Verander complexiteit: Betrokkenheid van het management

Vandaag gaan we in op de complexiteitsfactor: Betrokkenheid van het management

Binnen organisaties zijn er verschillende managementlagen te onderkennen. Van het hoogste management tot aan de teamleiders op de werkvloer. Degene die straks daadwerkelijk geconfronteerd worden met het project of de resultaten daarvan moeten in een zo vroeg mogelijk stadium betrokken worden om later weerstand te voorkomen.

Dat zal niet altijd makkelijk zijn omdat mensen nu eenmaal niet graag veranderen. Tenminste, dat is wat wordt gezegd. De ervaring leert ook dat als we het waarom van die verandering duidelijk kunnen maken al meer mensen in de meewerkmodus komen. Natuurlijk hou je altijd dwarsliggers, maar het is aan de project manager om daarmee om te gaan.

Hoe eerder het management (en de medewerkers) betrokken worden en overtuigd zijn van de verbetering, hoe meer kans van slagen de verandering straks heeft.

7 succesfactoren uit de maakindustrie

Dat onze maakbedrijven het goed doen, weten we inmiddels als we MT.nl een beetje in de gaten hebben gehouden. Maar hoe doen ze dat precies? De zeven succesfactoren zoals ze op Management Team beschreven werden.

En denk nu niet dat als je niet in de maakindustrie zit je niets aan deze factoren hebt, het is natuurlijk de kunst om deze factoren te vertalen naar jouw organisatie en naar jouw markt. Kijk je naar onderstaande succesfactoren dan zijn die voor iedere organisatie van toegevoegde waarde, dus doe er je voordeel mee.

  1. Wees een specialist
  2. Zorg voor goed management
  3. Geef vertrouwen
  4. Regisseer de keten
  5. Ontzorg de klant
  6. Concurreer niet op prijs
  7. Duurzaamheid als voorwaarde

Zes sluipmoordenaars van langdurig succes

De meeste bedrijven slagen er niet in een geweldig concurrerende organisatie te worden. De oorzaak volgens Management Team? Deze 6 silent killers. Voor langdurig succes zijn drie pijlers essentieel, zo zegt organistiepsycholoog Michael Beer: prestaties, psychologie en verandering.

  1. VAAGHEID: In prioriteiten, strategie en/of waarden: als medewerkers niet weten wat voorrang heeft en heldere standaarden ontbreken om hun werk aan te toetsen.
  2. SLECHT FUNCTIONEREND MANAGEMENTTEAM: Als het team te weinig tijd samen doorbrengt, nauwelijks tijd aan strategie besteedt en niet luistert naar de problemen van de werkvloer.
  3. TOP-DOWN OF LAISSEZ-FAIRE LEIDERSCHAP: Als managers óf te veel willen dicteren wat er moet gebeuren, óf juist te veel op zijn beloop laten.
  4. SLECHTE HORIZONTALE COÖRDINATIE EN COMMUNICATIE: Als personen, afdelingen en regio’s langs elkaar heenwerken en niet van elkaar weten wat ze doen.
  5. TE WEINIG LEIDERS OP DE WERKVLOER: Als het met name op het middenniveau ontbreekt aan geschoolde, ervaren managers en er te weinig gebeurt aan leiderschapsontwikkeling.
  6. SLECHTE VERTICALE COMMUNICATIE: Als er te weinig mogelijkheden zijn voor eerlijke communicatie tussen medewerkers en hun leidinggevenden, wat frustrerend werkt voor medewerkers en verlammend is voor de organisatie als geheel.

Online reputatiemanagement: in zes stappen vooruit

Online reputatiemanagement wordt realtime reputatiemanagement. Maar er zijn anno 2012 nog steeds struikelblokken bij het stevig verankeren binnen de organisatie. Zo zijn er nog relatief veel organisaties die geen doelen stellen, niet inzichtelijk kunnen maken wat resultaten zijn of worstelen met het realiseren van commitment vanuit de top. Dit bleek uit deel een van het blog van MarketingFacts over online reputatiemanagement (ORM). In dit blog geven we handreikingen die van nut kunnen zijn voor het succesvol verankeren van realtime reputatiemanagement binnen de organisatie.

