Vandaag gaan we in op het risico: Het project voldoet niet aan het beleid van de organisatie
Inmiddels weten we dat het project een bijdrage moete leveren aan de missie en strategie van de organisatie. Maar het moet ook passen binnen het beleid van die organisatie. Het beleid stelt de kaders waaraan we moeten voldoen.
Voldoet het project niet aan het beleid dan levert het straks een resultaat dat niet past binnen de organisatie en dat mogelijk de intere regels overtreedt.
De titel zegt het al: toegangsbeveiliging. Nu zijn er hele boeken te schrijven over toegangsbeveiliging. Dat is hier niet het doel. Het is hier slechts een van de vragen die we ons stellen in het groter geheel. We vliegen er dus wat hoog overheen, maar kunnen er natuurlijk altijd op inzoomen als we dat willen.
De vraag is daarom:
Is er een door het management opgesteld voorschrift omtrent de toegang tot (toegangsbeveiliging van) de terreinen en/of gebouwen?
Bij toegangsbeveiliging denken we natuurlijk direct aan de toegangspasjes en de poortjes in de hal van ons kantoor. Inderdaad middelen die we toe kunnen passen, maar pas nadat we de principes op het gebied van toegangsbeveiliging hebben bepaald. Voordat we naar allerlei maatregelen grijpen moeten we dus wat beleidsmatige keuzes maken.
Willen we wel aan toegangsbeveiliging doen? En zo ja hoe zwaar moet die zijn? En welke middelen overwegen we daarvoor? Laten we bij het begin beginnen: wat is ons doel met de toegangsbeveiliging? Willen we voorkomen dat ongeautoriseerde personeel makkelijk naar binnen kan? Willen we voorkomen dat zij informatie van ons onder ogen krijgen? Willen we voorkomen dat ze spullen van ons stelen? Waarschijnlijk een combinatie van voorgaande vragen.
Ook hier geldt weer dat toegangsbeveiliging situationeel afhankelijk is. Hebben we een winkel dan willen we dat de klanten zo makkelijk mogelijk naar binnen kunnen…maar in ons magazijn willen we ze liever niet hebben. Hebben we een kantoorgebouw dan willen we dat bezoekers zich aanmelden bij de receptie en dat ze begeleid worden in ons gebouw. Zijn ze eenmaal in ons gebouw dan willen we niet dat ze zomaar in onze serverruimte kunnen. Allemaal niet zo bijzonder maar wel aspecten waar we over na moeten denken en waar we standpunten over in moeten nemen voordat we tot de aanschaf van toegangsbeveiligingsmaatregelen over kunnen gaan.
Hebben we eenmaal onze principes, ons beleid, duidelijk dan zijn er nog allerlei vormen van toegangsbeveiliging. Zetten we 24 uur per dag een bewaker voor de deur die iedereen controleert? Maken we gebruik van toegangspasjes en zo ja moeten die dan wel of niet een foto bevatten? Combineren we die toegangspasjes ook nog met een pincode of gaan we toch liever voor een irisscan of aderdetectie (ik zal je niet vermoeien met de technische details, maar je bent natuurlijk vrij om te Googlen). Kortom: er zijn genoeg keuzes te maken als we het hebben over de daadwerkelijke maatregelen. Naast de hier bovengenoemde zijn er natuurlijk nog veel meer.
Maar goed, onze principes zijn duidelijk, we hebben keuzes gemaakt over de maatregelen die we nemen. Nu moeten we nog zorgen dat de juiste personen de juiste autorisaties krijgen en dat we periodiek bekijken of iedereen nog wel bij al die ruimtes moet kunnen.
In de praktijk kun je toegangsbeveiliging wel vergelijken met licht. Het is verstandig om een lichtplan te maken voordat je thuis gaat verbouwen. Zo weet je welk lichtpunt waar moet komen zodat je overal over het gewenste licht kunt beschikken. Datzelfde geldt natuurlijk voor toegangsbeveiliging. Het is wijs om vooraf een toegangsbeveiligingsplan op te stellen voordat we in allerlei elektronische maatregelen verzanden.
Toegangsbeveiliging, er is enorm veel over te schrijven, maar voor hier en nu gaat dat te ver. We zijn er hoog overheen gevlogen en raden je zeker aan je er meer in te verdiepen als het een van de vragen is die jij moet beantwoorden.
We hebben de gedragscode en nog zijn er medewerkers die zich daar niet aan houden. Frustrerend, toch? Nou dat valt wel mee, maar daar gaan we straks verder op in. Voor die gevallen waarbij stelselmatig de regels worden overtreden is het goed om een sanctiebeleid te hebben zodat we in kunnen grijpen als dat echt nodig is.
De vraag:
Is er een sanctiebeleid voor afwijkingen van de gedragscodes?
Laten we eerst even terug komen op het feit dat de frustratie wel mee kan vallen. Voordat we sancties op gaan leggen (een laatste redmiddel) moeten we eerst zien te achterhalen waarom de regels werden overtreden. Wilde de medewerker zich niet aan de regels houden of kon hij dat niet omdat er andere belangen speelden of de regels gewoon onzinnig zijn?
