Een overzicht van gebruikers

We zijn nog steeds bezig binnen het stuk dat gaat over de personele beveiliging. Daarbij mogen we de gebruikers binnen onze organisatie niet uit het oog verliezen. Een simpele vraag met een lastiger antwoord.

De vraag:
Is er een volledig overzicht van gebruikers?

Je zou zeggen dat het logisch is dat een organisatie over een volledig overzicht van gebruikers beschikt. Ze weten ook aan wie ze loon moeten betalen aan het eind van de maand, toch? Toch zien we dat de vraag in de praktijk simpeler is dan het antwoord. De overzichten van gebruikers zijn vaak niet in overeenstemming met degene die we salaris (of uurtarief) betalen.

Medewerkers komen en gaan, of ze nu in- of extern zijn doet er eigenlijk niet zoveel toe. Op de dag dat ze binnen zijn beginnen ze te vragen om een inlog account. De dag dat ze voor de laatste keer de deur achter zich dicht trekken, melden ze het account niet meer af. Het is dus zaak om periodiek te controleren of de overzichten nog actueel zijn en of iedereen nog wel een account nodig heeft.

Dat is natuurlijk de korte versie die medewerkers nemen. Vaak hebben ze verschillende functies gedurende de jaren dat ze voor ons werken. Er komen steeds meer rechten bij en er gaan er maar weinig weer vanaf. Logisch, want de medewerker kan zijn werk niet doen als hij de rechten niet heeft maar kan nog wel gewoon werken als hij teveel rechten heeft. Hoe langer men in dienst is, hoe meer men kan zien.

Naast onze interne medewerkers hebben we ook nog de externen en tijdelijke krachten. De doorloopsnelheid daarvan ligt nog een stuk hoger dan die van het eigen personeel. Geven we ze teveel rechten, mogen ze op afstand inloggen en hoe houden we daar dan zicht op? Hoe lang kunnen ze er nog bij nadat het contract beëindigd is? En hoe vaak controleren we dat dan?

Daar weer bovenop hebben we de medewerkers met bijzonder rechten. De medewerkers die het wachtwoord van het “admin”-account kennen. Grote kans dat we het lastig vinden of gewoon vergeten om het wachtwoord te wijzigen als nu net die ene medewerker uit dienst is. Hopelijk hebben we op een vrolijke manier afscheid van elkaar genomen…zo niet dan moeten we de controle wellicht dit jaar iets eerder uitvoeren.

Vreemd dat het ons wel lukt om de uitbetaling van salaris stop te zetten terwijl het ons nauwelijks lukt om het overzicht van gebruikers actueel te houden.

Het wordt allemaal nog wat ingewikkelder als we ook nog eens verschillende rechten aan verschillende medewerkers in verschillende rollen hebben uitgegeven. Een medewerker verandert dan misschien niet van functie maar kan wel van rol veranderen. Onoverzichtelijke lijsten met gebruikers in bepaalde rollen met bepaalde rechten. Een hele worsteling om dat actueel te houden.

Het lijkt misschien of we er maar niet eens meer aan moeten beginnen. Geen eer aan te behalen. Toch is dat niet waar, alleen moeten we het wel in de juiste volgorde doen eerst het proces op orde, dan pas de lijsten opschonen. En niet andersom want dan blijven we bezig.

Het toebedelen van specifieke taken, bevoegdheden en verantwoordelijkheden

Beveiliging is een lijnverantwoordelijkheid en gaat pas echt werken als iedereen zijn of haar rol daarin neemt. Omdat we weten dat dit niet voor iedereen duidelijk is, hebben we in de functieomschrijvingen ook nog eens aangegeven wat we verwachten en welke taken ze hebben. Vervolgens maken we ze bewust en scholen en trainen we ze er ook in. De medewerker is niet onze zwakste schakel, maar juist onze sterkste. Toch willen we nog wat andere taken verdelen in de organisatie, de vooruitgeschoven posten, de Operational Security Officers of onze voelsprieten, geef ze maar een naam.

De vraag:
Is vastgelegd welke algemene en specifieke taken, bevoegdheden en verantwoordelijkheden op het gebied van beveiliging zijn toebedeeld aan functionarissen en afdelingen?

We gaan op zoek naar medewerkers die op vrijwillige basis een extra bijdrage willen en kunnen leveren. Willen ze het niet dan gaan we op zoek naar een ander, kunnen ze het niet dan gaan we ze scholen en trainen. De Operational Security Officer wordt dus niet degene die afwezig was op het moment dat de taak verdeeld moest worden maar is iemand die het als een uitdaging ziet en die er ook nog eens de tijd voor krijgt.

