Tag: kennis

Verander risico: Te weinig kennis bij de teamleden

  door

Vandaag gaan we in op het risico: Te weinig kennis bij de teamleden

Zelfs als we beschikken over voldoende mankracht en zelfs als de team samenstelling qua persoonlijkheden goed is dan bereiken we niet het resultaat dat we willen als de kennis tekort schiet. Ook hier geldt dat we niet veel van hetzelfde nodig hebben maar juist een breed scala aan kennis die elkaar versterkt. Zo moeten we teamleden hebben die van de inhoud weten, maar we moeten juist ook teamleden hebben die de organisatie (en haar pappenheimers) kent, we moeten teamleden hebben die goed zijn in communicatie, we moeten teamleden hebben die de financiën kunnen doorgronden en we moeten teamleden hebben die de planning goed in de gaten houden.

Te weinig kennis bij de teamleden geeft een risico voor het resultaat maar kan er ook voor zorgen dat we de tijdslijnen uit het oog verliezen of het budget uitnutten en aan de verkeerde activiteiten besteden.

Verander complexiteit: Kennis en ervaring binnen de organisatie

  door

Vandaag gaan we in op de complexiteitsfactor: Kennis en ervaring binnen de organisatie

Medewerkers die vaker projectmatig werken of die weten welke standaard project management methodieken bestaan en hoe ze die toe kunnen passen hebben meer kennis en ervaring en weten wat er van hen verwacht wordt.

Dat geldt voor de individuele medewerker maar geldt ook voor de totale organisatie. Een organisatie die zelden projectmatig werkt of die geen standaarden heeft, heeft weinig ervaring met veranderingen. Dit verhoogd de complexiteit omdat je je, naast de inhoud, ook op de methodiek moet richten. Een organisatie die niet gewend is te werken met Plannen van Aanpak zal zich eerst de methode eigen moeten maken. Nog nooit in een stuurgroep gezeten? Dan moet je uitzoeken wat de rol van de stuurgroep is.

De 5 fases bij verandertrajecten

  door

Elk verandertraject levert natuurlijke weerstand op. Veranderexpert Inge Oosterhuis over de vijf fases die je mensen door razen.

Psychiater Elisabeth Kübler-Ross bracht als eerste de emotionele reacties tijdens het proces van rouwverwerking in kaart. Die rouwcurve is ook van toepassing bij mensen die een negatieve verandering op ander vlak ondergaan, bijvoorbeeld in hun werkende leven.

De vijf fases zijn:
Fase 1: Ontkenning
Fase 2: Boosheid
Fase 3: Onderhandelen
Fase 4: Depressie & Testen
Fase 5: Acceptatie

Door inzicht te hebben in de fases waar de medewerkers doorheen gaan kunnen we de veranderingen succesvoller bereiken. B-Mature helpt organisaties graag met het doorvoeren van dergelijke veranderingen door de menselijke kant niet uit het oog te verliezen en de medewerkers erbij te betrekken.

Aanvullend op bovenstaande fases gaat het immers ook nog om kennis, houding en gedrag. Kennis is de voorwaarde, als men niet weet dat en wat er veranderd wordt dan is de verandering gedoemd om te mislukken. Communicatie is daarbij van het grootste belang. Niet alleen pushen naar de medewerkers maar de medewerkers ook actief betrekken door actief te luisteren naar hun wensen en eisen (in een zo vroeg mogelijk stadium, wie weet wat voor inzichten het oplevert). Na kennis komt houding. De 5 genoemde fases geven inzicht in de houding van de mensen en de fases waar ze doorheen moeten. De acceptatiefase zorgt ervoor dat het gedrag van de medewerkers ook daadwerkelijk mee verandert. Zonder acceptatie is het gedrag niet veranderd. Maak dus vooral duidelijk waarom je deze wijziging doorvoert (leg het de medewerkers uit) en geef ook aan “what’s in it for them”.

Veranderingen zijn veelal lastig maar niet onmogelijk en het succes kan vergroot worden door met de fases en kennis, houding en gedrag rekening te houden. Het zijn de mensen die het mogelijk maken, dus je betrekt ze er maar beter bij om de verandering door te voeren.

