Vandaag gaan we in op de inrichting van de beveiligingsorganisatie. Dat klinkt natuurlijk allemaal erg zwaar en of er een formele beveiligingsorganisatie hoeft te zijn of dat we hem functioneel inrichten hangt helemaal van de omvang en de aard van de organisatie af.
Toch is het belangrijk om onszelf de volgende vraag te stellen:
Is de beveiligingsorganisatie ingericht?
Daarmee hoeven we dus niet direct een hele nieuwe afdeling op te tuigen die zich met alle aspecten van de beveiliging bezig gaat houden, een afdeling waarbij technische informatiebeveiligers en beveiligers die verstand hebben van bouwkundige zaken bijeen zijn gebracht is niet noodzakelijker wijs nodig. Er kan ook voor gekozen worden om de taken die horen bij de Security Manager onder te brengen bij reeds bestaande functies. Dan is het uiteraard van groot belang om die manager die de taken er bij krijgt goed te informeren en goed op te leiden.
Een kleine beveiligingsorganisatie binnen de staf en direct vallend onder de directeur die verantwoordelijk is voor de totale beveiliging. Met functionele lijnen naar de staande organisatie waarbij met name de link met IT, Facility en HR (of P&O) van belang is. Hij of zij moet een escalatie mogelijkheid hebben naar het hoogste management en moet daar alleen gebruik van maken als dat strikt noodzakelijk is.
We willen het hoogste management niet lastig vallen met allerlei details en escalaties. Nee, als we een goede band opbouwen met de staande organisatie, als de lijnmanagers weten dat ze hun verantwoordelijkheid moeten nemen en als we een functionele relatie hebben met goed opgeleide mensen binnen de organisatie, dan kunnen we spreken over een beveiligingsorganisatie die een slagingskans heeft.
In de praktijk zien we veelal dat de taken van beveiliging neergelegd worden bij de IT-manager of de Facility Manager. Op zich kan dat, maar we moeten ons wel bedenken dat de doelstellingen van die organisaties anders kunnen zijn dan de doelstellingen van de totale organisatie. Beide afdelingen zijn met een specifiek aspect van de bedrijfsvoering bezig en richten zich minder op de totale strategie van de organisatie. Leggen we de taken bij IT neer, dan zal er veel aandacht zijn voor technische beveiligingsmiddelen als firewalls en anti-virus. Leggen we de taken neer bij Facility dan wordt er al vaker gekeken naar de bouwkundige elementen. Voor de uitvoering van de beveiliging kunnen beide afdelingen zeker betrokken worden, het is alleen de vraag of we hen ook het integraal beveiligingsbeleid op willen laten stellen. Persoonlijk geef ik er de voorkeur aan hier functiescheiding toe te passen. Een functionaris in de staf stelt het beleid en de kaders (bijvoorbeeld de kwaliteitsmanager), IT en Facility voeren binnen die kaders hun werkzaamheden uit (en hebben dus absoluut een belangrijke rol).
Voor grotere organisaties of organisaties die veel met vertrouwelijke informatie werken kan uiteraard gekozen worden om de functie van Security Manager om te bouwen naar een formele Security afdeling. Waarbij overigens nog steeds geldt dat die afdeling de kaders aanreikt, die de adviezen geeft, die de lijn ondersteunt. Maar de lijn blijft zelf verantwoordelijk voor de door haar gemaakte keuzes…zijn we het niet met de keuze van de lijn eens dan gaan we eerst met ze in overleg. Bereiken we daarmee geen succes, dan kunnen we altijd nog kiezen om de escalatie naar het management in te zetten. Niet op een vervelende manier waarbij we de lijnmanager passeren. Nee, helemaal niet nodig, we leggen de keuze gewoon gezamenlijk voor aan het hoogste management, niemand die hiervoor gezichtsverlies hoeft te lijden.
De beveiligingsorganisatie. Het hoeft dus niet perse een formele afdeling binnen de organisatie te zijn, maar kan net zo goed een functionele organisatie zijn. Uiteraard komen er bij de inrichting van de organisatie ook zaken als de budgetten, taken, bevoegdheden en verantwoordelijkheden, de bezetting, de doelstellingen, de verantwoordingen etc., etc. aan de orden. Maar het gaat hier te ver om exact in te gaan op de wijze waarin we de organisatie daarmee inrichten…dat moet gewoon aansluiten bij de rest van de organisatie. Niets exotisch, maar gewoon een reguliere afdeling die past bij de aard en omvang van de totale organisatie.