Bekendheid met de gedragscodes en het sanctiebeleid

Zoals we eerder al aanhaalden is voor het naleven van de gedragscodes kennis, houding en gedrag van belang. We kunnen niet verwachten dat de houding en het gedrag aanpassen als de gedragscode onbekend is. Dat klinkt misschien logisch, maar de praktijk is toch wat weerbarstiger.

De vraag:
Zijn deze gedragscodes en het sanctiebeleid beschikbaar gesteld aan het personeel?

Natuurlijk laten we nieuwe medewerkers hun handtekening zetten voor de gedragscode, zo hebben we tenminste bewijs voor als we dat nodig hebben. Deze nieuwe medewerker moet zeer waarschijnlijk wel vaker zijn handtekening zetten voor hij echt aan de slag kan. Geloven we nu echt dat hij alle formele documenten tot in de puntjes doorleest? En als dat al wordt gedaan, begrijpt de medewerker dan ook echt wat de impact is? Misschien toch eens checken bij een aantal nieuwe medewerkers of zij zich kunnen herinneren dat zij een gedragscode hebben getekend en of zij weten wat die inhoudt. Je bent gewaarschuwd: je kunt voor verrassingen komen te staan.

Maar gelukkig is de nieuwe medewerker geen eendagsvlieg. Na een aantal dagen, weken of maanden heeft hij zijn draai gevonden. Op het intranet gaat hij op zoek naar informatie die van belang is. Hoe makkelijk kan hij de gedragscode en het sanctiebeleid dan vinden? Staat er niet zoveel informatie op het intranet dat we door de bomen het bos niet meer zien? En tussen al die andere informatie (die meestal leuker is dan de beveiligingsinformatie), hoe groot is dan de kans dat hij bewust de gedragscode kiest? Waarschijnlijk niet zo groot.

Heb je de gedragscode op het intranet staan? Kijk dan eens naar de statistieken. Hoe vaak is die gedragscode het afgelopen jaar bekeken? En hoeveel nieuwe medewerkers hebben we er in die tijd bijgekregen? Matched dat nog een beetje?

Gelukkig speelt dit probleem binnen jouw organisatie niet want er zijn verplichte e-learning modules en daarin gaan we ook in op de gedragscode. We stellen netjes de vraag of de deelnemer de gedragscode kent en al snel wordt er op “ja” geklikt. Maar wij laten ons niet voor de gek houden en stellen later nog een controle vraag: “stel je ziet een bezoeker zonder begeleiding, wat doe je?” Natuurlijk begeleiden we die naar de receptie…althans op papier dan. In de praktijk doen we lekker of we deze persoon niet gezien hebben.

Redeneren we nog even verder dan gaat het natuurlijk helemaal niet om die gedragscode. Het gaat om een beveiligingscultuur die we moeten creëren en daar is heel wat meer voor nodig dan een gedragscode, een e-learning omgeving en/of een poster aan de wand. Beveiliging moet bespreekbaar gemaakt worden, het moet in de wortels van de organisatie zitten en het moet overeenkomen met de totale cultuur binnen een organisatie. Dat is het doel, de gedragscode en het sanctiebeleid zijn daarbij slechts ondersteunend (en helaas in de praktijk nog teveel een formaliteit omdat het nu eenmaal moet).

Probeer er eens voor te zorgen dat beveiliging en het gewenste gedrag meegenomen wordt in de afdelingsoverleggen, laat het hoogste management aantoonbaar het goede voorbeeld geven, maak incidenten (al dan niet in geanonimiseerde vorm) inzichtelijk zodat anderen daarvan kunnen leren en zorg ervoor dat medewerkers met hun vragen ergens terecht kunnen. Lukt dat dan zijn we al een heel stuk verder en kunnen we de gedragscode en het sanctiebeleid inderdaad fine tunen…door er minder in op te nemen in plaats van meer en meer en meer.

Sanctiebeleid

We hebben de gedragscode en nog zijn er medewerkers die zich daar niet aan houden. Frustrerend, toch? Nou dat valt wel mee, maar daar gaan we straks verder op in. Voor die gevallen waarbij stelselmatig de regels worden overtreden is het goed om een sanctiebeleid te hebben zodat we in kunnen grijpen als dat echt nodig is.

De vraag:
Is er een sanctiebeleid voor afwijkingen van de gedragscodes?