We moeten echter niet vergeten dat het meestal een taak is die mensen erbij krijgen. 20% van hun tijd mogen ze er (op papier) aan besteden, in de praktijk is het helaas vaak nog minder. Het functioneringsgesprek rekent af op andere taken dan op de beveiligingstaken en de bonus die ze kunnen verdienen, verdienen ze ook niet met de 20% beveiligingstaken maar eerder met de 80% commerciële taken.

Het mag er dan allemaal leuk uitzien voor de buitenwereld, maar echt werken gaat het niet doen. Niet iedere afdeling of business unit hoeft een fulltime Security Officer te krijgen. Nee, als we echt vrijwilligers hebben gevonden dan leggen we de extra taken, bevoegdheden en verantwoordelijkheden vast en we zorgen ook dat ze er de tijd voor krijgen.

Sterker nog, we laten ze niet watertrappelen tot ze er moe van worden maar gaan met ze in overleg. Wij zorgen er voor dat er een groep Security Officers ontstaat die gesteund wordt, die zich kan vereenzelvigen met anderen. De Security Officers staan niet alleen maar zijn elkaars back-up en kunnen bij elkaar terecht als ze er zelf niet meer uitkomen.

Hebben we die vrijwilligers eenmaal gevonden dan mogen we ze daar ook voor belonen. Dat hoeft echt niet altijd in klinkklare munt maar kan ook door ze eens in het zonnetje te zetten. Vindt de directie het echt zo belangrijk? Dan besteden ze daar aandacht aan, dan zorgen ze dat de medewerker eens een bedankje krijgt. Dan zorgen ze ervoor dat deze medewerkers er ook echt de tijd en middelen voor krijgen.

Het begint dus weer bij de tone-at-the-top. Vinden ze het echt belangrijk dan laten ze dat blijken. Is het slechts voor de buitenwereld dan moet je je als vrijwilliger nog eens goed afvragen of er geen zinvoller vrijwilligerswerk te doen is.

Scholings- en trainingsprogramma´s

Inmiddels hebben we gezien dat beveiligingsbewustzijn en het creëren van een cultuur toch wat ingewikkelder is dan we graag willen geloven. Je zou zelfs kunnen concluderen dat ik vind dat er een berg geld weggegooid wordt (en of je dat ook echt concludeert laat ik aan jou over). Ik wil natuurlijk helemaal niet zeggen dat je er niets aan moet doen, maar wel het liefst op een manier waarbij het ook enig effect heeft. Waar we ons wel op moeten focussen is het opleidingspakket dat we aanbieden voor medewerkers die een belangrijke bijdrage aan de beveiliging leveren.

De vraag:
Zijn er scholings- en trainingsprogramma’s op het gebied van beveiliging dat het (specifieke) personeel op de hoogte houdt van beveiligingszaken?

Met specifiek personeel bedoelen we niet zozeer de Security Officer, de Security Architect of welke willekeurige security functie dan ook. We gaan er vanuit dat die inderdaad scholing hebben gehad en aan permanente educatie doen. Nee, we doelen meer op de medewerkers die geen “security” in hun functiebenaming hebben maar daar wel een belangrijke bijdrage aan leveren.

Secretaresses, medewerkers van de postkamer, receptionistes, helpdeskmedewerkers, managers en een groot deel van de IT-beheerders binnen ons bedrijf. Zij moeten de fundamenten van beveiliging weten, zij moeten weten welke bijdrage ze daaraan leveren en welke risico’s we lopen als het verkeerd gaat.

Een scholings- of trainingsprogramma is dan ook niet iets dat we eenmalig samenstellen en dat voor al die functies geldt. Nee, de secretaresse moeten we in andere zaken trainen dan de IT-beheerder. De postkamermedewerker moet weer andere dingen weten dan de helpdeskmedewerker. We zullen ze moeten scholen en trainen in hun specifieke vakgebied.

Niet een eenmalige actie maar een continu proces waarbij we eerst een bepaalde basis willen bereiken maar vervolgens permanent bijleren. Dat kan natuurlijk vanuit de boeken of klassikaal, maar het kan ook gewoon door eens een dagje met ze mee te lopen en te kijken waar ze tegenaan lopen. Het kan ook door ze cases voor te leggen en het kan door gewoon aanwezig te zijn als ze ergens vragen over hebben. Doen we dat op de juiste wijze dan ontstaat er bij die medewerkers een bepaald gevoel bij beveiliging (doen we het goed dan ontstaat er een goed gevoel…doen we het slecht dan…nou ja, je begrijpt het).