Het hele artikel lees je op ManagementTeam.

Overheid heeft te weinig kennis van beveiliging

  door

Hadden we het er gisteren nog over dat de overheid de boetes voor slechte beveiliging binnen bedrijven wil verhogen? Dan moeten ze eerst eens beginnen met het zelf goed organiseren van de beveiliging binnen die overheidsinstellingen.

De Nederlandse overheid heeft te weinig kennis van digitale beveiliging en geeft daarom slechte sturing. Dat concludeert de Onderzoeksraad voor de Veiligheid in een onderzoek dat gedaan werd naar aanleiding van de hack bij Diginotar…Ook is gekeken hoe beveiliging bij de overheid is geregeld. Daarom is ook gekeken naar beveiliging bij de Belastingdienst, de Sociale Verzekeringsbank en een aantal gemeenten. De Onderzoekraad concludeert dat bestuurders door gebrek aan kennis slechte sturing geven en dat de veiligheid bij de overheid fors verbeterd moet worden (bron).

Niets menselijks is de overheid dus vreemd. Wat wel vreemd is, is dat er gedreigd wordt met het opleggen van hoge boetes aan bedrijven die het slecht voor elkaar hebben terwijl ze de zaken zelf niet veel beter geregeld hebben.

De overheid moet hierin een voorbeeldfunctie vervullen. Zij moeten het beter voor elkaar hebben dan het gemiddelde bedrijf en zij moeten sturing geven aan de beveiliging binnen Nederlandse bedrijven. Natuurlijk zijn er best overheidsinstanties die zich hier mee bezig houden, maar blijkbaar krijgen die nog niet voldoende draagvlak om goed te adviseren. Ze hebben te weinig mandaat, te weinig mensen, te weinig kennis, te weinig budget of welke andere reden je dan ook kunt bedenken.

Wil de overheid de beveiliging echt op orde krijgen dan moeten ze vooraan lopen. Ze moeten aantonen hoe het dan wel beveiligd kan worden. Ze moeten de normen en kaders stellen. Ze moeten de vraagbaak zijn voor bedrijven die wel willen maar nog niet kunnen. Zolang dat niet gebeurd blijft het een lastig verhaal.

We kunnen dan hard roepen dat we de boetes verhogen maar ik zie liever dat we vanuit de overheid de organisaties helpen met duidelijke richtlijnen en kaders. Voor die bedrijven die het niet zelfstandig op kunnen pakken moeten we dan zorgen dat er hulp komt vanuit de overheid.

Ook hier geldt weer oorzaak en gevolg. We kunnen wel boetes opleggen maar ik zie liever dat we met zijn allen, in publiek-private samenwerking, proberen om allemaal veiliger te worden. Misschien een mooi onderwerp voor de aankomende verkiezingen? Of is dit toch niet sexy genoeg en te moeilijk uit te leggen aan “Henk en Ingrid”?

Organisaties zeer slecht voorbereid op cyberdiefstal

  door

Organisaties zijn zeer slecht voorbereid als het gaat om een datalek of cyberdiefstal. Slechts 52% werkt met een gescheiden netwerk voor machines met gevoelige data, zo blijkt uit onderzoek van SpicyLemon, uitgevoerd door Webwereld.(bron)

Veelal kijken we met angst en beven naar de grote boze buitenwereld. Als de dood dat we getroffen worden door een aanval van de echte techneuten. Maar we vergeten nog vaak het “low hanging fruit”, zoals we dat zo mooi noemen.

Laten we er nu eerst eens voor zorgen dat we de normale zaakjes op orde hebben. Daarna kunnen we altijd nog focussen op een zware aanval (die we waarschijnlijk toch niet tegen kunnen houden). Daarbij moeten we niet alleen naar buiten kijken, maar juist ook naar binnen.

De grootste dreiging komt nog altijd van binnenuit. En dan niet eens altijd omdat het om moedwillige aanvallen gaat. Nee, we hebben te maken met gebruikers en dat zijn net mensen. En mensen maken fouten, zo simpel is het nu eenmaal.