Als hij er niet aan wilde meewerken terwijl wij hem wel alle middelen hebben gegeven dan kunnen we besluiten het sanctiebeleid in werking te stellen. Daarmee moeten we wel terughoudend zijn en dat moeten we dan doen zonder aanziens des persoons. Wat hiermee bedoeld wordt? Nou, eigenlijk heel simpel: als het geldt voor de medewerkers op de werkvloer dan geldt het ook voor de manager in de ivoren toren. Passen we het sanctiebeleid niet rechtlijnig toe dan gaan we geen stand houden in de rechtbank (nog los van het feit dat het natuurlijk onterecht is om managers wel de regels te laten overtreden).
Terugkomend op de medewerkers die de regels best toe willen passen maar dat, om wat voor reden dan ook, niet kunnen. We moeten gedragscodes hebben die ondersteunend zijn aan de bedrijfsvoering waarbij we de regels steeds zullen moeten fine tunen. Stellen we de regels te strak dan gaat iedereen ze overtreden, zijn de regels te vrijblijvend dan lopen we risico’s. Na een incident waarbij de gedragscode is overtreden moeten we dus niet (in alle gevallen) direct het sanctiebeleid toepassen, nee we moeten eerst de echte oorzaak zien te achterhalen en onze gedragscodes daarop aanpassen.
Neem nu als voorbeeld de toegangspasjes tot een kantoorgebouw. Als regel stellen we dat bezoekers zich moeten melden en dat medewerkers een pasje hebben en bezoekers begeleiden. Maar hoe snel en makkelijk kunnen we pasjes verzorgen voor nieuwe medewerkers? En hoe gaan die nieuwe medewerkers in de tussen tijd al aan de slag? Willen we meelopen voorkomen dan moeten we die nieuwe medewerker wel middelen geven om zich aan de regels te houden. Hij of zij kan bijvoorbeeld een tijdelijke pas krijgen tot de eigen pas klaar is. Zo voorkom je dat een collega de nieuwe medewerker mee naar binnen moet smokkelen (waarbij ze dus beide de gedragscode overtreden). Te vaak zien we nog dat nieuwe medewerkers nog niet over de middelen beschikken om zich aan de regels te houden, vreemd eigenlijk. De eerste paar dagen staan we toe dat zij de regels overtreden (omdat onze processen gewoon niet goed zijn ingericht), later verwachten we dat ze zich er wel aan houden…we geven nogal tegenstrijdige signalen af, vind je niet?
Het opstellen van gedragscodes en sanctiebeleid is op papier helemaal niet zo ingewikkeld. Ga er even voor zitten en je hebt een berg regels opgeschreven, die in de praktijk echter niet werken. De kunst is nu juist om regels en sanctiebeleid op te stellen dat werkt. Maak ze SMART (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdsgebonden), doen we dat op de juiste wijze en overtreden medewerkers dan willens en wetens de regels, dan kunnen we teruggrijpen op ons sanctiebeleid (dat uiteraard ook SMART is). Maar dat is ons laatste redmiddel, het toe moeten passen van het sanctiebeleid is eigenlijk het falen van het managen van de beveiligingsmaatregelen.
Europese bedrijven hebben hun vertrouwelijke informatie onvoldoende beveiligd. Nu veel werknemers werk meenemen op vakantie lopen bedrijven het risico dat vertrouwelijke informatie op straat komt te liggen (bron).
Eerst maar even de feiten op een rij:
Het staat natuurlijk leuk dat werknemers bedrijfsgegevens meenemen op vakantie maar daar gaat het in dit geval helemaal niet om. Het gaat namelijk in zijn algemeenheid over het meenemen van bedrijfsgegevens en daarbij doet het er niet toe of dat is naar de camping of gewoon naar huis. Nee het gaat erom dat bedrijven helemaal geen zicht hebben op wat er met hun gegevens gebeurt. Hierbij moeten we verder kijken dan afgedrukte gegevens alleen, want er gebeuren ook dingen met onze digitale gegevens waar we geen zicht op hebben.
Slechts 41% heeft een beleid voor het afdrukken van vertrouwelijke gegevens en 44% voor het meenemen daarvan, dat klinkt al schrikbarend maar tel daarbij nog even de volgende discussie op: wat zijn vertrouwelijke gegevens? Wat voor jou vertrouwelijk is hoeft dat voor mij helemaal niet te zijn. Nee de discussie gaat dus veel verder dan vertrouwelijke gegevens. Het gaat om een algemeen afdruk/meeneem beleid van zowel analoge als digitale gegevens. Verschillende niet vertrouwelijke gegevens bij elkaar kunnen juist weer vertrouwelijk worden en wat vandaag vertrouwelijk is hoeft dat morgen niet meer te zijn (denk bijv. aan financiële jaarstukken).
Slechts weinig bedrijven hebben echt zicht op de vertrouwelijkheid van hun gegevens. Vaak moet de medewerker maar bepalen of het vertrouwelijk is zonder dat daar enig toezicht op is en we weten toch allemaal hoe het met het beveiligingsbewustzijn van het personeel gesteld is?
Zo te zien ligt er de komende jaren nog genoeg werk op ons te wachten en dat begint bij het bewust maken van het management en juist daar ontbreekt het vaak aan.
Er zijn echt wel maatregelen te bedenken om de gegevens beter te beveiligen, maar dan zal het management de eerste stap moeten zetten en moeten snappen welke risico’s ze nu echt lopen. Het meenemen van (vertrouwelijke) gegevens is er daar slechts één van.