Als deze medewerkers inderdaad goed geschoold en getraind zijn dan zullen zij al snel als ambassadeur voor de rest van de medewerkers kunnen gelden. Zij spreken mensen aan op incidenten, zij helpen mensen die er even niet meer uitkomen en zij beantwoorden de vragen waar mensen mee zitten. Niet vanuit een algemeen boek, maar vanuit hun eigen werkervaring. Niet vanuit een verplichting, maar omdat ze het leuk vinden.

Wilden we in ons vorige stuk nog bezuinigen op beveiligingsbewustzijnscampagnes, dan kunnen we dat geld misschien goed inzetten om specifieke medewerkers beter geschoold en getraind te krijgen op het gebied van beveiliging. Een typische win-win-situatie als je het mij vraagt.

Cultuur en beveiligingsbewustzijn

De titel zegt het al, we gaan het hebben over cultuur en beveiligingsbewustzijn. Het lijken misschien dezelfde begrippen maar er zit een wereld van verschil in. Daarom de vraag:
Worden er activiteiten ontplooit om de cultuur en het beveiligingsbewustzijn continu te verbeteren?

Binnen organisaties zien we erg veel beveiligingsbewustzijnscampagnes. De een wat origineler en uitgebreider dan de ander, maar goed, daar zullen we het maar niet over hebben. Feit is wel dat met een dergelijke campagne met name gericht wordt op de kennis bij de medewerkers. We willen ze vertellen wat ze wel en wat ze juist niet mogen. Dat doen we door enquêtes te houden zodat we weten hoe de vlag er bij hangt en vervolgens hangen we allerlei mooie posters op, ontwikkelen e-learning omgevingen en brengen misschien zelfs een beveiligingskrantje uit.

Zo, de campagne zit er weer op en nu nog afsluiten met een nieuwe enquête zodat we de voortgang kunnen meten. Wonderbaarlijk, we hebben ineens een sterk verbeterde score, toch? Dat hangt er natuurlijk maar helemaal vanaf hoe je het bekijkt.

Het is natuurlijk niet zo gek dat mensen echt wel wat oppikken als je ze verveelt met allerlei posters en verplichte e-learnings. Maar, als we volgend jaar weer beginnen met een nulmeting…wat is er dan echt bij ze blijven hangen en hoeveel minder incidenten hebben we gehad?

We haalden het al veel vaker aan. Het gaat om kennis, houding en gedrag. Het gaat om het bewerkstelligen van een cultuur waarin beveiliging heel normaal is en waar iedereen zijn of haar steentje bijdraagt. Ik heb nog maar weinig organisaties gezien waar we echt kunnen spreken over een beveiligingscultuur.

We moeten er dan wellicht wel iets aan doen omdat we anders niet compliant zijn, maar daar houdt het dan ook wel een beetje mee op. We leggen nog maar nauwelijks de link met de algemene cultuur binnen de organisatie. De beveiligingscultuur gaat daar echt niet veel van afwijken.

Willen we dat iedereen netjes de e-learning doet, begin dan eens bij het management. En nee, ze mogen het de secretaresses niet laten doen maar moeten zelf aan de bak. Jammer genoeg krijgen ze er geen bonus voor…want dan was de kans toch een stuk groter dat het wel gebeurde. Het is een noodzakelijk kwaad en niemand heeft er zin in. Een feit, tenzij het ons echt lukt om de cultuur te veranderen.

We moeten niet vergeten dat we een cultuur niet even snel kunnen veranderen. De mensen maken de cultuur en het zijn dus ook de mensen die die cultuur kunnen veranderen. Onze mooie posters hebben daar nauwelijks invloed op. Ach, misschien is het een geluk bij een ongeluk dat we ook eigenlijk geen goed zicht hebben op de beveiligingsincidenten die zich voordoen. Wat niet weet, wat niet deert.

Stellen we onszelf nog wel de vraag of de budgetten die we eraan besteden niet beter op een andere manier kunnen worden ingezet? Moeten we wettelijk iets doen, ja dan zal het geld kosten, maar vechten we tegen de bierkaai, dan moeten we misschien kijken of we het budget op een efficiëntere wijze in kunnen zetten die meer bijdraagt aan een beveiligde omgeving. Nu wil je van mij wellicht graag het eenduidige antwoord over hoe dan wel, maar helaas is dat antwoord niet te geven. Daarvoor zullen we toch echt moeten onderzoeken wat we er nu aan doen, wat dat dan kost en welke betere methodes we kunnen bedenken.

Geen makkelijke opgave, maar wel een belangrijke die ook nog eens kan werken. Moet jij kijken hoe het management je onthaalt als je aangeeft volgend jaar nog maar de helft van je beveiligingsbewustzijnsbudget nodig te hebben. Weer een besparing bereikt, of is dat alleen maar voor de korte termijn?

