Mag baas in mailbox werknemer kijken?

Een interessante vraag (en zeker een interessant antwoord van Arnoud Engelfriet) dat op www.security.nl voorbij kwam (bron).

Vraag: Wij hebben klachten van klanten gehad over één van onze medewerkers. Hij zou rare berichten hebben gestuurd met klachten en scheldpartijen over ons bedrijf! We hebben twee mails gezien waar we heel erg van zijn geschrokken. Nu willen we in zijn mailbox kijken wat hij allemaal nog meer heeft verstuurd, maar we hebben geen ICT-reglement. Wat moeten we nu doen?

Vaste lezers weten het al: ook op je werk heb je privacy, ook in de zakelijke mailbox. Een werkgever moet werknemers vooraf informeren over hoe en wanneer er gemonitord wordt en wanneer men toegang kan verkrijgen tot mailboxen. Dit gebeurt meestal door invoering van een protocol (ook wel ‘Acceptable Use Policy’ of ‘Fair Use Policy’). Een protocol mag privégebruik van ict-faciliteiten niet volledig verbieden, maar mag er wel (redelijke) grenzen aan stellen.

We gaan natuurlijk niet het hele antwoord hier aanhalen, want daarvoor kun je rustig doorklikken naar de bron. Maar wel een onderwerp waar binnen veel bedrijven nog onvoldoende aandacht voor is. De grote(re) organisaties hebben hier de afgelopen jaren al wel mee te maken gehad en zijn inmiddels hier wel op voorbereid. Kleinere en middelgrote organisaties worstelen toch nog vaak met dit vraag stuk.

Ook al is het niet geheel onmogelijk om de mailboxen uit te pluizen zonder een reglement, toch is het vaak beter vooraf de spelregels af te spreken. De spelregels dan niet alleen richting de medewerker maar juist ook richting de manager van die medewerker.

We zien nog wel eens dat de manager graag in de mailbox wil kijken. Onder het mom van security, maar eigenlijk omdat hij niet echt grip heeft op zijn medewerker. Hij heeft het gevoel dat ze misschien wel aanwezig zijn, maar in die tijd te weinig voor de baas doen.

Juist om te voorkomen dat de manager de mailbox in kan kijken moet er een reglement zijn. De security manager kan de manager van de medewerker hiermee duidelijk maken wanneer het wel en wanneer het niet geoorloofd is om de mailbox in te kijken en op welke wijze dat dan plaats vindt (nooit door de manager zelf en liefst onder het 4-ogen principe).

Sterker nog, ik ben benieuwd hoe een rechter reageert als door gebrek aan management skills een mailbox kan worden doorgelezen en de medewerker op basis daarvan ontslagen wordt. En is het tegenwoordig niet zo dat we meer en meer toegroeien naar het nieuwe werken?

We willen met medewerkers resultaatverplichtingen aan gaan (tenminste, als je het nieuwe werken ook echt in wilt voeren). Geen aanwezigheidsverplichting dus meer. Is er dan nog wat op tegen als een medewerker, tijdens kantooruren, eens een uurtje of wat zijn tijd niet aan de baas besteedt? Misschien werkt hij wel extra hard in de avonduren en als de resultaten conform afspraken zijn, mag je dan nog klagen als manager?

Een reglement is dus goed om de medewerkers duidelijk te maken wat ze wel en niet mogen en op welke wijze er eventueel in de mailbox gekeken kan worden. Maar een reglement is net zo goed voor de managers om hen aan te geven dat wij, vanuit security, hun managementprobleem niet op gaan lossen.

Ondernemers verzaken goede beveiliging

Eind van de week en tijd om de IT-managers een hart onder de riem te steken. Kijken of het ons lukt om ze een rustig weekend te bezorgen zodat ze weer wat slaap van alle slapeloze nachten in kunnen halen.

Als IT-manager sta je niet alleen. Er vanuit gaande dat je als manager in dienst bent van een organisatie. De ondernemer (veelal dus de baas van de IT-manager) weet ook dat alles nog niet in kannen en kruiken is.

