Tag: beveiligingsorganisatie

Taken, bevoegdheden en verantwoordelijkheden

  door

Hadden we het gisteren nog over de inrichting van de beveiligingsorganisatie, vandaag gaan we iets meer in op de taken, bevoegdheden en verantwoordelijkheden. Daarom stellen we onszelf de vraag:

Zijn de taken, bevoegdheden en verantwoordelijkheden vastgelegd?

Om maar direct de lucht te klaren. We hebben het hier echt niet alleen over de taken, bevoegdheden en verantwoordelijkheden van de Security Manager. Nee, we hebben het hier over de taken, bevoegdheden en verantwoordelijkheden van iedereen binnen de organisatie. Daarbij kunnen we bijvoorbeeld onderscheid maken in de taken, bevoegdheden en verantwoordelijkheden van de Raad van Bestuur, de directie, het management, de Security Manager, de lijnmanagers, de medewerkers maar ook diegene die een bijzondere rol vervullen binnen de beveiliging zoals de IT’ers, de Facility medewerkers en de P&O’ers.

Een algemene omschrijving die we op kunnen nemen in de vastlegging van de beveiligingsorganisatie (en het beleid) is dat beveiliging een lijnverantwoordelijkheid is waarbij iedereen naar rato zijn of haar verantwoordelijkheid moet nemen. Een eerste algemene omschrijving die duidelijk maakt hoe we tegen beveiliging aan kijken. Uiteraard laten we die beveiligingsorganisatie en het beleid formeel bekrachtigen door het hoogste management. Dat geeft ons een steuntje in de rug.

Voor de medewerker in de organisatie die zijn of haar werk doet en dus niet een specifieke beveiligingstaak heeft, kunnen we de algemene verantwoordelijkheid opnemen in de functieomschrijving. Daarbij ondersteunen we ze met allerlei gedragsrichtlijnen (geen dikke pakken papier alstublieft). Zo weten ze wat er van hen verwacht wordt en als ze het niet weten kunnen ze het opzoeken. Incidenten monitoren we en op basis daarvan sturen we bij. Overigens heeft de manager hier natuurlijk ook een belangrijke rol in, hij moet immers de onder zijn of haar verantwoordelijkheid vallende medewerkers sturen (beoordeling en functioneringsgesprekken bijvoorbeeld).

Voor de manager geldt dat zij meer verantwoordelijkheid hebben voor de beveiliging. Zij zijn er verantwoordelijk voor dat de medewerkers binnen de afdeling zich aan de algemeen geldende beveiligingseisen houden. Wij gaan niet politie agentje spelen maar spreken de manager aan op incidenten en die spreekt vervolgens zijn medewerkers daarop aan.

Specifieke functies kunnen een uitgebreidere omschrijving krijgen van de taken, bevoegdheden en verantwoordelijkheden. Denk hierbij aan de IT’ers, de Facility medewerkers en de P&O’ers. Zij spelen een belangrijke rol in de uitvoering van de beveiliging. Dan is het dus goed om ze duidelijk te informeren over hetgeen we van ze verwachten. Hoe we dat exact omschrijven hangt af van de keuzes die we maken bij de inrichting van de beveiligingsorganisatie. Een algemene beschrijving is hier dan ook nauwelijks te geven.

De medewerkers en de medewerkers met specifieke taken weten nu wat van hen verwacht mag worden. De medewerkers die onderdeel uitmaken van de beveiligingsafdeling krijgen in hun taakomschrijving natuurlijk veel uitgebreider omschreven wat ze wel en niet mogen. Dat is dan weer een onderdeel van de beschrijving van de beveiligingsorganisatie.

Voordat we dit blog afsluiten gaan we nog wel even in op de beschrijving van de taken, bevoegdheden en verantwoordelijkheden van de Raad van Bestuur en de directie. We horen nog wel eens dat we daar onmogelijk kunnen neerleggen welke rol zij spelen. Toch is dat niet waar. In de beschrijving van de beveiligingsorganisatie kunnen we wel degelijk aangeven dat de Raad van Bestuur toe ziet op de totale beveiliging, dat de algemeen directeur eindverantwoordelijk is (en daar eventueel een mededirecteur voor heeft aangewezen). Uitvoering kunnen we wel delegeren, maar verantwoordelijkheden niet. De directie blijft verantwoordelijk en zal daarover verantwoording af moeten leggen aan de Raad van Bestuur. Wij kunnen ze alleen maar helpen bij een goede uitvoering daarvan, wij geven ze de zekerheid.

Is de beschrijving van de beveiligingsorganisatie door de directie goedgekeurd? Dan kan daar geen onduidelijkheid meer over zijn. In die omschrijving hebben we immers ook de taken, bevoegdheden en verantwoordelijkheden van de Raad van Bestuur en van de directie opgenomen. Wederom: beveiliging is niet exotisch maar een regulier aspect van de bedrijfsvoering. Regelen we het op die manier in, dan wordt ons leven als Security Manager een stuk duidelijker.

