Tag: verantwoordelijkheden

Verander risico: De rollen en verantwoordelijkheden zijn niet vastgelegd

  door

Vandaag gaan we in op het risico: De rollen en verantwoordelijkheden zijn niet vastgelegd

Binnen een projectteam zijn er verschillende rollen te onderkennen. We hebben teamleden, teamleiders, project managers, de stuurgroep, project support, de opdrachtgever en ga zo nog maar even door.

Als niet voor iedereen duidelijk is wat zijn of haar rol is of als niet voor iedereen de taken, bevoegdheden en verantwoordelijkheden duidelijk zijn dan lopen we het risico dat er werk dubbel of juist helemaal niet wordt gedaan. We zijn inefficient bezig en er zullen veel interne discussies volgen. De tijdslijnen komen hiermee in gevaar maar ook het budget. We hebben immers dubbele taken uitgevoerd die niet nodig waren.

Het toebedelen van specifieke taken, bevoegdheden en verantwoordelijkheden

  door

Beveiliging is een lijnverantwoordelijkheid en gaat pas echt werken als iedereen zijn of haar rol daarin neemt. Omdat we weten dat dit niet voor iedereen duidelijk is, hebben we in de functieomschrijvingen ook nog eens aangegeven wat we verwachten en welke taken ze hebben. Vervolgens maken we ze bewust en scholen en trainen we ze er ook in. De medewerker is niet onze zwakste schakel, maar juist onze sterkste. Toch willen we nog wat andere taken verdelen in de organisatie, de vooruitgeschoven posten, de Operational Security Officers of onze voelsprieten, geef ze maar een naam.

De vraag:
Is vastgelegd welke algemene en specifieke taken, bevoegdheden en verantwoordelijkheden op het gebied van beveiliging zijn toebedeeld aan functionarissen en afdelingen?

We gaan op zoek naar medewerkers die op vrijwillige basis een extra bijdrage willen en kunnen leveren. Willen ze het niet dan gaan we op zoek naar een ander, kunnen ze het niet dan gaan we ze scholen en trainen. De Operational Security Officer wordt dus niet degene die afwezig was op het moment dat de taak verdeeld moest worden maar is iemand die het als een uitdaging ziet en die er ook nog eens de tijd voor krijgt.

We moeten echter niet vergeten dat het meestal een taak is die mensen erbij krijgen. 20% van hun tijd mogen ze er (op papier) aan besteden, in de praktijk is het helaas vaak nog minder. Het functioneringsgesprek rekent af op andere taken dan op de beveiligingstaken en de bonus die ze kunnen verdienen, verdienen ze ook niet met de 20% beveiligingstaken maar eerder met de 80% commerciële taken.

Het mag er dan allemaal leuk uitzien voor de buitenwereld, maar echt werken gaat het niet doen. Niet iedere afdeling of business unit hoeft een fulltime Security Officer te krijgen. Nee, als we echt vrijwilligers hebben gevonden dan leggen we de extra taken, bevoegdheden en verantwoordelijkheden vast en we zorgen ook dat ze er de tijd voor krijgen.

Sterker nog, we laten ze niet watertrappelen tot ze er moe van worden maar gaan met ze in overleg. Wij zorgen er voor dat er een groep Security Officers ontstaat die gesteund wordt, die zich kan vereenzelvigen met anderen. De Security Officers staan niet alleen maar zijn elkaars back-up en kunnen bij elkaar terecht als ze er zelf niet meer uitkomen.

Hebben we die vrijwilligers eenmaal gevonden dan mogen we ze daar ook voor belonen. Dat hoeft echt niet altijd in klinkklare munt maar kan ook door ze eens in het zonnetje te zetten. Vindt de directie het echt zo belangrijk? Dan besteden ze daar aandacht aan, dan zorgen ze dat de medewerker eens een bedankje krijgt. Dan zorgen ze ervoor dat deze medewerkers er ook echt de tijd en middelen voor krijgen.

Het begint dus weer bij de tone-at-the-top. Vinden ze het echt belangrijk dan laten ze dat blijken. Is het slechts voor de buitenwereld dan moet je je als vrijwilliger nog eens goed afvragen of er geen zinvoller vrijwilligerswerk te doen is.

Implementatie van de beveiligingsmaatregelen

  door

Gingen we gisteren nog in op de OTAP-stappen die we doorlopen voordat we nieuwe informatiesystemen of beveiligingsmaatregelen inzetten. Vandaag gaan we in op het formeel goedkeuren van de maatregelen en het overdragen van die maatregelen aan de staande lijnorganisatie.

We stellen daarom de volgende vraag:

Zijn de beveiligingsmaatregelen geïmplementeerd en zijn systemen formeel goedgekeurd voordat ze in productie worden genomen (overdracht rapportages)?

We hebben al gezien dat we niet zomaar wijzigingen door kunnen voeren omdat dat impact kan hebben op onze productieomgeving…de omgeving waar we ons geld mee verdienen. Voor het gemak gaan we er vanuit dat we inmiddels een goede change management procedure hebben opgesteld en ingevoerd.

