Het opzetten en inzetten van ambassadeurs in een organisatie verbindt verschillende disciplines zoals security en de dagelijkse operatie in de businessonderdelen.
Hoe kunnen ambassadeurs zorgen voor een betere samenwerking tussen security en de business?
Herkent u het klassieke voorbeeld dat projectleiders om 5 voor 12 bij de securityafdeling aankloppen met de vraag of ze nog even snel kunnen meekijken of de dienst die ze volgende week willen uitrollen ook veilig is? Dit klassieke voorbeeld is de reden voor de noodzaak om de securityafdeling en de businessonderdelen in de organisatie (zoals de werkvloer) dichter bij elkaar te brengen. In dit artikel zullen we met een oplossing komen die ingezet kan worden om de kloof te overbruggen.
Veel organisaties binnen en buiten het veiligheidsdomein ondernemen momenteel maatregelen om zichzelf weerbaarder te maken op het gebied van security. Risico’s en dreigingen vanuit zowel fysieke als digitale hoek liggen hieraan ten grondslag. Nog te vaak worden er onveilige producten of diensten op de markt gebracht omdat de snelheid ervan belangrijker was dan de veiligheid. Helaas wordt security vaak gezien als een vertragende factor die veel werk met zich meebrengt. Hierdoor ontstaat een kloof tussen de business (met de business bedoelen we de dagelijkse operatie in de businessonderdelen, departementen of afdelingen) en security. Iets wat niet gewenst is aangezien een intensieve samenwerking tussen de business en security namelijk een uitgangspunt is voor een veilige organisatie.
Om de afstand met de securityafdeling en de business te overbruggen en de relatie te versterken, zien we organisaties nieuwe werkvormen en maatregelen inzetten. Denk bijvoorbeeld aan het inzetten van business information security officers die in dienst van het specifieke businessonderdeel kunnen adviseren over security-risico’s en mogelijkheden. Of denk bijvoorbeeld aan heldere afspraken of doelstellingen die de verantwoordelijkheid beleggen in de businessonderdelen of managementsupport ondersteunen.
Wij denken dat het opzetten van een ambassadeursnetwerk binnen de organisatie behoort tot het middelenpalet om verbinding in de organisatie te versterken. Goed intern stakeholdermanagement met nauwe samenwerkingsverbanden en goed begrip van de business is de sleutel voor een juiste afstemming om gezamenlijk een stap verder te komen. Voor de business is het namelijk essentieel om te weten waar deze risico’s zich in de organisatie bevinden en wat de impact hiervan zal zijn. Om tot een dergelijk netwerk te komen, worden de volgende stappen geadviseerd:
Om te beginnen is het van belang de risico’s van de organisatie in kaart te brengen, hierdoor kunnen de risicovolle processen worden onderscheiden. Bedenk op voorhand welke gebeurtenissen negatief effect hebben op de organisatie of de productie: wat kan er misgaan, hoe groot is die kans en wat is het effect? Wanneer de risico’s in kaart zijn gebracht, is het belangrijk een vertaalslag te maken naar de business, wat is de impact van de risico’s op de business?
Nadat de risico’s en de bijbehorende impact op de business in kaart zijn gebracht, is het belangrijk dat het management hiervan bewust is. Om de impact van de securityrisico’s op de business te mitigeren zullen security en de business nauw samen moeten werken. Deze samenwerking is een belangrijk uitgangspunt om op een veilige manier te werken. Risico’s bevinden zich in de invloedssfeer en (mede) verantwoordelijkheid van de business, om deze reden is het van belang dat security en de business goed samenwerken. Managementsupport om deze samenwerking te faciliteren is essentieel.
Om draagvlak voor de implementatie van de securitymaatregelen te creëren, is het belangrijk om op zoek te gaan naar enthousiastelingen binnen de organisatie die affiniteit hebben met security. Het zijn juist deze medewerkers die het verschil kunnen maken. Zij kennen de businessomgeving goed en kunnen andere collega’s meenemen. Hierdoor dragen zij bij aan een olievlekwerking. De diversiteit aan organisatieonderdelen maakt dat verschillende behoeften binnen de afdelingen bestaan. Security kan niet alleen inzicht hebben in welke thema’s en behoeftes er leven binnen deze afdelingen. Om deze reden is het van belang om als security actief de business te benaderen voor het werven van een ambassadeursnetwerk.
