Tag: kritisch

Voorschriften voor en toezicht bij gevoelige bedrijfsprocessen

  door

De voorschriften voor kwetsbare apparatuur en waardevolle goederen zijn inmiddels opgesteld, medewerkers zijn er mee bekend, we controleren het regelmatig en het blijkt ook nog voor een groot deel te worden nageleefd. Hartstikke goed. In lijn van die voorschriften gaan we ook kijken naar de gevoelige bedrijfsprocessen.

De vraag:
Zijn er voorschriften voor en toezicht op het, uitsluitend geautoriseerd, personeel bij de uitvoering van (zeer) gevoelige bedrijfsprocessen?

We hebben al vaker gezien dat de bedrijfsprocessen worden ondersteund door informatie, materieel en personeel. Die moeten we dus beschermen. Maar het doel van die ondersteunende middelen is er voor te zorgen dat de bedrijfsprocessen gecontinueerd kunnen worden. Ja, ik weet het, we vallen misschien in herhaling: maar de continuïteit van de processen is waar we het voor doen, daarmee helpen we nu juist onze klanten om hun behoefte te bevredigen. Maar goed, laten we vooral niet te abstract worden.

Als het goed is hebben we inmiddels ook zicht op onze bedrijfsprocessen. Daarbij maken we misschien onderscheid in onze primaire en secundaire processen en we hebben ook gekeken naar hoe kritisch of vertrouwelijk dat proces is voor onze organisatie.

Voor die processen die we belangrijk vinden stellen we extra voorschriften op. We willen niet dat ongeautoriseerd personeel die processen kan verstoren. Nee, we willen alleen goed getrainde medewerkers en we houden strikt toezicht op de naleving van onze voorschriften.

Werken we bijvoorbeeld met geldstromen, dan willen we niet dat iedereen zomaar bij grote sommen geld kan komen. We zetten niet de eerste de beste medewerker in, nee we hebben een screening uitgevoerd, we hebben Verklaringen Omtrent Gedrag, we hebben hem goed getraind en we laten hem in het begin meelopen met een medewerker die we vertrouwen. Vervolgens laten we hem stukje bij beetje los en we houden toezicht op wat hij nu precies doet.

Een voorbeeld met geldstromen is redelijk concreet. Maar dit geldt net zo goed voor andere processen. Werken we met giftige stoffen dan volgen we een vergelijkbaar pad. Vinden we ons bedrijf niet zo spannend omdat we niet zulke spannende processen hebben, dan nog willen we niet zomaar iedereen binnen halen en aan onze processen laten werken. Vertrouwen moet groeien en als dat vertrouwen er eenmaal is, dan moet dat niet geschaad worden.

Welke voorschriften je precies op stelt, wat wel en wat niet mag, ja dat is een keuze van de organisatie. Op hoofdlijnen kun je uitgaan van twee principes: alles mag, tenzij…of juist: niets mag, tenzij… De Security Managers 2.0 zijn natuurlijk voorstander van het eerste principe, we geven de medewerker verantwoordelijkheid, we controleren wat nodig is, maar bemoeien ons niet met zaken waar we ons niet mee moeten bemoeien.

Doen we dat goed, dan gaan medewerkers zelf nadenken. Ze nemen hun verantwoordelijkheid en niet alleen op het gebied van beveiliging. De organisatie kan er alleen maar beter van worden.

Administratie van kwetsbare activa

  door

Hopelijk zijn we inmiddels van de schrik bekomen en accepteren we dat beveiliging inderdaad een lijnverantwoordelijkheid is. Als dat zo is, dan zijn we misschien geneigd om direct aan de slag te gaan en allerlei maatregelen te bedenken waardoor de boel beter beveiligd wordt. Maar, ho, stop, voor we dat doen, moeten we stil staan bij de aspecten die voor onze organisatie kritisch zijn en op basis daarvan gaan we de beveiliging inrichten.

