De 8 eigenschappen van effectief security management

Transcriptie

1 Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van de gebaande paden en onderzoeken waar de organisatie op een efficiënte en effectieve wijze verbeterd kan worden zonder dat de organisatie daar last van ondervindt. De bedrijfsvoering, de primaire en secundaire processen en de aspecten die voor de continuïteit van de organisatie van belang zijn worden daarbij door mij steeds als uitgangspunt genomen. Op strategisch en tactisch niveau zijn mijn adviezen gebaseerd op de groei in volwassenheid van de organisatie. Mijn ervaring op het gebied van change management, risico management en integrale beveiliging binnen organisaties als het Ministerie van Defensie, de ABN AMRO Bank en KPN Telecom aangevuld met mijn universitaire opleiding Bedrijfswetenschappen en HBO opleiding Marketing Management helpen mij daarbij. Waarom Het is mijn doel om organisaties te helpen om continuïteit te waarborgen door (beveiligings)risico s en kansen zichtbaar en begrijpelijk te maken, zodat de impact op omzet, kosten en imago kan worden beheerst. Hoe Ik ben een strategische en tactische business consultant met een specialisatie in operationeel risicobeheer voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Wat Ik zorg ervoor dat organisaties hun doelen bereiken door Good Governance (goed bestuur) en maturity (volwassenheid) te waarborgen voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Dat doe ik door het ontwikkelen en implementeren van beveiligingsbeleid, door het evalueren en aanpassen van dat beleid en door middel van quick scans en audits van het beleid en de getroffen beveiligingsmaatregelen. Copyright Thimo Keizer, Vlaardingen 2017 Voor meer informatie:

2 Stephen R. Covey, voor diegene die het niet weten: één van de bekend(st)e managementgoeroes, kwam in 1989 voor het eerst uit met zijn boek over effectief leiderschap. Covey onderkende hierin zeven eigenschappen van effectief leiderschap. De boodschap van zijn boek is dat effectieve mensen een zevental eigenschappen bezitten die ten grondslag liggen aan hun succes (later voegde hij daar nog een achtste eigenschap aan toe). Iedereen kan deze eigenschappen volgens Covey bij zichzelf ontwikkelen. Hoewel het boek gezien kan worden als een managementboek gaan de principes verder. De principes van Covey zijn net zo goed toepasbaar op je privé leven. Hij zegt zelfs dat blijvend succes alleen langdurig mogelijk wordt als je leeft volgens deze eigenschappen. De eigenschappen van effectief security management Als we verder redeneren dan onze leiderschapsstijl en ons privé leven, dan zijn de eigenschappen ook toepasbaar op een effectief security management voor organisaties. De zeven eigenschappen kunnen hierbij onderverdeeld worden in drie delen: de security manager of zijn afdeling (eigenschap 1, 2 en 3), security management binnen de organisatie (eigenschap 4, 5 en 6) en het continu blijven ontwikkelen en verbeteren van het security management (eigenschap 7) aangevuld met het creëren van een eigen geluid, iets doen dat bij je past (eigenschap 8). Voordat we ingaan op de eigenschappen van effectief security management moeten we eerst de scope van de term security management bepalen. In principe doet het niet ter zake of we het hebben over informatiebeveiliging of juist meer over fysieke beveiliging. De eigenschappen zijn universeel toepasbaar op beide gebieden. De eerste eigenschap: Wees proactief De eerste eigenschap voor effectief security management gaat om een proactieve houding van de security manager of de medewerkers van zijn afdeling. In de praktijk zien we nog te vaak een reactieve houding waardoor er allerlei pleisters geplakt moeten worden om de boel nog enigszins veilig te maken. 2