IT-systemen goed beveiligen is belangrijk, dat blijkt wel uit alle meldingen van inbraak en misbruik. Ondanks alle (met name technische) activiteiten zegt zeventig procent van de ondernemers over onvoldoende geschoold personeel, budget en kennis te beschikken waardoor de IT-systemen niet goed beveiligd zijn. Dertig procent van hen heeft niet eens antivirus-software geïnstalleerd. (bron)

Tijd dus om eens een goed gesprek met de ondernemer te hebben. Als IT-manager kun je met een gerust hart je zorgen uiten. Sterker nog, de ondernemer zal je dankbaar zijn. Tenzij hij jou natuurlijk ziet als bron van al het kwaad omdat hij jou schaart onder het onvoldoende geschoolde personeel (maar daar gaan we niet vanuit, want dan had je deze functie waarschijnlijk nooit gekregen).

Ook hierbij zien we weer dat ondernemers en managers nog te vaak redeneren vanuit de (technische) beveiligingsmaatregelen en niet vanuit de risico’s voor de organisatie. In de paniek en waan van de dag installeren we nog een firewall omdat dat nu eenmaal een gevoel van veiligheid geeft. We vergeten daarbij helaas nog wel eens te kijken naar onze kritische bedrijfsprocessen en kritische informatie.

Naast al deze technische beveiligingsmaatregelen zijn er nog een hele berg procedurele en organisatorische maatregelen te bedenken die bijdragen aan het beheersen van de risico’s. Deze maatregelen zijn veelal goedkoper dan technische maatregelen en leveren een hogere bijdrage aan de informatiebeveiliging. Toch worden ze nog vergeten omdat ze misschien minder voor de hand liggen dan een nieuwe firewall, een nieuw anti-viruspakket enzovoorts.

Als we kunnen accepteren dat beveiliging een bedrijfskundig aspect is dan valt er een last van onze schouders. Natuurlijk kijken we eerst tegen een berg aan waar we overheen moeten, maar we zullen zien dat als we eenmaal halverwege die berg zijn de weg naar boven minder steil is dan gedacht.

Wil je als IT-manager (of Security Manager) slagen slaan, dan moeten we dus gaan kijken vanuit de risico’s van de organisatie. Dat is in het begin misschien lastig (uiteraard help ik je daar graag bij, misschien is een risk awareness sessie wat voor jou…maar goed ik schrijf hier niet om mijzelf te verkopen).

Nu het toch vrijdag is, kun je misschien een uurtje vrij maken om eens na te denken over de risico’s waar je wakker van ligt. Je ligt niet wakker van de technische maatregel, maar je ligt wakker van het bijbehorende risico. Hebben we die eenmaal inzichtelijk dan gaan we daarna wel eens denken over de juiste set beveiligingsmaatregelen om dat risico af te dekken.

Geloof me, al snel zul je tot de conclusie komen dat er meer onder de zon is dan nog een technische beveiligingsmaatregel. Je hebt dus niet nog meer techneuten nodig om de boel veilig te houden, nee je hebt bedrijfskundigen nodig die jou bij gaan staan (nou ja, nog een keer dan: je mag me altijd een mailtje sturen).

Ik wens alle managers een rustig weekend waarin ze wat slaap in kunnen halen.

Opslag van attractieve zaken

We hebben gekeken naar het plaatsen en verplaatsen van apparatuur en daarmee kwamen we al automatisch bij de voorschriften voor kritische bedrijfsprocessen waarmee we ook al de bedrijfsmiddelen aan haalden. Daarbij kunnen we onderscheid maken in de dagelijkse bedrijfsmiddelen maar natuurlijk ook de meer attractieve zaken.

De vraag:
Is er een voorschrift waarin is vastgelegd hoe en waar attractieve (kostbare) zaken dienen te worden opgeborgen en hoe medewerkers met dergelijke goederen om dienen te gaan?

Voor meer attractieve zaken zullen we ook de voorschriften op orde moeten hebben, iemand moet verantwoordelijk zijn voor het beheer er van en we willen dat de administratie altijd op orde is. We stellen waarschijnlijk een proces op waarbij we ook de standaard formulieren toevoegen. Daarnaast kijken we dan weer goed naar functiescheiding en naar degene die tekenbevoegd zijn.

Daarmee zijn we al een heel eind. Periodiek kunnen we natuurlijk nog controleren of de aanwezige attractieve goederen ook echt overeen komen met de bijbehorende administratie. We zorgen er daarnaast voor dat degene die de goederen beheert ook de richtlijnen kent. Wie mag er tekenen voor welk bedrag, welke medewerker mag welke goederen op komen halen en ga zo maar door.

