We hebben een Security Manager of Officer en die regelt de hele beveiliging wel voor ons. Goede zaak, dan hoeven we er als managers niet meer naar om te kijken en als het fout gaat kunnen we massaal een verantwoordelijke aanwijzen wiens kop het gaat kosten. Zo, lekker ons straatje schoongeveegd.
Helaas zien we dat nog te vaak gebeuren. We hebben nog niet allemaal op ons netvlies dat beveiliging een lijnverantwoordelijkheid is waarvoor de Security Manager de kaders schept, maar waar iedere manager iets aan moet doen. Dit roept misschien een berg discussie op, maar ben je als manager ook niet verantwoordelijk voor de kwaliteit die je levert? Juist. Laat beveiliging nu een kwaliteitsaspect zijn.
De vraag:
Is voor alle bedrijfsmiddelen vastgelegd wie de eigenaar of de houder is, zodat duidelijk is wie verantwoordelijk is voor een beveiligingsmaatregel?
We kunnen niet van een Security Manager verwachten dat hij de beveiliging voor ons regelt en we zelf lekker achterover kunnen leunen. Sterker nog, dat moet je als manager helemaal niet willen. Stel dat hij maatregelen voorschrijft waardoor jij je product of dienst niet meer kan leveren? Wie wordt er op aangekeken als jij je targets niet haalt?
Om onduidelijkheden te voorkomen moet je dus goed vastleggen voor welke bedrijfsprocessen en bedrijfsmiddelen je verantwoordelijk bent. Jij hebt die spullen nodig om je proces te kunnen laten draaien en jij mag bepalen hoe goed je die beveiligd wilt hebben. De Security Manager schept de abstracte kaders waarbinnen jij kunt acteren. Zo zorgen we er niet alleen voor dat de boel veilig is, maar zorgen we er ook voor dat jij je targets kunt halen. Besluit een manager om een risico te accepteren, dan is dat zijn goed recht…tenzij hij daarmee de organisatie in gevaar brengt.
Het management van de organisatie stelt het risicogedrag vast. Willen we nu juist risicodragend, risico neutraal of toch liever risicomijdend zijn? Dan zijn de kaders van de Security Manager daarop ingericht en mag jij, als manager, binnen die kaders je eigen spel spelen. Het management blij, de Security Manager blij en jij blij.
Als je verantwoordelijk bent voor een bepaald bedrijfsproces of een bepaald bedrijfsmiddel, dan ben je daarmee ook automatisch verantwoordelijk voor de beveiligingsmaatregelen die je genomen hebt. Natuurlijk mag je de Security Manager om advies vragen, geen probleem. Maar jij maakt de uiteindelijke keuze…ook als je je daar niet helemaal goed bij voelt. Met je rol als manager komen ook verantwoordelijkheden, niks nieuws onder de zon.
Toch zien we nog te vaak dat de Security Manager de verantwoordelijkheid in zijn of haar schoenen geschoven krijgt. Dat is jammer en teveel Security Managers laten dit gebeuren waardoor ze een onuitvoerbare taak krijgen. Zo lang het goed gaat en er weinig incidenten plaatsvinden worden ze gekort op hun budget en als het dan toch een keer fout gaat komen ze op straat te staan.
Een rol als Security Manager is een enorme uitdaging en goed uitvoerbaar, mits je de juiste kaders stelt. Een van die kaders is de simpele zin in je beleid dat beveiliging een lijnverantwoordelijkheid is. De Security Manager kan niet verantwoordelijk zijn voor de beveiliging van een bepaald proces dat door een ander wordt uitgevoerd. Zo kan een manager niet verantwoordelijk gesteld worden voor de beveiligingskaders die de Security Manager schept.
Willen we zorgen dat de boel goed beveiligd is? Dan gaan we dus samenwerken. Niet om het elkaar moeilijk te maken maar juist om de continuïteit van de organisatie op een zo goed en efficiënt mogelijke wijze te garanderen.