Meer lees je op MarketingFacts.nl

 

Topmanager ziet risico’s van ICT niet

Voor veel van ons eigenlijk een bericht met weinig nieuwswaarde, wij weten dit immers al jaren en vechten al langer tegen deze bierkaai. Maar toch kan het geen kwaad om een dergelijk bericht aan te halen. Al was het alleen maar omdat er nu een aantal instituten achter zitten die misschien wel gelooft worden.

Topmanagers van bedrijven zien geen verband tussen ict-risico’s en bedrijfsrisico’s voor hun onderneming. Dat is de belangrijkste conclusie uit het Governance Report 2012 dat securityleverancier RSA samenstelde in samenwerking met het onderzoeksinstituut CyLab van de Carnegie Mellon Universiteit. Leidinggevenden blijken geen zicht te hebben op de rol van computersystemen en data binnen hun bedrijf. Zij realiseren zich niet hoe ict-risico’s de bedrijfsresultaten kunnen ondermijnen (bron).

Ik kan natuurlijk alleen maar aansluiten bij een dergelijk bericht. Het gaat ook helemaal niet om informatiebeveiliging en al helemaal niet om de IT. Nee, het gaat, zoals al veel vaker is geroepen, om de bedrijfscontinuïteit. Maar op de een of andere manier blijft dat een vies woord voor veel managers.

Persoonlijk vind ik het dan ook niet zo spannend dat men de koppeling tussen IT en bedrijf niet ziet. Nee, wat ik veel interessanter zou vinden is als het ons lukt om de echte redenen daarvan te vinden. Managers (over het algemeen) zijn natuurlijk niet de domste mensen van deze planeet. En als ze er een keer goed over na zouden denken dan zien zij echt de koppeling tussen de verschillende risico’s wel. Vraag is echter of ze dat interesseert. Waarom zouden ze daar wakker van liggen? Hun eigen bonus is veel belangrijker dus daar moet alles voor wijken.

Misschien dat die managers te weinig het gevoel hebben dat ze echt een bijdrage leveren aan de continuïteit van de organisatie. Ze managen wel van alles maar vragen zichzelf ook wel eens af wat hun bijdrage nu bijdraagt aan het collectief. Zo bezien is het dus ook geen beveiligingsrisico dat er geen koppeling wordt gelegd tussen IT-risico en bedrijfsrisico. Nee, eerder is het een organisatorisch of bedrijfskundig risico waar het topmanagement een belangrijke rol in speelt.

Als voor een manager of een afdeling duidelijk is welke bijdrage ze leveren aan de totale organisatie, als voor hen duidelijk is welke informatie zij daarbij nodig hebben en als dan ook nog duidelijk wordt op welke IT-systemen die informatie draait, ja dan zou het ze misschien interesseren. Maar zolang de IT intern is “uitbesteed” aan een andere afdeling en zolang de persoonlijke bonus er niet op aangepast wordt overzien we het geheel niet meer.

Dat kun je een manager (volgens mij) niet kwalijk nemen. Nee, daarvoor moet je risicomanagement en informatiebeveiliging via een top-down benadering goed inregelen. En eerlijk is eerlijk: dat is makkelijker gezegd dan gedaan.

Security op de managementtafel

Gisteren hebben we afgesloten met de opmerking dat we niet uit kunnen sluiten dat we voldoende aandacht krijgen als we die onderwerpen kunnen raken waar het management van wakker ligt. Een mooie overweging voor vandaag.

Formeel gezien, zou het management natuurlijk wakker moeten liggen van de enterprise risks. Of, in gewoon Nederlands: de risico’s waardoor we omzet mislopen, waardoor we een stijging in kosten zien of waardoor ons imago een deuk op kan lopen.

Onze drietrapsraket: stap 1: risk management, stap 2: security management (gericht op preventie en detectie) en stap 3 business continuity (repressie en correctie) zou daar dan op gericht moeten zijn.

Uitdaging hierbij is dat we enterprise risks maar moeilijk direct kunnen beïnvloeden. Wij zijn immers de security-afdeling en moeten ons vooral niet bemoeien met de missie, visie, strategie en doelstellingen van de organisatie. Het management is daar verantwoordelijk voor en zal ons daarbij niet betrekken.