Naast de onbewuste fouten komt het ook nog teveel voor dat de medewerker zich helemaal niet bewust is van zijn op handen zijnde fout. Hij heeft geen weet van de beveiligingsregels en als hij ze al kent dan weet hij niet hoe ze toegepast moeten worden terwijl hij gewoon zijn werk kan doen (daar wordt hij immers op afgerekend).

We hebben het natuurlijk al veel vaker aangehaald: het gaat om kennis, houding en gedrag. Dat is de ene kant, maar laten we vooral niet vergeten dat er ook nog een andere kant is: gewoon je werk doen. En ja, dan is beveiliging inderdaad vaak lastig.

Daarom moeten we vanuit beveiliging ook zo goed mogelijk kijken naar de “business”. Hoe kunnen we hen zo makkelijk mogelijk hun werk laten doen zonder dat we bijzondere risico’s lopen? Daar zouden we ons vanaf heden meer en meer op moeten richten. Beveiliging is ondersteunend aan de bedrijfsprocessen want zonder bedrijfsprocessen ook geen beveiliging.

Voordat we dus weer een nieuw stukje beleid schrijven, waarbij we mensen verbieden om zakelijke gegevens naar het privé account te mailen of waarbij we het niet meer toestaan dat gegevens onversleuteld op een USB-stick worden opgeslagen, moeten we de wereld omdraaien. Vraag nu eens gewoon aan die gebruiker wat hij nodig heeft om het zo veilig mogelijk te doen.

Bij de vraag naar verbeterpunten op beveiligingsgebied, wordt door de verschillende deelnemers aangegeven dat met name de bewustwording bij eindgebruikers en bij de directie vergroot moeten worden. Ruim 37% wil regelmatig security audits door externe partijen gaan laten uitvoeren.

Het zijn net mensen…en daar kunnen wij best mee leren communiceren. Die beveiligingsaudits komen dan wel als we de basis geregeld hebben.

Het kennisniveau in relatie tot bijzondere rechten

  door

Inmiddels hebben we al verschillende malen nagedacht over functiescheiding, rechten en plichten, beveiligingsbewustwordingsprogramma’s en ga zo nog maar even door. Nu wordt het ook tijd om te gaan kijken hoe goed al die maatregelen nu eigenlijk werken en hoe goed onze medewerkers nu echt zijn. Een gevoelig onderwerp, maar wel een waar we naar moeten kijken als we het echt veilig willen maken. Opzet en bestaan is goed, maar de werking is misschien nog wel het belangrijkst.

Daarom de vraag:
Worden alleen aan medewerkers met voldoende kennis en ervaring bijzondere rechten binnen de informatiesystemen verstrekt?

De eerste dag dat een medewerker met bijzonder rechten binnen komt, laten we hem niet los gaan op het systeem. Nee, we willen hem eerst introduceren en de systemen laten leren kennen. Maar op een gegeven moment hebben we: of geen tijd meer om hem te begeleiden, of het gevoel dat hij het nu wel zou moeten kunnen. Maar zijn beide aspecten een goede graadmeter? Kunnen we er nu echt vanuit gaan dat het hem wel gaat lukken? Misschien toch te risicovol…daarom willen we weten of hij voldoende kennis heeft om in het grote zwembad te gaan zwemmen.

Als het goed is heeft hij best zijn diploma’s en certificaten behaald, ze staan mooi op zijn CV en theoretisch moet hij het inderdaad kunnen, maar hoe zit het met de praktijk? Vergelijk het eens met je eerste skivakantie. Je las misschien eerst een boek over de basis van skiën, je bekeek wat filmpjes op YouTube en ging een keertje naar een indoorbaan. Als je er echt in geloofde heb je misschien zelfs een semi-professionele set gekocht met skischoenen en latten.

Daar ging je dan, op vakantie. Om er vervolgens achter te komen dat die berg in het echt toch wel wat hoger en steiler is dan gedacht. Maar je kent de theorie, dus niet zeuren. Durfal, is het je gelukt of moest je met de eerste gipsvlucht weer terug naar huis?