3 Een proactieve houding betekent dat we het vertrouwen van de organisatie moeten verdienen om in het beginstadium van een nieuwe ontwikkeling betrokken te worden. Dit kunnen we alleen verdienen als we onze adviezen afstemmen op de bedrijfsprocessen van de organisatie en onze adviezen een duidelijke (liefst financiële) meerwaarde hebben voor de organisatie. Volgen we Covey hierin dan onderscheid hij 3 leiderschapsstijlen: 1. Management by fear (angst); 2. Management by utility power (eigen belang); 3. Management by legitimate power (gemeenschappelijk doel). De security management stijl die we in de praktijk nog veel tegenkomen is die van security management by fear. Er wordt benadrukt waarom iets niet kan, waarom iets onveilig is of welke onacceptabele risico s we introduceren. Deze stijl kan op korte termijn wellicht werken maar draagt niet bij aan het vertrouwen dat de organisatie in security management moet stellen. Management by utility power gaat om het eigen belang. In de omschrijving van Covey om het eigen belang van het individu maar in onze beschrijving om het eigen belang van de security manager of de security afdeling. Deze stijl past in het afschuiven van risico s en niet op het nemen van een eigen verantwoordelijkheid. Op korte termijn en direct na incidenten kunnen we misschien een schuldige aanwijzen en onze handen in onschuld wassen, maar voor de lange termijn draagt ook dit niet bij aan het vertrouwen dat de organisatie in security management moet stellen. Laten we vooral niet vergeten dat beveiliging altijd ondersteunend is aan de bedrijfsprocessen, niet andersom. Een betere stijl voor effectief security management is management by legitimate power. Hieronder verstaan we een gezamenlijk doel nastreven, en voor alle duidelijkheid: dat doel is continuïteit van de primaire en secundaire bedrijfsprocessen. Met de primaire bedrijfsprocessen moeten organisaties hun omzet realiseren en dat is al ingewikkeld genoeg, laat staan als er allerlei ingewikkelde, tijdsvertragende en kostbare beveiligingsmaatregelen moeten worden genomen. We willen immers geen beveiligingsmaatregelen adviseren (wat we nog te vaak zien gebeuren) maar we willen onacceptabele risico s afdekken. De risico s moeten passen bij het risicogedrag, maar daarover later meer. De tweede eigenschap: Begin met het einde voor ogen De tweede eigenschap van effectief security management gaat over het doel dat we nastreven. Stel het einddoel op en hou dat einddoel voor ogen voordat je er aan begint. Dat is de enige mogelijkheid om voldoende aan beveiliging te doen, niet te veel maar zeker ook niet te weinig. Organisaties beschikken over een visie, missie en strategie, hoeveel security managers hebben de beveiligingsvisie, -missie en strategie omschreven en afgestemd op dat van de organisatie? Als we in control willen komen op het gebied van security management dan kan dat alleen lukken als we een duidelijke missie formuleren, onze strategie daarop afstemmen en vooraf onze doelstellingen bepalen. Hoe weten we anders dat we voldoende doen aan beveiliging? 3

4 Voordat we beginnen aan het domweg implementeren van allerlei beveiligingsmaatregelen moeten we stil staan bij het nut van deze maatregelen. Vergeet niet dat het implementeren van een beveiligingsmaatregel niet ons doel is en zelfs kan leiden tot andere risico s. De derde eigenschap: Begin bij het begin De derde eigenschap van effectief security management gaat over het beginnen bij het begin. Logisch zou je zeggen. Toch zien we in de praktijk dat er beveiligingsmaatregelen genomen worden zonder dat we het risicoprofiel van de organisatie hebben vastgelegd. Voordat we kunnen adviseren over het juiste niveau van beveiliging moeten we het risicogedrag van de organisatie vaststellen. Risicogedrag kan hierbij voor de gehele organisatie gelden, maar per project, bedrijfsproces, informatiesysteem of gebouw kan ook een aangepast risicogedrag worden bepaald. Bij risicogedrag onderscheiden we de volgende soorten gedragingen: Risico mijdend gedrag; Risico neutraal gedrag; Risico dragend gedrag. Zodra we zicht hebben op het risicogedrag van de organisatie kunnen we beginnen met de inrichting van de security management afdeling. De eerste opdracht die deze afdeling, wat mij betreft, krijgt is de beveiligingsprincipes uitwerken en vastleggen in een beveiligingsstrategie of beveiligingsbeleid. In dit beleid gaan we uit van het risicogedrag van de organisatie, omschrijven we de beveiligingsvisie, -missie, -strategie en de doelen die we nastreven met beveiliging. Daarna gaan we in op de beveiligingsprincipes en de risico s die we af willen dekken. We stellen niet de te nemen beveiligingsmaatregelen centraal, maar juist de risico s die we af willen dekken. Deze risico s dekken we uiteindelijk af met de juiste set van technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen (aangevuld met reactie ook wel alarmopvolging genoemd). Zorg ervoor dat de belangrijkste risico s niet de dupe worden van allerlei urgente, maar onbelangrijke beveiligingsincidenten en maatregelen. Dek de belangrijkste risico s het eerst af. We kunnen, in navolging van Covey, gebruik maken van de volgende matrix: 4

