Kwart werknemers zou bedrijfsgeheimen verkopen

Het lijkt erop of we deze week nieuwsberichten aanhalen die ervoor zorgen dat de IT-managers het beveiligen van de gegevens alleen maar als nog stressvoller gaan ervaren. Dat is uiteraard niet de bedoeling, want er zijn echt mogelijkheden om de specifieke risico’s voor jouw organisatie goed in kaart te brengen. Ga dus uit van de risico’s en niet van de maatregelen. Een helikopterview wil daarbij nog wel eens helpen.

Een kwart (25 procent) van de werknemers is bereid bedrijfsgeheimen te verkopen…Dat blijkt uit onderzoek van Monster (in Nederland bekend als Monsterboard.nl) onder bijna 5000 respondenten wereldwijd…
Van de ondervraagden zegt 8 procent zelfs al eens bedrijfsgeheimen te hebben verkocht, terwijl 17 procent aangeeft in te gaan op een aanbod om bedrijfsgevoelige informatie te verkopen, wanneer de kans daartoe zich voordoet.
(bron)

Helaas staat er niet bij waarom de medewerkers bereid zijn om de bedrijfsgeheimen te verkopen. Nu zijn het interessante gegevens waar een IT-manager inderdaad gestrest van zou kunnen raken. We zullen dus op zoek moeten naar de redenen achter de mogelijke verkoop van bedrijfsgeheimen.

Komt het misschien omdat we de medewerkers onvoldoende belonen? Komt het misschien omdat zij het zwaard van Damocles boven het hoofd zien hangen en vrezen voor de volgende reorganisatie? Komt het misschien omdat de bedrijfscultuur ook niet meer is wat hij ooit geweest is? Komt het omdat de medewerkers zich niet meer gewaardeerd voelen? Of zijn er andere redenen te vinden?

Feit is wel dat dergelijke incidenten al snel onder security incidenten worden geschaard. Maar hierbij moeten we iets verder doordenken. Veelal zien we dat de gevolgen inderdaad als security incident gezien kunnen worden. We geven de Security Manager opdracht hier iets aan te doen. Al snel komen er allerlei ingewikkelde technische maatregelen voorbij om de gegevens beter te beveiligen.

Een optie, dat zeker, maar kunnen we de Security Manager hier wel verantwoordelijk voor maken? Vaak zullen we zien dat de oorzaak van een incident zich helemaal niet bevindt in het security gebied. Neem het verkopen van bedrijfsgeheimen als voorbeeld. Dit is een organisatorisch probleem. We moeten ervoor zorgen dat de medewerker zich weer verbonden voelt met onze organisatie. We moeten voorkomen dat hij zijn ziel zomaar aan de “duivel” verkoopt.

De cultuur binnen het bedrijf zegt veel, ook als het gaat om de status van de informatiebeveiliging. De Security Manager heeft maar beperkte invloed op die cultuur, we kunnen hem of haar daar dan ook niet verantwoordelijk voor stellen.

Na een incident is het maar al te makkelijk om te wijzen naar de Security Manager, die heeft gefaald (althans, dat is het beeld). Het is de taak van de Security Manager om de verantwoordelijkheid voor beveiliging in de lijnorganisatie te beleggen. Na een incident moeten we niet de Security Manager op straat gooien, nee we moeten hem verzoeken het incident grondig te onderzoeken en tot de grondoorzaken te komen. Ook als we die oorzaken eigenlijk liever niet willen horen.

De kans is immers groot dat het niet zo zeer schort aan informatiebeveiliging maar aan verkeerde keuzes op managementniveau. De medewerkers zijn helaas inderdaad vaak de zwakste schakel, maar dat mag je hen niet kwalijk nemen. Het is onze taak om er, gezamenlijk met alle andere managers, voor te zorgen dat de cultuur goed is omdat we daarmee het risico op dergelijke incidenten verkleinen.

Eigenaarschap van bedrijfsmiddelen

We hebben een Security Manager of Officer en die regelt de hele beveiliging wel voor ons. Goede zaak, dan hoeven we er als managers niet meer naar om te kijken en als het fout gaat kunnen we massaal een verantwoordelijke aanwijzen wiens kop het gaat kosten. Zo, lekker ons straatje schoongeveegd.

Helaas zien we dat nog te vaak gebeuren. We hebben nog niet allemaal op ons netvlies dat beveiliging een lijnverantwoordelijkheid is waarvoor de Security Manager de kaders schept, maar waar iedere manager iets aan moet doen. Dit roept misschien een berg discussie op, maar ben je als manager ook niet verantwoordelijk voor de kwaliteit die je levert? Juist. Laat beveiliging nu een kwaliteitsaspect zijn.