Laten we eerst even terug komen op het feit dat de frustratie wel mee kan vallen. Voordat we sancties op gaan leggen (een laatste redmiddel) moeten we eerst zien te achterhalen waarom de regels werden overtreden. Wilde de medewerker zich niet aan de regels houden of kon hij dat niet omdat er andere belangen speelden of de regels gewoon onzinnig zijn?

Als hij er niet aan wilde meewerken terwijl wij hem wel alle middelen hebben gegeven dan kunnen we besluiten het sanctiebeleid in werking te stellen. Daarmee moeten we wel terughoudend zijn en dat moeten we dan doen zonder aanziens des persoons. Wat hiermee bedoeld wordt? Nou, eigenlijk heel simpel: als het geldt voor de medewerkers op de werkvloer dan geldt het ook voor de manager in de ivoren toren. Passen we het sanctiebeleid niet rechtlijnig toe dan gaan we geen stand houden in de rechtbank (nog los van het feit dat het natuurlijk onterecht is om managers wel de regels te laten overtreden).

Terugkomend op de medewerkers die de regels best toe willen passen maar dat, om wat voor reden dan ook, niet kunnen. We moeten gedragscodes hebben die ondersteunend zijn aan de bedrijfsvoering waarbij we de regels steeds zullen moeten fine tunen. Stellen we de regels te strak dan gaat iedereen ze overtreden, zijn de regels te vrijblijvend dan lopen we risico’s. Na een incident waarbij de gedragscode is overtreden moeten we dus niet (in alle gevallen) direct het sanctiebeleid toepassen, nee we moeten eerst de echte oorzaak zien te achterhalen en onze gedragscodes daarop aanpassen.

Neem nu als voorbeeld de toegangspasjes tot een kantoorgebouw. Als regel stellen we dat bezoekers zich moeten melden en dat medewerkers een pasje hebben en bezoekers begeleiden. Maar hoe snel en makkelijk kunnen we pasjes verzorgen voor nieuwe medewerkers? En hoe gaan die nieuwe medewerkers in de tussen tijd al aan de slag? Willen we meelopen voorkomen dan moeten we die nieuwe medewerker wel middelen geven om zich aan de regels te houden. Hij of zij kan bijvoorbeeld een tijdelijke pas krijgen tot de eigen pas klaar is. Zo voorkom je dat een collega de nieuwe medewerker mee naar binnen moet smokkelen (waarbij ze dus beide de gedragscode overtreden). Te vaak zien we nog dat nieuwe medewerkers nog niet over de middelen beschikken om zich aan de regels te houden, vreemd eigenlijk. De eerste paar dagen staan we toe dat zij de regels overtreden (omdat onze processen gewoon niet goed zijn ingericht), later verwachten we dat ze zich er wel aan houden…we geven nogal tegenstrijdige signalen af, vind je niet?

Het opstellen van gedragscodes en sanctiebeleid is op papier helemaal niet zo ingewikkeld. Ga er even voor zitten en je hebt een berg regels opgeschreven, die in de praktijk echter niet werken. De kunst is nu juist om regels en sanctiebeleid op te stellen dat werkt. Maak ze SMART (Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdsgebonden), doen we dat op de juiste wijze en overtreden medewerkers dan willens en wetens de regels, dan kunnen we teruggrijpen op ons sanctiebeleid (dat uiteraard ook SMART is). Maar dat is ons laatste redmiddel, het toe moeten passen van het sanctiebeleid is eigenlijk het falen van het managen van de beveiligingsmaatregelen.

Gedragscodes

Gelukkig hebben we medewerkers die erg betrokken zijn bij de organisatie en die goed hun best doen om er het beste van te maken. En die medewerkers die buiten de boot vallen die helpen we wel op een andere manier (bye bye, zwaai, zwaai). Het frustreert ons alleen nog dat ze allemaal hun best doen, maar de beveiligingsregels massaal aan de laars lappen. Tijd om duidelijk te maken wat we op dit gebied nu eigenlijk van hen verwachten.

De vraag:
Zijn er schriftelijke gedragscodes vastgesteld?

We kunnen natuurlijk denken of hopen dat alle medewerkers pro-actief hun steentje bijdragen aan het veilig houden van onze organisatie, maar is het dan niet handig om duidelijk te maken wat we verwachten? De meeste medewerkers willen echt wel helpen, alleen weten ze niet precies hoe en waarom. Onze taak dus om ze dat duidelijk te maken door gedragscodes op te stellen.

Gedragscodes die begrepen kunnen worden door de medewerkers. Dus geen semi-juridische ingewikkelde teksten waarbij we er in de rechtbank achterkomen dat we inderdaad gelijk hebben. Nee, gewoon in Algemeen Beschaafd Nederlands en vooral geen lappen tekst of dikke documenten.

