Tag: bedrijfsmiddelen

Toestemming voor bedrijfsmiddelen voor het verlaten van het gebouw

  door

Nu we weten hoe we met de bedrijfsmiddelen en attractieve zaken om moeten gaan, kunnen we gaan kijken naar de controle daarop. Dagelijks komen de medewerkers ons gebouw binnen en aan het eind van de dag verlaten ze de werkplek ook weer. Maar welke spullen nemen ze allemaal mee en welke zouden ze mee mogen nemen?

De vraag:
Zijn er maatregelen genomen die er zorg voor dragen dat (kwetsbare, kapitale) bedrijfsmiddelen niet zonder toestemming (registratie) het gebouw verlaten?

De betreffende vraag gaat twee kanten op. Enerzijds wil je niet dat medewerkers allerlei eigen apparatuur meenemen het gebouw in terwijl je aan de andere kant ook niet wil dat de apparatuur van de organisatie zonder toestemming wordt meegenomen.

Laten we eerst inzoomen op de eigen apparatuur van medewerkers. Hoe vaak zien we de waterkokers en Senseo-apparaten niet in de vensterbank staan? Dat mag dan misschien onschuldig lijken, maar weten we zeker dat onze stroomvoorziening die apparatuur ook allemaal aan kan? Houden we er rekening mee dat een medewerker aan het eind van de dag kan vergeten om het apparaat uit te zetten? Geeft dat geen extra risico’s voor brand en kortsluiting? Prima als het binnen onze organisatie is toegestaan om dergelijke apparatuur mee te nemen, maar dan moeten we wel de risico’s onderkennen en daar misschien wat mee doen.

Tot zover de waterkokers en koffiezetautomaten. Die staan we misschien toe. Maar mag een medewerker dan ook zijn eigen laptop meenemen en daar onze bedrijfsgeheimen op opslaan? Misschien roepen we nu volmondig: “nee”. Maar er ontstaat een nieuw principe dat we “bring-your-own” noemen. Dat houdt zoveel in als dat de medewerker maar lekker zelf moet zorgen voor zijn laptop.

Op zich helemaal geen probleem, het heeft alleen impact op de soort en de hoogte van de risico’s. Kwestie van een risico analyse uitvoeren en de juiste maatregelen nemen en eventuele beveiligingsmiddelen aan de medewerkers beschikbaar stellen. De 2.0 Security Manager ziet het als een uitdaging en denkt graag met de organisatie mee.

Naast het meebrengen van eigen apparatuur willen we natuurlijk ook voorkomen dat medewerkers apparatuur mee naar buiten nemen. Ze mogen dan een laptop hebben (liefst met een geleideformulier of iets dergelijks) maar andere apparatuur moet misschien wel gewoon in ons gebouw blijven. De laptop is voorzien van encryptiesoftware dus de informatie daarop is goed beveiligd. Maar wat als de informatie is opgeslagen op USB-sticks of externe harde schijven? Is die informatie ook goed beveiligd?

Vertrouwen is goed, controle is beter. Als we dus willen voorkomen dat bedrijfsmiddelen ons gebouw verlaten dan zullen we dat ook moeten controleren. Leuk dat we formulieren en een dikke administratie voeren, maar als we het nooit controleren dan heeft dat weinig zin. Bij controles geldt dan weer dat we de medewerkers daarvan op de hoogte moeten stellen en de kans is groot dat we even langs de OR moeten om zaken formeel te regelen.

We willen natuurlijk niet als politie agent gezien worden. We doen het dan ook niet om de medewerkers terecht te kunnen stellen. Nee, we doen het vanuit de optiek van de organisatie. Willen we dat het slaagt dan zorgen we er eerst voor dat een medewerker zijn werk zo makkelijk mogelijk kan doen, is dat gelukt dan is er helemaal geen noodzaak meer om bedrijfsmiddelen mee het gebouw uit te laten.