Toch zijn we er niet als we “slechts” een wijziging doorvoeren of een nieuw systeem inzetten. We moeten ervoor zorgen dat dat systeem ook geborgd wordt in de organisatie. Iemand binnen die organisatie moet verantwoordelijk zijn voor dat systeem, hij of zij moet weten dat er een verantwoordelijkheid is en deze verantwoordelijkheid moet formeel geaccepteerd worden.

Dat is natuurlijk altijd lastig, want niemand zit te wachten op extra verantwoordelijkheden. Maar als het goed is, is er iemand die opdracht heeft gegeven voor de ontwikkeling van een nieuw systeem. Is hij niet degene die verantwoordelijk is of heeft hij ook weer een opdrachtgever? Borging in de organisatie is van belang om ervoor te zorgen dat het systeem ook zijn werk blijft doen.

Niet makkelijk, maar wel een heel belangrijke stap. Zonder formele eigenaar zouden we een nieuw systeem nooit in de lucht moeten brengen. Overigens zien we hier dat IT vaak verantwoordelijk gesteld wordt, toch is de vraag of dat juist is. Het systeem ondersteund een bedrijfsproces, wie is verantwoordelijk voor dat bedrijfsproces en zou diegene ook niet (functioneel) verantwoordelijk moeten zijn voor dat systeem?

Lastiger wordt het natuurlijk als we met systemen te maken krijgen die meerdere processen ondersteunen. Denk alleen maar eens aan het emailsysteem. Welk proces ondersteund dat? Denk ook maar aan het hele netwerk. Wie is daar verantwoordelijk voor? Het eigenaarschap voor dergelijke systemen is nog weleens niet duidelijk belegd. Misschien toch goed om eens naar de verantwoordelijkheden te kijken. Niet alleen naar de taken, bevoegdheden en verantwoordelijkheden voor de informatiebeveiliging dus (zoals we in eerdere stappen al gedaan hebben) maar ook naar de taken, bevoegdheden en verantwoordelijkheden voor de bedrijfsprocessen en de informatiesystemen.

Hoe we dit exact binnen de organisatie beleggen is niet eens zo relevant. Van belang is dat we keuzes maken, die keuzes vastleggen en dat degene die verantwoordelijk is dat ook weet. Dan kunnen we de discussie verder intern wel voeren.

Taken, bevoegdheden en verantwoordelijkheden

  door

Hadden we het gisteren nog over de inrichting van de beveiligingsorganisatie, vandaag gaan we iets meer in op de taken, bevoegdheden en verantwoordelijkheden. Daarom stellen we onszelf de vraag:

Zijn de taken, bevoegdheden en verantwoordelijkheden vastgelegd?

Om maar direct de lucht te klaren. We hebben het hier echt niet alleen over de taken, bevoegdheden en verantwoordelijkheden van de Security Manager. Nee, we hebben het hier over de taken, bevoegdheden en verantwoordelijkheden van iedereen binnen de organisatie. Daarbij kunnen we bijvoorbeeld onderscheid maken in de taken, bevoegdheden en verantwoordelijkheden van de Raad van Bestuur, de directie, het management, de Security Manager, de lijnmanagers, de medewerkers maar ook diegene die een bijzondere rol vervullen binnen de beveiliging zoals de IT’ers, de Facility medewerkers en de P&O’ers.

Een algemene omschrijving die we op kunnen nemen in de vastlegging van de beveiligingsorganisatie (en het beleid) is dat beveiliging een lijnverantwoordelijkheid is waarbij iedereen naar rato zijn of haar verantwoordelijkheid moet nemen. Een eerste algemene omschrijving die duidelijk maakt hoe we tegen beveiliging aan kijken. Uiteraard laten we die beveiligingsorganisatie en het beleid formeel bekrachtigen door het hoogste management. Dat geeft ons een steuntje in de rug.

Voor de medewerker in de organisatie die zijn of haar werk doet en dus niet een specifieke beveiligingstaak heeft, kunnen we de algemene verantwoordelijkheid opnemen in de functieomschrijving. Daarbij ondersteunen we ze met allerlei gedragsrichtlijnen (geen dikke pakken papier alstublieft). Zo weten ze wat er van hen verwacht wordt en als ze het niet weten kunnen ze het opzoeken. Incidenten monitoren we en op basis daarvan sturen we bij. Overigens heeft de manager hier natuurlijk ook een belangrijke rol in, hij moet immers de onder zijn of haar verantwoordelijkheid vallende medewerkers sturen (beoordeling en functioneringsgesprekken bijvoorbeeld).

Voor de manager geldt dat zij meer verantwoordelijkheid hebben voor de beveiliging. Zij zijn er verantwoordelijk voor dat de medewerkers binnen de afdeling zich aan de algemeen geldende beveiligingseisen houden. Wij gaan niet politie agentje spelen maar spreken de manager aan op incidenten en die spreekt vervolgens zijn medewerkers daarop aan.

