Verander complexiteit: Duidelijkheid en communicatie van de eisen

Vandaag gaan we in op de complexiteitsfactor: Duidelijkheid en communicatie van de eisen

We schreven het eerder al: hoe concreter, hoe beter. Dat geldt ook voor de duidelijkheid van de eisen. Hoe abstracter de eisen worden, hoe moeilijker het wordt om je opdrachtgever een oplossing te bieden die hij voor ogen had.

Stel dat je gevraagd wordt een nieuw vervoersmiddel te ontwerpen. Je begint direct met allerlei schetsen te maken van een nieuw soort vliegtuig. Je schetsen zien er fantastisch uit maar je opdrachtgever is niet tevreden omdat hij nu eenmaal vliegangst heeft en toch liever met de trein gaat.

Probeer zoveel mogelijk duidelijkheid te krijgen en probeer de aannames zoveel mogelijk buiten de deur te houden. Vraag door naar de vraag achter de vraag. Waarom willen we deze verandering eigenlijk? Wat moet het ons opleveren? Hoe gaan we dat bereiken?

Communiceren wordt veelal onderschat. We denken dat we wel weten wat er bedoeld wordt en denken in ons hoofd al aan de oplossing. Luisteren is misschien wel het belangrijkste onderdeel van communiceren en als ons iets niet helemaal duidelijk is, waarom vragen we er dan niet gewoon naar?

Verander complexiteit: Communicatieplan

Vandaag gaan we in op de complexiteitsfactor: Communicatieplan

Als we de medewerkers mee willen krijgen in de verandering, dan moeten we daarmee communiceren. Maar daarnaast zijn er nog vele andere stakeholders die betrokken moeten worden. Verdiep je in de stakeholders en maak voor iedere doelgroep een bijpassend communicatieplan.

Communicatie wordt nog teveel onderschat terwijl het juist één van de aspecten is die een verandering kunnen maken of breken. Communiceren is een vak en als project manager doe je er dan ook verstandig aan om nauw samen te werken met de communicatieafdeling of een communicatiespecialist.

Bedenk dat communicatie een activiteit is waarbij levende wezens betekenissen uitwisselen door op elkaars signalen te reageren (althans, volgens wikipedia). Communiceren is dus meer dan éénrichtingsverkeer en communiceren is meer dan een mailtje de deur uitsturen in de veronderstelling dat iedereen het nu wel weet.

Het doel van de communicatie is kennis, houding én gedrag zo positief mogelijk te beïnvloeden om je resultaten te bereiken en mensen mee te krijgen in de verandering.

Career essentials: 7 body language tips

Vandaag een Engelstalige lijst met tips over lichaamstaal. We gaan er voor het gemak vanuit dat Engels niet het probleem zal zijn en dat je de vertaling zelf wel kunt maken. Lukt je dat niet en wil je toch graag het hele artikel op CNBC lezen dan rest je helaas niets anders dan Google Translate.

1) Posture
2) Handshake
3) Touch
4) Tonality
5) Dress
6) Feeling vulnerable
7) Standing position

Helaas voor de mannelijke lezers onderons zijn het de vrouwen die de lichaamstaal veel makkelijker oppikken. Wij zullen er net iets meer moeite voor moeten doen om de lichaamstaal te lezen en te interpreteren. Toch draait het in veel, heel veel, gevallen niet zozeer om wat je inhoudelijk kunt maar hoe je communiceert. En je raadt het al: lichaamstaal is een belangrijk onderdeel van die communicatie.

Heb je je er nog nooit serieus in verdiept dan is dat misschien nog wel de belangrijkste tip van vandaag: koop een boek over lichaamstaal of Google er eens op. En het is niet voldoende om er alleen een boek over te lezen. Je moet het daarna in de praktijk brengen. Je moet de ander proberen te lezen en je moet begrijpen welke signalen je zelf uitstraalt. Daar ga je waarschijnlijk nog een hele kluif aan hebben maar het gaat hier niet om het doel maar om de reis ernaar toe.

Nog een laatste tip voor vandaag: zit je weer eens in zo’n oersaaie vergadering waar je eigenlijk niet veel te zoeken hebt? Dan kun je dat podium mooi als oefenterrein gebruiken. Analyseer en kijk welke signalen mensen uitstralen en hoe ze op elkaar reageren. Zo kom jij dat oersaaie uur een stuk beter door en wordt iedere vergadering een oefening.