Eigenaarschap van bedrijfsmiddelen

  door

We hebben een Security Manager of Officer en die regelt de hele beveiliging wel voor ons. Goede zaak, dan hoeven we er als managers niet meer naar om te kijken en als het fout gaat kunnen we massaal een verantwoordelijke aanwijzen wiens kop het gaat kosten. Zo, lekker ons straatje schoongeveegd.

Helaas zien we dat nog te vaak gebeuren. We hebben nog niet allemaal op ons netvlies dat beveiliging een lijnverantwoordelijkheid is waarvoor de Security Manager de kaders schept, maar waar iedere manager iets aan moet doen. Dit roept misschien een berg discussie op, maar ben je als manager ook niet verantwoordelijk voor de kwaliteit die je levert? Juist. Laat beveiliging nu een kwaliteitsaspect zijn.

De vraag:
Is voor alle bedrijfsmiddelen vastgelegd wie de eigenaar of de houder is, zodat duidelijk is wie verantwoordelijk is voor een beveiligingsmaatregel?

We kunnen niet van een Security Manager verwachten dat hij de beveiliging voor ons regelt en we zelf lekker achterover kunnen leunen. Sterker nog, dat moet je als manager helemaal niet willen. Stel dat hij maatregelen voorschrijft waardoor jij je product of dienst niet meer kan leveren? Wie wordt er op aangekeken als jij je targets niet haalt?

Om onduidelijkheden te voorkomen moet je dus goed vastleggen voor welke bedrijfsprocessen en bedrijfsmiddelen je verantwoordelijk bent. Jij hebt die spullen nodig om je proces te kunnen laten draaien en jij mag bepalen hoe goed je die beveiligd wilt hebben. De Security Manager schept de abstracte kaders waarbinnen jij kunt acteren. Zo zorgen we er niet alleen voor dat de boel veilig is, maar zorgen we er ook voor dat jij je targets kunt halen. Besluit een manager om een risico te accepteren, dan is dat zijn goed recht…tenzij hij daarmee de organisatie in gevaar brengt.

Het management van de organisatie stelt het risicogedrag vast. Willen we nu juist risicodragend, risico neutraal of toch liever risicomijdend zijn? Dan zijn de kaders van de Security Manager daarop ingericht en mag jij, als manager, binnen die kaders je eigen spel spelen. Het management blij, de Security Manager blij en jij blij.

Als je verantwoordelijk bent voor een bepaald bedrijfsproces of een bepaald bedrijfsmiddel, dan ben je daarmee ook automatisch verantwoordelijk voor de beveiligingsmaatregelen die je genomen hebt. Natuurlijk mag je de Security Manager om advies vragen, geen probleem. Maar jij maakt de uiteindelijke keuze…ook als je je daar niet helemaal goed bij voelt. Met je rol als manager komen ook verantwoordelijkheden, niks nieuws onder de zon.

Toch zien we nog te vaak dat de Security Manager de verantwoordelijkheid in zijn of haar schoenen geschoven krijgt. Dat is jammer en teveel Security Managers laten dit gebeuren waardoor ze een onuitvoerbare taak krijgen. Zo lang het goed gaat en er weinig incidenten plaatsvinden worden ze gekort op hun budget en als het dan toch een keer fout gaat komen ze op straat te staan.

Een rol als Security Manager is een enorme uitdaging en goed uitvoerbaar, mits je de juiste kaders stelt. Een van die kaders is de simpele zin in je beleid dat beveiliging een lijnverantwoordelijkheid is. De Security Manager kan niet verantwoordelijk zijn voor de beveiliging van een bepaald proces dat door een ander wordt uitgevoerd. Zo kan een manager niet verantwoordelijk gesteld worden voor de beveiligingskaders die de Security Manager schept.

Willen we zorgen dat de boel goed beveiligd is? Dan gaan we dus samenwerken. Niet om het elkaar moeilijk te maken maar juist om de continuïteit van de organisatie op een zo goed en efficiënt mogelijke wijze te garanderen.