Eerder hadden we het al over voldoende steun en betrokkenheid van het (top)management binnen de organisatie. Hoewel de volgende vraag daar dicht tegen aan ligt, is er toch een klein verschil.
Geeft het management het goede voorbeeld ten aanzien van integrale beveiliging?
Naast zichtbare steun en betrokkenheid bij beveiliging moet het management ook het goede voorbeeld geven. Beveiligingsbeleid geldt voor de gehele organisatie. Dus niet alleen voor de medewerkers maar zeker ook voor de top van de organisatie. Te makkelijk wordt het beleid vastgesteld en voor iedereen van kracht verklaard…behalve voor het (top)management. Natuurlijk moet iedere medewerker zijn of haar toegangspas zichtbaar dragen (als we dat tenminste in het beleid bepaald hebben, is een keuze). Maar als het management vindt dat zij wel op hun blauwe ogen vertrouwd kunnen worden en besluiten om deze pas lekker in de binnenzak te houden dan is dat niet de juiste “tone at the top”.
Niet voor niets is al jaren het gezegde: ‘Goed voorbeeld doet volgen’. Dat geldt overigens ook voor slecht voorbeeld gedrag. Kunnen we het de medewerkers kwalijk nemen als ze zich niet aan de regels houden als het management dat ook niet doet? Zijn we roomser dan de paus? Nee, beleid en regels gelden voor iedereen…tenminste, als we er echt voor willen zorgen dat het gaat werken.
Als het management het niet zo nauw neemt met beveiligingsmaatregelen dan kan van het personeel niet verwacht worden dat zij zich er wel aan zullen houden. Beveiliging wordt bereikt door de cultuur in de organisatie. Ook hiervoor geldt dat beveiliging geen exotische buitenstaander is. De algehele cultuur van een organisatie is uitgangspunt voor de beveiligingscultuur van die organisatie. Hoe vaak zien we niet dat een organisatie veel geld besteedt aan een security awareness campagne zonder de link te leggen met de algemene cultuur binnen de organisatie? De beveiligingscultuur zal niet wezenlijk anders zijn of worden omdat we dat zo graag willen en daar die campagnes tegenaan gooien. Nee, de beveiligingscultuur staat, net als de rest van beveiliging, niet los maar is onderdeel van het grotere geheel. Daarom werken veel security awareness campagnes dan ook niet echt (ja, uit de uitkomsten van de sociaal wenselijke enquêtes blijkt wat anders, ik weet het, maar is het ook echt meetbaar in houding en gedrag en dus minder incidenten en risico’s?).
De cultuur in de organisatie verandert niet, nee, de mensen in die organisatie veranderen en de cultuur verandert daarmee mee. Als we dat accepteren dan zullen we ook inzien dat het wijzigen van een cultuur veel meer in zich heeft dan een simpele campagne of posteractie. Cultuur veranderingen duren vele jaren en daar is veel kennis en inzicht bij nodig…dat kun en mag je niet aan de security manager over laten.
Het grootste risico van een onjuiste ‘tone at the top’ is dat het beveiligingsbeleid en de voorschriften en procedures die zo nauwlettend zijn opgesteld een papieren tijger zijn geworden. Papieren tijgers waar niemand op zit te wachten (nou ja, de auditor of toezichthouder dan misschien). Nee, als we beveiliging echt goed willen inrichten dan is dat beleid niet zomaar een papiertje, nee het is iets dat echt impact heeft of moet hebben. Willen we dat niet? Ook dat is geen probleem, dan moeten we daar alleen het beleid op aanpassen.