Zes sluipmoordenaars van langdurig succes

De meeste bedrijven slagen er niet in een geweldig concurrerende organisatie te worden. De oorzaak volgens Management Team? Deze 6 silent killers. Voor langdurig succes zijn drie pijlers essentieel, zo zegt organistiepsycholoog Michael Beer: prestaties, psychologie en verandering.

  1. VAAGHEID: In prioriteiten, strategie en/of waarden: als medewerkers niet weten wat voorrang heeft en heldere standaarden ontbreken om hun werk aan te toetsen.
  2. SLECHT FUNCTIONEREND MANAGEMENTTEAM: Als het team te weinig tijd samen doorbrengt, nauwelijks tijd aan strategie besteedt en niet luistert naar de problemen van de werkvloer.
  3. TOP-DOWN OF LAISSEZ-FAIRE LEIDERSCHAP: Als managers óf te veel willen dicteren wat er moet gebeuren, óf juist te veel op zijn beloop laten.
  4. SLECHTE HORIZONTALE COÖRDINATIE EN COMMUNICATIE: Als personen, afdelingen en regio’s langs elkaar heenwerken en niet van elkaar weten wat ze doen.
  5. TE WEINIG LEIDERS OP DE WERKVLOER: Als het met name op het middenniveau ontbreekt aan geschoolde, ervaren managers en er te weinig gebeurt aan leiderschapsontwikkeling.
  6. SLECHTE VERTICALE COMMUNICATIE: Als er te weinig mogelijkheden zijn voor eerlijke communicatie tussen medewerkers en hun leidinggevenden, wat frustrerend werkt voor medewerkers en verlammend is voor de organisatie als geheel.

Communicatietraining voor medewerkers

De titel van vandaag zal misschien wat vreemde blikken opleveren: communicatietraining? We hebben het hier toch over beveiliging en risicomanagement?

Klopt helemaal. Maar zoals we steeds proberen aan te tonen is beveiliging niet iets dat losstaat van de rest van de organisatie maar is het een aspect dat voor alles geldt en dat bij iedereen tussen de oren moet zitten. Daarbij willen we zeker weten dat medewerkers die veel contact hebben met de buitenwereld ook getraind zijn in die communicatie.

De vraag is daarom niet voor niets:
Is er aan (specifieke groepen van) medewerkers meegedeeld om bij communicatie via telefoon, fax of email terughoudend te zijn met het delen van (vertrouwelijke) informatie aan derden (onbekenden)?

De buitenwereld kan op zoek zijn naar informatie die we liever niet prijsgeven. Denk alleen maar aan social engineers, de pers en de concurrenten. Op geraffineerde wijze proberen zij de informatie los te peuteren. Daarbij zoeken ze natuurlijk eerst goed op het internet maar al snel nemen ze ook contact op met receptionisten, secretaresses of helpdesks.

We zorgen er natuurlijk voor dat de vertrouwelijke informatie afgescheiden is en niet zomaar door iedereen kan worden ingezien, dan wordt het immers wel heel makkelijk om informatie te verliezen. Maar we moeten ons ook achter de oren krabben als het gaat om, op het eerste gezicht, minder vertrouwelijke gegevens.

Het kan voor een buitenstaander erg interessant zijn om bijvoorbeeld achter de namen en telefoonnummers van bepaalde medewerkers te komen. Medewerkers die minder in contact komen met de buitenwereld, medewerkers die over interessante details beschikken of medewerkers die een bepaalde positie binnen de organisatie bekleden.

Degene die op zoek is naar informatie weet dondersgoed dat de receptioniste niet over veel vertrouwelijke gegevens beschikt. Maar met een smoes kan hij via haar vaak wel achter de namen van andere medewerkers komen. Er wordt een mooi verhaal opgehouden en er wordt gebruik gemaakt van de psyche van de mens.

Ieder mens wil een ander graag helpen, zo zijn we nu eenmaal geprogrammeerd. Dat weet de ander ook. Hij of zij biedt je hulp aan door bijvoorbeeld te verklaren dat je binnenkort een update op je werkplek krijgt. Het installeren van die update duurt minimaal 4 uur en in die 4 uur kun jij niet werken. De organisatie heeft daarom besloten om de update voor de medewerker uit te voeren in de nachtelijke uren, maar daarvoor is je inlognaam en wachtwoord nodig…uiteraard wordt er nog even bij verteld dat je morgen wel direct je wachtwoord moet wijzigen om beveiligingsredenen.

