Beveiliging als businessvraagstuk

Door: Willem Krijgsman

Een hoog dynamische werkomgeving als een ziekenhuis vereist groot aanpassingsvermogen. Denk hierbij aan snel veranderende klantvragen en werkaanbod, snel veranderende samenstelling van teams intern of met ketenpartners, dienstroosters, ploegendiensten, tijdelijke arbeidskrachten, et cetera.  De hele organisatie moet hierop zijn ingericht en dit werkt door tot in de haarvaten van alle organisatiedelen.

Dit aanpassingsvermogen is niet alleen nodig om de klant in primaire zin naar tevredenheid te kunnen bedienen; het stelt ook eisen aan het aanpassingsvermogen van de besturing, zodat tijdig wordt ingegrepen op ongewenste situaties.

In een eerdere blog schreef ik al dat security een traditie heeft gehad in het hanteren van vooral een eenzijdige technische invalshoek. Dit beeld verandert gelukkig in positieve zin, vraagstukken worden op dit terrein steeds meer als business vraagstukken opgevat. Maar onder deze vlag worden security- of beveiligingsvraagstukken (bijvoorbeeld toegangsverlening) nog te vaak gezien als een aspect dat als het ware ‘geplakt’ wordt tegen de voorgestelde werkinrichting. Dit is zeer ten onrechte.

Wisselwerking tussen alle perspectieven is noodzakelijk voor een effectieve inrichting

Fysieke en informationele veiligheid raakt ons allemaal. Het is een resultante van ons menselijk gedrag, training, de aangebrachte voorzieningen, ons vermogen om signalen waar te nemen dat er iets aan de hand is met onze beveiliging, en onze omgang met deze signalen. Keuzes die worden gemaakt op het ene domein hebben direct repercussies op het andere domein. Bijvoorbeeld een superveilige omgeving zal negatieve invloed hebben op de productie-efficiëntie en andersom ook. Die keuzes worden vaak lokaal gemaakt, bijvoorbeeld in het IV-domein, maar zouden eigenlijk de uitkomst moeten zijn van de uitlijning van richtinggevende uitspraken. Hoe waar dit is blijkt onder andere uit de OWASP top-10 die al jaren lang nauwelijks verandert. In GEA-termen spreken we dan over het plonzen van een vraagstuk in de vijver (lees hiervoor de blog “GEA geïllustreerd #2”).

Doelsturing, adaptieve sturing en operationele sturing

Daarnaast blijken veel beveiligingscontrols op operationeel niveau ingericht, deels werken ze met automatische detectie en automatisch ingrijpen, deels handmatig. De operationele sturing gaat gepaard met rapportage aan hogerhand en met een escalatiemogelijkheid. Ook dit is te eenzijdig, de problematiek is te plat geslagen. In besturingsvraagstukken wordt vaak onderscheid gemaakt tussen strategische, tactische, operationele sturing. Onderscheid is veelal niet helder genoemd, maar een vaak genoemd onderscheidend criterium is de werkingstermijn: korte termijn, middellange termijn, lange termijn. Dit doet geen recht aan de aard van de besturingsvraagstukken die daar spelen. In aansluiting op GEA zou het naar mijn mening beter zijn te spreken over doelsturing voor het strategisch niveau, dit gaat immers om het stellen of aanpassen van ambities verwoord in de plaats in de wereld en de doelen. Dit sluit aan op het zingevingsniveau in GEA. Op tactisch niveau gaat het om de inrichting van de organisatie en de voorzieningen (met informatievoorziening als sprekend voorbeeld); immers dit niveau houdt zich bezig met zorgen dat de organisatie in staat is de verwachtingen waar te maken. Dit gaat om aanpassing, dus adaptieve sturing, passend bij het vormgevingsniveau in GEA. Voor de realisatie is in het GEA boek de verbinding met STEP (Strategische en Tactische Enterprise Planning) gelegd. De operationele sturing zit op uitvoeringsniveau.

Permanent zoeken naar evenwicht binnen en tussen vormen van sturing

In een hoog-dynamische omgeving is blijvend aanpassingsvermogen nodig. Besturing inrichten in de vorm van een puntoplossing is hier niet gepast, hier is sprake van een dynamisch evenwicht. Wisselwerking tussen alle besturingsniveaus is semi-permanent aan de orde. Een gezochte nieuwe balans in samenhang, bepaald door de diverse bestuurstafels gezamenlijk. In GEA is dit onderdeel van <recursie, projectie en laterale samenhang – zie ook de blog “GEA geïllustreerd #10”>.

Dit alles is voor mij de werkelijke betekenis van beveiliging behandelen als business vraagstuk.