Willen we dat medewerkers inderdaad zorgen voor een veilige organisatie dan gaan we drie stappen door: kennis, houding en gedrag. Een gedragscode gaat vooral in op de eerste stap, het geven van kennis. De medewerker moet immers weten wat we verwachten en vooral ook waarom we dat verwachten.

Geen belerende teksten met een wijzende vinger, maar duidelijkheid voor iedereen. Daarbij is woordkeuze vaak al een belangrijk aspect. “Gij zult niet…” en de medewerker haakt af, de haren in de nek gaan recht overeind staan en de rest van onze gedragscode komt niet meer bij hem over. Nee, de medewerkers moeten hun verantwoordelijkheid nemen en kunnen nemen. Daarom moeten we kort de risico’s duidelijk maken, waarom stellen we sommige (belachelijke) regels eigenlijk?

Ziet de medewerker het nut niet in van de maatregel dan is de kans groot dat de kennis snel vervaagd. Houding en gedrag kunnen we al helemaal vergeten, want geen hond die zich er aan houdt.

De medewerker wil in dienst dus tekent met frisse tegenzin de gedragscode (of hij tekent zonder ook maar 1 letter te hebben gelezen). Op papier hebben we het misschien redelijk voor elkaar, maar in de praktijk verandert er dus niets. Juist daarom kan een gedragscode ook niet op zichzelf staan, nee, het is onderdeel van een groter geheel, namelijk het geheel van beveiligingsbewustzijn en beveiligingscultuur.

Geen lappen tekst dus, maar eerder meerdere korte gedragscodes. Een algemene gedragscode, een gedragscode voor internet en e-mail gebruik, een gedragscode voor omgang met vertrouwelijke informatie en alle andere gedragscodes die voor jouw organisatie belangrijk zijn. Daarbij moeten we keuzes maken, geen 100 gedragscodes want dan schieten we ons doel ook weer voorbij en worden we al snel belerend (terwijl geen medewerker alle 100 codes kent, laat staan zich er aan houdt).

Gedragscodes zijn een weergave van wat we logischerwijs van de medewerker mogen verwachten. Common sense en het verantwoordelijkheid geven aan de medewerker, het geven van vertrouwen en bijsturing waar dat nodig is. Op hoofdlijnen weet een medewerker echt wel hoe hij of zij zich dient te gedragen, voor die specifieke onderdelen waarvoor we dat nodig vinden geven we hem of haar dan de aanvullende kaders.

Wees eens eerlijk, kijk eens naar de gedragscodes die er binnen jouw bedrijf zijn? Zijn ze er, hoeveel zijn het er en hoe leesbaar zijn ze? “Less is more” ook op dit gebied, geef de medewerkers de kaders en controleer op hoofdlijnen hoe leefbaar ze zijn. Lukt het ons om medewerkers hun verantwoordelijkheid te laten nemen dan zijn we al een heel stuk verder dan dat we ze exact de wet voorschrijven.

Vernietiging van informatie

De bewaartermijn van de informatie is afgelopen, we willen graag van de informatie af dus weggooien die handel. Misschien toch goed om nog even stil te staan bij de wijze waarop we op een zo veilig mogelijke manier van die informatie af komen. Wij hebben de informatie dan niet meer nodig, maar voor anderen kan die nog steeds erg interessante informatie bevatten.

De vraag is logischerwijs:
Wordt na afloop van de bewaartermijn de informatie conform de gestelde eisen/voorschriften vernietigd?

De gestelde vraag omvat meerdere delen van vernietiging. Allereerst zullen we eisen moeten stellen aan de vernietiging van informatie. Deze eisen vertalen we naar voorschriften waarbij we natuurlijk ook nog rekening houden met de classificatie van de informatie. Met zeer vertrouwelijke gegevens willen we natuurlijk extra voorzichtig omgaan.

Bij het vernietigen van informatie moeten we onderscheid maken in de digitale en niet digitale informatie en we zullen passende vernietigingsmethoden moeten kiezen die er voor zorgen dat ongeautoriseerden niet de beschikking kunnen krijgen over de informatie.

De niet digitale informatie, laten we het hier beperkt houden tot alles wat er op papier staat, versnipperen we met een shredder en de restanten komen in een papierbak die vervolgens op een veilige manier wordt afgevoerd. En voor de feestgangers onder ons: nee, de snippers mogen jullie niet als confetti gebruiken bij het volgende feestje. Versnipperen en vervolgens veilig afvoeren (door een daarin gespecialiseerd bedrijf) zou voldoende waarborgen moeten bieden om de informatie niet meer te kunnen gebruiken.