Calamiteitenplannen, evacuatieplannen en brandweervoorschriften

De BedrijfsHulpVerleningsorganisatie is voor ons, als beveiligers, een partij waar we nauw mee moeten (willen) samenwerken. En tenzij je verantwoordelijk bent voor de BHV willen we je niet verplichten om zelf de plannen en voorschriften op te stellen, maar je moet er wel weet van hebben en je bijdrage aan leveren.

De vraag:
Zijn er (personele) calamiteitenplannen, evacuatieplannen en brandweervoorschriften opgesteld?

Willen we inderdaad aan integrale beveiliging doen en willen we inderdaad fysieke en informatiebeveiliging combineren op basis van risicomanagement, dan kunnen we niet om de veiligheidsaspecten heen. We beschreven al dat we moeten kijken naar de wijze waarop veiligheid voor onze organisatie is ingericht. Dat doen we door eerst onze hulp aan te bieden en het gesprek aan te gaan. Niet omdat we de hele BHV-organisatie om zeep willen helpen (want dat lukt niet en moeten we ook niet willen). Nee, juist om te kijken hoe goed zij het al doen en in hoeverre we onze beveiligingseisen daarin toe kunnen passen.

Zij maken wellicht de calamiteiten en evacuatieplannen, wij maken misschien wel de business continuity en uitwijkplannen. De verschillen en overeenkomsten daarin willen we graag inzichtelijk maken. Kunnen we niet van dezelfde formats gebruik maken en welke informatie is bij de BHV al aanwezig die voor ons handig is (en vice versa natuurlijk, brengen en halen).

Misschien zijn er vanuit BHV al calamiteiten of crisisteams ingericht die voor de beveiliging heel goed hergebruikt kunnen worden. De leden van deze teams weten al wat er van hen verwacht wordt op veiligheidsgebied en zijn te trainen in beveiliging.

Het voordeel van veiligheid is dat er wettelijk het een en ander geregeld is en dat er allerlei plannen, formats, procedures etc. beschikbaar zijn die hergebruikt kunnen worden. We gaan niet het wiel opnieuw uitvinden als dat toch weer rond wordt en we bereiken maar als we aansluiten bij bestaande procedures en organisatorische inrichtingen.

Ben je niet overtuigd en wil je liever niet direct het gesprek aan met de BHV? Wellicht kun je op het intranet al procedures en handboeken vinden. Neem de moeite om daar eens door heen te bladeren. Grote kans dat je veel bekende stappen tegenkomt die misschien alleen maar een andere naam hebben.

Daarnaast moeten we niet vergeten dat onze continuiteits- en uitwijkplannen doorborduren op de calamiteiten- en evacuatieplannen. Voor de BHV houdt het misschien op als iedereen veilig het gebouw heeft verlaten, voor ons begint het dan juist pas. Wij moeten ervoor zorgen dat de processen binnen de afgesproken tijd weer up-and-running zijn. Ook hierin zien we weer dat de beveiliging niet zonder BHV kan, alleen moeten we verder over onze grenzen heen kijken.

Wat is er nu mooier om te zien dat we als beveiliging niet alleen zijn, dat we niet de enige roepende in de woestijn zijn? De BHV kampt veelal met dezelfde soort uitdagingen. Vormen we een band dan staan we sterker en zorgen we er niet alleen voor dat de organisatie aan haar wettelijke verplichtingen voldoet maar ook nog eens dat onze processen na een calamiteit zo snel mogelijk weer in de lucht zijn. Geen slachtoffers en nauwelijks uitval van processen…de directie zal trots op ons zijn.

BedrijfsHulpVerlening

We hebben het hier steeds over risicomanagement en beveiliging, gericht op de continuïteit van de organisatie. BedrijfsHulpVerlening is onderdeel van veiligheid en ARBO en kan gezien worden als een andere discipline. Toch is het belangrijk om er naar te kijken omdat anders de continuïteit van de organisatie in gevaar kan komen. We zullen niet ingaan op de eisen die vanuit ARBO gesteld worden, maar kijken wel naar het belang voor die continuïteit.

De vraag:
Is er een BedrijfsHulpVerleningsorganisatie?

Kijken we naar de ARBO dan staat de veilige werkomgeving voor de medewerker centraal. Kijken we hier echter naar vanuit risicomanagement en beveiliging (zoals wij dat doen) dan richten we ons meer op continuïteit. De buitenwereld haalt de begrippen veiligheid en beveiliging nogal eens door elkaar en ziet het als een pot nat. Maken we gebruik van de engelse benamingen dan wordt al meer duidelijk: safety versus security.

