Na de risico analyses, de rondes door de gebouwen en aan de hand van onze CMDB weten we waar de kwetsbare apparatuur en goederen staan…of stonden, want weten we het nog echt of zijn er verplaatsingen geweest waar we ons niet van bewust zijn?
De vraag:
Zijn er voorschriften voor het verplaatsen van kwetsbare (kapitale) apparatuur/goederen?
We willen niet dat onze processen stil komen te liggen omdat iemand besluit dat die server mooier zou staan aan de andere kant van de serverruimte. We willen ook niet dat onze waardevolle goederen de organisatie verlaten omdat men ze ook wel mooi thuis op de schouw vindt staan.
We zullen dus voorschriften op moeten stellen en daarbij maken we onderscheid in die apparatuur die kritisch is voor onze bedrijfsprocessen en die waardevol zijn waardoor ze aantrekkelijk kunnen zijn voor medewerkers. Het moet voor een ieder duidelijk zijn dat we niet zomaar spullen in ons gebouw kunnen verhuizen. We willen zicht houden op waar deze zaken zich bevinden.
Het lijkt misschien of dit een non-issue is. Maar als het goed is hebben we het gebouw dusdanig ingericht dat de risico’s zo goed mogelijk beheerst worden. Daarom staan de servers in de serverruimte en zorgen we er met bouwkundige en elektronische maatregelen voor dat die serverruimte zo goed mogelijk beveiligd is. Stel dat we zomaar een server zouden verhuizen naar een andere ruimte dan wordt het risico profiel van die server anders. We lopen meer risico’s en moesten we bij wijzigingen in de omgeving niet de risico analyses opnieuw uitvoeren?
Natuurlijk is het helemaal niet erg om na verloop van tijd te besluiten de serverruimte te verhuizen. Maar dan wel op projectmatige wijze waarbij we de risico’s inzichtelijk maken. Zo voorkomen we dat er een mismatch ontstaat tussen de maatregelen die we genomen hebben en de apparatuur die we willen beveiligen.
Daarnaast willen we ook niet dat waardevolle of attractieve goederen ons gebouw verlaten zonder dat we er zicht op hebben. We willen niet dat ze door medewerkers voor langere tijd “geleend” worden, maar we willen ook niet dat we voorraden uitleveren zonder dat we dat goed administreren.
Laten we de medewerkers inderdaad toe om spullen te lenen, dan wel volgens de regels. Men mag misschien best de bedrijfswagen lenen om in het weekend te verhuizen. Maar dan willen we wel weten wie op welk moment de bestuurder was. We willen natuurlijk de bekeuring gewoon op het bordje van die medewerker kunnen leggen die de snelheidsovertreding veroorzaakt heeft.
Hebben we die regels niet opgesteld en niet gecommuniceerd, dan bevinden we ons al snel op een glijdende schaal. Mag die medewerker een pen mee naar huis nemen? Vast wel. Maar mag hij ook een pak papier mee nemen? Of koffiebekertjes als hij op vakantie gaat? Al snel worden toners mee naar huis genomen en voor je het weet verdwijnen de bijbehorende printers. Je begrijpt het al, voor je het weet staan er meer van jouw spullen bij je medewerkers thuis dan op kantoor.
Het gaat er continu om dat we de risico’s inzichtelijk hebben en daar waar nodig maatregelen nemen. Een risico analyse is dus ook geen eenmalige activiteit. Nee, periodiek moeten we kijken of de uitgangspunten nog kloppen, we moeten kijken of er geen gewijzigde omstandigheden zijn die zorgen voor nieuwe risico’s. Doen we dat op een goede manier dan levert dat een belangrijke bijdrage in het garanderen van de continuïteit van de bedrijfsprocessen.