Het apart verzamelen van vertrouwelijke informatie in vuilnisbakken om die vervolgens in een keer op te halen kan nog steeds risico’s met zich meebrengen. Is het echt vertrouwelijk, versnipper het dan toch maar eerst. Want waar zetten we de bakken met vertrouwelijke informatie neer? Staan die aan de kant van de weg totdat de ophaaldienst komt? Of staan ze achter slot en grendel zodat toegang beperkt is? Willen we hier echt een risico lopen? Het antwoord hangt natuurlijk af van de mate van vertrouwelijkheid van de informatie.

Digitale informatie is natuurlijk een ander verhaal. Er zijn verschillende manieren om die informatie op te slaan en dus ook verschillende manieren om weer van die informatie af te komen. “Ctrl + Alt + Delete” is niet veilig genoeg. Nee, we moeten de informatie eerst verschillende malen overschrijven met 0-en en 1-en, hoe vaak we dat doen en welke methode we hiervoor gebruiken hangt natuurlijk weer af van de classificering.

Maar als we de schijven hebben overschreven, wat doen we dan met die schijven? Gooien we die gewoon bij het grofvuil of halen we die eerst nog langs een sterke magneet? Boren we er gaatjes in of gooien we ze door een shredder? Verbranden of verzuren we ze? Allemaal keuzes en veel van die keuzes kunnen we combineren. Daarin moeten we natuurlijk ook weer niet doorschieten

Hoewel er vele ingewikkelde manieren zijn om informatie definitief te vernietigen hebben we geen hogere wiskunde nodig om de kaders op papier te zetten. Hebben we het weer over “laag hangend fruit” dan hebben we er hier weer een te pakken. De uitvoering volgt dan vanzelf wel.

Een interessante afsluiter (althans dat vind ik): met informatie die ergens fysiek aanwezig is (of die nu digitaal of niet digitaal is maakt dan niet uit) kunnen we nog wel wat, daar zijn allerlei methodes voor te bedenken. Maar hoe vernietigen we nu die informatie die in de hoofden van (ex-)medewerkers zit? Kunnen we hun hersencapaciteit ook niet overschrijven of door een shredder halen? Daarom gaan de komende blogs meer in op de personele beveiliging, laten we beginnen met de gedragscodes…

De kwaliteit van opgeslagen informatie

De bewaartermijnen hebben we aan een onderzoek onderworpen. We weten welke termijnen wettelijk gelden en hebben voor de rest van de informatie bepaald hoelang we ze willen bewaren. Leuk allemaal, maar niet het doel op zich. We bewaren deze informatie omdat we er in de toekomst iets mee willen of mee moeten. Dan is het dus zaak om er voor te zorgen dat deze informatie in goede staat blijft en beschikbaar is op het moment dat het nodig is.

De vraag:
Wordt tijdens de opslag van de informatie (documenten, tapes, etc.) de kwaliteit van de informatie bewaakt (beschikbaarheid, gesteldheid, fysieke toestand, etc.)?

Het gaat er niet om om de informatie te bewaren en er nooit meer naar om te kijken. Het gaat er om dat we deze informatie kunnen gebruiken als dat nodig is. Bijvoorbeeld omdat we een storing hebben gehad en een back-up terug willen zetten of omdat de belastingdienst bewijsvoering vraagt. Is het dan niet handig om er zeker van te zijn dat we de opgeslagen informatie nog kunnen gebruiken?

We moeten dus eisen stellen aan de opslag. Willen we het liever op tapes hebben of stappen we over naar meer virtuele omgevingen? Waar slaan we de tapes dan op en waar staan die virtuele servers eigenlijk (ja ik weet het, ze zijn virtueel, eigenlijk is de vraag: waar staat die informatie dan)? Eerst een keuze dus hoe we deze informatie op gaan slaan. Stellen we de kwaliteitseisen goed dan moeten we ook nog testen of de opgeslagen gegevens daar nog aan voldoen.

Kunnen we de gegevens inderdaad nog gebruiken binnen de afgesproken bewaartermijnen of zijn de tapes inmiddels zo verkleefd dat we ze beter direct weg kunnen gooien? En als het ons lukt om de gegevens terug te halen, hoe betrouwbaar zijn die gegevens dan nog? Wie verteld ons dat deze gegevens niet gewijzigd zijn?