Security hebben we voor het gemak vertaald naar beveiliging en gebruiken we dat als werkwoord dan wordt het als snel veilig. Goed voor te stellen dat men buiten het vakgebied door de bomen het bos niet meer ziet. Nee, een beter begrip zou zijn: “to be secure” of in het Nederlands: “zeker zijn van”. Waarvan? Nou van de continuïteit van de organisatie waarbij veiligheid en beveiliging tegenstrijdige belangen kunnen hebben maar elkaar ook kunnen versterken en elkaar zelfs nodig hebben.

Pakken we hem nog even door dan zien we dat veiligheid wettelijk geregeld is, terwijl beveiliging dat niet (of slechts zeer beperkt) is. We zullen dus goed af moeten stemmen om de belangen over en weer te kunnen garanderen. Vanuit veiligheid willen we zoveel mogelijk nooduitgangen zodat personeel zichzelf in veiligheid kan brengen. Vanuit beveiliging heb ik liever helemaal geen gaten in de muren omdat dat nu juist de zwakke punten zijn. We zullen dus hand in hand moeten gaan om het optimum te vinden. Niet te weinig veiligheid maar ook niet te weinig beveiliging.

Nu terug naar BHV in het optiek van de continuïteit. Voor continuïteit hebben we bedrijfsprocessen nodig die ondersteunt worden door informatie, mensen en middelen. Daar komt ons belang samen. Wij willen graag dat naast de mensen ook de informatie en middelen veilig zijn. In de dagelijkse gang van zaken, maar juist ook bij calamiteiten.

Bij een brandalarm moet iedereen wel veilig naar buiten kunnen maar er mag niemand ongeautoriseerd naar binnen. Bij een bommelding moeten we evacueren als de dreiging reëel is, maar als we dagelijks 10 bommeldingen krijgen dan liggen onze processen wel erg vaak stil.

Als we serieus samen willen werken met de BHV dan moeten we in overleg. Gaan we als makke schapen naar buiten bij de eerst volgende ontruimingsoefening of zijn we in overleg en pakken we daar gezamenlijk een rol in? Wij zijn voor samenwerking omdat het heel goed mogelijk is om de veiligheid zo beveiligd als mogelijk in te richten. Dat kan al door eens goed vanuit beveiliging naar de procedures te kijken, misschien kunnen we met kleine aanpassingen beide doelen bereiken. Klinkt cryptisch? Een klein voorbeeldje: misschien kunnen we de ontruimers zodanig positioneren dat ze ook in de gaten kunnen houden wie tijdens het alarm het gebouw betreedt. Dat is niet alleen goed voor de beveiliging (omdat ongeautoriseerde toegang wordt voorkomen) maar ook voor de veiligheid (omdat we nu eenmaal geen slachtoffers willen hebben).

BedrijfsHulpVerlening. Kijken we daar naar vanuit veiligheidsoptiek dan zullen we andere eisen stellen dan dat we er met een beveiligingsbril naar kijken. We kunnen elkaar links laten liggen of het onszelf onnodig moeilijk maken, maar we kunnen ook de samenwerking aan gaan. Doen we dat dan zijn we niet alleen veilig maar ook beveiligd bezig.

Veiligheidsonderzoeken voor vertrouwensfuncties

Integer personeel, waar vind je het nog? Dat zul je je misschien afvragen na de blogs die we hiervoor gelezen hebben. Toch is er nog een aspect dat kan bijdragen aan de integriteit van het personeel en dat is het screenen ervan. En ook daaraan zitten weer de positieve en de negatieve kanten om het over privacy nog maar niet te hebben.

De vraag die hierbij hoort is:
Worden er veiligheidsonderzoeken uitgevoerd ten aanzien van medewerkers op vertrouwensfuncties?

Er zijn voor- en tegenstanders van screeningen (of veiligheidsonderzoeken). Feit is dat we er bijna niet omheen kunnen maar dat het goed is om ook de beperkingen ervan in te zien. Het geeft een mate van zekerheid maar over de hoogte van die mate kun je discussiëren.

Willen we ons er gemakkelijk vanaf maken dan kunnen we stellen dat een positieve screening alleen maar zegt dat we in het verleden niet door de mand zijn gevallen. Willen we het onszelf ietsje moeilijker maken dan zullen we moeten accepteren dat een screening ook niet zaligmakend is en er altijd restrisico’s zullen blijven bestaan.

