Nooit leuk, altijd onaangenaam Nooit leuk, altijd onaangenaam
Toen ik gisteren peinzend vanachter mijn bureau over onze locatie staarde, kwam ik tot een veelzeggend inzicht.Denkend over faalfactoren voor effectief security management, stuitte ik op één van de meest cruciale: de inherente spanning tussen het sturen op het gewenste niveau van beveiliging en de essentie van menselijk gedrag. (Nu zult u denken: 'What else is new collega?!'. Maar sta mij toe …)
Security druist in tegen fundamentele principes van menselijk gedrag. In onze samenleving, in deze tijd, zijn we gewend om vrij te bewegen en vrij te denken. Wij laten ons van nature niet graag beperken en zoeken ook actief naar manieren om opgelegde beperkingen te omzeilen. 'Anticiperend vermogen' noemde een collega dat ooit eens. Securitymaatregelen – als beperkende maatregelen – lokken dit vermogen tot in het diepste uit. Laat mij dit illustreren.
In gevallen waar het gaat om 'harde' maatregelen, die bijvoorbeeld toegang reguleren, geldt tot op grote hoogte het principe van 'slikken of stikken'. Oftewel, als de gebruiker de maatregel niet ondergaat (lees: het gedrag niet aanpast), dan sluit deze zichzelf – vaak letterlijk – buiten. Het is dan ook niet voor niets dat deze maatregelen in de praktijk vaak de meeste weerstand en irritatie oproepen. Het systeem van beveiliging 'wint' het op dergelijke momenten immers van de gebruiker, wat sommige gebruikers een gevoel van machteloosheid bezorgt.
Hoe anders is dit wanneer de beveiligingsmaatregel minder hard is. In die gevallen hangt de effectiviteit samen met de mate waarin de gebruiker zich wil of kán onderwerpen. Maar hieraan gaat doorgaans wel nog een aantal randvoorwaarden vooraf.
Ten eerste moet de gebruiker bekend zijn met het bestaan van de maatregel. Ten tweede moet de gebruiker erkennen dat de maatregel belangrijk is.
Ten derde moet duidelijk zijn wat er van de gebruiker wordt verwacht c.q. hoe de maatregel werkt. Ten vierde moet er sprake zijn van enige mate van toezicht, handhaving en – in het uiterste geval – consequente sanctionering.
Vandaar dat ik de stelling wel aandurf dat maatregelen die minder hard zijn, in de regel vaak (veel) minder effectief zullen zijn. Deze staan tenslotte haaks op het hiervoor geschetste hedendaagse menselijk gedrag. Bovendien zijn minder harde maatregelen vaak erg afhankelijk van de mate waarin de onderworpene het gedrag vrijwillig wenst om te buigen.
Vanuit deze gedachte kom ik tot de conclusie dat de verwachtingen ten aanzien van organisatorische maatregelen te hooggespannen zijn. Dat deze – in principe – veel goedkoper zijn, geloof ik direct. Of deze de vaak gesuggereerde 30 procent risico- en kostenreductie realiseren, betwijfel ik echter ten zeerste.
Dat er op langere termijn veel (indirecte) kosten gemoeid zullen zijn met het realiseren van de vier eerdergenoemde randvoorwaarden, lijkt mij evident.
De meest effectieve maatregelen zijn wat mij betreft maatregelen die het gewenste gedrag effectief afdwingen. En voor hardere – non-organisatorische – maatregelen geldt dat deze effectiviteit in essentie makkelijker kan worden verwezenlijkt. Effectieve security is daarom nooit leuk en altijd onaangenaam.
Colin T. is security manager bij een Nederlandse multinational. Aan de hand van de weerbarstige securitypraktijk van alledag geeft hij maandelijks zijn kijk op veiligheid.