Grote kans dat je enorm opgelucht bent dat je niet zelf 4 uur hoeft te gaan zitten klooien…met het risico dat de update vastloopt en je nog meer tijd kwijt bent. In de waan van de dag klinkt het verhaal heel plausibel en je geeft je wachtwoord af, zonder enige argwaan.

Zo makkelijk kan het gaan en dit is slechts een voorbeeld. Er zijn vele manieren om informatie te achterhalen door eerst behulpzaam te zijn. Grote kans dat het verhaal op een dusdanige wijze verteld wordt dat je er niet eens bij stil staat. En sta je er al wel bij stil, bij wie moet je dit dan melden? Bij je manager die er zelf het risico niet van in ziet? Bij een centrale security desk waar je niet echt duidelijk kunt maken waarom je belt?

Communicatietraining voor medewerkers is hierbij een belangrijk aspect. Maar ook daarvoor geldt weer dat we beveiliging niet als los staand moeten zien, maar moeten samenvoegen met de andere onderdelen van communicatietraining, zoals bijvoorbeeld het omgaan met klanten. Een juiste en positieve communicatie zorgt er zo niet alleen voor dat de klanttevredenheid kan toenemen, maar zorgt er ook voor dat ridicule vragen ons misschien wakker schudden en we niet zomaar onze gegevens prijsgegeven.

Voorschriften voor communicatie-uitingen

Inmiddels hebben we gezien dat het communiceren over beveiliging en incidenten ons zowel voor- als nadelen op kan leveren. We moeten monitoren welke communicatie de deur uit gaat en moeten meten hoe deze communicatie ontvangen wordt. Het gaat er niet zo zeer om wat de waarheid is, maar hoe de waarheid ontvangen wordt. Niet de feiten maar de perceptie dus. Als communicatie zo belangrijk is (en niet alleen voor beveiliging en incidenten overigens) moeten we daar goed over nadenken.

De vraag zal dan ook niet geheel verrassend zijn:
Zijn er voorschriften opgesteld voor communicatie-uitingen?

We moeten eenduidig communiceren en we willen grip houden op de informatie of communicatie die de deur uit gaat. Een fout in de communicatie kan al snel escaleren en dan komen we voor vervelende verrassingen te staan. Ook hier is het “better to be safe than sorry”.

We zullen dus na moeten denken over de communicatie-uitingen en we moeten bepalen wie namens onze organisatie mag communiceren. Natuurlijk mag iedereen communiceren met de buitenwereld, maar dan wel graag binnen de kaders die we stellen. Doen we dat niet dan kan ons imago een grote deuk oplopen.

Met name moeten we bepalen wie mag communiceren over de beveiliging en de incidenten. We maken daarbij een keuze. Is het de Persvoorlichter die communiceert of is het toch de Chief Security Officer die namens ons het woord voert? Het heeft voor- en nadelen. De Persvoorlichter weet welke spelletjes er zoal gespeeld worden en is een expert op het gebied van communiceren. Helaas moet hij waarschijnlijk al snel afhaken als het om de inhoud gaat. De Chief Security Officer weet dan weer veel van de inhoud maar kent het klappen van de zweep van de communicatie in mindere mate. Helemaal contactgestoord zal hij of zij niet zijn, anders was deze functie nooit toegewezen.

Het best is natuurlijk nog om korte lijnen te hebben tussen de Persvoorlichter en de Chief Security Officer. De een de communicatie, de ander de inhoud. Vooral na een incident moet er snel opgeschakeld kunnen worden, we moeten geen kostbare tijd verloren laten gaan. Daarom moeten we er nu al over nadenken, we moeten de voorschriften en procedures ontwikkelen zodat we er op kunnen vertrouwen dat de communicatie niet het grootste struikelblok wordt na een incident.

Ga eens voor jezelf na wie er bij de communicatie betrokken moet zijn en wat we dan zoal gaan communiceren. Ook hiervoor geldt weer dat testen een belangrijk aspect is. We willen zeker weten dat we er op kunnen vertrouwen, we willen geoefend zijn.

Kortom: we beginnen met het nadenken over wie we er allemaal bij willen betrekken, we stellen voorschriften op voor communicatie en testen vervolgens meerdere malen of het allemaal zo verloopt als gepland. Doet het dat niet dan stellen we alles bij, we leren ervan en worden er steeds beter in.

Belangrijk is om te onderkennen dat niet iedereen onder stress hetzelfde acteert als in de “business as usual” situatie. Niet iedereen is geschikt om deel te nemen aan (crisis)communicatie. Wederom een bevestiging om te testen en dan het liefst in een zo realistisch mogelijke omgeving. Begrijp me overigens niet verkeerd, dat testen is veel eenvoudiger dan je denkt…twijfel je daarover? Dan is het gewoon een kwestie van een scenario bedenken en het proces in gang zetten.

