Nivelleren in 2012

Nivelleert u al?

Het tweede kabinet Rutte is gisteren twee keer geïnstalleerd. Dat is nog eens een stevig fundament. Dat zullen ze trouwens wel nodig hebben want de weersvoorspellingen zijn onheilspellend. Nivelleren is het credo. Voor de één is het een feestje, voor de ander is het een regelrechte ramp.

Het draait deze weken om de zorgpremie. Ons vakgebied (security) is vaak vergeleken met een (zorg)verzekeringspremie. Als ik kijk waar de commotie in het land over bestaat trek ik al vlug een vergelijking met mijn eigen professie.

Ik zie veel mensen erg bewust beslissingen nemen over de verzekeraar waar ze zich het komende jaar aan verbinden. Daarbij wordt nauwkeurig gekeken of ze niet te veel betalen voor risico’s die ze niet lopen. Een goede vriend van mij windt zich erg op over kraampakketten die hij kan krijgen. De beste man heeft geen kinderplannen meer met drie koters op de achterbank.  

Wellicht herkent u het elan waarmee dit soort beslissingen besproken worden?

Waar het bij Rutte II helaas aan ontbreekt is een duidelijke visie op de effectiviteit van zorg, het terugdringen van de vraag naar zorg, de efficiëntie van zorg en het verminderen van de kosten van zorg. Kortom, waar individuele inwoners van het land zich druk maken over herverdeling van kosten, ontbreekt leiderschap en visie ten aanzien van de grootste kostenpost in het land.

En nu de parallel met security in de organisaties die ik bezoek.

Ik zou willen dat alle medewerkers van een organisatie zich persoonlijk druk zouden maken over security. Ze zouden bewust ongerust moeten zijn over de veilige omgang met enerzijds klantgegevens, maar anderzijds ook hun eigen gegevens in hun personeelsdossier. Het zou fantastisch zijn als het midden management met hun vuist op tafel de kwaliteit van hun werk (lees ‘veilig omgaan met vertrouwelijke gegevens’) staat te verdedigen. Vuur en passie. Hebt u het laatst nog gezien tijdens het werkoverleg?

Een ander punt is dat security door directies onvoldoende serieus genomen wordt. Daarligt toch echt een uitdagende taak voor de security officer. Maar nee, security bestaat uit een jaarlijkse investering in een nieuwe technische oplossing. Die investering wordt gedaan op basis van een overtuigende account manager van ‘Wij van WC-eend’.

Om dat te begrijpen verwijs ik je naar een goed commentaar van Fred Streefland in de Computable van 5 november j.l. Hij beschrijft het onvermogen van organisaties om te leren van het verleden. Daarbij geeft hij aan dat veel beslissingen in security genomen worden op basis van enthousiaste verhalen van ‘Wij van WC-eend’. Ik onderschrijf zijn mening dat organisatie beslissingen moeten baseren op een goede analyse van de risico’s die ze lopen. Er blijft een geaccepteerd restrisico over, dat niet beveiligd hoeft te worden.

Als je dan als organisatie zover bent dat het risicomanagement goed is ingeregeld komt het er op aan om security management professioneel in te richten. Daar komen visie en leiderschap ten aanzien van de effectiviteit van security, efficiëntie van security en beheersing van de kosten van security weer om de hoek kijken. Staat dat bij u in de organisatie goed op het netvlies van verantwoordelijke directieleden en/of managers?

Denk eens na over de verdeling van kosten voor security. Als security gezien wordt als een IT-gerelateerd onderwerp betalen afdelingen waarschijnlijk naar rato van het aantal IT-diensten dat ze afnemen. 

Daarentegen is het een leuke discussie als afdelingen zouden moeten betalen naar de mate waarin ze risico lopen. HR heeft personeelsdossiers, marketing & sales hebben klantgegevens, R&D heeft intellectuel property, de polisadministratie en zorgafdelingen verwerken veel patiëntgegevens. 

Je kunt natuurlijk ook nivelleren op basis van de omzetten die afdelingen genereren of verwerken. Marketing & sales, productieafdelingen en logistiek kunnen dan zwaarder 'aangeslagen' worden.    

Ik wens Rutte veel succes met de discussies over zorgpremie en koopkrachtplaatjes. Daarnaast zou ik iedere security professional willen aansporen om even over de muren van het eigen werkterrein te kijken. Dring bij directies en midden management aan op een professionele aanpak ten aanzien van security. Geloof vooral alle commerciële blauwe ogen die je de nieuwste vinding komen aanprijzen. Maar blijf bewust van de risico’s die je wilt afdekken.

‘Nee, ik wil geen kraampakket!’.