Mag iedereen bijvoorbeeld een BlackBerry hebben of is dat voorbehouden aan bepaalde management lagen? En hoe gaan we er mee om als een lagere manager probeert op zijn strepen te staan (omdat hij nu eenmaal belangrijk gevonden wil worden)? Degene die de voorraden beheert moet natuurlijk wel gesteund worden, hij moet de medewerkers op de richtlijnen kunnen wijzen en iedereen zal zich aan de processen en formulieren moeten houden.

We belanden al snel bij de bekende tone-at-the-top. Te vaak zien we nog dat alle medewerkers zich netjes aan de procedures moeten houden maar dat hoe hoger de manager, hoe minder de regels lijken te gelden. Diefstal door een medewerker zullen we hard bestraffen en we trekken een duidelijke lijn zodat een andere medewerker zich wel 3x zal bedenken om ook iets te stelen.

Maar ja, als die (hooggeplaatste) manager de regels overtreedt dan gelden er ineens andere wetten en regels. Dan willen we nog wel eens een stuk milder zijn, omdat hij nu eenmaal belangrijk is voor de organisatie. Hij haalt zoveel omzet binnen, we kunnen en willen hem echt niet kwijt.

Toch sluipt hier een gevaar in. Als je niet op past beïnvloed dat de cultuur binnen de organisatie op een negatieve wijze. Het gat tussen de “werkvloer” en de managementlagen wordt vergroot en voor je het weet staan de medewerkers met spandoeken voor de poort om te demonstreren.

Zo zie je maar waar de opslag van attractieve zaken zoal toe kan leiden. Ik geloof natuurlijk best dat we waardevolle zaken veilig achter slot en grendel opslaan. Of de processen en formulieren er ook bij aansluiten is alweer een andere vraag. Trekken we het nog breder dan kan het zelfs de cultuur binnen de organisatie negatief beïnvloeden. Dat geeft maar weer aan dat beveiliging toch ook maar gewoon een bedrijfskundig aspect is.

Eigenaarschap van bedrijfsmiddelen

We hebben een Security Manager of Officer en die regelt de hele beveiliging wel voor ons. Goede zaak, dan hoeven we er als managers niet meer naar om te kijken en als het fout gaat kunnen we massaal een verantwoordelijke aanwijzen wiens kop het gaat kosten. Zo, lekker ons straatje schoongeveegd.

Helaas zien we dat nog te vaak gebeuren. We hebben nog niet allemaal op ons netvlies dat beveiliging een lijnverantwoordelijkheid is waarvoor de Security Manager de kaders schept, maar waar iedere manager iets aan moet doen. Dit roept misschien een berg discussie op, maar ben je als manager ook niet verantwoordelijk voor de kwaliteit die je levert? Juist. Laat beveiliging nu een kwaliteitsaspect zijn.

De vraag:
Is voor alle bedrijfsmiddelen vastgelegd wie de eigenaar of de houder is, zodat duidelijk is wie verantwoordelijk is voor een beveiligingsmaatregel?

We kunnen niet van een Security Manager verwachten dat hij de beveiliging voor ons regelt en we zelf lekker achterover kunnen leunen. Sterker nog, dat moet je als manager helemaal niet willen. Stel dat hij maatregelen voorschrijft waardoor jij je product of dienst niet meer kan leveren? Wie wordt er op aangekeken als jij je targets niet haalt?

Om onduidelijkheden te voorkomen moet je dus goed vastleggen voor welke bedrijfsprocessen en bedrijfsmiddelen je verantwoordelijk bent. Jij hebt die spullen nodig om je proces te kunnen laten draaien en jij mag bepalen hoe goed je die beveiligd wilt hebben. De Security Manager schept de abstracte kaders waarbinnen jij kunt acteren. Zo zorgen we er niet alleen voor dat de boel veilig is, maar zorgen we er ook voor dat jij je targets kunt halen. Besluit een manager om een risico te accepteren, dan is dat zijn goed recht…tenzij hij daarmee de organisatie in gevaar brengt.

Het management van de organisatie stelt het risicogedrag vast. Willen we nu juist risicodragend, risico neutraal of toch liever risicomijdend zijn? Dan zijn de kaders van de Security Manager daarop ingericht en mag jij, als manager, binnen die kaders je eigen spel spelen. Het management blij, de Security Manager blij en jij blij.

