Verander complexiteit: Fulltime of parttime project medewerkers

Vandaag gaan we in op de complexiteitsfactor: Fulltime of parttime project medewerkers

In de praktijk zien we dat veel medewerkers naast hun dagelijkse werkzaamheden betrokken worden bij veranderingen. Op zich niets mis mee, maar het verhoogd de complexiteit van je project en je zult er rekening mee moeten houden als je de tijdslijnen gaat bepalen.

Een medewerker die fulltime aan de verandering kan werken heeft meer tijd beschikbaar (logisch) maar hoeft zich ook maar op één verandering te richten.

Medewerkers die part-time betrokken zijn, naast hun dagelijkse werkzaamheden, moeten meer ballen in de lucht houden. Grote kans dat ze eind van het jaar in hun beoordeling afgerekend worden op de dagelijkse gang van zaken en niet op hun inspanningen voor de verandering.

Verander complexiteit: Betrokkenheid van het management

Vandaag gaan we in op de complexiteitsfactor: Betrokkenheid van het management

Binnen organisaties zijn er verschillende managementlagen te onderkennen. Van het hoogste management tot aan de teamleiders op de werkvloer. Degene die straks daadwerkelijk geconfronteerd worden met het project of de resultaten daarvan moeten in een zo vroeg mogelijk stadium betrokken worden om later weerstand te voorkomen.

Dat zal niet altijd makkelijk zijn omdat mensen nu eenmaal niet graag veranderen. Tenminste, dat is wat wordt gezegd. De ervaring leert ook dat als we het waarom van die verandering duidelijk kunnen maken al meer mensen in de meewerkmodus komen. Natuurlijk hou je altijd dwarsliggers, maar het is aan de project manager om daarmee om te gaan.

Hoe eerder het management (en de medewerkers) betrokken worden en overtuigd zijn van de verbetering, hoe meer kans van slagen de verandering straks heeft.

Tien redenen waarom mensen weerstand bieden aan verandering

Een leider met inzicht in de redenen van weerstand tegen verandering kan daarop anticiperen en zo het veranderingstraject succesvol laten verlopen. Althans, volgens Rosabeth Moss Kanter op penoactueel.nl. Zij komt met 10 redenen waarom mensen weerstand bieden aan verandering.

Willen we dus een leider zijn met inzicht dan lezen we in ieder geval even door:

  1. Verlies aan controle.
  2. Teveel onzekerheid.
  3. Verrassing.
  4. Alles lijkt anders.
  5. Gezichtsverlies.
  6. Zorgen over competenties.
  7. Meer werk.
  8. Rimpeleffecten.
  9. Ressentimenten uit het verleden.
  10. Soms is het echt een bedreiging.

Uiteraard raden we je aan om het hele artikel ook even te lezen voor meer achtergrond informatie maar je mag ons natuurlijk ook benaderen als je interesse hebt in de CORE(BI)-analyse.

7 redenen die ons tegenhouden mee te gaan in een verandering

Onderstaande 7 redenen waarom medewerkers niet meegaan in een verandering, ingezonden door Anja Lans, las ik op Managementsite.nl.

1. De noodzaak ontbreekt
2. Het initiatief komt van iemand anders (extern of andere groep)
3. What is in it for me?
4. De monitoring op het gedrag ontbreekt
5. Ik word er niet op beoordeeld
6. Te veel mislukte veranderingsprojecten gezien
7. Onvoldoende uitleg gekregen om te kunnen doen

Wellicht sta jij aan het begin van een project of zit je er inmiddels middenin en lukt het je maar niet om de medewerkers mee te krijgen. Dan raad ik je natuurlijk aan om het hele artikel te lezen en je lessen daaruit te trekken. Maar sterker nog raad ik je aan om toch eens te kijken of de CORE(BI)-analyse niet iets voor je is.

Bekendheid met meldingsplicht beveiligingsincidenten

Zo, inmiddels hebben we de medewerkers verteld dat ze beveiligingsincidenten moeten melden en we hebben ze ook geprobeerd duidelijk te maken wat wij onder beveiligingsincidenten verstaan. Nu is het natuurlijk de vraag of het aantal meldingen inderdaad toeneemt.

Het gaat dus niet zozeer om de vraag, maar het feit of het ook echt werkt. De vraag:
Is het personeel duidelijk gemaakt dat beveiligingsincidenten gemeld moeten worden?