Vergelijken we dit met onze organisatie dan lopen we dus risico’s als het gaat om het kennisniveau in relatie tot bijzondere rechten. Heeft die medewerker alleen het boekje gelezen of heeft hij praktijkervaring opgedaan? Kan hij het geheel zelfstandig of moeten we er toezicht op houden? Misschien willen we erg risicovolle taken wel onder 4-ogen uit laten voeren om het risico nog verder in te perken.

Klinkt misschien absurd en erg zwaar, maar ook hier gaat het er weer om dat we eerst naar de risico’s kijken. Zijn de risico’s te groot dan moeten we aanvullende maatregelen overwegen. We willen niet dat iemand met een druk op de knop ons gehele eigen vermogen op de beurs inzet…de voorbeelden zijn daar, miljarden zijn erdoor verloren en bedrijven zijn er aan failliet gegaan.

Willen we als organisatie excelleren dan kan dat alleen met medewerkers met het juiste kennisniveau (en de juiste motivatie). Is het door ons gewenste kennisniveau nog niet bereikt dan moeten we er voor zorgen dat dat alsnog gebeurt. Is het kennisniveau eenmaal bereikt dan moeten we er vervolgens voor zorgen dat het up-to-date blijft door continue scholing en bij uitdiensttreding moeten we ervoor zorgen dat de kennis tijdig wordt overgedragen.

De juiste mensen met de juiste kennis zorgt er dus niet alleen voor dat we beter beveiligd zijn maar zorgt er ook nog eens voor dat we kunnen excelleren…wat willen we nog meer?

Cultuur en beveiligingsbewustzijn

  door

De titel zegt het al, we gaan het hebben over cultuur en beveiligingsbewustzijn. Het lijken misschien dezelfde begrippen maar er zit een wereld van verschil in. Daarom de vraag:
Worden er activiteiten ontplooit om de cultuur en het beveiligingsbewustzijn continu te verbeteren?

Binnen organisaties zien we erg veel beveiligingsbewustzijnscampagnes. De een wat origineler en uitgebreider dan de ander, maar goed, daar zullen we het maar niet over hebben. Feit is wel dat met een dergelijke campagne met name gericht wordt op de kennis bij de medewerkers. We willen ze vertellen wat ze wel en wat ze juist niet mogen. Dat doen we door enquêtes te houden zodat we weten hoe de vlag er bij hangt en vervolgens hangen we allerlei mooie posters op, ontwikkelen e-learning omgevingen en brengen misschien zelfs een beveiligingskrantje uit.

Zo, de campagne zit er weer op en nu nog afsluiten met een nieuwe enquête zodat we de voortgang kunnen meten. Wonderbaarlijk, we hebben ineens een sterk verbeterde score, toch? Dat hangt er natuurlijk maar helemaal vanaf hoe je het bekijkt.

Het is natuurlijk niet zo gek dat mensen echt wel wat oppikken als je ze verveelt met allerlei posters en verplichte e-learnings. Maar, als we volgend jaar weer beginnen met een nulmeting…wat is er dan echt bij ze blijven hangen en hoeveel minder incidenten hebben we gehad?

We haalden het al veel vaker aan. Het gaat om kennis, houding en gedrag. Het gaat om het bewerkstelligen van een cultuur waarin beveiliging heel normaal is en waar iedereen zijn of haar steentje bijdraagt. Ik heb nog maar weinig organisaties gezien waar we echt kunnen spreken over een beveiligingscultuur.

We moeten er dan wellicht wel iets aan doen omdat we anders niet compliant zijn, maar daar houdt het dan ook wel een beetje mee op. We leggen nog maar nauwelijks de link met de algemene cultuur binnen de organisatie. De beveiligingscultuur gaat daar echt niet veel van afwijken.

Willen we dat iedereen netjes de e-learning doet, begin dan eens bij het management. En nee, ze mogen het de secretaresses niet laten doen maar moeten zelf aan de bak. Jammer genoeg krijgen ze er geen bonus voor…want dan was de kans toch een stuk groter dat het wel gebeurde. Het is een noodzakelijk kwaad en niemand heeft er zin in. Een feit, tenzij het ons echt lukt om de cultuur te veranderen.

