Boekreview - Waarom drammen niet werkt

Door Artikel IB5-2024 - Leo van Koppen 20 feb 2025

Auteur: Leo van Koppen is redactielid van iB-Magazine. Hij is bereikbaar via leo@es4cs.nl

In ons vakgebied is het van groot belang dat je de organisatie meekrijgt in cyberveilig gedrag. We hebben altijd een overvloed aan goede adviezen voor securitymaatregelen beschikbaar. Het maakt niet uit of dat nu op het organisatorische vlak ligt van security-awareness of op het technisch vlak in het voorkomen van kwetsbaarheden in je softwareapplicatie. Het probleem is bijna altijd dat er onvoldoende opvolging of invulling wordt gegeven aan de voorgestelde maatregelen.

We weten het allemaal: bij de implementatie van maatregelen moet je als security-officer hard werken aan het draagvlak. Want dan krijgen jouw adviezen een kans te worden opgevolgd. Het echte probleem zit hem eigenlijk in het feit dat het creëren van een draagvlak zo verschrikkelijk lastig is. Dat onderwerp komt nu net weer niet aan de orde in het CISSP, CISM of Master programma. Vreemd eigenlijk, want speelt het een cruciale rol in het succes van de security-officer/consultant. Eigenlijk een essentiële soft skill die niet mag ontbreken in onze security opleidingen.

Brein kent twee systemen
bijvoorbeeld feilloos in druk verkeer of begrijp je non-verbale uitingen. Systeem-2 vraagt onze volledige aandacht en concentratie bij het oplossen van moeilijke vraagstukken en het nemen van beslissingen. Systeem-1 levert automatisch input voor je handelingen en ondersteunt daarmee ook systeem-2. Wellicht breng ik u nu in verwarring want de titel boven deze review is wel correct. Het boek dat ik in deze review wil bespreken gaat niet over Thinking fast and slow, maar maakt gebruik van het gedachtegoed van Kahneman. Met name hoe de ontvanger van de boodschap, jouw advies, verwerkt in systeem-1.

Don’t push me van Genieke Hartoghs maakt op een heldere wijze duidelijk waarom het ‘pushen’ van adviezen niet zomaar het gewenste resultaat oplevert. Waarom mensen deze adviezen in eerste instantie zullen negeren en gewoon hun ‘eigen ding’ blijven doen. Het maakt aan de hand van zeer aansprekende voorbeelden duidelijk waarom mensen dit gedrag vertonen en wat je zult moeten doen om mensen zover te krijgen dat ze achter je plannen gaan staan. Wat jij daar voor moet doen lijkt heel simpel, namelijk de bijna kinderlijk eenvoudige vraag stellen: waarom? Kortweg, niet ‘pushen’ maar ‘pullen’! Dat blijkt in de praktijk nogal lastig te zijn, omdat je voor het stellen van open en neutrale vragen geduld moet hebben en zeker niet moet proberen de ander met jouw argumenten te overtuigen. In de voorgestelde methode gaat het bij aanvang (nog) niet om het rationele. De kunst is om eerst ‘in positie’ komen in het onbewuste brein (systeem-1) van de ander, door het initiële afweermechanisme van de ander met eenvoudige vragen stap voor stap te ontmantelen. Van belang is ook om de antwoorden te voorzien van de juiste support zodat je ‘in positie’ geraakt. Pas dan kom je binnen bij de ander en is er een basis voor gedragsverandering en eigenaarschap gelegd.

Elk persoon heeft in systeem-1 een defensiemechanisme dat onbewust wordt ingezet bij het aanhoren van afwijkend gedachtegoed. Bij een push zal dit mechanisme in werking treden en zelfs worden versterkt. Het effect is dat het tegendeel wordt bereikt. In de eerste stap is het van belang het ego niet te laten gelden (en dat is voor sommige adviseurs wellicht heel lastig!). In een volgende stap gaat het om jezelf in een positie te brengen waarin je impact kan maken. Het gaat om de vraag: Hoe ziet de ander jou? Dat is een oplopende schaal met zes niveaus:

• probleem(0)-zekerheid(1)-verrassing(2)-aandacht(3)-toegevoegde waarde(4)-goeroe(5)
  Om impact te kunnen maken is niveau 3-4 het vereiste niveau om succesvol te kunnen zijn. De sleutel tot succes ligt echter in, wat de schrijfster noemt, de scope. Dat is een gelaagdheid in de manier zoals de ander de wereld waarneemt. Een gelaagdheid in de volgende niveaus:
• buitenwereld(0)-activiteiten(1)-meningen(2)-belangen(3)-overtuigingen(4)-identiteit(5)
  De kunst is nu om via vragen door te dringen in die gelaagdheid en op zoek te gaan naar hoe de ander tegen de wereld (het probleem/de kwestie) aankijkt. Bij het pullen is de regievraag van belang, dat is een open vraag die bepaalt welk gebied je activeert in het brein van de ander. Je regisseert als het ware welk gebied van het onbewuste brein bij de ander geactiveerd wordt. Die zal vervolgens een antwoord geven omdat hij jouw interesse wil belonen, je een antwoord gunt, een oplossing zal aanreiken of zich ongemakkelijk voelt als hij het antwoord schuldig moet blijven. Na de regievraag volgen de doorvragen waarbij je jouw eigen scope moet uitschakelen (lastig) en vooral via support en andere open vragen meer in positie kunt komen. Pas als je in positie bent gekomen kun je het advies, je boodschap, gaan pushen. Ook hier past enige bescheidenheid. Alleen dat deel dat minimaal vaststaat, het aanvullende deel, ingevuld vanuit jouw scope, is onderhandelbaar.

Schriftelijke cursus
Don’t push me! is meer dan een boek, het is eigenlijk een schriftelijke cursus. Het enige dat ontbreekt is de praktijk, maar die kom je elke dag in je werk tegen. Het boek kent een hele mooie structuur: het legt het probleem uit en neemt je op bijna meeslepende manier mee naar de oplossing. Het boek legt de belangrijke concepten zeer goed uit en belicht daarbij in het kort de onderliggende wetenschap zonder langdradig te worden. Daarnaast geeft het boek bij elk belangrijk onderdeel zeer aansprekende voorbeelden waardoor je het snel begrijpt. Dat wil niet zeggen dat je het zomaar even kunt toepassen. Daar wordt ook meerdere malen voor gewaarschuwd: het lijkt eenvoudig, maar is lastig in de uitvoering. Toch denk ik dat dit boek vele vakgenoten verder kan helpen. Als we ooit op het onderdeel, dat wij destijds de naam security awareness hebben genoemd, maar later de lading van gedragsverandering hebben gegeven, succesvol willen zijn, dan is de methode van pullen in plaats van pushen mijns inziens noodzakelijk. Dat is ook de reden van deze boekreview, vakgenoten bekend maken met deze methode. Ik wens jullie veel succes!

Don’t push me! biedt een heel goed inzicht in waarom drammen niet werkt en het boek leert je te pullen door je eigen ego opzij te zetten en via het onbewuste brein van de ander de gewenste gedragsverandering te bewerkstelligen. Wat mij betreft een must voor security-officers, met name met het aandachtsgebied van security-awareness, maar het kan ook voor securityconsultants een goed hulpmiddel zijn.

Dit artikel verscheen in IB5-2024.
Voor het opgemaakte artikel (pdf), klik hier onder op 'Document downloaden'.