Bekende termen zijn “opzet”, “bestaan” en “werking”. In opzet en bestaan kunnen we het best goed geregeld hebben. We hebben mooie beleidsdocumenten, mooie procedures en voorschriften en we hebben ze ook nog eens beschikbaar gesteld op het intranet en via de mail aan iedereen verzonden. Nu willen we toch wel graag weten of het allemaal effect heeft, oftewel: werkt het? Want daar gaat het toch uiteindelijk allemaal om, is het niet?

We kunnen de medewerkers natuurlijk allemaal op de man (of vrouw) af vragen of ze weten dat ze beveiligingsincidenten moeten melden. Grote kans dat het antwoord volmondig ja is. Het is immers logisch dat we dat soort zaken melden. Toch is hier het risico op sociaal wenselijke antwoorden te groot. We zullen dus op zoek moeten naar aanvullende mogelijkheden om te testen of er ook echt gemeld wordt.

Nu wil ik je natuurlijk niet aanmoedigen om allerlei illegale of niet toegestane acties uit te voeren, maar er zijn best manieren om te kijken hoe het er mee gesteld is. Is het zichtbaar dragen van toegangspasjes binnen jouw bedrijf bijvoorbeeld verplicht? Draag dan het pasje eens een dag niet zichtbaar om te kijken of je er op wordt aangesproken (dat werk natuurlijk minder goed als je iedereen binnen het bedrijf persoonlijk kent).

Loop eind van de dag, als iedereen al lekker naar huis is, nog eens een rondje over je afdeling en kijk welke waardevolle spullen of informatie voor het grijpen ligt. Je zou dat kunnen melden, je zou er niets mee kunnen doen, of je zou de informatie kunnen verzamelen en eventueel een briefje achter kunnen laten dat ze het bij jou op kunnen komen halen. In principe mist iemand de volgende dag de informatie en hij gaat op zoek. Heb je een briefje achter gelaten dan zal hij het bij je op komen halen, ligt dat briefje er niet dan zal hij met een zoekende blik over de afdeling lopen.

Laat eens een deur open staan (uiteraard even in de gaten houden wie er stiekem naar binnen glipt) en kijk wat mensen doen. Laten ze de deur zelf ook open staan, doen ze de deur juist dicht of bellen ze even met de beveiliging om door te geven dat deze deur open staat?

Een aantal simpele manieren om te testen hoe het gesteld is met de beveiligingscultuur van de medewerkers. Nemen ze zelf actie, doen ze juist helemaal niets of maken ze er melding van? Zodra we dat weten kunnen we weer volgende stappen zetten en het melden van beveiligingsincidenten verder onder de aandacht brengen.

We moeten er dan natuurlijk wel voor zorgen dat het melden makkelijk is. Dus geen lange wachttijden als ze telefonisch melden en geen ingewikkelde formulieren om het op papier te doen.

Een leuke optie is om er een competitie van te maken. Iedere zoveelste melder krijgt een taart, gemelde beveiligingsincidenten worden gebruikt om de medewerkers te trainen (bijvoorbeeld door ze te behandelen in ons “security krantje”). Oppassen natuurlijk dat medewerkers er geen sport van gaan maken om maar zoveel mogelijk incidenten te veroorzaken, dan schieten we juist weer door naar de verkeerde kant.

Voorwaarde is natuurlijk wel dat we over voldoende (en kwalitatief goede) capaciteit beschikken om de incidenten op te pakken, te analyseren en verbeteringen door te voeren.

Beveiligingsincidenten zien er op papier vaak ingewikkeld uit: zware aanvallen op het netwerk, ramkraken om ons gebouw binnen te dringen…maar juist de dagelijkse gang van zaken kunnen grote risico’s met zich meebrengen en voor die dagelijkse gang van zaken hebben we de oren en ogen van onze medewerkers nodig om de boel steeds veiliger te krijgen.

Oorzaak datalekken vaak onachtzaamheid

Veel bedrijven denken dat datalekken meestal het gevolg zijn van onachtzaamheid van eindgebruikers…Boze opzet wordt minder als oorzaak gezien. Ongeveer driekwart van de respondenten, 45 procent, denkt dat datalekken vooral komen door menselijke fouten. Slechts vijftien procent geeft diefstal door buitenstaanders de schuld (bron).

We bedrijven geven hiermee eigenlijk een brevet van onvermogen aan hun medewerkers…stelletje stommelingen, hebben we weer een datalek.

Wat ze naar mijn mening vergeten is dat het topmanagement het voorbeeld moet geven, daar begint het. Begint het daar niet dan gaat het nooit werken. Het management stelt beveiliging ondergeschikt aan de primaire doelen van de organisatie (is logisch en maar goed ook, anders hoeven we helemaal geen beveiliging te regelen want bestaan we niet lang meer). De kunst is om een optimum te vinden tussen commerciele/financiele doelen en beveiliging. Geloof me, dat is makkelijker gezegd dan gedaan. Maar kosten/baten-analyses willen daarbij nog weleens helpen.

