Kwart werknemers zou bedrijfsgeheimen verkopen

Het lijkt erop of we deze week nieuwsberichten aanhalen die ervoor zorgen dat de IT-managers het beveiligen van de gegevens alleen maar als nog stressvoller gaan ervaren. Dat is uiteraard niet de bedoeling, want er zijn echt mogelijkheden om de specifieke risico’s voor jouw organisatie goed in kaart te brengen. Ga dus uit van de risico’s en niet van de maatregelen. Een helikopterview wil daarbij nog wel eens helpen.

Een kwart (25 procent) van de werknemers is bereid bedrijfsgeheimen te verkopen…Dat blijkt uit onderzoek van Monster (in Nederland bekend als Monsterboard.nl) onder bijna 5000 respondenten wereldwijd…
Van de ondervraagden zegt 8 procent zelfs al eens bedrijfsgeheimen te hebben verkocht, terwijl 17 procent aangeeft in te gaan op een aanbod om bedrijfsgevoelige informatie te verkopen, wanneer de kans daartoe zich voordoet.
(bron)

Helaas staat er niet bij waarom de medewerkers bereid zijn om de bedrijfsgeheimen te verkopen. Nu zijn het interessante gegevens waar een IT-manager inderdaad gestrest van zou kunnen raken. We zullen dus op zoek moeten naar de redenen achter de mogelijke verkoop van bedrijfsgeheimen.

Komt het misschien omdat we de medewerkers onvoldoende belonen? Komt het misschien omdat zij het zwaard van Damocles boven het hoofd zien hangen en vrezen voor de volgende reorganisatie? Komt het misschien omdat de bedrijfscultuur ook niet meer is wat hij ooit geweest is? Komt het omdat de medewerkers zich niet meer gewaardeerd voelen? Of zijn er andere redenen te vinden?

Feit is wel dat dergelijke incidenten al snel onder security incidenten worden geschaard. Maar hierbij moeten we iets verder doordenken. Veelal zien we dat de gevolgen inderdaad als security incident gezien kunnen worden. We geven de Security Manager opdracht hier iets aan te doen. Al snel komen er allerlei ingewikkelde technische maatregelen voorbij om de gegevens beter te beveiligen.

Een optie, dat zeker, maar kunnen we de Security Manager hier wel verantwoordelijk voor maken? Vaak zullen we zien dat de oorzaak van een incident zich helemaal niet bevindt in het security gebied. Neem het verkopen van bedrijfsgeheimen als voorbeeld. Dit is een organisatorisch probleem. We moeten ervoor zorgen dat de medewerker zich weer verbonden voelt met onze organisatie. We moeten voorkomen dat hij zijn ziel zomaar aan de “duivel” verkoopt.

De cultuur binnen het bedrijf zegt veel, ook als het gaat om de status van de informatiebeveiliging. De Security Manager heeft maar beperkte invloed op die cultuur, we kunnen hem of haar daar dan ook niet verantwoordelijk voor stellen.

Na een incident is het maar al te makkelijk om te wijzen naar de Security Manager, die heeft gefaald (althans, dat is het beeld). Het is de taak van de Security Manager om de verantwoordelijkheid voor beveiliging in de lijnorganisatie te beleggen. Na een incident moeten we niet de Security Manager op straat gooien, nee we moeten hem verzoeken het incident grondig te onderzoeken en tot de grondoorzaken te komen. Ook als we die oorzaken eigenlijk liever niet willen horen.

De kans is immers groot dat het niet zo zeer schort aan informatiebeveiliging maar aan verkeerde keuzes op managementniveau. De medewerkers zijn helaas inderdaad vaak de zwakste schakel, maar dat mag je hen niet kwalijk nemen. Het is onze taak om er, gezamenlijk met alle andere managers, voor te zorgen dat de cultuur goed is omdat we daarmee het risico op dergelijke incidenten verkleinen.