Een screening zegt alleen maar iets over het verleden. Stel dat een pyromaan in het verleden nog nooit is opgepakt. Zijn screening is akkoord en morgen mag hij aan de slag. Besluit hij na een week om het gebouw waar hij werkt in de brand te steken dan heeft de screening daar niets in kunnen betekenen. Had hij al wel een strafblad voor dit vergrijp dan hadden we hem misschien niet aangenomen, maar goed, daar is het nu te laat voor. Laten we eerst de brand maar even blussen. Dit voorstel kun je natuurlijk net zo makkelijk extrapoleren naar fraude, diefstal, seksuele intimidatie en ga zo maar door.

Een screening klinkt natuurlijk al snel erg zwaar. Vragen we een Verklaring Omtrent Gedrag of schakelen we zelfs de AIVD of MIVD in voor een zwaardere screening? Toch zijn er ook andere vormen van screening die al wel snel worden toegepast.

Wie Googled niet even de nieuwe medewerker? Vinden we vreemde zaken dan is de kans aanwezig dat we gaan twijfelen. Staat zijn profiel erg mooi op LinkedIn maar zien we hem terug in forums over discriminerende onderwerpen dan worden we daar toch door beïnvloed. Daar zit natuurlijk een gevaar in, want er zijn meer hondjes die fikkie heten. Weten we wel zeker dat we de juiste persoon voor ons hebben of is het een simpele naamgenoot?

Na het Googlen willen we ook nog graag zijn diploma’s zien. Willen we dat, dan kunnen we contact opnemen met de opleidingsinstituten om te checken of het diploma ook echt behaald is. Referenties hebben we ook opgevraagd dus we kunnen wat oud-werkgevers bellen. Verwacht daar overigens niet teveel van, een werkgever die graag afscheid wil nemen van die medewerker zal lovende verhalen ophouden (zo hoeft hij niet te ontslaan en verlaat de medewerker vrijwillig zijn organisatie). Hij blij, nieuwe medewerker blij maar misschien zit jij straks met de gebakken peren.

Allemaal onderdelen van een screening die een beeld kunnen geven van de nieuwe medewerker. Een beeld, dat klopt, maar geen volledig beeld. De checks die we zelf uit kunnen voeren zijn natuurlijk een kleine moeite. Anders wordt het als we er een externe partij voor in gaan schakelen of als we van iedereen een Verklaring Omtrent Gedrag gaan vragen.

Ook hiervoor geldt weer dat we keuzes moeten maken. Laten we iedereen screenen of kiezen we er voor om alleen bepaalde functies aan een screening te onderwerpen? Wat je ook kiest, bedenk dat een screening niet zaligmakend is en slechts een beeld geeft van het verleden. Resultaten uit het verleden bieden helaas geen garanties voor de toekomst.

Beveiligingsvoorschriften in functiebeschrijvingen

Zoals we inmiddels allemaal weten, is beveiliging een lijnverantwoordelijkheid. Iedereen is voor zijn of haar deel verantwoordelijk voor de beveiliging. De algemeen directeur, de lijnmanager, de medewerker en natuurlijk ook de security officer. Daarom is het goed om in de functiebeschrijvingen vast te leggen welke verantwoordelijkheid een ieder heeft.

De vraag:
Wordt in de functiebeschrijvingen verwezen naar de beveiligingsvoorschriften?

We zien nog wel eens (of eigenlijk erg vaak) dat de medewerkers in de organisatie denken dat de security afdeling verantwoordelijk is voor de beveiliging. Natuurlijk spelen zij een belangrijke rol in het beschikbaar stellen van beleid, kaders en ondersteunende informatie. Maar feit blijft dat beveiliging pas gaat werken als iedereen zijn verantwoordelijkheid neemt.

De functiebeschrijving van de security officer bulkt natuurlijk van de inhoudelijke punten op beveiligingsgebied. Maar ook in de functieomschrijvingen van de lijnmanagers en de medewerkers moeten we minimaal beschrijven dat beveiliging een lijnverantwoordelijkheid is en dat men geacht wordt zich aan het beleid en de richtlijnen te houden.

In het beveiligingsbeleid hebben we ook al in een eerder stadium beschreven dat het de lijn is die verantwoordelijk is. En we kunnen natuurlijk hopen dat iedere medewerker dat beleid gaat lezen…maar dat is een utopie. Juist daarom moeten we in de functieomschrijving ook iets opnemen, we moeten het er met de medewerker over hebben tijdens het functionerings- of beoordelingsgesprek. Dat klinkt misschien allemaal wat zwaar, maar het kan gewoon in 1 zin worden afgedaan.

We moeten natuurlijk niet doorschieten en we moeten zeker niet alle beveiligingsdetails opnemen in de functieomschrijvingen, dan wordt het allemaal wel erg veel papier (want naast beveiliging zullen we dan ook andere aspecten volledig uit willen schrijven). Nee, het volstaat om aan te geven dat beveiliging een gedeelde verantwoordelijkheid is waaraan iedereen zijn of haar bijdrage levert. De details die werken we dan wel uit in beleid en procedures die we beschikbaar stellen via het intranet.

