Naar een High Reliability Organization: zes maatregelen

Vorige week beschreven we 6 principes van een High Reliability Organization. Als voorbeeld keken we naar het Amerikaanse leger, en dan specifiek naar de U.S. Cyber Command, de eenheid die cyberaanvallen pareert. Maar hoe word je nou een HRO? Begin met deze 6 maatregelen.

De zes principes van een HRO zijn: integriteit, kennisdiepte, procedurele naleving, krachtige back-up, een bevragende houding en formaliteit in de communicatie. Dit zijn voorwaarden om überhaupt een HRO te kunnen zijn.

Twee factoren
Bij het ontwerpen van je HRO-aanpak en het bijbehorende tijdsschema zijn twee factoren van belang.

Allereerst het soort business en de mate waarin die kwetsbaar is voor aanvallen. Met name financiële dienstverlening, productie, nutsbedrijven en grote retailbedrijven lopen risico’s.

De tweede factor is de aard van de workforce. Een creatieve workforce van overwegend millennials die het gewend is om vanuit huis te werken met tools voor online samenwerking, stelt je voor andere uitdagingen dan verkoop- of marketingmensen die gewend zijn aan gestructureerde contexten met veel regels.

Om een HRO te worden, dienen organisatie de volgende 6 maatregelen te nemen.

Neem de teugels in handen

CEO’s weten op zich heus wel dat het belangrijk is om hun ratjetoe van netwerksystemen samen te voegen. Maar in veel organisaties gaat het niet snel genoeg – ook omdat het vaak een dure grap is. Ze moeten niet alleen deze inspanningen versnellen maar ook hun hele leiderschapsteam bundelen – technisch management, lijnmanagement en human resources – om mensen, principes en IT-systemen te laten samenwerken. Het is essentieel om steeds opnieuw het belang van beveiligingskwesties te benadrukken.

Neem geen genoegen met sussende woorden van CIO’s die beweren dat ze al high-reliability praktijken hebben ingevoerd en alleen maar meer beveiligingsbudget of beveiligingstools nodig hebben.

Maak iedereen verantwoordelijk

Het doel is dat netwerkbeveiliging dezelfde dagelijkse prioriteit voor de troepen heeft als het schoon en operationeel houden van hun wapens. In het Amerikaanse leger moet elk lid van een bewapend krijgsmachtsonderdeel de basisregels van netwerkhygiëne kennen en naleven. Inclusief de regels die zijn bedoeld om te voorkomen dat gebruikers (a) mogelijk geinfecteerde hardware binnenhalen, (b) niet-geautoriseerde software downloaden, (c) naar een website gaan die netwerken in gevaar zou kunnen brengen of (d) ten prooi vallen aan phishingmails. Wie een regel overtreedt, vooral als het een kwestie van integriteit is, wordt gedisciplineerd.

Stel uniforme normen in plus centraal gemanagede training en certificering

Het U.S. Cyber Command heeft normen ontwikkeld om ervoor te zorgen dat iedereen die een militair netwerk beheert of gebruikt daartoe gecertificeerd is, aan specifieke criteria voldoet en geregeld herhaaltraining krijgt.

Koppel formaliteit aan krachtige back-up

In 2014 creëerde het Amerikaanse leger een concept waarin de commando- en controlestructuur op cybergebied zeer gedetailleerd werd uitgespeld. Inclusief specificatie van wie wat onder zijn hoede heeft en op welke niveaus beveiligingsconfiguraties worden gemanaged.

Dit heldere raamwerk van rapportage en verantwoordelijkheden wordt ondersteund door een extra voorzorgsmaatregel: als er beveiligingsupdates in kernonderdelen van het netwerk van het ministerie van defensie worden uitgevoerd, of als systeembeheerders toegang zoeken tot gebieden waar gevoelige informatie is opgeslagen, geldt er een tweepersonenregel. Twee mensen moeten hun ogen op de taak gericht hebben en het erover eens zijn dat de taak correct wordt uitgevoerd. Er is geen enkele reden dat bedrijven dit niet zouden kunnen kopiëren.

Check je verdediging

In juni vorig jaar kondigden het U.S. Cyber Command en het ministerie van defensie verreikende operationele toetsingen aan voor zowel netwerkbeheerders als netwerkgebruikers. Het leger is ook rigoureuze normen aan het instellen voor cyberbeveiligingsinspecties en coördineert de teams die de inspecties uitvoeren strak.

Ook dit lichtende voorbeeld verdient navolging van bedrijven. Weliswaar voeren veel bedrijven beveiligingsaudits uit, maar daarin richten ze zich vaak te veel op de kwetsbaarheid van netwerken voor externe aanvallen en te weinig op het gedrag van hun medewerkers.

Elimineer angst voor eerlijkheid en vergroot de consequenties van oneerlijkheid

Leiders moeten onbedoelde, incidentele fouten behandelen als kansen om de processen te corrigeren die het mogelijk maakten dat die fouten in the first place plaatsvonden. Creëer dus een klimaat waarin mensen eerlijk durven zijn.

Maar: wie normen en procedures opzettelijk schendt, mag geen tweede kans krijgen. Edward Snowden lukte het om toegang te krijgen tot geheime informatie door een andere burgermedewerker ertoe over te halen om zijn wachtwoord in Snowdens werkstation in te voeren. Het was een grote schending van het protocol, waarvoor de betreffende medewerker terecht werd ontslagen.

Bron: Harvard Business Review, september 2015

Lees ook: 6 principes van een High Reliability Organization:

https://www.sigmaonline.nl/2016/03/6-principes-high-reliability-organization/

De systeemleer in auditing

Hoe kan Lean helpen bij een crisis?

Groencertificaten zorgen voor aantoonbaar duurzame warmte

Audits op afstand?

Gevolgen van coronacrisis voor accreditatie

Boom Management Podcast: Managementmodellen en meer met Patrick Kooij

Nieuwe podcastserie over het versnellen van de circulaire economie

Mis nooit meer de nieuwste inzichten met de gratis nieuwsbrief van Boom Management!