Tag: verantwoordelijkheid

Beveiligingsvoorschriften in functiebeschrijvingen

  door

Zoals we inmiddels allemaal weten, is beveiliging een lijnverantwoordelijkheid. Iedereen is voor zijn of haar deel verantwoordelijk voor de beveiliging. De algemeen directeur, de lijnmanager, de medewerker en natuurlijk ook de security officer. Daarom is het goed om in de functiebeschrijvingen vast te leggen welke verantwoordelijkheid een ieder heeft.

De vraag:
Wordt in de functiebeschrijvingen verwezen naar de beveiligingsvoorschriften?

We zien nog wel eens (of eigenlijk erg vaak) dat de medewerkers in de organisatie denken dat de security afdeling verantwoordelijk is voor de beveiliging. Natuurlijk spelen zij een belangrijke rol in het beschikbaar stellen van beleid, kaders en ondersteunende informatie. Maar feit blijft dat beveiliging pas gaat werken als iedereen zijn verantwoordelijkheid neemt.

De functiebeschrijving van de security officer bulkt natuurlijk van de inhoudelijke punten op beveiligingsgebied. Maar ook in de functieomschrijvingen van de lijnmanagers en de medewerkers moeten we minimaal beschrijven dat beveiliging een lijnverantwoordelijkheid is en dat men geacht wordt zich aan het beleid en de richtlijnen te houden.

In het beveiligingsbeleid hebben we ook al in een eerder stadium beschreven dat het de lijn is die verantwoordelijk is. En we kunnen natuurlijk hopen dat iedere medewerker dat beleid gaat lezen…maar dat is een utopie. Juist daarom moeten we in de functieomschrijving ook iets opnemen, we moeten het er met de medewerker over hebben tijdens het functionerings- of beoordelingsgesprek. Dat klinkt misschien allemaal wat zwaar, maar het kan gewoon in 1 zin worden afgedaan.

We moeten natuurlijk niet doorschieten en we moeten zeker niet alle beveiligingsdetails opnemen in de functieomschrijvingen, dan wordt het allemaal wel erg veel papier (want naast beveiliging zullen we dan ook andere aspecten volledig uit willen schrijven). Nee, het volstaat om aan te geven dat beveiliging een gedeelde verantwoordelijkheid is waaraan iedereen zijn of haar bijdrage levert. De details die werken we dan wel uit in beleid en procedures die we beschikbaar stellen via het intranet.

Net als bij de geheimhoudingsverklaring gaat het natuurlijk niet zozeer om de formaliteit van het vastleggen. Nee, het gaat erom dat de medewerker zich bewust wordt. Het ging om kennis, houding en gedrag en dat bereiken we niet door het alleen maar in de functieomschrijving op te nemen. Dat is slechts een klein stapje in het grotere geheel, maar wel een stapje dat we zullen moeten nemen op weg naar ons einddoel: een goede beveiliging, passend bij de organisatie.

De relatie tussen stagetrajecten, rondleidingen en kritische bedrijfsprocessen

  door

We zijn er al op ingegaan dat we beleid moeten hebben op het gebied van stagetrajecten en rondleidingen. Nu gaan we nog iets verder in op de relatie met de kritische bedrijfsprocessen en de risico’s daarvoor.

De vraag:
Wordt er rekening mee gehouden dat bezoeken, rondleidingen en stage activiteiten invloed kunnen hebben op de (specifieke) kritische bedrijfsprocessen?

Als we stageplaatsen en rondleidingen niet willen verbieden dan zullen we dus moeten kijken naar die plaatsen in de organisatie die daar wel voor in aanmerking komen en die plaatsen die we voor deze aspecten liever links laten liggen.

We moeten daarvoor zicht hebben op onze kritische bedrijfsprocessen en onze meest vertrouwelijke informatie. Deze moeten gewaarborgd zijn en de vraag die we moeten stellen is of we stagiaires daar een verantwoordelijkheid in kunnen geven en of we rondleidingen langs onze meest geheime plekken willen leiden.

Natuurlijk willen we een leuke stageplaats creëren en we willen hem of haar echt niet alleen de minder leuke klussen laten doen (tenzij jij natuurlijk alleen maar iemand zoekt om koffie te halen, maar daar ga ik niet voor). De vraag is dus welke plaatsen in de organisatie zijn leuk maar het minst risicovol? Hoe risicovoller de positie die we beschikbaar stellen, hoe meer toezicht we in moeten richten. De stagiaire van 15 of 16 mag dan veel ouder lijken, de bijbehorende ervaring heeft hij of zij nog niet. We moeten onze managementstijl daar op aanpassen en moeten een apart plekje in ons hart vrij maken voor deze stagiaire. Makkelijker gezegd dan gedaan, want de waan van de dag gaat gewoon door.