Communicatie over beveiligingsmaatregelen

Risicomanagement, beveiliging en beveiligingsmaatregelen kunnen een lastig onderwerp zijn en het grote nadeel dat we daarbij ervaren is dat iedereen er verstand van heeft…althans, dat denken ze. Specialisten in het vakgebied weten wel beter, die weten zelfs dat geen enkele informatiebeveiliger het totale vakgebied kan overzien en zich zal moeten richten op een of meer deelgebieden.

Juist als iedereen er een mening over heeft wordt de volgende vraag belangrijk:
Verloopt de communicatie over de beveiligingsmaatregelen en incidenten altijd via één centraal punt (bijv. afdeling Communicatie, CSO, CIO)?

Beveiliging is niet iets wat we in een ivoren toren kunnen inrichten en waarbij we vervolgens achterover kunnen leunen omdat het vanzelf wel gaat werken. Beveiliging vereist communicatie…en laten we vooral niet vergeten dat communiceren een vak apart is (zelfs in de letterlijke betekenis). We zullen dus de samenwerking aan moeten gaan met andere afdelingen en als we het willen hebben over het communiceren over beveiligingsmaatregelen en incidenten dan is de communicatie afdeling daar een belangrijke “stakeholder”.

Bij onjuiste communicatie kan een beeld ontstaan dat niet juist is, dat de status van de beveiliging niet juist weergeeft. We moeten daarbij wel onderscheid maken. Net als we dat doen voor beveiligingsmaatregelen, die preventief, detectief, repressief of correctief kunnen zijn. Dezelfde indeling kunnen we gebruiken bij onze communicatie over beveiliging (met name preventief en detectief) en incidenten (met name repressief en correctief).

Na een incident (de zogenaamde crisiscommunicatie maakt daar onderdeel van uit) zien we dat de wijze van communicatie van belang is. Communiceren we op een verkeerde wijze, zeggen we de verkeerde dingen of reageren we te laat dan kan dat ons imago grote schade toebrengen. Sterker nog: veel organisaties kunnen het incident best aan…maar de gevolgschade als gevolg van een onjuiste wijze van communicatie kan hen de kop kosten.

We zouden hier natuurlijk voorbeelden kunnen noemen, maar die zijn nogal vluchtig. Google eens op beveiligingsincidenten en je hebt al snel de meest actuele te pakken. Kijk dan eens hoe er gecommuniceerd is, wat er gezegd is en met name wat de reacties van de lezers zijn. Daar kunnen we van leren, enorm veel zelfs.

De reacties van de lezers (uiteindelijk onze klanten) geven allereerst een beeld over het incident en hoe dat ervaren wordt. Maar vaak geeft het ook een goed beeld over hoe die klant toch al over ons dacht. De reacties gaan veelal niet eens meer over het incident maar over zaken die vele jaren eerder gespeeld hebben en die als negatief zijn ervaren. Klanttevredenheid meten we allemaal vooral met mooie statistische gegevens en sociaal wenselijke vragen met nog meer sociaal wenselijke antwoorden. Daar maken we een mooie grafiek van en we gaan weer door met de waan van de dag.

Juist reacties die we krijgen als gevolg van een incident kunnen ons inzicht verschaffen in de algemene klanttevredenheid.

Er zit ook een positieve kant aan dit verhaal. Als ons imago sowieso al goed was dan vergeeft onze klant ons onze misstap wel. Communiceren we daar ook nog eens juist, tijdig en volledig over dan kan dat ons imago zelfs versterken. Het vertrouwen van de klant neemt toe, we nemen ze niet in de maling maar erkennen dat ook wij fouten kunnen maken. We moeten er dan natuurlijk wel voor zorgen dat we het “low hanging fruit” waar we gisteren al kort op ingingen hebben geplukt…en dat fruit omvat meer, veel meer, dan alleen de controle op clean desk natuurlijk.

Misschien is het nu een mooi moment om je aan te sporen met “common sense” te kijken naar de maatregelen die binnen jouw organisatie genomen zijn en de wijze waarop risicomanagement is ingericht. Grote kans dat je veel laag hangend fruit tegen komt…pluk het, maar zorg ervoor dat je mandje niet te vol wordt. Laat dan liever nog wat fruit hangen zodat we dat op een later tijdstip kunnen plukken.