Wanneer er een representatieve groep ambassadeurs uit de organisatie is ontstaan, kan er gezamenlijk bepaald worden wat de groep voor elkaar kan betekenen. Hier kan een voorstel voorgelegd worden hoe de individuele ambassadeurs hun rol gaan vervullen. Hierbij is het belangrijk dat de rol van de ambassadeurs duidelijk gedefinieerd wordt. Tot waar gaan de rollen en verantwoordelijkheden? Hoe maak je de enthousiastelingen eigenaar van hun ambassadeurschap? Een mooi vertrekpunt hierin is om een centrale kick-off te organiseren met alle ambassadeurs.
Voorbeeld – rol van de ambassadeurs
- Elke ambassadeur is een aanspreekpunt en vooruitgeschoven post naar de achterliggende bedrijfsonderdelen. Zij hebben de kennis van recente ontwikkelingen vanuit de business en weten goed wat er speelt, ze zijn de ‘oren en ogen’ op de werkvloer.
- Zij kunnen collega’s helpen op het gebied van security en geven het goede voorbeeld.
- Zij helpen security met de uitrol van verschillende taken gericht op hun afdeling.
Het is de taak van security om de ambassadeurs kennis bij te brengen door middel van trainingen. Security kan hier een actieve rol in aannemen door bijvoorbeeld een curriculum aan de ambassadeurs aan te bieden op het gebied van diverse security-thema’s Naast het trainen kan het helpen om een toolkit te ontwikkelen voor de ambassadeurs met security-content die voor hen gemakkelijk te gebruiken is in de organisatie.
Vervolgens kan met de juiste groep, met voldoende kennis, de volgende stap worden gezet om de business te activeren en het goede voorbeeld te geven. De ambassadeurs kunnen de business enthousiast maken om actie te ondernemen op diverse thema’s. In dit stadium is het belangrijk dat de ambassadeurs de specifieke behoeften van de business identificeren, om zo vervolgens security te voorzien van input en advies. Op deze manier kunnen de ambassadeurs het vertrouwen versterken tussen security en de business. Gedurende dit proces is het van belang dat er een continue coaching vanuit security plaatsvindt.
Wanneer er een netwerk van ambassadeurs is ontstaan, is het van belang het netwerk te onderhouden. ‘What is in it for them’? Zorg ervoor dat je je ambassadeurs behoudt door een voorrechtpositie te creëren, door ze bijvoorbeeld te belonen als ze iets hebben bereikt of door ze trainings- en opleidingsmogelijkheden aan te bieden in het vakgebied. Ambassadeurs zijn veelal de medewerkers in een organisatie die interesse hebben voor het thema security, dit moet gestimuleerd worden door nieuwe kennisontwikkeling te continueren. Daarnaast is het belangrijk dat het netwerk geleerde lessen ook delen met elkaar (wat werkt wel en wat werkt niet in de business). Hier kan het netwerk nog sterker van worden.
Afsluitend, security ambassadeurs zijn dé ogen en oren in de organisatie die vanuit een business bril naar securityvraagstukken kijken. Zij zijn een belangrijke ‘temperatuurmeter’ in de organisatie. Zij weten wat er speelt in de business, welke behoeftes er zijn en waar de belangen schuren, uiteenlopen of bijeenkomen. Zij hebben bijvoorbeeld belangrijke input in het spanningsveld van securitybeleid en de praktijk. Het onderhouden van een security ambassadeursnetwerk kost de nodige inspanning. Ondersteuning in kennis, tools, beloning, waardering en zichtbare resultaten zijn minimale voorwaarden voor een succesvol netwerk.
Kortom, de kloof tussen de business en security is overbrugbaar door het inzetten van security-ambassadeurs. Sta als organisatie open voor kritische meedenkers en bouw een ambassadeursnetwerk om uw securityafdeling heen. Zo bouwt u aan vertrouwen en versterkt u de relaties binnen uw organisatie. Dit vertrouwen is een randvoorwaarde voor het borgen van security in de organisatiecultuur en dagelijkse werkzaamheden.