Deze week vroeg mijn zoon; “Papa, mag ik alleen naar de winkel om iets van Lego te kopen?”. Hij is acht jaar en we wonen in een dorpje op 200 meter van de winkelstraat. Ik zag in zijn ogen dat hij me eigenlijk vroeg om hem te vertrouwen en dat hij dit als belangrijke stap zag voor zichzelf.
Met de afspraak dat hij goed zou uitkijken bij het oversteken - hij zou twee straten over moeten steken - en gelijk terug zou komen, zei ik hem dat het goed was. We hebben samen een paar euro van zijn zakgeld geteld en vol verantwoordelijkheidsgevoel en trots ging hij op pad.
Als beveiligingsverantwoordelijke wordt je er niet zelden van beschuldigd je eigen collega’s niet te vertrouwen. Hoezo mag niet iedereen bij die informatie of in die bepaalde ruimte komen? Je vertrouwt je eigen collega’s toch wel?
Voor ik het weet hoor ik mezelf vervolgens zeggen dat een bepaalde mate van wantrouwen goed is. Dat je tegenwoordig eigenlijk niemand meer kan vertrouwen. Een stelling waar ik vervolgens behoorlijk mee worstel. Vertrouwen is immers iets positiefs, de basis voor een relatie en een voorwaarde voor ontwikkeling. Zonder vertrouwen geen samenwerking. En ja, ik geloof best dat mijn collega’s geen kwaad in de zin hebben. Maar hoe zit het dan met al die onderzoeken die aantonen dat zo’n 70 procent van alle beveiligingsincidenten veroorzaakt wordt door eigen medewerkers?
Het punt met vertrouwen is dat er afspraken nodig zijn om het te laten werken. Kaders waarbinnen vertrouwen kan bestaan. Vertrouwen heeft met afspraken te maken, dat die nagekomen worden. Zonder deze kaders en afspraken ben je overgeleverd aan de normen en waarden van elk individu. En die kunnen nogal uiteen lopen. Zo vindt de een het heel normaal om een pak kopieerpapier van de zaak mee naar huis te nemen en ziet de ander het als ‘diefstal’ als hij een kwartiertje later op het werk is. Dit zijn verschillen in normbeleving.
Als we deze verschillen uitvergroten, kom je al snel bij opmerkingen als ‘’ik kan bij deze gegevens, dus mag ik er ook in kijken” of ”dan hadden ze er maar voor moeten zorgen dat ik hier niet kan komen”. Dergelijke verschillen in normen en waarden maken vertrouwen dus een relatief begrip. Als het gaat om beveiligingsmaatregelen, waaronder selectieve toegangsbeperking, is de issue dan ook niet zo zeer vertrouwen - of niet vertrouwen.
Vertrouwen bestaat bij de gratie van kaders. Kennis van wat wel en wat niet de bedoeling is. Zonder deze kennis is het een oneerlijke verantwoordelijkheid die de betreffende persoon heeft. Het gaat dus om het creëren van ruimte waarbinnen vertrouwen kan worden gegeven. En ja, die ruimte kan voor bepaalde groepen groter zijn dan voor anderen, afhankelijk van de rol en/of functie van de betreffende personen. Niet omdat je hen niet vertrouwt, maar omdat de kaders voor dat vertrouwen anders zijn.
Bovendien kunnen beveiligingsmaatregelen vele andere functies hebben. Zo kunnen ze ook direct ten dienste staan van de individuele medewerker. Met de beperkende maatregelen wordt bijvoorbeeld ook de verleiding voor medewerkers beperkt om, bewust of onbewust, de overstap te maken van de bewuste dertig procent naar de kritische zeventig procent. Met het loggen van activiteiten, bijvoorbeeld de toegang tot bepaalde ruimten of informatie, kan de medewerker immers ook worden gevrijwaard van eventuele betrokkenheid bij inbreuk op het beveiligingsbeleid. Er kan worden aangetoond dat hem of haar geen blaam treft.
Als we kunnen constateren dat vertrouwen terecht is gegeven binnen de gestelde kaders, bijvoorbeeld via monitoring, dan kan dat vertrouwen ook verder worden uitgebouwd. Iets waar anders geen bodem voor is. Vertrouwen is dus zeker iets moois dat gekoesterd moet worden. Het kan echter niet floreren of toenemen als er geen afspraken omheen bestaan.
Zodra mijn zoon op pad was gegaan ben ik, buiten zijn zicht om, achter hem aangegaan. Niet omdat ik hem niet vertrouwde, maar omdat ik wilde dat dat vertrouwen nog verder zou kunnen gaan. Ik zag van een afstandje hoe hij bij de oversteken netjes om zich heen keek en wachtte tot het veilig was. Toen hij thuis kwam was hij weer een stukje gegroeid. We waren allebei trots.
Gerard Stroeve is als Manager Security & Continuity Services verantwoordelijk voor de diensten die Centric levert op het gebied van informatiebeveiliging en continuïteitsmanagement. Vanuit zijn rol als management adviseur heeft hij veel organisaties geholpen bij het opstellen van beleid, het analyseren van bedrijfsrisico’s en het opstellen van beveiligings- en continuïteitsplannen. Ook begeleidt hij organisaties bij de certificering voor de ISO 27001- norm.