De gegevens mogen we dan bewaard hebben, maar beschikken we ook nog over de systemen om deze gegevens te lezen? Stel dat je een mooie back-up van je oude financiële gegevens hebt. We werkten toen nog in het oude boekhoudsysteem, weet je nog? Inmiddels zit alles in ons nieuwe systeem en dat werkt een stuk makkelijker, toch? Maar hebben we nog systemen beschikbaar met het oude systeem om de gegevens terug te halen of kan ons nieuwe systeem deze gegevens importeren?

Het doel was niet het opslaan van de gegevens maar het beschikbaar hebben van die gegevens als we ze nodig hebben. Te vaak zien we nog dat de gegevens wel in een back-up zijn opgeslagen, maar dat de software in geen velden of wegen meer te bekennen is. Leuk hoor, al die tapes, servers, floppy’s en USB-sticks, maar als de programmatuur ontbreekt kunnen we daar niet zo veel mee.

Dan nog een klein puntje van aandacht, dat gelukkig een minder groot probleem wordt omdat we meer en meer gaan virtualiseren: waar slaan we de back-ups eigenlijk op? Zeker als het om fysieke gegevens gaat, zoals tapes of papieren documenten die belangrijk voor ons zijn, moeten we ons die vraag stellen. Bewaren we alles in hetzelfde gebouw en wat doen we dan als het gebouw in een brand verloren gaat? Of slaan we ze op een andere locatie op en binnen hoeveel tijd kunnen we dan beschikken over die gegevens? Geen onoverkomelijke vragen, maar wel vragen die we moeten stellen en antwoorden waar we over na moeten denken. Zet de verschillende opties op een rij en bepaal de voor- en nadelen van de verschillende opties. Zo komen we vanzelf bij de voor ons best passende wijze van opslag, tegen de kwaliteit die we nodig hebben.

Bewaartermijnen

Degene die naar aanleiding van de titel verwachten dat ik hier de wettelijke bewaartermijnen overzichtelijk weer ga geven moet ik teleurstellen. Kijkend naar risicomanagement is dat een te groot risico, ik kan zomaar een verkeerde termijn noemen waardoor jij in de problemen komt. Nee, we gaan in op het feit dat we deze termijnen moeten achterhalen en dat we keuzes moeten maken over de informatie die we wel en niet bewaren.

De vraag is daarom:
Zijn de bewaartermijnen (wettelijke, organisatie vastgestelde) voor de verschillende soorten informatie vastgelegd?

Organisaties beschikken over meer en meer informatie (of eigenlijk gegevens), opslaggeheugen kost nog maar een schijntje van wat het vroeger kostte dus we zijn in staat om meer en meer informatie te bewaren tot het einde der tijden. Toch moeten we ons realiseren dat we niet alle informatie onbeperkt moeten willen bewaren en dat er aan de andere kant eisen zijn voor het bewaren van delen van de informatie.

Zo gelden er voor financiële gegevens bijvoorbeeld minimale bewaartermijnen (bijvoorbeeld vanuit de belastingdienst) terwijl er voor het bewaren van privacygevoelige gegevens eerder maximale bewaartermijnen bestaan (bijvoorbeeld vanuit de Wet Bescherming Persoonsgegevens). Op beide aspecten zie je het in de praktijk nog wel eens verkeerd gaan.

De informatie die we moeten bewaren wordt te kort bewaard, de informatie die we juist niet mogen bewaren wordt te lang bewaard. We zullen dus eerst moeten achterhalen welke bewaartermijnen voor welke delen van de informatie gelden (en dat is vaak makkelijker gezegd dan gedaan omdat regelgeving ook nog eens tegenstrijdig kan zijn, hoe gaan we bijvoorbeeld om met privacygevoelige financiële gegevens?). Hebben we die termijnen bepaald dan moeten we er ook nog voor zorgen dat deze daadwerkelijk gehaald worden.

We zullen dus voor voldoende opslag moeten zorgen voor die gegevens die we langer moeten bewaren en moeten er voor zorgen dat informatie die slechts kort bewaard mag worden zichzelf vernietigd na de houdbaarheidsdatum. Op technisch gebied is tegenwoordig veel mogelijk en we kunnen grote delen daarvan automatiseren. Een hele geruststelling. “Storage” is een heel vakgebied tegenwoordig en een goede leverancier zal je graag helpen bij de technische inrichting, de werking kan zo beter gegarandeerd worden.