Daar kun je natuurlijk wakker van liggen. Maar dat is helemaal niet nodig. We moeten ons ook niet willen bemoeien met dat soort zaken. Wij moeten ons druk maken om onze bijdrage aan die missie, visie, strategie en doelstellingen. Hoewel we ons er dus niet mee moeten bemoeien, moeten we er niet onverschillig tegen over staan. Nee, sterker nog: wij moeten haarfijn weten wat ze zijn om onze aanpak van risk management, security management en business continuity management daar zo goed mogelijk bij aan te laten sluiten.

Als het in de praktijk voor alle organisaties en alle managers op deze manier zou werken, dan was het “verkopen” van security een stuk eenvoudiger. Maar wat het lastig maakt is het feit dat de belangen van de managers niet altijd overeen komen met de belangen van de organisatie.

Helemaal geen security issue maar veel meer een organisatorisch issue. Mensen komen naar hun werk, maar wat drijft hen en waarom komen ze eigenlijk? Misschien omdat ze inderdaad een zinvolle bijdrage willen leveren aan de organisatie, maar misschien ook omdat ze aan het eind van de maand toch gewoon een salaris nodig hebben.

Wat de persoonlijke doelstelling van de medewerkers ook is, we moeten ze zien te achterhalen als we beveiliging de aandacht willen geven die het nodig heeft.

Maar we kunnen natuurlijk niet alleen naar de ander blijven wijzen. We moeten ook goed in de spiegel kijken. We moeten dus niet negatief staan tegenover ontwikkelingen en we moeten niet bij voorbaat alles verbieden. Nee, we moeten realistisch zijn als we kijken naar de risico’s. Deze moeten we bezien in het licht van de missie, visie, strategie en doelstellingen.

Vervolgens moeten we proberen de operational risks te koppelen aan de enterprise risks (steeds met realiteitszin). Daarbij kunnen we het management onafhankelijk adviseren. Wij geven ze inzicht in de risico’s, de kans en de impact daarop, de kosten voor preventieve, detectieve, repressieve en/of correctieve maatregelen.

Beveiliging in de vorm van business cases waarbij de beveiligingsbusiness case onderdeel moet zijn van de grotere business case. Is dit dan de makkelijkste weg? Nee, waarschijnlijk niet. De makkelijkste weg zal zijn om separaat van alles te blijven opereren. Lekker in die ivoren toren blijven zitten. Maar dat is misschien een oplossing voor de korte termijn.

Willen we een oplossing voor de lange termijn dan moeten we deze overwegingen (en die van gisteren bijvoorbeeld) nog eens goed uitdenken. Dat is nu juist wat het zo leuk maakt.

In ieder geval heb je dit weekend een tweetal overwegingen om eens over na te denken. Mocht je een mening hebben, laat het me gerust weten. Ik ben benieuwd. Heb je zelf andere overwegingen waar je eens iets over wilt schrijven? Dan mag dat natuurlijk hier ook, geen probleem, ik hoor graag van je.

Brandgevaar (in zorginstellingen)

De brandveiligheid in veel zorginstellingen is ver onder de maat. Bij een derde van de locaties is die zo slecht dat er direct moet worden ingegrepen. Dat schrijven vier rijksinspecties in een rapport (bron).

In de titel heb ik de zorginstellingen bewust tussen haakjes gezet. Niet omdat het daar nu zo goed geregeld is, maar juist omdat dit ook geldt voor heel veel andere bedrijven. De brandveiligheid is veelal slecht geregeld en het bijbehorende filmpje geeft een aantal voorbeelden die ikzelf in de praktijk ook veelvuldig ben tegengekomen.

Aan ons lijstje met risico’s wordt ook het risico op brandgevaar toegevoegd. Maar, eerlijk is eerlijk, ik ga er vanuit dat dit risico al op je lijstje voorkwam. Maar nu heb je ook een aantal voorbeelden die je gemakkelijk zelf kunt controleren (en lukt dat niet? dan loop ik graag een rondje met je mee door jouw gebouw).

Natuurlijk laat je jaarlijks controleren of je brandmeldinstallatie nog goed werkt. Daarvoor heb je een leverancier en die kijkt of het technisch allemaal nog in orde is. Maar zelf kun jij gemakkelijk controleren of de nooduitgangen vrij zijn, of de nooduitgangbordjes er nog hangen, of de brandbusapparatuur vrij toegankelijk is en of de houdbaarheid van de brandblussers nog niet verlopen is.

