Opslag van attractieve zaken

We hebben gekeken naar het plaatsen en verplaatsen van apparatuur en daarmee kwamen we al automatisch bij de voorschriften voor kritische bedrijfsprocessen waarmee we ook al de bedrijfsmiddelen aan haalden. Daarbij kunnen we onderscheid maken in de dagelijkse bedrijfsmiddelen maar natuurlijk ook de meer attractieve zaken.

De vraag:
Is er een voorschrift waarin is vastgelegd hoe en waar attractieve (kostbare) zaken dienen te worden opgeborgen en hoe medewerkers met dergelijke goederen om dienen te gaan?

Voor meer attractieve zaken zullen we ook de voorschriften op orde moeten hebben, iemand moet verantwoordelijk zijn voor het beheer er van en we willen dat de administratie altijd op orde is. We stellen waarschijnlijk een proces op waarbij we ook de standaard formulieren toevoegen. Daarnaast kijken we dan weer goed naar functiescheiding en naar degene die tekenbevoegd zijn.

Daarmee zijn we al een heel eind. Periodiek kunnen we natuurlijk nog controleren of de aanwezige attractieve goederen ook echt overeen komen met de bijbehorende administratie. We zorgen er daarnaast voor dat degene die de goederen beheert ook de richtlijnen kent. Wie mag er tekenen voor welk bedrag, welke medewerker mag welke goederen op komen halen en ga zo maar door.

Mag iedereen bijvoorbeeld een BlackBerry hebben of is dat voorbehouden aan bepaalde management lagen? En hoe gaan we er mee om als een lagere manager probeert op zijn strepen te staan (omdat hij nu eenmaal belangrijk gevonden wil worden)? Degene die de voorraden beheert moet natuurlijk wel gesteund worden, hij moet de medewerkers op de richtlijnen kunnen wijzen en iedereen zal zich aan de processen en formulieren moeten houden.

We belanden al snel bij de bekende tone-at-the-top. Te vaak zien we nog dat alle medewerkers zich netjes aan de procedures moeten houden maar dat hoe hoger de manager, hoe minder de regels lijken te gelden. Diefstal door een medewerker zullen we hard bestraffen en we trekken een duidelijke lijn zodat een andere medewerker zich wel 3x zal bedenken om ook iets te stelen.

Maar ja, als die (hooggeplaatste) manager de regels overtreedt dan gelden er ineens andere wetten en regels. Dan willen we nog wel eens een stuk milder zijn, omdat hij nu eenmaal belangrijk is voor de organisatie. Hij haalt zoveel omzet binnen, we kunnen en willen hem echt niet kwijt.

Toch sluipt hier een gevaar in. Als je niet op past beïnvloed dat de cultuur binnen de organisatie op een negatieve wijze. Het gat tussen de “werkvloer” en de managementlagen wordt vergroot en voor je het weet staan de medewerkers met spandoeken voor de poort om te demonstreren.

Zo zie je maar waar de opslag van attractieve zaken zoal toe kan leiden. Ik geloof natuurlijk best dat we waardevolle zaken veilig achter slot en grendel opslaan. Of de processen en formulieren er ook bij aansluiten is alweer een andere vraag. Trekken we het nog breder dan kan het zelfs de cultuur binnen de organisatie negatief beïnvloeden. Dat geeft maar weer aan dat beveiliging toch ook maar gewoon een bedrijfskundig aspect is.

Scholings- en trainingsprogramma´s

Inmiddels hebben we gezien dat beveiligingsbewustzijn en het creëren van een cultuur toch wat ingewikkelder is dan we graag willen geloven. Je zou zelfs kunnen concluderen dat ik vind dat er een berg geld weggegooid wordt (en of je dat ook echt concludeert laat ik aan jou over). Ik wil natuurlijk helemaal niet zeggen dat je er niets aan moet doen, maar wel het liefst op een manier waarbij het ook enig effect heeft. Waar we ons wel op moeten focussen is het opleidingspakket dat we aanbieden voor medewerkers die een belangrijke bijdrage aan de beveiliging leveren.

De vraag:
Zijn er scholings- en trainingsprogramma’s op het gebied van beveiliging dat het (specifieke) personeel op de hoogte houdt van beveiligingszaken?

Met specifiek personeel bedoelen we niet zozeer de Security Officer, de Security Architect of welke willekeurige security functie dan ook. We gaan er vanuit dat die inderdaad scholing hebben gehad en aan permanente educatie doen. Nee, we doelen meer op de medewerkers die geen “security” in hun functiebenaming hebben maar daar wel een belangrijke bijdrage aan leveren.

Secretaresses, medewerkers van de postkamer, receptionistes, helpdeskmedewerkers, managers en een groot deel van de IT-beheerders binnen ons bedrijf. Zij moeten de fundamenten van beveiliging weten, zij moeten weten welke bijdrage ze daaraan leveren en welke risico’s we lopen als het verkeerd gaat.

