Vaak denken organisaties dat ze hun grootste dreiging hebben geïdentificeerd. Maar volgens Erwin Muller, hoogleraar Veiligheid en Recht aan de Universiteit Leiden, lopen ze vaak het risico hun échte kwetsbaarheden te missen. ‘Kijk naar de ziel van je organisatie – waarden, normen en doelen – en pas dáár je toezicht op aan.’
Door Peter Passenier / Beeld: Shutterstock
Stel, je bent als securityadviseur op bezoek bij een groot juridisch adviesbureau. En tijdens het gesprek blijkt dat je contactpersoon zich zorgen maakt over het gevaar van cybercriminaliteit. Dan kun je daar natuurlijk in meegaan, maar… is dat inderdaad het grootste risico waarmee de organisatie te maken kan krijgen?
Erwin Muller is niet op voorhand overtuigd. ‘Stel dat het gaat om een grote dienstverlener met notarissen en advocaten, dan komt er een veel groter risico naar boven: ondermijning. Want hoe weet de directie zeker dat al die professionals niet zouden worden omgekocht? Als dat gebeurt, raakt het niet alleen je digitale systemen, maar de integriteit van je hele organisatie. Daar zou je dus toezicht op moeten houden.’
Wetten hebben alleen nut als ze worden nageleefd
Toezicht is essentieel
Toezicht. Het woord staat in Mullers carrière centraal. Hij is niet alleen hoogleraar Veiligheid en Recht aan de Universiteit Leiden, maar ook redacteur van het boek Toezicht: beschouwingen over inspecties en autoriteiten. Niet toevallig, want dat toezicht is volgens hem essentieel. ‘In een rechtsstaat wil je de bevoegdheden van iedereen – van overheid en burgers – vastleggen, en dat doe je in wetten. Maar die wetten hebben alleen nut als ze worden nageleefd, als er sprake is van deugdelijk toezicht dat ook weer is verankerd in een wettelijk kader. Dat principe onderscheidt willekeur van rechtvaardige handhaving. Dat geldt op macroniveau voor de staat, maar ook op de werkvloer.’
Maar hoeveel toezicht kun je op die werkvloer toestaan? Moet dat altijd met poortjes en camera’s? Het is een vraag die Muller regelmatig stelt, want hij is ook vicerector van de Universiteit Leiden. ‘Dat is natuurlijk een grote semi-publieke instelling, en die heeft de maatschappelijke plicht om open te zijn. Aan de andere kant hebben we wel te maken met toenemende maatschappelijke dreigingen. Dus zouden sommigen ervoor kunnen pleiten om het toezicht te verscherpen.’
Analytisch kijken naar risico’s
Hoe deze discussie ook afloopt, Muller geeft alvast een advies: schiet niet in een reflex na een incident. ‘Dat vind ik heel gevaarlijk. Een organisatie heeft een agressieve cliënt op bezoek gehad en besluit gelijk om de hele zaak dicht te gooien. Daarmee verliest ze vaak het contact met de omgeving, en bovendien bereidt ze zich voor op het incident dat al een keer heeft plaatsgevonden. Terwijl securitymanagers hun raden van bestuur echt zouden moeten stimuleren om naar risico’s te kijken op een meer analytische manier: wat is de kans dat een incident zich voordoet? En wat is het effect? Als je dat op je netvlies hebt, kun je daar heel gericht regels voor opstellen.’
> LEES OOK: Symposium Crisisbeheersing ‘Bent u voorbereid op het ondenkbare?’ op 26 november
Stapsgewijze aanpak met sanctieladder
Maar stel dat werknemers zich niet aan die regels houden? In dat geval is Muller voorstander van een stapsgewijze aanpak: de sanctieladder. ‘Laten we aannemen dat jij een keer klikt op een link in een phishingmail. Dan stuur ik jou waarschijnlijk een online training toe, die precies vertelt hoe je dit soort mails kunt herkennen. Maar stel, dat helpt niet, en bij de volgende phishingmail ga je weer in de fout. Dan wordt het tijd voor een sanctie, bijvoorbeeld een boete. En bij een derde keer wordt die sanctie wat heftiger. Ik vind dat rechtvaardig, maar veel organisaties hebben hier moeite mee. Sterker nog, ze vinden het al ingewikkeld om iemand ergens op aan te spreken. Dus hebben securitymanagers echt de steun van hun bestuurders nodig om te zorgen dat ze gedekt worden.’