Net als bij de geheimhoudingsverklaring gaat het natuurlijk niet zozeer om de formaliteit van het vastleggen. Nee, het gaat erom dat de medewerker zich bewust wordt. Het ging om kennis, houding en gedrag en dat bereiken we niet door het alleen maar in de functieomschrijving op te nemen. Dat is slechts een klein stapje in het grotere geheel, maar wel een stapje dat we zullen moeten nemen op weg naar ons einddoel: een goede beveiliging, passend bij de organisatie.

Geheimhoudingsverklaring

Inmiddels hebben we de mensen allemaal verteld wat ze moeten doen, we hebben gedragscodes en sanctiebeleid waar ook nog eens voor getekend is. Als we ze dan toch allerlei formulieren laten ondertekenen dan kan de geheimhoudingsverklaring daar ook nog wel bij.

De vraag is daarom:
Wordt door iedere medewerker een geheimhoudingsverklaring ondertekend?

Het lijkt misschien een pure formaliteit en helaas is dat in de praktijk ook veelal het geval. Dat heeft niets te maken met de geheimhoudingsverklaring maar veel meer met het feit dat er nauwelijks gecontroleerd wordt welke informatie er zoal onze organisatie verlaat.

De geheimhoudingsverklaring is er op gericht om stappen te kunnen ondernemen als een werknemer tijdens het dienstverband uit de school klapt. Het merendeel van de medewerkers is zich daar, hopelijk, van bewust en past wel op met wat hij zoal de wereld in slingert. Maar hoe zit het met de informatie nadat de werknemer ontslag heeft genomen of gekregen?

Dan wordt het al een lastiger verhaal en misschien moeten we het ook nuanceren. Natuurlijk willen we niet hebben dat onze vertrouwelijke informatie bij de krant of concurrent terecht komt. We willen niet met onze eigen fouten geconfronteerd worden. Maar hoe zit het nu met die kennis die de werknemer heeft opgedaan?

Dan doel ik niet zozeer op de vertrouwelijke bedrijfsgegevens maar meer op algemene kennis. Hij heeft hopelijk een berg geleerd de afgelopen jaren en hij heeft zich goed ingezet voor de organisatie. Met zijn overstap naar een nieuwe carrière bij een ander bedrijf is hij die kennis niet ineens vergeten. Nemen wij zelf nieuwe medewerkers niet aan op basis van een bepaald denk- en werkniveau? Hoe is dat niveau behaald? Waarschijnlijk door een combinatie van opleiding en werkervaring.

Goed, wat in het hoofd zit van die medewerker wordt dus hergebruikt. En, ach, zolang het onze vertrouwelijke gegevens niet zijn, zullen we daarmee moeten leren leven. Maar hoeveel informatie is in digitale of geprinte vorm meegegaan met die medewerker? En wat vinden we daar dan van?

Stel dat iemand procesmanager is geweest. Zeer waarschijnlijk kan hij de opgedane proceskennis hergebruiken in zijn nieuwe werkomgeving. De procesflows waar hij jaren mee gewerkt heeft hergebruikt hij en herschrijft hij naar de nieuwe omgeving. Vinden we dat erg of accepteren we dat ook? Daar is geen eenduidig antwoord op maar is wel een aspect waar we eens over na moeten denken.

Te vaak zien we dat informatie voor het grijpen ligt. Op intranet staat hele boeiende informatie, op de servers nog meer en dan hebben we het nog niet over de sharepoint omgevingen gehad. Controleren we wel eens wat er met die informatie gebeurt? Weten we wie daarover kan beschikken en wat er mee gebeurt? Weten we hoeveel kopietjes er op USB-sticks worden opgeslagen of via webmail onze organisatie verlaat?

Natuurlijk doen we iets aan autorisatiebeheer, niet iedereen kan dus bij alle informatie. Allemaal leuk en aardig en hartstikke noodzakelijk. Maar deze medewerker is gewoon geautoriseerd, hij moet er immers mee werken. Maar als hij niet meer voor ons wil werken, moeten we dan de controle niet wat opschroeven?

Het hangt natuurlijk allemaal van de cultuur van het bedrijf af. We zijn in Nederland nogal gematigd en als iemand ontslag krijgt of neemt dan mag hij gedurende zijn opzegtermijn nog gewoon alles doen. Een risico, dat zeker. En dat risico wordt alleen maar groter als we weer een aantal befaamde reorganisaties aankondigen. Mensen worden onzeker en gaan vast hamsteren.