De keuzes die we moeten maken en de wet- en regelgeving die op ons van toepassing is, kun je echter niet zomaar bij je leverancier neerleggen. Waarschijnlijk kan hij je daar wel over adviseren, maar de knoop doorhakken moeten we toch echt zelf doen, zeker voor die delen waarvoor geen wettelijke eisen zijn.

Google maar eens op bewaartermijnen, genoeg informatie te vinden en ook daar wordt al snel onderscheid gemaakt in administratieve gegevens en persoonsgevoelige gegevens waar we vanuit wetgeving iets mee moeten. Voor de andere gegevens, waar geen regels voor gelden, moeten we zelf bepalen hoe lang we die willen bewaren. De kunst daarbij is om het optimum te vinden tussen de bewaartermijn enerzijds en de kosten voor opslag anderzijds.

Bewaartermijnen en opslag van dergelijke gegevens. Een vakgebied op zich waar zeker beveiligingsaspecten aanzitten. Daarnaast willen we natuurlijk de informatie ook nog overzichtelijk houden voor onze medewerkers want als die eenmaal gaan werken met verouderde gegevens dan kan ons dat in grote verlegenheid brengen. Bewaren we de informatie onrechtmatig (te kort of te lang) dan moeten we maar snel schakelen met de juridische afdeling, we willen geen claims aan onze broek, toch?

De relatie tussen stagetrajecten, rondleidingen en kritische bedrijfsprocessen

We zijn er al op ingegaan dat we beleid moeten hebben op het gebied van stagetrajecten en rondleidingen. Nu gaan we nog iets verder in op de relatie met de kritische bedrijfsprocessen en de risico’s daarvoor.

De vraag:
Wordt er rekening mee gehouden dat bezoeken, rondleidingen en stage activiteiten invloed kunnen hebben op de (specifieke) kritische bedrijfsprocessen?

Als we stageplaatsen en rondleidingen niet willen verbieden dan zullen we dus moeten kijken naar die plaatsen in de organisatie die daar wel voor in aanmerking komen en die plaatsen die we voor deze aspecten liever links laten liggen.

We moeten daarvoor zicht hebben op onze kritische bedrijfsprocessen en onze meest vertrouwelijke informatie. Deze moeten gewaarborgd zijn en de vraag die we moeten stellen is of we stagiaires daar een verantwoordelijkheid in kunnen geven en of we rondleidingen langs onze meest geheime plekken willen leiden.

Natuurlijk willen we een leuke stageplaats creëren en we willen hem of haar echt niet alleen de minder leuke klussen laten doen (tenzij jij natuurlijk alleen maar iemand zoekt om koffie te halen, maar daar ga ik niet voor). De vraag is dus welke plaatsen in de organisatie zijn leuk maar het minst risicovol? Hoe risicovoller de positie die we beschikbaar stellen, hoe meer toezicht we in moeten richten. De stagiaire van 15 of 16 mag dan veel ouder lijken, de bijbehorende ervaring heeft hij of zij nog niet. We moeten onze managementstijl daar op aanpassen en moeten een apart plekje in ons hart vrij maken voor deze stagiaire. Makkelijker gezegd dan gedaan, want de waan van de dag gaat gewoon door.

Veelal denken we dat een stagiair een goedkope kracht is die ons veel werk gaat besparen. In de praktijk geldt echter dat de begeleiding tijd van ons vergt. We nemen dus niet een stagiair omdat we nu al stelselmatig tijd tekort komen, want dan gaat het fout. Nee, we zoeken een stagiair omdat we die willen begeleiden, scheelt dat ons tijd en geld dan is dat mooi meegenomen.

Voor rondleidingen geldt voor een deel hetzelfde. Meestal zijn onze kritische bedrijfsprocessen de mooiste onderdelen om te showen. Niemand zit te wachten op een rondleiding in een saai kantoorgebouw. Nee, liever zien we de productiehal waar de robot draait en de producten van de lopende band rollen. Mooi om te zien, dat zeker. Daarbij hebben we natuurlijk de deelnemers die ons bewust willen platleggen, maar die hebben we er al uitgevist omdat we een check hebben gedaan, toch? Maar ook diegene met een goed hart kunnen een risico zijn. Niet omdat ze bewust de boel willen frustreren maar omdat ze onbewust ook schade aan kunnen richten.

Stel dat een deelnemer struikelt over de bos met snoeren die we nog niet netjes op hebben kunnen bergen? Wat is het gevolg daar dan van? Waarschijnlijk valt de productie stil en dat is al erg genoeg. Maar wordt hij of zij niet direct geëlektrocuteerd omdat er een hoog voltage door de snoeren loopt? Zijn we daar dan wel goed voor verzekerd en wat doet dat met ons imago dan?