Een scholings- of trainingsprogramma is dan ook niet iets dat we eenmalig samenstellen en dat voor al die functies geldt. Nee, de secretaresse moeten we in andere zaken trainen dan de IT-beheerder. De postkamermedewerker moet weer andere dingen weten dan de helpdeskmedewerker. We zullen ze moeten scholen en trainen in hun specifieke vakgebied.

Niet een eenmalige actie maar een continu proces waarbij we eerst een bepaalde basis willen bereiken maar vervolgens permanent bijleren. Dat kan natuurlijk vanuit de boeken of klassikaal, maar het kan ook gewoon door eens een dagje met ze mee te lopen en te kijken waar ze tegenaan lopen. Het kan ook door ze cases voor te leggen en het kan door gewoon aanwezig te zijn als ze ergens vragen over hebben. Doen we dat op de juiste wijze dan ontstaat er bij die medewerkers een bepaald gevoel bij beveiliging (doen we het goed dan ontstaat er een goed gevoel…doen we het slecht dan…nou ja, je begrijpt het).

Als deze medewerkers inderdaad goed geschoold en getraind zijn dan zullen zij al snel als ambassadeur voor de rest van de medewerkers kunnen gelden. Zij spreken mensen aan op incidenten, zij helpen mensen die er even niet meer uitkomen en zij beantwoorden de vragen waar mensen mee zitten. Niet vanuit een algemeen boek, maar vanuit hun eigen werkervaring. Niet vanuit een verplichting, maar omdat ze het leuk vinden.

Wilden we in ons vorige stuk nog bezuinigen op beveiligingsbewustzijnscampagnes, dan kunnen we dat geld misschien goed inzetten om specifieke medewerkers beter geschoold en getraind te krijgen op het gebied van beveiliging. Een typische win-win-situatie als je het mij vraagt.

Cultuur en beveiligingsbewustzijn

De titel zegt het al, we gaan het hebben over cultuur en beveiligingsbewustzijn. Het lijken misschien dezelfde begrippen maar er zit een wereld van verschil in. Daarom de vraag:
Worden er activiteiten ontplooit om de cultuur en het beveiligingsbewustzijn continu te verbeteren?

Binnen organisaties zien we erg veel beveiligingsbewustzijnscampagnes. De een wat origineler en uitgebreider dan de ander, maar goed, daar zullen we het maar niet over hebben. Feit is wel dat met een dergelijke campagne met name gericht wordt op de kennis bij de medewerkers. We willen ze vertellen wat ze wel en wat ze juist niet mogen. Dat doen we door enquêtes te houden zodat we weten hoe de vlag er bij hangt en vervolgens hangen we allerlei mooie posters op, ontwikkelen e-learning omgevingen en brengen misschien zelfs een beveiligingskrantje uit.

Zo, de campagne zit er weer op en nu nog afsluiten met een nieuwe enquête zodat we de voortgang kunnen meten. Wonderbaarlijk, we hebben ineens een sterk verbeterde score, toch? Dat hangt er natuurlijk maar helemaal vanaf hoe je het bekijkt.

Het is natuurlijk niet zo gek dat mensen echt wel wat oppikken als je ze verveelt met allerlei posters en verplichte e-learnings. Maar, als we volgend jaar weer beginnen met een nulmeting…wat is er dan echt bij ze blijven hangen en hoeveel minder incidenten hebben we gehad?

We haalden het al veel vaker aan. Het gaat om kennis, houding en gedrag. Het gaat om het bewerkstelligen van een cultuur waarin beveiliging heel normaal is en waar iedereen zijn of haar steentje bijdraagt. Ik heb nog maar weinig organisaties gezien waar we echt kunnen spreken over een beveiligingscultuur.

We moeten er dan wellicht wel iets aan doen omdat we anders niet compliant zijn, maar daar houdt het dan ook wel een beetje mee op. We leggen nog maar nauwelijks de link met de algemene cultuur binnen de organisatie. De beveiligingscultuur gaat daar echt niet veel van afwijken.

Willen we dat iedereen netjes de e-learning doet, begin dan eens bij het management. En nee, ze mogen het de secretaresses niet laten doen maar moeten zelf aan de bak. Jammer genoeg krijgen ze er geen bonus voor…want dan was de kans toch een stuk groter dat het wel gebeurde. Het is een noodzakelijk kwaad en niemand heeft er zin in. Een feit, tenzij het ons echt lukt om de cultuur te veranderen.

We moeten niet vergeten dat we een cultuur niet even snel kunnen veranderen. De mensen maken de cultuur en het zijn dus ook de mensen die die cultuur kunnen veranderen. Onze mooie posters hebben daar nauwelijks invloed op. Ach, misschien is het een geluk bij een ongeluk dat we ook eigenlijk geen goed zicht hebben op de beveiligingsincidenten die zich voordoen. Wat niet weet, wat niet deert.