Als je verantwoordelijk bent voor een bepaald bedrijfsproces of een bepaald bedrijfsmiddel, dan ben je daarmee ook automatisch verantwoordelijk voor de beveiligingsmaatregelen die je genomen hebt. Natuurlijk mag je de Security Manager om advies vragen, geen probleem. Maar jij maakt de uiteindelijke keuze…ook als je je daar niet helemaal goed bij voelt. Met je rol als manager komen ook verantwoordelijkheden, niks nieuws onder de zon.

Toch zien we nog te vaak dat de Security Manager de verantwoordelijkheid in zijn of haar schoenen geschoven krijgt. Dat is jammer en teveel Security Managers laten dit gebeuren waardoor ze een onuitvoerbare taak krijgen. Zo lang het goed gaat en er weinig incidenten plaatsvinden worden ze gekort op hun budget en als het dan toch een keer fout gaat komen ze op straat te staan.

Een rol als Security Manager is een enorme uitdaging en goed uitvoerbaar, mits je de juiste kaders stelt. Een van die kaders is de simpele zin in je beleid dat beveiliging een lijnverantwoordelijkheid is. De Security Manager kan niet verantwoordelijk zijn voor de beveiliging van een bepaald proces dat door een ander wordt uitgevoerd. Zo kan een manager niet verantwoordelijk gesteld worden voor de beveiligingskaders die de Security Manager schept.

Willen we zorgen dat de boel goed beveiligd is? Dan gaan we dus samenwerken. Niet om het elkaar moeilijk te maken maar juist om de continuïteit van de organisatie op een zo goed en efficiënt mogelijke wijze te garanderen.

Beveiliging hoog op de prioriteitenlijst van Nederlandse managers

De kop van het artikel gaat over het belang van e-mail voor de managers in Nederland. Op zich interessant, maar dat is niet waar mijn oog op viel.

Nee mijn oog viel op een kort, bijna nietszeggend zinnetje ergens in het artikel verstopt:
Beveiliging staat ook hoog op de prioriteitenlijst van Nederlandse managers. 73 procent denkt hier de komende tijd in te gaan investeren (bron).

Beveiliging staat hoog op de prioriteitenlijst van Nederlandse managers (ja, ik herhaal het nog maar eens). Ben jij een manager en staat het nog niet hoog op jouw prioriteitenlijstje? Ja, dan tel je in het management wereldje misschien niet mee. Hop, waar wacht je op, wees een belangrijk manager en zet beveiliging helemaal bovenaan op jouw prioriteitenlijst. Moet jij eens kijken hoe serieus je als manager genomen wordt.

Maar, ho, voordat we verzanden in allerlei ingewikkelde technische maatregelen en voordat we allerlei vinklijstjes uit de kast trekken om maar vooral compliant te zijn. Wil jij je, als manager, echt interessant voordoen? Wil jij boven al die andere managers in je organisatie uit steken? Wil jij de directie (of “the board”) echt imponeren?

Ja? Mooi, dan gaan we het niet eens meer over beveiliging en die technische maatregelen hebben. Dat snapt de directie toch niet (of ze willen het niet snappen, dat kan natuurlijk ook). Nee, als jij de manager voor 2011 wilt worden dan spreek je de directie aan door te denken in risico’s.

Laat al je collega managers maar praten in dure, ingewikkelde, technische systemen. Jij geeft aan welke risico’s de organisatie loopt en je geeft aan op welke efficiënte wijze je die risico’s af kunt dekken. Als je het op die manier verteld dan bespaar je de organisatie alleen maar.

Je leest nog steeds? Dat is een goed teken en betekent dat je er graag meer over wilt weten. Want het staat hier natuurlijk allemaal wel leuk, maar hoe ga jij dat nu aanpakken? Ach, het antwoord is zo simpel: je stuurt mij gewoon even een mailtje en in no-time leg ik je onder het genot van een bak koffie uit hoe we dat aan gaan pakken.

Maar er zit natuurlijk wel een risico in dat je vooral niet moet onderschatten: het risico is dat jij promotie maakt en dat de andere managers die promotie mislopen…daar moet je dan wel tegen kunnen.

Kom, waar wacht je op? Ik stop met typen zodat jij kunt beginnen met het typen van die email aan mij. Tot snel…ik drink mijn koffie zwart. Dat je dat maar vast weet.