5 Reserveer vooral tijd voor de risico s die belangrijk zijn maar (nog) niet urgent. Uiteraard moeten we belangrijke en urgente risico s het eerst bij de horens pakken (als het gebouw in de brand staat moeten we toch echt eerst gaan blussen voordat we door kunnen met onze business as usual). Afhankelijk van de urgentie zullen we ook tijd moeten reserveren voor de niet belangrijke maar wel urgente risico s. Maar als we continu geconfronteerd worden met dergelijke risico s dan zijn we niet in control. We moeten een belangrijk risico oppakken voordat deze urgent wordt, dan zijn we proactief bezig. De vierde eigenschap: Denk in termen van win-win De vierde eigenschap van effectief security management gaat uit van een win-win situatie. Een win situatie voor de organisatie maar ook een win situatie voor de security manager dus. Wederzijdse afhankelijkheid en echte samenwerking om gezamenlijk de doelen van de organisatie zo goed en kostenefficiënt mogelijk te bereiken. Zoals Covey stelt: concurrentie hoort in de markt thuis, niet binnen de organisatie. De individuele belangen van de managers en de security manager moeten aan de kant worden geschoven, zij moeten het gezamenlijke doel nastreven. Het is erg inefficiënt als er binnen de organisatie een concurrentiestrijd ontstaat en de uiteindelijke risico s zijn nauwelijks te overzien. De vijfde eigenschap: Probeer eerst te begrijpen, dan begrepen te worden De vijfde eigenschap van effectief security management gaat over begrijpen en begrepen worden. Dan hebben we het niet zozeer over vakjargon (ook dat is natuurlijk belangrijk) maar dan hebben we het over het begrijpen van de doelen van de verschillende betrokkenen. Een compromis sluiten op het gebied van beveiliging bestaat niet, we brengen het risico in lijn met het risicogedrag of we doen het niet (en in dat geval betekent het dat het risico formeel geaccepteerd moet worden). Schijnveiligheid, door halve maatregelen, is bedreigend voor de continuïteit van de organisatie en moet worden gemeden. Overigens is een risicolopen dat niet past binnen het risicogedrag van de organisatie niet erg, zolang we dat risico maar inzichtelijk hebben en noodscenario s op de plank hebben liggen voor het geval het fout gaat. Uiteraard laten we dat risico op het juiste niveau binnen de organisatie fiatteren. Actief luisteren en doorvragen betekent dat we achter echte oorzaken proberen te komen. Symptoombestrijding is wellicht succesvol op de korte termijn, maar inefficiënt voor de lange termijn. Dit sluit aan bij de gedachte dat we geen beveiligingsmaatregelen willen implementeren maar dat we risico s af willen dekken. Om die risico s af te dekken implementeren we een integrale set maatregelen. Zodra we, de bedrijfsprocessen, belangen en risico s begrijpen zijn we in staat om begrepen te worden. Gebruik zo min mogelijk vakjargon en verplaats je in de toehoorders. We spreken dezelfde taal en streven dezelfde gezamenlijke doelen na. 5