Het brandgevaar kunnen we voor een deel zelf eenvoudig controleren en verlagen. Hebben we het vaker over low hanging fruit dan heb je er hier een te pakken. Loop binnenkort een extra rondje door het gebouw waar je zit en controleer of de basis gewoon geregeld is. Maak er een mooi rapportje van en voeg de foto’s van de misstanden daaraan toe. Maak er een presentatie van en stuur die aan het management. Het is pas de eerste week van 2012, maar jij kunt je bijdrage al leveren aan het bewust maken van het management. Geef vervolgens aan hoe eenvoudig deze risico’s weggenomen kunnen worden en kostenneutraal heb jij in ieder geval al een aantal risico’s verlaagd.

Bedrijven slecht voorbereid op netwerkuitval

Bijna driekwart van de Europese bedrijven heeft er weinig vertrouwen in dat ze alle computersystemen en gegevens kunnen herstellen na netwerkproblemen. Dat blijkt uit onderzoek van IT-aanbieder EMC. Het Europese bedrijfsleven lijkt dus niet goed voorbereid op een IT-ramp, terwijl 54 procent van de ondervraagde bedrijven toegeeft de afgelopen twaalf maanden gegevens te zijn kwijtgeraakt of te maken heeft gehad met niet-werkende systemen (bron).

Ik weet niet of het jullie de laatste weken ook is opgevallen, maar er lijkt toch meer en meer informatie te komen over de status van informatiebeveiliging. Meer en meer incidenten worden onder de aandacht gebracht en meer en meer onderzoeken worden openbaar gemaakt.

De strekking van de nieuwsberichten is veelal hetzelfde: het is niet goed geregeld met de informatiebeveiliging.

De komende maanden en jaren staan ons dus nog veel, heel veel, incidenten te wachten. Meer bedrijven zullen erachter komen dat ze niet meer om informatiebeveiliging heen kunnen. We gaan meer in de gaten krijgen waar we het nu eigenlijk allemaal voor doen…en dat is en blijft de continuïteit van onze dienstverlening of productie.

Uiteraard vind ik het goede signalen, want insiders weten al jaren hoe het gesteld is met de status van informatiebeveiliging binnen ondernemingen. Maar ook hierbij wil ik weer graag de waarschuwing plaatsen dat we niet in de val moeten trappen.

We moeten niet in blinde paniek besluiten dure technische maatregelen te implementeren. Nee, we moeten rust behouden en goed kijken naar wat nu eigenlijk ons primaire proces is. Waar verdienen we als organisatie ons geld mee? Zodra we dat inzichtelijk hebben, kunnen we ook kijken naar de ondersteunende middelen die we nodig hebben om die processen goed te laten draaien.

De ondersteunende middelen bestaan inderdaad veelal uit informatie, maar bedenk dat we dan nog wel onderscheid moeten maken in de digitale en de analoge informatie. Bedenk ook dat we naast de informatie nog over andere ondersteunende middelen moeten kunnen beschikken. Zo zijn er onze medewerkers die een belangrijke rol spelen, maar natuurlijk ook onze “assets” (denk aan: de gebouwen, de hardware, productiestraten en ga zo maar door).

Voordat we dus grijpen naar de maatregelen gaan we eerst een top-down benadering invoeren. We nemen even afstand van onze organisatie en de dagelijkse gang van zaken en gaan eens goed bekijken wat nu echt belangrijk is voor onze organisatie. Grote kans dat we tot de conclusie komen dat we de afgelopen jaren wel veel hebben gedaan aan informatiebeveiliging, maar niet altijd de goede dingen.

Er is een gevoel van schijnveiligheid ontstaan en als we niet oppassen worden we binnenkort zelf ook verrast door incidenten. We halen het (slechte) nieuws en ons imago loopt een enorme deuk op.

Ik kan er niet genoeg op wijzen: beveiliging is niet het doel maar een ondersteunend middel om een hoger liggend doel te bereiken. Wat mij betreft is dat hoger liggende doel de continuïteit van onze organisaties. we moeten dan ook onze oogkleppen af doen en vanuit beveiliging de operationele risico’s inzichtelijk maken die die continuïteit kunnen verstoren.

