Vandaag nodig ik jullie uit om me te volgen in een discussie met onze ciso. Ik weet niet hoe dat in jullie bedrijf gaat, maar in het onze is de beveiliging opgebouwd rond twee pijlers. Fysieke beveiliging en digitale veiligheid. De informatiebeveiliging hangt af van de cio, aan wie de ciso rapporteert, en de fysieke beveiliging hangt af van de coo. We hebben momenteel geen cso (chief security officer) die de verantwoordelijkheid volledig op zich neemt, maar we hebben wel een veiligheidscommissie, die je een soort ‘virtuele cso’ kan noemen. In dit comité zetelen de human resourcesverantwoordelijke, de verantwoordelijke voor fysieke beveiliging, de verantwoordelijke voor digitale beveiliging, de verantwoordelijke van de juridische afdeling en de cio. Het ‘security comittee’ staat in voor het bepalen van de strategie, de prioriteiten op basis van de risicoanalyse en ziet erop toe dat de initiatieven op het vlak van veiligheid worden gecoördineerd tussen de teams van de verschillende afdelingen. Het heeft de taak om de nieuwe ‘beleidsbepalingen’ te laten valideren die een rechtstreekse impact hebben op de werkprocedures en die bedoeld zijn om het gedrag van de medewerkers te omkaderen in bepaalde situaties binnen hun beroepsleven.

Hoewel we beseffen dat er nog heel wat werk aan de winkel is, ben ik samen met onze ciso best trots op de implementatie van dit comité, want de it-afdeling speelde een bepalende rol bij deze invoering. Ik weet niet of dat in jullie organisatie ook zo is, maar ik moet toegeven dat de sensibilisering van de gebruikersafdelingen voor het probleem van de digitale veiligheid een heuse uitdaging is die flink wat doorzettingsvermogen vereist. Ze zien er maar moeilijk de onmiddellijke voordelen van in. Het lijkt misschien op een allegaartje van eisen die de kosten van de operaties en de projecten alleen maar opdrijven. Dit comité is onze tool om te communiceren naar de gebruikersgemeenschap. Het helpt ons om de prioriteiten en eventuele wijzigingen aan de werkprocedures te aanvaarden en een kritische blik te werpen op onze initiatieven om ons te vrijwaren tegen eventuele inbreuken op de bescherming van de privacy. Vandaar dat we de steun vragen van onze juridische verantwoordelijke en onze collega-verantwoordelijke voor human resources.

Ziezo, nu jullie onze werkcontext begrepen hebben, wil ik terugkeren naar de discussie van de dag, die trouwens vrij vaak terugkomt en gaat over het tempo van de voortgang van de diverse initiatieven ter verbetering van de veiligheid. Ik moet zeggen dat onze ciso altijd heel duidelijke ideeën heeft over hoe hij zijn verantwoordelijkheid kan ontlopen. Ik herinner me nog de eerste keer dat hij me zijn ‘to do list’ heeft voorgelegd en erbij zei: dit is mijn plan voor dit jaar’. Toen ik dat voor de eerste keer bekeek, dacht ik bij mezelf: gelukkig hoeven we niet van nul te beginnen en hebben we al een zekere mate van volwassenheid ter zake bereikt, maar aan de andere kant kunnen we wel spreken van een serieuze portie optimisme. En dat allemaal in het eerste jaar!

En we hebben ondervonden dat de ambities niet allemaal verwezenlijkt werden volgens de aangekondigde planning. Nemen we bijvoorbeeld de invoering van een systeem voor de classificatie, verwerking en verspreiding van de gegevens en documenten. Op papier klinkt dat blijkbaar allemaal gemakkelijk. We bepalen een rooster voor de classificatie van de documenten/gegevens en we brengen de documenten en bestanden erin in kaart. Wel, dat is een titanenwerk als je alle documenten die in de loop der jaren werden opgestapeld wilt aanpakken, niet alleen op gecentraliseerde en goed gecontroleerde dragers, maar ook op lokale en minder goed gecontroleerde dragers. En natuurlijk ontstaat juist in dit soort situatie een klassiek debat in verband met de prioriteit en de middelen die afdelingen van gebruikers geven om in orde te zijn met de nieuwe regels en beleidsbepalingen. Moeten we pleiten voor een nultolerantieaanpak met als risico allerlei mogelijke gevolgen voor bepaalde businessactiviteiten, of moeten we aanvaarden dat we bepaalde risico’s blijven lopen om een geleidelijke aanvaarding van nieuwe procedures en beleidsbepalingen te bevorderen? Moeten we snel onze veiligheidsdoelstellingen willen bereiken, met als gevaar dat we daardoor een aantal onverwachte randeffecten teweegbrengen? Jullie zullen antwoorden dat dit afhangt van de vaste risico’s en jullie hebben gelijk. Toch moeten we toegeven dat risicobeoordeling soms een moeilijke oefening kan zijn of dat de ciso de gebruikers vaak moet uitdagen.

Of we nu moeten beslissen aan welk tempo we de ‘beleidsbepalingen inzake veiligheid opleggen’ of de risico’s beoordelen; uiteindelijk belandt dit soort dilemma vaak op de vergadertafel, waar de ciso en de cio hun wekelijkse meeting houden. En het wil al wel eens voor een adrenalinestoot zorgen… Ik moet echter wel toegeven dat we in dit terugkerend debat tot nu toe meestal de voorkeur hebben gegeven aan een ‘softere’ benadering, ten koste van de planning voor de uitvoering van de projecten van de ciso. Volgens mij is dat een goede manier om de motivatie van onze gebruikers te blijven aanwakkeren en zo langzaam maar zeker dichter bij onze doelstellingen te komen.

ELKE GELIJKENIS MET BESTAANDE WERKOMSTANDIGHEDEN IS LOUTER TOEVALLIG.