6 De zesde eigenschap: Wees synergetisch De zesde eigenschap van effectief security management gaat om synergie. We moeten de onderlinge verschillen en belangen die er zijn accepteren en gebruiken om tot betere resultaten te komen. De security manager moet zich richten op die aspecten die hij (direct of indirect) kan beïnvloeden, alle overige aspecten zijn een verspilling van tijd en geld. Synergie betekent dat we risico s af proberen te dekken door die beveiligingsmaatregelen te adviseren die een aantoonbare meerwaarde hebben voor de organisatie. Een meerwaarde die direct financiële gevolgen heeft, heeft natuurlijk de voorkeur. Vraag jezelf eens af of je maatregelen kunt adviseren die meer omzet voor de organisatie genereren of waardoor we meer kosten kunnen besparen. Deze maatregelen hebben een directe aantoonbare meerwaarde. Overigens zijn niet alle risico s en maatregelen direct in klinkende munt inzichtelijk te maken. Belangrijke risico s die moeilijker te kwantificeren zijn, zijn bijvoorbeeld het verlies aan imago (imagoschade), het niet voldoen aan wet- en regelgeving (de kans op boetes) of het verlies van informatie of mensenlevens. De zevende eigenschap: Hou de zaag scherp De zevende eigenschap van effectief security management gaat om periodieke vernieuwing. Dat kan door evaluatie van de bestaande security management structuur in te richten met regelkringen. Het helpt daarbij om ook buiten de eigen organisatie of branche te kijken. Controleer periodiek of het ingerichte security management framework nog effectief en efficiënt is, dekt het nog echt de risico s af die we in het verleden onderkend hebben? Zijn deze risico s eigenlijk nog wel risico s en zijn de genomen maatregelen dan nog in staat om de risico s voldoende af te dekken? Was een slotgracht om een kasteel vroeger nog effectief om een aanvallende riddermacht buiten te houden, nu heeft het in stand houden van zo n slotgracht nog maar weinig meerwaarde. De achtste eigenschap: Van effectief naar groots In 2004 voegde Covey aan zijn eigenschappen nog een achtste eigenschap toe: from effectiveness to greatness. Hij gaat in op het creëren van een eigen geluid, iets doen dat bij je past. Dit zelfde geldt voor een organisatie. Het gaat niet meer alleen om de dingen goed doen, maar juist ook om de goede dingen te doen. Bij effectief security management kunnen we gebruik maken van allerlei best practices, maar vergeet niet dat dit slechts hulpmiddelen zijn. Aan deze best practices moet nog een eigen geluid worden gegeven. Het één op één invoeren van een best practice (zoals de Code voor Informatiebeveiliging) is niet alleen kosteninefficiënt maar kan zelfs contraproductief werken waardoor nieuwe risico s ontstaan. De juiste vertaalslag naar de eigen organisatie en situatie is noodzakelijk om de risico s voldoende aan te laten sluiten bij het risicogedrag van de organisatie. 6

7 Conclusie Geconcludeerd kan worden dat de zeven of eigenlijk acht eigenschappen van effectief leiderschap goed bruikbaar zijn voor een effectief security management. Effectief security management ontstaat wanneer we een proactieve houding aannemen waarbij de organisatie vertrouwen krijgt in het gevoerde security management. Dit vertrouwen krijgen ze als we aantoonbaar maken dat we een gezamenlijk doel nastreven en steeds zoeken naar het afdekken van de risico s die we onderkennen met maatregelen die een meerwaarde voor de doelen van de organisatie hebben. Het gaat er bij effectief security management niet om dat we beveiligingsmaatregelen adviseren maar dat we een meerwaarde leveren aan het afdekken van risico s en dan het liefst op een wijze die direct positieve financiële gevolgen heeft voor de organisatie door het creëren van meer omzet of het bijdragen aan een kostenbesparing. Beveiliging is ondersteunend aan de bedrijfsprocessen van de organisatie. Alles kan en mag, als we de bijbehorende risico s maar beheersen. Begin bij het begin en probeer (de business) eerst te begrijpen voordat je begrepen wilt worden en last but not least geef het security management binnen de organisatie haar eigen geluid. Voor meer informatie verwijs ik graag naar de managementliteratuur van Stephen Covey en andere managementgoeroes. Hergebruik die delen die toepasbaar zijn voor security management en we vinden aansluiting bij het hoger en middenmanagement. 7