Column Erik de Vries Terwijl ik dit schrijf kom ik net terug van een game drive tijdens een safari in Zuid Afrika. Nog onder de indruk van de communicatie tussen olifanten en de intimiderende beveiliging door een olifantenmoeder voor haar kalf. En met bewondering voor de kundigheid van onze gids die voortdurend bezig was gedragingen van dieren in te schatten om op die manier over onze veiligheid te waken. Nu gaat deze column niet over olifanten, maar er is een treffende gelijkenis met security.
Focus op echte risico's
Ook in beveiliging moet het gaan om het inschatten van gedrag en weten hoe te reageren. In mijn praktijk zie ik daar echter schokkend weinig van. Teveel wordt er vertrouwd op techniek of de aanwezigheid van beveiligers. Opmerkingen als ' er hangen hier toch camera's' worden gezien als afdoende antwoord op beveiligingsrisico's. We hebben het geregeld, we geven er een hoop geld aan uit, dus wat wil je nog meer? Maar de echte risico's en het inspelen op dreigende signalen komt nauwelijks aan de orde.
Balans ambitie en risico
Ik help organisaties structureel na te denken over wat men nu eigenlijk wil of moet beveiligen (ik noem dat de ambitie). En dat het zinvoller is tijd en geld te besteden aan cultuur, beïnvloeding van gedrag en een slimme aanpak dan aan steeds meer maatregelen. Dat is ook nog eens goedkoper.
Ik zeg niet dat alle beveiligingsmaatregelen overboord moeten. Zeker niet! Maar wat vaak ontbreekt is de verbinding tussen de strategie van een organisatie (security ambitie), de sturing door security professionals, de uitvoering op de werkvloer en een slimme interactie tussen organisatie, techniek en mensen. En het ontbreekt vaak aan gezond verstand om over echte risico's na te denken. Heel weinig zie ik organisaties – net als mijn gids – bezig met security signalen.
Scenario-denken
De door mij bewonderde gids kon feilloos signalen interpreteren om gedrag te voorspellen en wist wat de juiste reactie was. En hij eiste naleving van afspraken. Als metafoor naar beveiliging hebben we het dan over het actief bezig zijn kennis en inlichtingen te verzamelen om security op die plaatsen, mensen of processen te richten waar het op dat moment echt nodig is. Tegelijkertijd moet het duidelijk zijn welk scenario wordt gevolgd om te kunnen opschalen. Kortom, doe minder maar denk na over scenario's voor als het er echt op aankomt.
Durven kiezen
Te vaak kiezen organisaties de gemakkelijkste – maar vaak de duurste – weg om security op alles tegelijk te richten. Denk daar eens aan als u op een luchthaven door de security controle moet. Iedereen snapt ook wel dat 99 procent van de passagiers de controle zinloos ondergaat. Maar de alternatieven zijn lastiger uit te leggen. Daarom iedereen er maar aan onderwerpen, dan ben je ingedekt. Bij veel organisaties is het niet anders. We zijn zo risicomijdend geworden dat het om moed (en goed advies) vraagt om te durven kiezen iets niet te doen.
Security professional als gids
Ik zie het als de rol van security professionals innovatieve (organisatorische) maatregelen te vinden, en niet steeds meer maatregelen te stapelen. Gebaseerd op het bedrijfsproces en de ambitie. Natuurlijk vanuit een gedegen opleiding, kennis en ervaring. En een stevig security netwerk.
De security professional moet als gids optreden voor de organisatie. Geen risico-fobie als het niet nodig is, maar escaleren door signalen te herkennen. Net als bij olifanten. Want een olifant is vooral bedreigend als hij in 'must' is. En trouwens, een olifant past toch niet in een security tourniquet.
Erik de Vries CPP is directeur/eigenaar van DutchRisk bv. Hij adviseert organisaties over de organisatorische aanpak van security en crisismanagement en geeft regelmatig workshops over security strategie.