Pijn is fijn bij informatiebeveiliging

Er is een verschil tussen moeten voldoen en willen voldoen aan informatiebeveiligingsbeleid. De categorie 'moeten' doet het om daarmee anderen tevreden te stellen zonder te begrijpen waarom eigenlijk. De categorie 'willen' doorziet de noodzaak van informatiebeveiliging en doet het  om risico's te beheersen. Bij implementatie van informatiebeveiliging bij de 'willen' categorie is veel minder energie nodig met hogere effectiviteit dan bij de 'moeten' categorie. Een opmerkelijk feit is dat de 'moeten' categorie veelal door de 'willen' categorie wordt aangestuurd. Moeten de willers leren managen of communiceren? Ik denk het niet. De 'willen' categorie voelt pijn bij het niet beheersen van risico's. Deze pijn wordt niet gevoeld bij de 'moeten' categorie. Pijn is waar het om draait. Zorg dat op alle niveau's in de organisatie de juiste pijn gevoeld wordt bij het niet voldoende beheersen van risico's. Deze gedeelde pijn zorgt uiteindelijk voor meer rendement uit investeringen op informatiebeveiliging.