Zolang we medewerkers afblijven rekenen op de commerciele doelen (daar hangt hun bonus vanaf) zal beveiliging altijd een ondergeschoven kindje blijven. Als we het veilig willen doen dan kost ons dat tijd en moeite die we niet in commerciele activiteiten kunnen steken.

Maar weer even terug, het ligt dus aan de fouten van de medewerkers en niet aan bewust handelen? Ehm, kijken we even naar alle bedrijven die op dit moment aan het reorganiseren zijn (en we weten allemaal dat reorganiseren betekent: mensen ontslaan) dan neemt het risico op bewust handelen snel toe.

Medewerkers hebben vaak teveel rechten (de beheerders, maar zeker ook de medewerkers) en kunnen bij allerlei mappen, directories en systemen waar ze niets te zoeken hebben. De kans dat ze uit frustratie informatie deleten wordt daarmee groter. De slimmere medewerkers zullen zorgen dat lang nadat ze weg zijn pas wordt opgemerkt dat er gegevens kwijt zijn, in zo’n geval is herleidbaarheid naar de medewerker enorm moeilijk. Hoe bedrijven dit kunnen voorkomen? Ehm, wat dacht je van gewoon netjes omgaan met je medewerkers, je medewerkers echt tevreden houden? Dat is mogelijk, ook als je mensen moet ontslaan, als je dat op de goede wijze doet heb je een stuk minder te vrezen.

Uit het onderzoek blijkt ook dat er geen budget beschikbaar is voor bewustwordingscampagnes (beetje laat als je daar nu nog mee moet beginnen en dan nog geen budget hebben ook?) en dat de ICT-afdelingen samen moeten werken is natuurlijk ook een domper. Nou ik wens iedereen veel succes.

Bedrijven kampen vaker met fraude

Bedrijven hebben steeds vaker last van fraude. Uit onderzoek blijkt dat bijna twee op de vijf Nederlandse ondernemingen het afgelopen jaar het aantal fraudegevallen heeft zien stijgen vergeleken met een jaar eerder…Bij een op de zeven bedrijven werd fraude gepleegd. In West-Europa is dit ruim een kwart en wereldwijd ongeveer een derde. In Nederland wordt bijna driekwart van de fraudegevallen gepleegd door werknemers…Ethiek wordt aan de kant geschoven om financiele doelstellingen te halen. Werknemers staan daardoor onder druk, want het niet behalen van doelstellingen kan resulteren in ontslag (bron).

Bijna 75% van de fraude gevallen wordt gepleegd door werknemers. In de beveiligingswereld is allang bekend dat de grootste dreigingen veroorzaakt worden door medewerkers. Het zijn niet alleen de externe factoren die een organisatie bedreigen maar juist de interne. Bij fraude kun je er nog vanuit gaan dat het bewust gedaan wordt, maar wat denk je van de dreigingen die door onbewust handelen veroorzaakt worden?

De ethiek wordt aan de kant geschoven. Dat is iets wat we meer en meer zien. De financiele resultaten moeten behaald worden, hoe maakt niet uit. Ongeruststellend als je het mij vraagt, natuurlijk zijn de financiele resultaten van belang, maar dit betreft niet per definitie de winst die de organisatie maakt (ja ik weet het, het klinkt gek, maar lees de zin nog een keer). Het draait om continiteit voor de lange termijn en niet op winst of kostenbesparing voor de korte termijn.

Toevallig las ik daar gisterenavond nog een mooie volzin over:
De managers zijn verantwoordelijk voor de resultaten op het gebied van dienstverlening. Vervolgens is het dan de taak van het topmanagement, de onderneming zo te organiseren en te financieren dat de best mogelijke dienstverlening ook een optimaal financieel resultaat oplevert.” (Bron: Peter F. Drucker).

Kortom: wie denkt met een beveiligingsbewustzijnsprogramma (dat te vaak bestaat uit een vragenlijst, mooie presentatie en leuke posters) alleen de ethiek te versterken heeft het mis. Beveiligingsbewustzijn begint bij het topmanagement, de besturing en de cultuur van de organisatie. Voor wie daar meer over wil weten…ik heb deze week een interessante presentatie over dit onderwerp gemaakt en kom die graag toelichten (en nee, helaas, die presentatie is hier niet te downloaden omdat hij dan uit verband getrokken wordt).

Just let me know and I will show.