We moeten niet vergeten dat we een cultuur niet even snel kunnen veranderen. De mensen maken de cultuur en het zijn dus ook de mensen die die cultuur kunnen veranderen. Onze mooie posters hebben daar nauwelijks invloed op. Ach, misschien is het een geluk bij een ongeluk dat we ook eigenlijk geen goed zicht hebben op de beveiligingsincidenten die zich voordoen. Wat niet weet, wat niet deert.

Stellen we onszelf nog wel de vraag of de budgetten die we eraan besteden niet beter op een andere manier kunnen worden ingezet? Moeten we wettelijk iets doen, ja dan zal het geld kosten, maar vechten we tegen de bierkaai, dan moeten we misschien kijken of we het budget op een efficiëntere wijze in kunnen zetten die meer bijdraagt aan een beveiligde omgeving. Nu wil je van mij wellicht graag het eenduidige antwoord over hoe dan wel, maar helaas is dat antwoord niet te geven. Daarvoor zullen we toch echt moeten onderzoeken wat we er nu aan doen, wat dat dan kost en welke betere methodes we kunnen bedenken.

Geen makkelijke opgave, maar wel een belangrijke die ook nog eens kan werken. Moet jij kijken hoe het management je onthaalt als je aangeeft volgend jaar nog maar de helft van je beveiligingsbewustzijnsbudget nodig te hebben. Weer een besparing bereikt, of is dat alleen maar voor de korte termijn?

Beveiligingsvoorschriften in functiebeschrijvingen

  door

Zoals we inmiddels allemaal weten, is beveiliging een lijnverantwoordelijkheid. Iedereen is voor zijn of haar deel verantwoordelijk voor de beveiliging. De algemeen directeur, de lijnmanager, de medewerker en natuurlijk ook de security officer. Daarom is het goed om in de functiebeschrijvingen vast te leggen welke verantwoordelijkheid een ieder heeft.

De vraag:
Wordt in de functiebeschrijvingen verwezen naar de beveiligingsvoorschriften?

We zien nog wel eens (of eigenlijk erg vaak) dat de medewerkers in de organisatie denken dat de security afdeling verantwoordelijk is voor de beveiliging. Natuurlijk spelen zij een belangrijke rol in het beschikbaar stellen van beleid, kaders en ondersteunende informatie. Maar feit blijft dat beveiliging pas gaat werken als iedereen zijn verantwoordelijkheid neemt.

De functiebeschrijving van de security officer bulkt natuurlijk van de inhoudelijke punten op beveiligingsgebied. Maar ook in de functieomschrijvingen van de lijnmanagers en de medewerkers moeten we minimaal beschrijven dat beveiliging een lijnverantwoordelijkheid is en dat men geacht wordt zich aan het beleid en de richtlijnen te houden.

In het beveiligingsbeleid hebben we ook al in een eerder stadium beschreven dat het de lijn is die verantwoordelijk is. En we kunnen natuurlijk hopen dat iedere medewerker dat beleid gaat lezen…maar dat is een utopie. Juist daarom moeten we in de functieomschrijving ook iets opnemen, we moeten het er met de medewerker over hebben tijdens het functionerings- of beoordelingsgesprek. Dat klinkt misschien allemaal wat zwaar, maar het kan gewoon in 1 zin worden afgedaan.

We moeten natuurlijk niet doorschieten en we moeten zeker niet alle beveiligingsdetails opnemen in de functieomschrijvingen, dan wordt het allemaal wel erg veel papier (want naast beveiliging zullen we dan ook andere aspecten volledig uit willen schrijven). Nee, het volstaat om aan te geven dat beveiliging een gedeelde verantwoordelijkheid is waaraan iedereen zijn of haar bijdrage levert. De details die werken we dan wel uit in beleid en procedures die we beschikbaar stellen via het intranet.

Net als bij de geheimhoudingsverklaring gaat het natuurlijk niet zozeer om de formaliteit van het vastleggen. Nee, het gaat erom dat de medewerker zich bewust wordt. Het ging om kennis, houding en gedrag en dat bereiken we niet door het alleen maar in de functieomschrijving op te nemen. Dat is slechts een klein stapje in het grotere geheel, maar wel een stapje dat we zullen moeten nemen op weg naar ons einddoel: een goede beveiliging, passend bij de organisatie.