Inrichting van de beveiligingsorganisatie

  door

Vandaag gaan we in op de inrichting van de beveiligingsorganisatie. Dat klinkt natuurlijk allemaal erg zwaar en of er een formele beveiligingsorganisatie hoeft te zijn of dat we hem functioneel inrichten hangt helemaal van de omvang en de aard van de organisatie af.

Toch is het belangrijk om onszelf de volgende vraag te stellen:

Is de beveiligingsorganisatie ingericht?

Daarmee hoeven we dus niet direct een hele nieuwe afdeling op te tuigen die zich met alle aspecten van de beveiliging bezig gaat houden, een afdeling waarbij technische informatiebeveiligers en beveiligers die verstand hebben van bouwkundige zaken bijeen zijn gebracht is niet noodzakelijker wijs nodig. Er kan ook voor gekozen worden om de taken die horen bij de Security Manager onder te brengen bij reeds bestaande functies. Dan is het uiteraard van groot belang om die manager die de taken er bij krijgt goed te informeren en goed op te leiden.

Een kleine beveiligingsorganisatie binnen de staf en direct vallend onder de directeur die verantwoordelijk is voor de totale beveiliging. Met functionele lijnen naar de staande organisatie waarbij met name de link met IT, Facility en HR (of P&O) van belang is. Hij of zij moet een escalatie mogelijkheid hebben naar het hoogste management en moet daar alleen gebruik van maken als dat strikt noodzakelijk is.

We willen het hoogste management niet lastig vallen met allerlei details en escalaties. Nee, als we een goede band opbouwen met de staande organisatie, als de lijnmanagers weten dat ze hun verantwoordelijkheid moeten nemen en als we een functionele relatie hebben met goed opgeleide mensen binnen de organisatie, dan kunnen we spreken over een beveiligingsorganisatie die een slagingskans heeft.

In de praktijk zien we veelal dat de taken van beveiliging neergelegd worden bij de IT-manager of de Facility Manager. Op zich kan dat, maar we moeten ons wel bedenken dat de doelstellingen van die organisaties anders kunnen zijn dan de doelstellingen van de totale organisatie. Beide afdelingen zijn met een specifiek aspect van de bedrijfsvoering bezig en richten zich minder op de totale strategie van de organisatie. Leggen we de taken bij IT neer, dan zal er veel aandacht zijn voor technische beveiligingsmiddelen als firewalls en anti-virus. Leggen we de taken neer bij Facility dan wordt er al vaker gekeken naar de bouwkundige elementen. Voor de uitvoering van de beveiliging kunnen beide afdelingen zeker betrokken worden, het is alleen de vraag of we hen ook het integraal beveiligingsbeleid op willen laten stellen. Persoonlijk geef ik er de voorkeur aan hier functiescheiding toe te passen. Een functionaris in de staf stelt het beleid en de kaders (bijvoorbeeld de kwaliteitsmanager), IT en Facility voeren binnen die kaders hun werkzaamheden uit (en hebben dus absoluut een belangrijke rol).

Voor grotere organisaties of organisaties die veel met vertrouwelijke informatie werken kan uiteraard gekozen worden om de functie van Security Manager om te bouwen naar een formele Security afdeling. Waarbij overigens nog steeds geldt dat die afdeling de kaders aanreikt, die de adviezen geeft, die de lijn ondersteunt. Maar de lijn blijft zelf verantwoordelijk voor de door haar gemaakte keuzes…zijn we het niet met de keuze van de lijn eens dan gaan we eerst met ze in overleg. Bereiken we daarmee geen succes, dan kunnen we altijd nog kiezen om de escalatie naar het management in te zetten. Niet op een vervelende manier waarbij we de lijnmanager passeren. Nee, helemaal niet nodig, we leggen de keuze gewoon gezamenlijk voor aan het hoogste management, niemand die hiervoor gezichtsverlies hoeft te lijden.

De beveiligingsorganisatie. Het hoeft dus niet perse een formele afdeling binnen de organisatie te zijn, maar kan net zo goed een functionele organisatie zijn. Uiteraard komen er bij de inrichting van de organisatie ook zaken als de budgetten, taken, bevoegdheden en verantwoordelijkheden, de bezetting, de doelstellingen, de verantwoordingen etc., etc. aan de orden. Maar het gaat hier te ver om exact in te gaan op de wijze waarin we de organisatie daarmee inrichten…dat moet gewoon aansluiten bij de rest van de organisatie. Niets exotisch, maar gewoon een reguliere afdeling die past bij de aard en omvang van de totale organisatie.