Stellen we onszelf nog wel de vraag of de budgetten die we eraan besteden niet beter op een andere manier kunnen worden ingezet? Moeten we wettelijk iets doen, ja dan zal het geld kosten, maar vechten we tegen de bierkaai, dan moeten we misschien kijken of we het budget op een efficiëntere wijze in kunnen zetten die meer bijdraagt aan een beveiligde omgeving. Nu wil je van mij wellicht graag het eenduidige antwoord over hoe dan wel, maar helaas is dat antwoord niet te geven. Daarvoor zullen we toch echt moeten onderzoeken wat we er nu aan doen, wat dat dan kost en welke betere methodes we kunnen bedenken.

Geen makkelijke opgave, maar wel een belangrijke die ook nog eens kan werken. Moet jij kijken hoe het management je onthaalt als je aangeeft volgend jaar nog maar de helft van je beveiligingsbewustzijnsbudget nodig te hebben. Weer een besparing bereikt, of is dat alleen maar voor de korte termijn?

Beveiliging & “the tone at the top”

Eerder hadden we het al over voldoende steun en betrokkenheid van het (top)management binnen de organisatie. Hoewel de volgende vraag daar dicht tegen aan ligt, is er toch een klein verschil.

Geeft het management het goede voorbeeld ten aanzien van integrale beveiliging?

Naast zichtbare steun en betrokkenheid bij beveiliging moet het management ook het goede voorbeeld geven. Beveiligingsbeleid geldt voor de gehele organisatie. Dus niet alleen voor de medewerkers maar zeker ook voor de top van de organisatie. Te makkelijk wordt het beleid vastgesteld en voor iedereen van kracht verklaard…behalve voor het (top)management. Natuurlijk moet iedere medewerker zijn of haar toegangspas zichtbaar dragen (als we dat tenminste in het beleid bepaald hebben, is een keuze). Maar als het management vindt dat zij wel op hun blauwe ogen vertrouwd kunnen worden en besluiten om deze pas lekker in de binnenzak te houden dan is dat niet de juiste “tone at the top”.

Niet voor niets is al jaren het gezegde: ‘Goed voorbeeld doet volgen’. Dat geldt overigens ook voor slecht voorbeeld gedrag. Kunnen we het de medewerkers kwalijk nemen als ze zich niet aan de regels houden als het management dat ook niet doet? Zijn we roomser dan de paus? Nee, beleid en regels gelden voor iedereen…tenminste, als we er echt voor willen zorgen dat het gaat werken.

Als het management het niet zo nauw neemt met beveiligingsmaatregelen dan kan van het personeel niet verwacht worden dat zij zich er wel aan zullen houden. Beveiliging wordt bereikt door de cultuur in de organisatie. Ook hiervoor geldt dat beveiliging geen exotische buitenstaander is. De algehele cultuur van een organisatie is uitgangspunt voor de beveiligingscultuur van die organisatie. Hoe vaak zien we niet dat een organisatie veel geld besteedt aan een security awareness campagne zonder de link te leggen met de algemene cultuur binnen de organisatie? De beveiligingscultuur zal niet wezenlijk anders zijn of worden omdat we dat zo graag willen en daar die campagnes tegenaan gooien. Nee, de beveiligingscultuur staat, net als de rest van beveiliging, niet los maar is onderdeel van het grotere geheel. Daarom werken veel security awareness campagnes dan ook niet echt (ja, uit de uitkomsten van de sociaal wenselijke enquêtes blijkt wat anders, ik weet het, maar is het ook echt meetbaar in houding en gedrag en dus minder incidenten en risico’s?).

De cultuur in de organisatie verandert niet, nee, de mensen in die organisatie veranderen en de cultuur verandert daarmee mee. Als we dat accepteren dan zullen we ook inzien dat het wijzigen van een cultuur veel meer in zich heeft dan een simpele campagne of posteractie. Cultuur veranderingen duren vele jaren en daar is veel kennis en inzicht bij nodig…dat kun en mag je niet aan de security manager over laten.

Het grootste risico van een onjuiste ‘tone at the top’ is dat het beveiligingsbeleid en de voorschriften en procedures die zo nauwlettend zijn opgesteld een papieren tijger zijn geworden. Papieren tijgers waar niemand op zit te wachten (nou ja, de auditor of toezichthouder dan misschien). Nee, als we beveiliging echt goed willen inrichten dan is dat beleid niet zomaar een papiertje, nee het is iets dat echt impact heeft of moet hebben. Willen we dat niet? Ook dat is geen probleem, dan moeten we daar alleen het beleid op aanpassen.