René Hiemstra, Director Risk Advisory, geeft iedere maand zijn visie op een ander onderwerp op het gebied van risicomanagement bij organisaties. Deze keer vertelt hij over alignment, en de relevantie van dat begrip voor security.
Alignment in security
Wat is alignment?
Het is een veelgehoorde term in de IT, alignment. Bedrijven willen dat de business processen en de informatie processen in lijn zijn, uitgelijnd, en dat is in vrijwel alle organisaties een lastige kwestie. De business ontwikkelt zich - langs bepaalde lijnen inderdaad, en de IT moet dan die lijnen volgen en de business optimaal blijven bedienen. De lastigheid is echter dat die IT zichzelf ook ontwikkelt en meestal langs lijnen die de business niet zonder meer kan bijhouden.
Dat kan twee vormen aannemen: óf innovatieve technologische toepassingen stuwen de organisatie tegenspartelend de disruptie in óf de legacy begint bijna archeologische waarde aan de dag te leggen en grotonderzoekers zijn de enige nog effectieve beheerders. Dan gaat het andersom: de IT biedt kaders die de business misschien doen knellen, maar misschien ook wel stimuleren, leidend tot grotere efficiency of misschien zelfs wel hele nieuwe business opportunities, of juist het tegenovergestelde. En wat is leidend? De business of de IT?
Hoe is dat relevant voor security?
Alignment is in feite een issue voor iedere bedrijfsfunctie en dus ook voor security. Net als bij de relatie tussen IT en business-processen moet ook de security in lijn zijn met wat de business doet, en ontwikkelt security zich net zo. Alignment in corporate security management (CSM) als bedrijfsfunctie heeft ook weer zijn eigen specifieke dynamiek.
Wat is daar dan anders aan?
Bij security gaat het over dreiging, risico en over risicobeperking tot op het persoonlijke individuele medewerkersniveau. Alignment in security gaat over het vermogen van een organisatie om het beperken van securityrisico in de business processen te organiseren. Zeker in traditioneel georganiseerde security is dat bijna een onmogelijke opgave. De afdeling veiligheid is dan de probleemhebber en de probleemhouder: de mopping crew.
En die afdeling vraagt voorzichtig bij operatie of er misschien iets op een andere manier kan worden aangepakt en wordt driftig weggestuurd, want we moeten vandaag ook nog een centje verdienen dus we gaan weer even verder met wat we deden.
Wanneer wordt alignment relevant?
Alignment wordt relevant als een organisatie zich ontwikkelt van traditionele zorg voor veiligheid naar integrale zorg. In het maturity model dat G4S gebruikt bij advisering van organisaties over CSM is dit een van de belangrijkste ontwikkellijnen. Het is de slag die je maakt om de zorg voor veiligheid niet langer te isoleren, maar juist in de volle breedte van een bedrijf te organiseren.
In de operationele sfeer in een organisatie die op een traditionele manier met veiligheid omgaat wordt die slag vaak eerst als hinderlijk ervaren. Er komt een verantwoordelijkheid bij, die je afhoudt van het zorgen voor efficiency in de operatie - wat toch je belangrijkste zorg was toch? De zorg voor veiligheid die traditioneel in de staf is gepositioneerd, dringt zich op in de lijn en eist daar een plek op. Lijnmanagement, dat zeker in grote moderne organisaties gewend is aan ontzorging vanuit de staf, zit daar niet op te wachten.
Hoe pak je dit aan?
De wal keert het schip, zegt men wel, maar geen kapitein die dat een goede koers vindt. Als de urgentie voor die slag wordt gevoed door een recent incident, en zo gaat het vaak, ben je op een heel negatieve manier bezig met veiligheid. En dat is nou net ook hoe die traditionele manier van het organiseren van veiligheid vaak wordt ingestoken: als je dit niet doet, dan gebeurt er iets verschrikkelijks. Enkele handvatten voor een proactieve aanpak:
1. Analyseer je risico's en trek je conclusies. Risicobeheersing en risicobeperking kun je organisatiebreed alleen reëel managen als je in kunt grijpen in de volle breedte van alle processen in een organisatie. Met die blik kom je snel tot de slotsom dat de afdeling veiligheid met het reguliere instrumentarium maar weinig effectieve impact heeft op de organisatie in totaal en alleen in staat is een beperkte set risico's werkelijk te beheersen.
2. Analyseer hoe je de organisatie van veiligheid zou moeten positioneren om het management van risico effectiever te krijgen, aan de hand van de impact van risico op het totaal van de organisatie.
3. En fiks het dan ook echt. Zorg ervoor dat in het strategisch management de portefeuille security een plek heeft en dat het op de agenda staat. Dit gaat vooral over doen. Regel dit. Het wordt er veiliger van.
Zorgen voor veiligheid is iets goeds; beschermen van de mensen en alles wat je belangrijk vindt, is iets positiefs. Het gaat over zorgen voor waarde en het creëren van waarde. En ja, ook aandeelhouderswaarde.
Hoe zal dit zich in de toekomst ontwikkelen?
Nou ja, dat zien we nu vooral in de IT-industrie hoe dat gaat. Alignment van de IT en security gaat er steeds meer hand in hand; security - en dan vooral gegevensbescherming en compliancy - geven steeds meer de kaders voor wat er kan. De business van de IT-industrie, maar ook die van de financiële dienstverleners trouwens, laat zien dat in de toekomst die integrale security-benadering de enige manier is om voorwaarts te kunnen blijven bewegen en de complexe geavanceerde dreigingen het hoofd te kunnen bieden.