We lijken, vanuit het nieuws, meer en meer ondersteuning te krijgen, het advies is om die ondersteuning ook te gebruiken. Informeer het management, gebruik cases van je concurrenten, haal nieuwsberichten aan. Niet om maar zoveel mogelijk budget te krijgen maar om het bewustzijn bij het topmanagement te stimuleren.

Lukt het ons om de managers op alle lagen te betrekken bij beveiliging en hanteren we ook nog eens een reële aanpak op basis van risicomanagement dan worden we wellicht een volwaardig gesprekspartners van dat management. Als dat lukt is in ieder geval een deel van onze missie geslaagd…waar wachten we nog op?

En natuurlijk weet je me te vinden, mocht ik je er mee kunnen helpen dan is een seintje genoeg en bespreken we snel de aanpak die voor jouw organisatie het best passend is.

Risicomanagement

Hoewel we het er kort geleden ook al over hebben gehad, is de vraag dusdanig van belang dat we hem niet over slaan. Het staat namelijk aan de basis van alles wat we doen op het gebied van de informatiebeveiliging, nou ja theoretisch dan, in de praktijk komen we nog wel eens tegen dat er aan informatiebeveiliging gedaan wordt zonder risicomanagement. Dat is niet alleen heel erg inefficiënt maar nog gevaarlijk ook. Hoe weten we immers of we de juiste dingen doen en of we de dingen juist doen zonder de volgende vraag te beantwoorden:

Is het risicomanagement ingevoerd?

Om te voorkomen dat we verzanden in allerlei losstaande en inefficiënte beveiligingsmaatregelen moeten we ons baseren op de daadwerkelijke risico’s die de organisatie loopt. Simpel gezegd moeten we geen beveiligingsmaatregelen nemen maar operationele risico’s afdekken en om die operationele risico’s af te dekken hebben we (soms) beveiligingsmaatregelen nodig.

Redeneren we vanuit operationele risico’s dan kunnen we ook een afgewogen set aan technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen nemen om de risico’s af te dekken.

Risicomanagement kunnen we op een kwantitatieve of een kwalitatieve wijze organiseren. We kunnen er allerlei statistieken en financiële gegevens op los laten om de risico’s te bepalen maar we kunnen ook op basis van gezond boeren verstand kijken welke risico’s reëel zijn en wat de kans en de impact van die risico’s is op de continuïteit van de bedrijfsprocessen. Zelf ben ik voorstander van een kwalitatieve methode, omdat in veel gevallen de statistieken nog ontoereikend zijn.

Het grootste risico van het ontbreken van risicomanagement is dat we wel allerlei beveiligingsmaatregelen treffen maar geen zicht hebben op het feit welke risico’s nu daadwerkelijk worden afgedekt. Er ontstaat inefficiëntie en mismatch tussen de beveiligingsmaatregelen en de operationele risico’s. Vergeet overigens niet dat er verschillende soorten risicomaatregelen zijn.

Op hoofdlijnen zijn te onderscheiden:

  • Het risico vermijden, door bijvoorbeeld de risicovolle activiteit in zijn geheel niet uit te voeren;
  • Het risico accepteren, dus weten dat er een mogelijk risico is, maar geen preventieve maatregelen nemen (wel is het verstandig om in dat geval goed naar de detectieve, repressieve en correctieve maatregelen te kijken, als het risico zich dan openbaart kunnen we er snel op in spelen);
  • Het risico overdragen, door bijvoorbeeld een verzekering af te sluiten of door het risico neer te leggen bij een leverancier of afnemer;
  • Het risico mitigeren, een juiste set aan beveiligingsmaatregelen nemen om het risico naar een acceptabel niveau terug te brengen. Het risico hoeft daarbij niet in zijn geheel te worden weggenomen, restrisico’s kunnen we dan weer accepteren.

Het gevolg van het ontbreken van risicomanagement en het niet maken van bewuste keuzes is dat we schijnveiligheid creëren waarbij we niet de juiste, te weinig of juist teveel beveiligingsmaatregelen treffen. Operationele risico’s blijven bestaan, we besteden het budget niet efficiënt en we maken het voor de medewerkers lastig om hun dagelijkse werkzaamheden goed (en efficiënt) uit te voeren. Bijkomend gevaar is dat het management denkt dat het allemaal onder controle is, we nemen immers allerlei maatregelen, dus het moet wel goed zitten, toch?