Veelal denken we dat een stagiair een goedkope kracht is die ons veel werk gaat besparen. In de praktijk geldt echter dat de begeleiding tijd van ons vergt. We nemen dus niet een stagiair omdat we nu al stelselmatig tijd tekort komen, want dan gaat het fout. Nee, we zoeken een stagiair omdat we die willen begeleiden, scheelt dat ons tijd en geld dan is dat mooi meegenomen.

Voor rondleidingen geldt voor een deel hetzelfde. Meestal zijn onze kritische bedrijfsprocessen de mooiste onderdelen om te showen. Niemand zit te wachten op een rondleiding in een saai kantoorgebouw. Nee, liever zien we de productiehal waar de robot draait en de producten van de lopende band rollen. Mooi om te zien, dat zeker. Daarbij hebben we natuurlijk de deelnemers die ons bewust willen platleggen, maar die hebben we er al uitgevist omdat we een check hebben gedaan, toch? Maar ook diegene met een goed hart kunnen een risico zijn. Niet omdat ze bewust de boel willen frustreren maar omdat ze onbewust ook schade aan kunnen richten.

Stel dat een deelnemer struikelt over de bos met snoeren die we nog niet netjes op hebben kunnen bergen? Wat is het gevolg daar dan van? Waarschijnlijk valt de productie stil en dat is al erg genoeg. Maar wordt hij of zij niet direct geëlektrocuteerd omdat er een hoog voltage door de snoeren loopt? Zijn we daar dan wel goed voor verzekerd en wat doet dat met ons imago dan?

Zeer waarschijnlijk zijn onze business continuity plannen nog niet ingericht op rondleidingen of grote groepen mensen die tijdelijk door ons gebouw lopen. Misschien toch een puntje van aandacht en misschien moeten we er zelfs wel voor zorgen dat er preventief alvast geschakeld wordt met de BHV (geloof me, zij vinden het fijn om te weten).

Genoeg over stageplaatsen en rondleidingen, lijkt me. De strekking van het verhaal zal duidelijk zijn: Als we besluiten om stageplaatsen beschikbaar te stellen en rondleidingen te houden dan hebben we daar als organisatie een extra verantwoordelijkheid in. We moeten het plannen, zorgen dat we de risico’s inzichtelijk hebben en misschien preventief wel naar een verhoogde staat van paraatheid.

Verantwoordelijkheid voor informatiesystemen

  door

Zoals we inmiddels weten wordt voor de beveiliging van de bedrijfsprocessen gekeken naar de ondersteunende informatie, het materieel en het personeel. Voor de informatie wordt de digitale informatie in de informatiesystemen steeds belangrijker (soms overschatten we dat belang trouwens want wat is er mis met het schrijven van een brief, het plakken van een postzegel en het dichtlikken van een envelop als de email het niet meer doet?). En hoewel ik informatiesystemen graag breder zie dan alleen de digitale systemen (terugkomend op de geschreven brief…een postvak is in die zin ook onderdeel van een informatiesysteem) worden die digitale systemen belangrijker en belangrijker.

De vraag die we ons moeten gaan stellen is:
Zijn alle informatiesystemen toegewezen aan een verantwoordelijke?

Laten we maar direct onderkennen dat we de verantwoordelijkheid voor informatiesystemen echt niet alleen voor de beveiliging van dat systeem willen beleggen. Nee, beveiliging is nog steeds ondersteunend en er zijn andere redenen waarom we dat informatiesysteem in leven houden (althans: ik hoop dat die redenen er zijn want anders kunnen we ze beter uitzetten). Alleen al omdat het informatiesysteem een bijdrage levert aan het voortbestaan van de organisatie willen we dat het systeem zo goed mogelijk gemanaged wordt.

Als we dan toch al iemand aan hebben gewezen die verantwoordelijk is, dan is het nog een klein kunstje om hem of haar ook duidelijk te maken wat de taken, bevoegdheden en verantwoordelijkheden op het gebied van de beveiliging van dat informatiesysteem zijn. Op papier allemaal niet zo ingewikkeld maar laten we vooral die taken, bevoegdheden en verantwoordelijkheden niet zomaar over de schutting gooien.

Formeel is de verantwoordelijke ook verantwoordelijk voor de beveiliging, want beveiliging was immers een lijnverantwoordelijkheid. Maar laten we diegene daarin watertrappelen dan is de kans groot dat beveiliging het ondergeschoven kindje wordt. Nee, het is de taak van de security manager om de kaders te ontwikkelen, de formats, de standaarden, de richtlijnen en vooral ook om een luisterend oor te zijn voor de organisatie.

We kunnen het niet genoeg benadrukken: beveiliging moet het werken niet lastiger maken dan nodig, nee we moeten keuzes maken over het niveau van beveiliging…en die keuzes worden toch echt gemaakt door degene die we verantwoordelijk maken voor de informatiesystemen. Zijn wij het vanuit de beveiligingsoptiek het niet eens met de gemaakte keuzes dan gaan we eerst in overleg, leggen onze beweegredenen uit en laten eventueel een hoger echelon de definitieve hamerklap geven.