Zeer waarschijnlijk zijn onze business continuity plannen nog niet ingericht op rondleidingen of grote groepen mensen die tijdelijk door ons gebouw lopen. Misschien toch een puntje van aandacht en misschien moeten we er zelfs wel voor zorgen dat er preventief alvast geschakeld wordt met de BHV (geloof me, zij vinden het fijn om te weten).

Genoeg over stageplaatsen en rondleidingen, lijkt me. De strekking van het verhaal zal duidelijk zijn: Als we besluiten om stageplaatsen beschikbaar te stellen en rondleidingen te houden dan hebben we daar als organisatie een extra verantwoordelijkheid in. We moeten het plannen, zorgen dat we de risico’s inzichtelijk hebben en misschien preventief wel naar een verhoogde staat van paraatheid.

Stagetrajecten en rondleidingen

We zijn trots op onze organisatie en meer en meer mensen willen graag voor ons werken. Dat begint al met scholen die binnen onze organisatie graag stageplaatsen willen innemen en ook willen we anderen graag laten zien hoe mooi ons bedrijf is door middel van rondleidingen.

Hartstikke goed, want we hebben inderdaad een mooi bedrijf. En hoewel wij de ins & outs weten laten we natuurlijk de mooiste kant zien aan de buitenwereld. Op zich geen probleem, maar wel een punt dat risico’s met zich meebrengt en die risico’s moeten we onderkennen.

De vraag die daarbij hoort is:
Wordt er beleidsmatig (terughoudend, structureel) gereageerd met verzoeken tot stagetrajecten en rondleidingen binnen de organisatie?

Allereerst wil ik natuurlijk duidelijk maken dat we niet alle stageplaatsen moeten intrekken want we hebben als organisatie wel degelijk een maatschappelijke verantwoordelijkheid. Wij hebben het vroeger ook via stages moeten leren dus dat mogen we de jeugd van tegenwoordig niet onthouden. We moeten ons echter wel de vraag stellen op welke plaatsen binnen de organisatie we stageplaatsen beschikbaar stellen en bij welke informatie deze stagiaires dan allemaal kunnen.

Veelal zie je nog dat medewerkers binnen organisaties bij grote delen informatie kunnen waar ze eigenlijk niet bij hoeven te kunnen. Maar ja, de informatie nog verder opdelen en autorisaties beperken is nu eenmaal lastig. Natuurlijk scheiden we informatie van verschillende afdelingen (toch?), maar binnen de afdeling zijn we veelal vogelvrij.

Vergeet hierbij niet dat een stageplaats veel begeleiding vraagt. De stagiair zet misschien wel zijn eerste stappen in de werkbare wereld en weet nog niet exact welke waarden en normen er gelden. We zullen ze daar dus bij moeten helpen en we zullen ze er op moeten wijzen. Niet om als vervelende begeleider heel erg belerend te zijn maar juist om de risico’s voor onze organisatie te beperken en de stagiair ook voor de toekomst te introduceren in de waarden en normen…ook op het gebied van beveiliging.

Rondleidingen zijn dan weer een ander verhaal. Op zich kan het goed zijn om rondleidingen te organiseren zodat anderen onze organisatie leren kennen en weten wat we nu eigenlijk doen. Toch moeten we daar terughoudend mee omgaan en misschien nog wel terughoudender dan met stageplaatsen. Rondleidingen gaan vaak in grotere groepen met 1 of hooguit 2 begeleiders uit het bedrijf. Kunnen we al die mensen monitoren? Zitten ze niet aan de knoppen? Weten ze na de rondleiding niet ook onze zwakke plekken?

De deelnemers aan de rondleiding worden niet gescreend en als we het al goed doen dan registreren we wie er allemaal deelnemen. Maar controleren we ook de identiteitsbewijzen? Waarschijnlijk niet want de receptioniste kan niet in 1x 50 deelnemers aan. Eigenlijk weten we dus helemaal niet wie er deel neemt. Het merendeel van de deelnemers zal geen risico vormen en kijkt zijn of haar ogen uit, maar juist die ene die met een ander doel gekomen is vormt een risico. Is hij of zij er aan het eind nog bij of is hij een gangetje in gevlucht, op zoek naar interessante informatie?