Specifieke functies kunnen een uitgebreidere omschrijving krijgen van de taken, bevoegdheden en verantwoordelijkheden. Denk hierbij aan de IT’ers, de Facility medewerkers en de P&O’ers. Zij spelen een belangrijke rol in de uitvoering van de beveiliging. Dan is het dus goed om ze duidelijk te informeren over hetgeen we van ze verwachten. Hoe we dat exact omschrijven hangt af van de keuzes die we maken bij de inrichting van de beveiligingsorganisatie. Een algemene beschrijving is hier dan ook nauwelijks te geven.

De medewerkers en de medewerkers met specifieke taken weten nu wat van hen verwacht mag worden. De medewerkers die onderdeel uitmaken van de beveiligingsafdeling krijgen in hun taakomschrijving natuurlijk veel uitgebreider omschreven wat ze wel en niet mogen. Dat is dan weer een onderdeel van de beschrijving van de beveiligingsorganisatie.

Voordat we dit blog afsluiten gaan we nog wel even in op de beschrijving van de taken, bevoegdheden en verantwoordelijkheden van de Raad van Bestuur en de directie. We horen nog wel eens dat we daar onmogelijk kunnen neerleggen welke rol zij spelen. Toch is dat niet waar. In de beschrijving van de beveiligingsorganisatie kunnen we wel degelijk aangeven dat de Raad van Bestuur toe ziet op de totale beveiliging, dat de algemeen directeur eindverantwoordelijk is (en daar eventueel een mededirecteur voor heeft aangewezen). Uitvoering kunnen we wel delegeren, maar verantwoordelijkheden niet. De directie blijft verantwoordelijk en zal daarover verantwoording af moeten leggen aan de Raad van Bestuur. Wij kunnen ze alleen maar helpen bij een goede uitvoering daarvan, wij geven ze de zekerheid.

Is de beschrijving van de beveiligingsorganisatie door de directie goedgekeurd? Dan kan daar geen onduidelijkheid meer over zijn. In die omschrijving hebben we immers ook de taken, bevoegdheden en verantwoordelijkheden van de Raad van Bestuur en van de directie opgenomen. Wederom: beveiliging is niet exotisch maar een regulier aspect van de bedrijfsvoering. Regelen we het op die manier in, dan wordt ons leven als Security Manager een stuk duidelijker.

Taken, bevoegdheden en verantwoordelijkheden

  door

Zoal, al een beetje bekomen van de schrik dat je straks als beleidsmedewerker wordt gezien? Vandaag gaan we verder in op de organisatie achter informatiebeveiliging. We zijn daarmee aangekomen bij vraag 2.

De tweede vraag die we moeten stellen is:
Zijn de taken en verantwoordelijkheden op het gebied van integrale beveiliging eenduidig vastgelegd?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Er is veel onduidelijkheid over wie er nu eigenlijk verantwoordelijk is voor de beveiliging en vaak is het niet eenduidig vastgelegd. Is dat een aangewezen Security Manager of leggen we het als deeltaak weg bij een IT- of Facility Manager? De keuze is helemaal afhankelijk van de soort en omvang van de organisatie.

Een kleine organisatie hoeft misschien helemaal geen dedicated Security Manager te hebben. Maar dan wordt het wel een stuk belangrijker om de taken en bevoegdheden duidelijk bij iemand neer te leggen. Het liefst bij iemand die ook weet dat hij die taken en bevoegdheden heeft. We kunnen er niet zomaar vanuit gaan dat de IT-manager (als voorbeeld) wel snapt dat het bij zijn takenpakket hoort.

De verantwoordelijkheid is alweer een heel ander verhaal. Lijnmanagers denken nog wel eens dat de Security Manager verantwoordelijk is voor de beveiliging. Ja, dat klinkt misschien logisch, maar is het niet. We kunnen er vrij kort over zijn en voor iedere organisatie geldt hetzelfde: beveiliging is een lijnverantwoordelijkheid, de Security Manager reikt je slechts de tools en ondersteuning om jouw processen te beveiligen.

Ja, zul je (als lijnmanager) zeggen, dat is lekker, maar daar ga ik me toch echt niet verantwoordelijk voor voelen. Maar denk ook nog even na over wie er nu eigenlijk verantwoordelijk is voor de kwaliteit van het proces waar jij verantwoordelijk voor bent. Ben jij dat of vind je dat de Kwaliteitsmanager dat maar moet zijn?

Nee, we zullen toch echt moeten constateren dat jij als lijnmanager het voor het zeggen hebt voor de onder jouw verantwoordelijkheid vallen de processen. Daar is beveiliging gewoon een aspect van. Nu maar hopen dat je op een prettige wijze kunt samenwerken met de Security Manager. Als dat lukt, zijn we alweer een stap verder en dus op weg naar vraag 3.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.