Vinden we dat niet erg en accepteren we dat dan is het goed om ons dat te realiseren. Accepteren we dat zeker niet dan zullen we na moeten gaan denken over de wijze waarop we de informatie beter willen monitoren. Een hele opgave, dat zeker, maar goed om niet te lang te wachten…want een volgende reorganisatie kan er zomaar aan komen.

Tekenen voor gedragscode en sanctiebeleid

We hebben de gedragscode en het sanctiebeleid en dat is ook nog eens goed vindbaar op het intranet. De medewerkers weten van het bestaan en er ontstaat een cultuur waarbij beveiliging niet langer een vreemde eend in de bijt is.

De vraag voor vandaag:
Heeft het personeel voor kennisname van de gedragscode en het sanctiebeleid getekend?

De organisatie bestaat al langer dan dat we een gedragscode of sanctiebeleid hebben. Nieuwe medewerkers tekenen hier bij indiensttreding voor en de getekende exemplaren zitten netjes in het personeelsdossier. Het lijkt misschien allemaal een formaliteit, maar willen we iets met die gedragscode of het sanctiebeleid kunnen doen dan moeten we enig bewijs hebben dat de medewerker die gezien heeft. Een handtekening is prima en we pakken het personeelsdossier er wel bij als er echt iets aan de hand is.

En dan komen we tot de conclusie dat de medewerker, die nu toch echt de regels heeft overtreden, langer in dienst is dan dat de gedragscode bestaat. We hebben dus geen handtekening van hem en hopen dat we nog iets kunnen met de handtekening op zijn arbeidscontract. Misschien staat daar iets in over gewijzigde regelgeving die automatisch van toepassing is. Erg zwak natuurlijk, maar zeker het proberen waard.

De strekking van dit verhaal is natuurlijk dat we er voor moeten zorgen dat van iedere medewerker die in dienst is een dergelijke handtekening beschikbaar is. Voor nieuwe medewerkers, voor medewerkers die al 30 jaar voor ons werken maar ook voor inhuurkrachten, uitzendkrachten en stagiaires. Allemaal nog steeds niet zo ingewikkeld en vrij logisch zul je zeggen. Dat zijn we direct met elkaar eens.

Maar als dit zo logisch is, zullen we dan, gewoon voor de grap, eens kijken naar het aantal personeelsdossiers en het aantal getekende gedragscodes? Grote kans dat we het goed voor elkaar hebben…op papier, een nog grotere kans dat de administratie toch wat andere signalen afgeeft. Grote delen van de administratie hebben niet de gedragscode, ergens in het proces is wellicht ooit iets niet goed gegaan en de achterstanden hebben we nooit helemaal weggewerkt. Dat is het beeld dat de praktijk vaak laat zien.

Als we dan toch de beveiliging willen verbeteren dan kunnen de we interne auditafdeling eens vragen om hier een audit op uit te voeren. De resultaten daarvan gebruiken we in ons verbeterplan. We zorgen ervoor dat nieuwe medewerkers (internen, externen, stagiaires) vanaf nu een verklaring ondertekenen door onze processen aan te passen en we gaan er aan werken om de achterstanden weg te werken.

Tot zover geen wolkje aan de lucht. Totdat de OndernemingsRaad er lucht van krijgt. Om dat voor te zijn betrekken we die er natuurlijk bij (als het goed is zijn ze ook betrokken geweest bij het opstellen van de gedragscode en het sanctiebeleid). We informeren het management dat we aan een opschoon actie beginnen en gaan aan de slag.

Al snel komen we uit bij die medewerkers die inderdaad al 30 jaar voor ons werken. Het merendeel tekent zonder morren de verklaring en gaat weer door met de werkzaamheden. Maar juist die ene (of twee of nog iets meer) zijn er stelselmatig tegen. Die gaan er echt niet voor tekenen want ze doen dit werk nu al 30 jaar zonder zo’n verklaring.

En nu? Wat ga je doen? Die medewerker doet inderdaad al jaren keurig zijn werk en de targets worden met twee vingers in de neus gehaald. Krijg jij van het management voldoende steun om je auditfinding weg te werken of blijf jij met open eindjes zitten (waardoor jouw bonus in gevaar komt)? Uiteraard is dit helemaal afhankelijk van de organisatie, maar het is wel een goede thermometer om te achterhalen hoeveel steun je kunt verwachten op meer ingewikkelde aspecten van beveiliging. Zo heeft het oppakken van een ogenschijnlijk simpele actie toch meer belang dan we dachten. In ieder geval weet je nu welke temperatuur jouw thermometer aangeeft en daar kun je dan de implementatie van andere maatregelen weer op aanpassen.