Zonder risicomanagement draagt beveiliging niet bij aan het bereiken van de doelstellingen van de organisatie maar bemoeilijkt ze juist. Deze zin staat er even snel, maar bedenk dat het risicomanagement dat we voeren aan moet sluiten bij de totale strategie, missie, visie en doelstellingen van de organisatie. We zijn ondersteunend aan het bereiken van de doelen van de organisatie, we willen niet in de weglopen, maar willen ook niet dat we onacceptabele risico’s lopen.

Beveiliging & “the tone at the top”

Eerder hadden we het al over voldoende steun en betrokkenheid van het (top)management binnen de organisatie. Hoewel de volgende vraag daar dicht tegen aan ligt, is er toch een klein verschil.

Geeft het management het goede voorbeeld ten aanzien van integrale beveiliging?

Naast zichtbare steun en betrokkenheid bij beveiliging moet het management ook het goede voorbeeld geven. Beveiligingsbeleid geldt voor de gehele organisatie. Dus niet alleen voor de medewerkers maar zeker ook voor de top van de organisatie. Te makkelijk wordt het beleid vastgesteld en voor iedereen van kracht verklaard…behalve voor het (top)management. Natuurlijk moet iedere medewerker zijn of haar toegangspas zichtbaar dragen (als we dat tenminste in het beleid bepaald hebben, is een keuze). Maar als het management vindt dat zij wel op hun blauwe ogen vertrouwd kunnen worden en besluiten om deze pas lekker in de binnenzak te houden dan is dat niet de juiste “tone at the top”.

Niet voor niets is al jaren het gezegde: ‘Goed voorbeeld doet volgen’. Dat geldt overigens ook voor slecht voorbeeld gedrag. Kunnen we het de medewerkers kwalijk nemen als ze zich niet aan de regels houden als het management dat ook niet doet? Zijn we roomser dan de paus? Nee, beleid en regels gelden voor iedereen…tenminste, als we er echt voor willen zorgen dat het gaat werken.

Als het management het niet zo nauw neemt met beveiligingsmaatregelen dan kan van het personeel niet verwacht worden dat zij zich er wel aan zullen houden. Beveiliging wordt bereikt door de cultuur in de organisatie. Ook hiervoor geldt dat beveiliging geen exotische buitenstaander is. De algehele cultuur van een organisatie is uitgangspunt voor de beveiligingscultuur van die organisatie. Hoe vaak zien we niet dat een organisatie veel geld besteedt aan een security awareness campagne zonder de link te leggen met de algemene cultuur binnen de organisatie? De beveiligingscultuur zal niet wezenlijk anders zijn of worden omdat we dat zo graag willen en daar die campagnes tegenaan gooien. Nee, de beveiligingscultuur staat, net als de rest van beveiliging, niet los maar is onderdeel van het grotere geheel. Daarom werken veel security awareness campagnes dan ook niet echt (ja, uit de uitkomsten van de sociaal wenselijke enquêtes blijkt wat anders, ik weet het, maar is het ook echt meetbaar in houding en gedrag en dus minder incidenten en risico’s?).

De cultuur in de organisatie verandert niet, nee, de mensen in die organisatie veranderen en de cultuur verandert daarmee mee. Als we dat accepteren dan zullen we ook inzien dat het wijzigen van een cultuur veel meer in zich heeft dan een simpele campagne of posteractie. Cultuur veranderingen duren vele jaren en daar is veel kennis en inzicht bij nodig…dat kun en mag je niet aan de security manager over laten.

Het grootste risico van een onjuiste ‘tone at the top’ is dat het beveiligingsbeleid en de voorschriften en procedures die zo nauwlettend zijn opgesteld een papieren tijger zijn geworden. Papieren tijgers waar niemand op zit te wachten (nou ja, de auditor of toezichthouder dan misschien). Nee, als we beveiliging echt goed willen inrichten dan is dat beleid niet zomaar een papiertje, nee het is iets dat echt impact heeft of moet hebben. Willen we dat niet? Ook dat is geen probleem, dan moeten we daar alleen het beleid op aanpassen.