Nogmaals: ik wil stageplaatsen zeker niet verbieden en rondleidingen moeten ook mogelijk zijn. Het gaat er alleen om dat we goed vastleggen hoe we daar binnen de organisatie mee om gaan, wie er over wordt geïnformeerd en welke maatregelen we eventueel treffen om de risico’s beheersbaar te houden. Doen we dat op een juiste wijze dan wens ik jullie nog veel stagiaires en rondleidingen toe die er voor zorgen dat ons imago nog beter wordt.

Communicatietraining voor medewerkers

De titel van vandaag zal misschien wat vreemde blikken opleveren: communicatietraining? We hebben het hier toch over beveiliging en risicomanagement?

Klopt helemaal. Maar zoals we steeds proberen aan te tonen is beveiliging niet iets dat losstaat van de rest van de organisatie maar is het een aspect dat voor alles geldt en dat bij iedereen tussen de oren moet zitten. Daarbij willen we zeker weten dat medewerkers die veel contact hebben met de buitenwereld ook getraind zijn in die communicatie.

De vraag is daarom niet voor niets:
Is er aan (specifieke groepen van) medewerkers meegedeeld om bij communicatie via telefoon, fax of email terughoudend te zijn met het delen van (vertrouwelijke) informatie aan derden (onbekenden)?

De buitenwereld kan op zoek zijn naar informatie die we liever niet prijsgeven. Denk alleen maar aan social engineers, de pers en de concurrenten. Op geraffineerde wijze proberen zij de informatie los te peuteren. Daarbij zoeken ze natuurlijk eerst goed op het internet maar al snel nemen ze ook contact op met receptionisten, secretaresses of helpdesks.

We zorgen er natuurlijk voor dat de vertrouwelijke informatie afgescheiden is en niet zomaar door iedereen kan worden ingezien, dan wordt het immers wel heel makkelijk om informatie te verliezen. Maar we moeten ons ook achter de oren krabben als het gaat om, op het eerste gezicht, minder vertrouwelijke gegevens.

Het kan voor een buitenstaander erg interessant zijn om bijvoorbeeld achter de namen en telefoonnummers van bepaalde medewerkers te komen. Medewerkers die minder in contact komen met de buitenwereld, medewerkers die over interessante details beschikken of medewerkers die een bepaalde positie binnen de organisatie bekleden.

Degene die op zoek is naar informatie weet dondersgoed dat de receptioniste niet over veel vertrouwelijke gegevens beschikt. Maar met een smoes kan hij via haar vaak wel achter de namen van andere medewerkers komen. Er wordt een mooi verhaal opgehouden en er wordt gebruik gemaakt van de psyche van de mens.

Ieder mens wil een ander graag helpen, zo zijn we nu eenmaal geprogrammeerd. Dat weet de ander ook. Hij of zij biedt je hulp aan door bijvoorbeeld te verklaren dat je binnenkort een update op je werkplek krijgt. Het installeren van die update duurt minimaal 4 uur en in die 4 uur kun jij niet werken. De organisatie heeft daarom besloten om de update voor de medewerker uit te voeren in de nachtelijke uren, maar daarvoor is je inlognaam en wachtwoord nodig…uiteraard wordt er nog even bij verteld dat je morgen wel direct je wachtwoord moet wijzigen om beveiligingsredenen.

Grote kans dat je enorm opgelucht bent dat je niet zelf 4 uur hoeft te gaan zitten klooien…met het risico dat de update vastloopt en je nog meer tijd kwijt bent. In de waan van de dag klinkt het verhaal heel plausibel en je geeft je wachtwoord af, zonder enige argwaan.

Zo makkelijk kan het gaan en dit is slechts een voorbeeld. Er zijn vele manieren om informatie te achterhalen door eerst behulpzaam te zijn. Grote kans dat het verhaal op een dusdanige wijze verteld wordt dat je er niet eens bij stil staat. En sta je er al wel bij stil, bij wie moet je dit dan melden? Bij je manager die er zelf het risico niet van in ziet? Bij een centrale security desk waar je niet echt duidelijk kunt maken waarom je belt?

Communicatietraining voor medewerkers is hierbij een belangrijk aspect. Maar ook daarvoor geldt weer dat we beveiliging niet als los staand moeten zien, maar moeten samenvoegen met de andere onderdelen van communicatietraining, zoals bijvoorbeeld het omgaan met klanten. Een juiste en positieve communicatie zorgt er zo niet alleen voor dat de klanttevredenheid kan toenemen, maar zorgt er ook voor dat ridicule vragen ons misschien wakker schudden en we niet zomaar onze gegevens prijsgegeven.