Bekendheid met de gedragscodes en het sanctiebeleid

  door

Zoals we eerder al aanhaalden is voor het naleven van de gedragscodes kennis, houding en gedrag van belang. We kunnen niet verwachten dat de houding en het gedrag aanpassen als de gedragscode onbekend is. Dat klinkt misschien logisch, maar de praktijk is toch wat weerbarstiger.

De vraag:
Zijn deze gedragscodes en het sanctiebeleid beschikbaar gesteld aan het personeel?

Natuurlijk laten we nieuwe medewerkers hun handtekening zetten voor de gedragscode, zo hebben we tenminste bewijs voor als we dat nodig hebben. Deze nieuwe medewerker moet zeer waarschijnlijk wel vaker zijn handtekening zetten voor hij echt aan de slag kan. Geloven we nu echt dat hij alle formele documenten tot in de puntjes doorleest? En als dat al wordt gedaan, begrijpt de medewerker dan ook echt wat de impact is? Misschien toch eens checken bij een aantal nieuwe medewerkers of zij zich kunnen herinneren dat zij een gedragscode hebben getekend en of zij weten wat die inhoudt. Je bent gewaarschuwd: je kunt voor verrassingen komen te staan.

Maar gelukkig is de nieuwe medewerker geen eendagsvlieg. Na een aantal dagen, weken of maanden heeft hij zijn draai gevonden. Op het intranet gaat hij op zoek naar informatie die van belang is. Hoe makkelijk kan hij de gedragscode en het sanctiebeleid dan vinden? Staat er niet zoveel informatie op het intranet dat we door de bomen het bos niet meer zien? En tussen al die andere informatie (die meestal leuker is dan de beveiligingsinformatie), hoe groot is dan de kans dat hij bewust de gedragscode kiest? Waarschijnlijk niet zo groot.

Heb je de gedragscode op het intranet staan? Kijk dan eens naar de statistieken. Hoe vaak is die gedragscode het afgelopen jaar bekeken? En hoeveel nieuwe medewerkers hebben we er in die tijd bijgekregen? Matched dat nog een beetje?

Gelukkig speelt dit probleem binnen jouw organisatie niet want er zijn verplichte e-learning modules en daarin gaan we ook in op de gedragscode. We stellen netjes de vraag of de deelnemer de gedragscode kent en al snel wordt er op “ja” geklikt. Maar wij laten ons niet voor de gek houden en stellen later nog een controle vraag: “stel je ziet een bezoeker zonder begeleiding, wat doe je?” Natuurlijk begeleiden we die naar de receptie…althans op papier dan. In de praktijk doen we lekker of we deze persoon niet gezien hebben.

Redeneren we nog even verder dan gaat het natuurlijk helemaal niet om die gedragscode. Het gaat om een beveiligingscultuur die we moeten creëren en daar is heel wat meer voor nodig dan een gedragscode, een e-learning omgeving en/of een poster aan de wand. Beveiliging moet bespreekbaar gemaakt worden, het moet in de wortels van de organisatie zitten en het moet overeenkomen met de totale cultuur binnen een organisatie. Dat is het doel, de gedragscode en het sanctiebeleid zijn daarbij slechts ondersteunend (en helaas in de praktijk nog teveel een formaliteit omdat het nu eenmaal moet).

Probeer er eens voor te zorgen dat beveiliging en het gewenste gedrag meegenomen wordt in de afdelingsoverleggen, laat het hoogste management aantoonbaar het goede voorbeeld geven, maak incidenten (al dan niet in geanonimiseerde vorm) inzichtelijk zodat anderen daarvan kunnen leren en zorg ervoor dat medewerkers met hun vragen ergens terecht kunnen. Lukt dat dan zijn we al een heel stuk verder en kunnen we de gedragscode en het sanctiebeleid inderdaad fine tunen…door er minder in op te nemen in plaats van meer en meer en meer.

Gedragscodes

  door

Gelukkig hebben we medewerkers die erg betrokken zijn bij de organisatie en die goed hun best doen om er het beste van te maken. En die medewerkers die buiten de boot vallen die helpen we wel op een andere manier (bye bye, zwaai, zwaai). Het frustreert ons alleen nog dat ze allemaal hun best doen, maar de beveiligingsregels massaal aan de laars lappen. Tijd om duidelijk te maken wat we op dit gebied nu eigenlijk van hen verwachten.

De vraag:
Zijn er schriftelijke gedragscodes vastgesteld?

We kunnen natuurlijk denken of hopen dat alle medewerkers pro-actief hun steentje bijdragen aan het veilig houden van onze organisatie, maar is het dan niet handig om duidelijk te maken wat we verwachten? De meeste medewerkers willen echt wel helpen, alleen weten ze niet precies hoe en waarom. Onze taak dus om ze dat duidelijk te maken door gedragscodes op te stellen.

Gedragscodes die begrepen kunnen worden door de medewerkers. Dus geen semi-juridische ingewikkelde teksten waarbij we er in de rechtbank achterkomen dat we inderdaad gelijk hebben. Nee, gewoon in Algemeen Beschaafd Nederlands en vooral geen lappen tekst of dikke documenten.

Willen we dat medewerkers inderdaad zorgen voor een veilige organisatie dan gaan we drie stappen door: kennis, houding en gedrag. Een gedragscode gaat vooral in op de eerste stap, het geven van kennis. De medewerker moet immers weten wat we verwachten en vooral ook waarom we dat verwachten.

Geen belerende teksten met een wijzende vinger, maar duidelijkheid voor iedereen. Daarbij is woordkeuze vaak al een belangrijk aspect. “Gij zult niet…” en de medewerker haakt af, de haren in de nek gaan recht overeind staan en de rest van onze gedragscode komt niet meer bij hem over. Nee, de medewerkers moeten hun verantwoordelijkheid nemen en kunnen nemen. Daarom moeten we kort de risico’s duidelijk maken, waarom stellen we sommige (belachelijke) regels eigenlijk?

Ziet de medewerker het nut niet in van de maatregel dan is de kans groot dat de kennis snel vervaagd. Houding en gedrag kunnen we al helemaal vergeten, want geen hond die zich er aan houdt.

De medewerker wil in dienst dus tekent met frisse tegenzin de gedragscode (of hij tekent zonder ook maar 1 letter te hebben gelezen). Op papier hebben we het misschien redelijk voor elkaar, maar in de praktijk verandert er dus niets. Juist daarom kan een gedragscode ook niet op zichzelf staan, nee, het is onderdeel van een groter geheel, namelijk het geheel van beveiligingsbewustzijn en beveiligingscultuur.

Geen lappen tekst dus, maar eerder meerdere korte gedragscodes. Een algemene gedragscode, een gedragscode voor internet en e-mail gebruik, een gedragscode voor omgang met vertrouwelijke informatie en alle andere gedragscodes die voor jouw organisatie belangrijk zijn. Daarbij moeten we keuzes maken, geen 100 gedragscodes want dan schieten we ons doel ook weer voorbij en worden we al snel belerend (terwijl geen medewerker alle 100 codes kent, laat staan zich er aan houdt).

Gedragscodes zijn een weergave van wat we logischerwijs van de medewerker mogen verwachten. Common sense en het verantwoordelijkheid geven aan de medewerker, het geven van vertrouwen en bijsturing waar dat nodig is. Op hoofdlijnen weet een medewerker echt wel hoe hij of zij zich dient te gedragen, voor die specifieke onderdelen waarvoor we dat nodig vinden geven we hem of haar dan de aanvullende kaders.

Wees eens eerlijk, kijk eens naar de gedragscodes die er binnen jouw bedrijf zijn? Zijn ze er, hoeveel zijn het er en hoe leesbaar zijn ze? “Less is more” ook op dit gebied, geef de medewerkers de kaders en controleer op hoofdlijnen hoe leefbaar ze zijn. Lukt het ons om medewerkers hun verantwoordelijkheid te laten nemen dan zijn we al een heel stuk verder dan dat we ze exact de wet voorschrijven.