Goede communicatie
Sanctieladders zijn volgens hem toepasbaar op allerlei gedrag, van drugsgebruik tot veiligheidsprotocollen. Maar ze moeten volgens Muller wel samengaan met goede communicatie. ‘In mijn tijd als vicevoorzitter bij de Onderzoeksraad voor Veiligheid kwam ik bij veel grote chemische bedrijven over de vloer. Maar voordat je die vloer bereikte, moest je echt letterlijk examen doen. Je kreeg een video van tien minuten tot een half uur en daar moest je vragen over beantwoorden. Dat is even irritant natuurlijk, maar als de sirene afging, wist ik wel precies waar ik heen moest. Organisaties doen dit helaas relatief weinig.’
> LEES OOK: ‘Het is pas echt crisis als je reputatie wordt geschaad’
De context bepalend voor veiligheidsprotocollen
Maar, waarschuwt Muller, allesbepalend daarbij is de context. ‘Die veiligheidsprotocollen zijn veel belangrijker in een groot chemisch complex dan hier bij mij op kantoor, dus is het logisch dat je de regels en het toezicht daarop aanpast. Dus zou ik hier misschien kunnen bepalen dat je in dat specifieke laboratorium een helm moet dragen, maar als ik die verplichting ook zou opleggen aan de beeldschermwerkers om me heen, word ik natuurlijk uitgelachen. Als medewerkers vinden dat de regels niet passen bij de cultuur, of als ze overdreven of onzinnig zijn, zullen ze niet werken. Dan kun je sanctieladders opstellen tot je een ons weegt, maar je krijgt de mensen niet in beweging.’
Top 3 van risico’s maken
Daarmee zijn we terug bij het voorbeeld waar we mee begonnen: het adviesbureau dat zich te veel concentreerde op cybersecurity. ‘Niet ieder risico kan worden uitgesloten’, meent Muller. ‘Dus je moet een top drie of een top vijf maken. En nee, baseer je dan niet op de standaard risico-indeling, maar kijk naar de ziel van je eigen organisatie: de waarden, de normen en de doelen. Wat is hier echt belangrijk? Ik vraag altijd aan de raad van bestuur of het managementteam: waar lig jij nou wakker van? Is dat cyberuitval, een stroomstoring, een terroristische aanslag of toch die criminelen die jouw personeel omkopen? En vervolgens houden we die scenario’s kritisch tegen het licht. Soms gebeurt het dan dat ze de risico’s verkeerd hebben ingeschat, dat ze eigenlijk van iets anders wakker moeten liggen. Maar daar gaan we dan wel iets aan doen.’
Vergeet checklists, maar blijf nadenken
Mullers laatste advies: blijf zelf nadenken. ‘Vergeet alsjeblieft die vreselijke checklists. Je ziet vaak organisaties die die lijsten gewoon afvinken, zonder verder na te denken wat het betekent voor hun eigen organisatie. Hebben we een crisisplan? Check. Hebben we bewegwijzering? Check. Maar de vraag is niet of die bewegwijzering er is. De vraag is: wat staat erop? Weten mensen ervan? Wordt er ook mee geoefend?
Vertrouw op het eigen gezonde verstand en de professionaliteit van securitymanagers
Los daarvan: je kunt wel proberen om alle risico’s in zo’n checklist onder te brengen, maar dat kan niet. Er zijn er gewoon te veel. Daarom moet je steeds vertrouwen op het eigen gezonde verstand en de professionaliteit van securitymanagers. Pas dan krijg je efficiënt en effectief toezicht – en toezicht dat ook wordt geaccepteerd.’
Volg Security Management op LinkedIn