Vraag je je af hoe je dat moet doen en waar je rekening mee moet houden? Ja, dan kan ik je alleen maar adviseren mijn blogs van de afgelopen maanden er nog eens op na te slaan. Doorlopen we die vragen nog eens en plaatsen we die binnen de juiste kaders dan zijn we al een heel eind.

Maar voor diegene die op dit moment geen tijd hebben om alles te gaan lezen (misschien is het niet zo’n gek idee om me eens uit te nodigen voor een goed gesprek) en die gewoon aan de slag moeten, stellen we de volgende vraag:
Is er een administratie bijgehouden van de kwetsbare (kapitale) activa (zoals apparatuur en daarop geplaatste programmatuur) waaruit blijkt welke apparatuur waar vastgelegd moet zijn?

We willen een briefje van 10 euro niet beveiligen met een kluis van 1.000 euro. Logisch, toch? Zeker, hier kan iedereen zich wat bij voorstellen. Plaatsen we dit in een ander licht dan zien we toch nog vaak dat het middel erger is dan de kwaal. We nemen meer, veel meer, beveiligingsmaatregelen dan nodig zijn. Dat geeft ons immers een gevoel van veiligheid…schijnveiligheid, dat dan weer wel.

Het lijkt misschien vreemd dat ik, als adviseur op dit gebied, adviseer om juist minder beveiligingsmaatregelen te treffen. Toch is dat niet meer dan logisch (althans, dat vind ikzelf natuurlijk). Iedere maatregel die we treffen heeft weer een nieuw risico in zich…en risico’s afdekken, dat is nu juist waar het allemaal om ging. Als je tussen de regels doorleest adviseer ik je dus niet direct om minder maatregelen te nemen maar ik adviseer je om de risico’s als uitgangspunt te nemen. Doen we dat dan komen die maatregelen vanzelf wel. Doen we dat ook nog eens goed dan is er een grotere kans op een match tussen risico en beveiligingsmaatregel. We voelen ons dus niet alleen veiliger, nee we zijn ook daadwerkelijk beter beveiligd.

Maar goed, terug naar de vraag. Kijken we naar de apparatuur dan moeten we de link leggen naar de bedrijfsprocessen die ze ondersteunen. Hoe belangrijk is dat bedrijfsproces voor het voortbestaan van onze organisatie en hoeveel risico kunnen we daarmee lopen. Zo krijgen we zicht op de kritieke apparatuur die we gewoon nodig hebben. Daar moeten we dus iets mee.

Aan de andere kant hebben we misschien nog apparatuur of activa die niet zo zeer kritisch maar wel erg kostbaar is. Hebben we ons geld gestopt in een goudbaar dan is dat een kostbaar goed waar we ook iets mee moeten. Enerzijds omdat het ons teveel geld kan kosten om kapitale activa te vervangen (kost geld, misschien teveel geld waardoor we problemen krijgen met de liquiditeit) anderzijds omdat het best zo kan zijn dat die apparatuur belangrijk voor ons is.

Stel dat je een robotstraat geïnstalleerd hebt om jouw product te maken. Die robotstraat was niet goedkoop en moet jaren mee omdat we anders niet goed af kunnen schrijven. We moeten er dus iets mee. Maar die robotstraat zorgt er ook voor dat we ons product kunnen fabriceren. Ons product, waarmee we omzet maken. Ligt die robotstraat er uit omdat we de risico’s verkeerd hebben ingeschat dan kost ons dat dus omzet.

Leggen we de relatie tussen de bedrijfsprocessen en de ondersteunende middelen en houden we daarbij rekening met de risico’s die we lopen. Dan komen we vanzelf tot de kwetsbare activa (in de breedste zin van het woord) die we voldoende moeten beveiligen. Niet door nog meer maatregelen te treffen maar door te kijken naar die set (technische, procedurele, organisatorische, bouwkundige en elektronische) maatregelen die de risico’s afdekt.