De vraag:
Is voor alle bedrijfsmiddelen vastgelegd wie de eigenaar of de houder is, zodat duidelijk is wie verantwoordelijk is voor een beveiligingsmaatregel?

We kunnen niet van een Security Manager verwachten dat hij de beveiliging voor ons regelt en we zelf lekker achterover kunnen leunen. Sterker nog, dat moet je als manager helemaal niet willen. Stel dat hij maatregelen voorschrijft waardoor jij je product of dienst niet meer kan leveren? Wie wordt er op aangekeken als jij je targets niet haalt?

Om onduidelijkheden te voorkomen moet je dus goed vastleggen voor welke bedrijfsprocessen en bedrijfsmiddelen je verantwoordelijk bent. Jij hebt die spullen nodig om je proces te kunnen laten draaien en jij mag bepalen hoe goed je die beveiligd wilt hebben. De Security Manager schept de abstracte kaders waarbinnen jij kunt acteren. Zo zorgen we er niet alleen voor dat de boel veilig is, maar zorgen we er ook voor dat jij je targets kunt halen. Besluit een manager om een risico te accepteren, dan is dat zijn goed recht…tenzij hij daarmee de organisatie in gevaar brengt.

Het management van de organisatie stelt het risicogedrag vast. Willen we nu juist risicodragend, risico neutraal of toch liever risicomijdend zijn? Dan zijn de kaders van de Security Manager daarop ingericht en mag jij, als manager, binnen die kaders je eigen spel spelen. Het management blij, de Security Manager blij en jij blij.

Als je verantwoordelijk bent voor een bepaald bedrijfsproces of een bepaald bedrijfsmiddel, dan ben je daarmee ook automatisch verantwoordelijk voor de beveiligingsmaatregelen die je genomen hebt. Natuurlijk mag je de Security Manager om advies vragen, geen probleem. Maar jij maakt de uiteindelijke keuze…ook als je je daar niet helemaal goed bij voelt. Met je rol als manager komen ook verantwoordelijkheden, niks nieuws onder de zon.

Toch zien we nog te vaak dat de Security Manager de verantwoordelijkheid in zijn of haar schoenen geschoven krijgt. Dat is jammer en teveel Security Managers laten dit gebeuren waardoor ze een onuitvoerbare taak krijgen. Zo lang het goed gaat en er weinig incidenten plaatsvinden worden ze gekort op hun budget en als het dan toch een keer fout gaat komen ze op straat te staan.

Een rol als Security Manager is een enorme uitdaging en goed uitvoerbaar, mits je de juiste kaders stelt. Een van die kaders is de simpele zin in je beleid dat beveiliging een lijnverantwoordelijkheid is. De Security Manager kan niet verantwoordelijk zijn voor de beveiliging van een bepaald proces dat door een ander wordt uitgevoerd. Zo kan een manager niet verantwoordelijk gesteld worden voor de beveiligingskaders die de Security Manager schept.

Willen we zorgen dat de boel goed beveiligd is? Dan gaan we dus samenwerken. Niet om het elkaar moeilijk te maken maar juist om de continuïteit van de organisatie op een zo goed en efficiënt mogelijke wijze te garanderen.

Security managers krijgen nog niet genoeg beloning

Security managers worden nog niet genoeg beloond voor hun werkzaamheden. Dat blijkt uit het Salarisonderzoek 2009/2010 van Security Management dat in het voorjaar van 2009 is verricht. Het onderzoek toont onder meer aan dat security voor veel bedrijven geen `main issue` is…De meeste managers moeten bovendien ook nog rapporteren aan de facility manager. Daarmee is de functie van de security manager in de praktijk niet toereikend genoeg om risico`s echt te handhaven. Door de lage positionering kan de security manager minder goed sturing geven aan risicobeheersing en de continuiteit van het bedrijf minder goed veilig stellen (bron).

Ja, dit blijft natuurlijk een beetje een kip en ei probleem. We zien steeds allerlei berichten voorbij komen waarbij we de conclusie kunnen trekken dat het met het niveau van de beveiliging nog niet zo goed gesteld is, maar ja wat wil je als je er de juiste beloning niet tegenover zet?

Een goede security manager moet ervaring hebben op vele gebieden, moet de organisatie door en door kennen en moet een gesprekspartner zijn voor de directie. Alleen op deze manier kan hij de risico’s voor de organisatie beheersen.

Stoppen we de security manager ergens onder de facility manager dan moeten we echt bij onszelf te raden gaan. Willen we beveiliging juist op de kaart zetten dan hebben we nog een hoop te doen.