krijg ik een kleine provisie voor de doorverwijzing. Maar: jij betaalt niets meer dan anders, dus waarom niet? Heb je specifieke vragen over dit boek, zet deze dan hieronder in het commentaarveld of neem contact op met PrivacyLab. Deel alsjeblieft dit artikel met jouw netwerk via de deelknop op Facebook, Twitter, Tumblr en Google+, zodat ook de mensen in jouw netwerk hiervan kunnen profiteren. Delen op LinkedIn moet nog handmatig.  

[learn_press_profile]

0 Comments

Leave Reply

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *