De voorschriften voor kwetsbare apparatuur en waardevolle goederen zijn inmiddels opgesteld, medewerkers zijn er mee bekend, we controleren het regelmatig en het blijkt ook nog voor een groot deel te worden nageleefd. Hartstikke goed. In lijn van die voorschriften gaan we ook kijken naar de gevoelige bedrijfsprocessen.
De vraag:
Zijn er voorschriften voor en toezicht op het, uitsluitend geautoriseerd, personeel bij de uitvoering van (zeer) gevoelige bedrijfsprocessen?
We hebben al vaker gezien dat de bedrijfsprocessen worden ondersteund door informatie, materieel en personeel. Die moeten we dus beschermen. Maar het doel van die ondersteunende middelen is er voor te zorgen dat de bedrijfsprocessen gecontinueerd kunnen worden. Ja, ik weet het, we vallen misschien in herhaling: maar de continuïteit van de processen is waar we het voor doen, daarmee helpen we nu juist onze klanten om hun behoefte te bevredigen. Maar goed, laten we vooral niet te abstract worden.
Als het goed is hebben we inmiddels ook zicht op onze bedrijfsprocessen. Daarbij maken we misschien onderscheid in onze primaire en secundaire processen en we hebben ook gekeken naar hoe kritisch of vertrouwelijk dat proces is voor onze organisatie.
Voor die processen die we belangrijk vinden stellen we extra voorschriften op. We willen niet dat ongeautoriseerd personeel die processen kan verstoren. Nee, we willen alleen goed getrainde medewerkers en we houden strikt toezicht op de naleving van onze voorschriften.
Werken we bijvoorbeeld met geldstromen, dan willen we niet dat iedereen zomaar bij grote sommen geld kan komen. We zetten niet de eerste de beste medewerker in, nee we hebben een screening uitgevoerd, we hebben Verklaringen Omtrent Gedrag, we hebben hem goed getraind en we laten hem in het begin meelopen met een medewerker die we vertrouwen. Vervolgens laten we hem stukje bij beetje los en we houden toezicht op wat hij nu precies doet.
Een voorbeeld met geldstromen is redelijk concreet. Maar dit geldt net zo goed voor andere processen. Werken we met giftige stoffen dan volgen we een vergelijkbaar pad. Vinden we ons bedrijf niet zo spannend omdat we niet zulke spannende processen hebben, dan nog willen we niet zomaar iedereen binnen halen en aan onze processen laten werken. Vertrouwen moet groeien en als dat vertrouwen er eenmaal is, dan moet dat niet geschaad worden.
Welke voorschriften je precies op stelt, wat wel en wat niet mag, ja dat is een keuze van de organisatie. Op hoofdlijnen kun je uitgaan van twee principes: alles mag, tenzij…of juist: niets mag, tenzij… De Security Managers 2.0 zijn natuurlijk voorstander van het eerste principe, we geven de medewerker verantwoordelijkheid, we controleren wat nodig is, maar bemoeien ons niet met zaken waar we ons niet mee moeten bemoeien.
Doen we dat goed, dan gaan medewerkers zelf nadenken. Ze nemen hun verantwoordelijkheid en niet alleen op het gebied van beveiliging. De organisatie kan er alleen maar beter van worden.