Veiligheidsbewustzijn is iets van ons allemaal. Mede daarom hebben we zoiets als de internationale cybersecuritymaand nu in oktober. En vraagt de Nederlandse overheid terecht aandacht voor het belang van onze individuele verantwoordelijkheid in de huidige Alert Online campagne. Maar hoe zit het met de verantwoordelijkheid voor digitale veiligheid en vooral de bescherming daarvan binnen jouw bedrijf? Als we het erover eens zijn dat veiligheidsbewustzijn iets is van ons allemaal, dan is het de vraag waar de functionele verantwoordelijkheid moet liggen. Vandaag de dag ligt die veelal bij de CISO, CIO of andere verantwoordelijke voor IT. Ik pleit ervoor, om die verantwoordelijkheid te verschuiven naar de HR-directie. Daarmee onderstreep je het grote belang voor digitale bescherming van iedere medewerker en het hele bedrijf. In veel organisaties is ons dagelijks functioneren immers voor een groot deel afhankelijk van onze digitale hulpmiddelen.
Wanneer je als nieuwe medewerker bij een bedrijf start, krijg je vaak een introductieprogramma voorgeschoteld. Je leert van alles over de organisatie waar je bent gaan werken. Producten, diensten, organisatiestructuur en -cultuur. En je mag ook meteen je laptop, keycard, inlogcodes en alle andere spullen ophalen. Alles wat je nodig hebt om voortvarend van start te gaan. Er is zelfs al bepaald welke informatie voor jou toegankelijk is. De ontwikkeling en het beheer van zo’n opstartprogramma ligt veelal bij de afdeling Personeelszaken. Hoe logisch is het dan om een veiligheidsbewustzijn-programma op te nemen in deze bedrijfsintroductie?
“Een gebrek in de cybersecurity kan uw bedrijfsvoering in de war gooien en reputatieschade veroorzaken. Een schending van de zorgplichten op het gebied van cybersecurity kan daarnaast tot aansprakelijkheid leiden.” Dat is wat onze Nederlandse Cyber Security Raad meldt. “De vervulling van deze plichten is uiteindelijk de verantwoordelijkheid van het bestuur of bij kleinere bedrijven de directeur”, zo concludeert ons Nederlandse veiligheidsinstituut. Uiteraard hebben ze daar gelijk in. Echter, in de dagelijkse praktijk kunnen we natuurlijk niet alle verantwoordelijkheden bij de hoogste baas neerleggen. Dus die cybersecurity-taken worden nu gedelegeerd naar de ICT-afdelingen. Zo moet de CISO of zijn of haar aanverwante collega’s ervoor zorgen, dat de IT-huishouding technisch en functioneel zo veilig mogelijk is. Maar zolang uit elk onderzoek weer blijkt, dat 80% van de veiligheidsincidenten nog altijd wordt veroorzaakt door mensen, zou het goed zijn om de verantwoordelijkheid voor veiligheidsbewustzijn bij de HR-afdeling te leggen.
Onze Cyber Security Raad verwacht dat elk bedrijf beleidsregels en protocollen opstelt en erop toeziet, dat die nageleefd worden. Hoe makkelijk is het om deze spelregels onderdeel te laten zijn van het personeelsbeleid?
Elke bedrijfsdiscipline draagt bij
Ik zie al wat wenkbrauwen fronsen bij menig HR-professional. Dat begrijp ik ook. Want technologie staat doorgaans ver weg van de personeelsafdeling. Maar de meeste HR-professionals weten inmiddels ook dat een goede digitale uitrusting voor veel werknemers een cruciale bijdrage levert aan medewerkerstevredenheid. Dat geldt meer en meer voor de millenials onder ons. Zij gaan ervan uit, dat ze de beschikking krijgen tot de meest geavanceerde apparatuur, applicaties en andere digitale (samenwerkings-)diensten om hun werk goed te doen. Dan is het ook hun taak om daar zo goed en veilig mogelijk mee om te gaan.
We zeiden het al; veiligheidsbewustzijn is van ons allemaal en daar moet elke bedrijfsdiscipline van doordrongen zijn. Of het nu de ICT-afdeling, Legal of de nieuwe Privacy Officer is. Dus ook samenwerking is van groot belang. Maar uiteindelijk is het zaak dat helder is wie ownership neemt van die verantwoordelijkheid. Een digitaal getransformeerde organisatie die zijn verantwoordelijkheid neemt, legt het veiligheidsbewustzijn wat mij betreft daarom bij HR.