Nivelleert u al?
Het tweede kabinet Rutte is gisteren twee keer geïnstalleerd.
Dat is nog eens een stevig fundament. Dat zullen ze trouwens wel nodig hebben
want de weersvoorspellingen zijn onheilspellend. Nivelleren is het credo. Voor
de één is het een feestje, voor de ander is het een regelrechte ramp.
Het draait deze weken om de zorgpremie. Ons vakgebied (security) is vaak vergeleken met een (zorg)verzekeringspremie. Als ik kijk waar de commotie in het land over bestaat trek ik al vlug een vergelijking
met mijn eigen professie.
Ik zie veel mensen erg bewust beslissingen nemen over de
verzekeraar waar ze zich het komende jaar aan verbinden. Daarbij wordt
nauwkeurig gekeken of ze niet te veel betalen voor risico’s die ze niet lopen.
Een goede vriend van mij windt zich erg op over kraampakketten die hij kan
krijgen. De beste man heeft geen kinderplannen meer met drie koters op de
achterbank.
Wellicht herkent u het elan waarmee dit soort beslissingen
besproken worden?
Waar het bij Rutte II helaas aan ontbreekt is een duidelijke
visie op de effectiviteit van zorg, het terugdringen van de vraag naar zorg, de
efficiëntie van zorg en het verminderen van de kosten van zorg. Kortom, waar
individuele inwoners van het land zich druk maken over herverdeling van kosten,
ontbreekt leiderschap en visie ten aanzien van de grootste kostenpost in het
land.
En nu de parallel met security in de organisaties die ik
bezoek.
Ik zou willen dat alle medewerkers van een organisatie zich
persoonlijk druk zouden maken over security. Ze zouden bewust ongerust moeten
zijn over de veilige omgang met enerzijds klantgegevens, maar anderzijds ook
hun eigen gegevens in hun personeelsdossier. Het zou fantastisch zijn als het
midden management met hun vuist op tafel de kwaliteit van hun werk (lees ‘veilig
omgaan met vertrouwelijke gegevens’) staat te verdedigen. Vuur en passie. Hebt
u het laatst nog gezien tijdens het werkoverleg?
Een ander punt is dat security door directies onvoldoende
serieus genomen wordt. Daarligt toch echt een uitdagende taak voor de security
officer. Maar nee, security bestaat uit een jaarlijkse investering in een nieuwe
technische oplossing. Die investering wordt gedaan op basis van een
overtuigende account manager van ‘Wij van WC-eend’.
Om dat te begrijpen verwijs ik je naar een goed commentaar van
Fred Streefland in de Computable van 5 november j.l. Hij beschrijft het
onvermogen van organisaties om te leren van het verleden. Daarbij geeft hij aan
dat veel beslissingen in security genomen worden op basis van enthousiaste
verhalen van ‘Wij van WC-eend’. Ik onderschrijf zijn mening dat organisatie
beslissingen moeten baseren op een goede analyse van de risico’s die ze lopen.
Er blijft een geaccepteerd restrisico over, dat niet beveiligd hoeft te worden.
Als je dan als organisatie zover bent dat het
risicomanagement goed is ingeregeld komt het er op aan om security
management professioneel in te richten. Daar komen visie en leiderschap ten
aanzien van de effectiviteit van security, efficiëntie van security en
beheersing van de kosten van security weer om de hoek kijken. Staat dat bij u
in de organisatie goed op het netvlies van verantwoordelijke directieleden
en/of managers?
Denk eens na over de verdeling van kosten voor security. Als security gezien wordt als een IT-gerelateerd onderwerp betalen afdelingen waarschijnlijk naar rato van het aantal IT-diensten dat ze afnemen.
Daarentegen is het een leuke discussie als afdelingen zouden moeten betalen naar de mate waarin ze risico lopen. HR heeft personeelsdossiers, marketing & sales hebben klantgegevens, R&D heeft intellectuel property, de polisadministratie en zorgafdelingen verwerken veel patiëntgegevens.
Je kunt natuurlijk ook nivelleren op basis van de omzetten die afdelingen genereren of verwerken. Marketing & sales, productieafdelingen en logistiek kunnen dan zwaarder 'aangeslagen' worden.
Ik wens Rutte veel succes met de discussies over zorgpremie
en koopkrachtplaatjes. Daarnaast zou ik iedere security professional willen
aansporen om even over de muren van het eigen werkterrein te kijken. Dring bij
directies en midden management aan op een professionele aanpak ten aanzien van
security. Geloof vooral alle commerciële blauwe ogen die je de nieuwste vinding
komen aanprijzen. Maar blijf bewust van de risico’s die je wilt afdekken.
‘Nee, ik wil geen kraampakket!’.