Vertrouwen als security instrument
In de Middeleeuwen hebben we in Europa helemaal geen vooruitgang geboekt, geen innovatie zouden we nu zeggen.
Dat gebeurde pas toen we in steden gingen wonen, samen. Zoiets als die kastelen is nu natuurlijk ondenkbaar, we zijn een open samenleving geworden, we werken allemaal in open en veranderlijke ecosystemen. En toch...
Natuurlijk moet je de buitenwereld wantrouwen, er komen reële en serieuze gevaren van buiten. En dus moet je buiten wantrouwen, met (veelal geautomatiseerde) maatregelen en procedures. We maken weer kastelen van onze ondernemingen. Maar ondernemingen zijn natuurlijk geen kastelen, dat zijn veel meer steden, met allemaal mensen met contacten binnen en buiten de onderneming. Als je daar vanuit de kastelenvisie naar kijkt, dan zeg je: “De zwakste schakel is de mens. En dus moeten we die ook/juist wantrouwen.”
Maar is dat wel zo? Er zijn toch twee opties? De eerste denkt vanuit wantrouwen: we leggen de medewerker allemaal bindende regels op, we beperken zijn bewegingsruimte met ‘risico mitigerende’ maatregelen. Eigenlijk plaats je de medewerker dan buiten het kasteel, buiten de onderneming. Dat kan toch niet de bedoeling zijn? De tweede optie denkt anders, daar maakt de medewerker deel uit van ‘ons’, van de onderneming: we laten de medewerker meedenken, we vertellen haar alles wat ze moet weten, opdat ze zelf kan bepalen waar ze wel en niet moet wantrouwen. Opdat ze beter dan de regels kan doorzien wat er gebeurt. En opdat ze ook gewoon haar werk kan doen, minder bekneld door al die mitigatie.
Maar dan moet je haar vertrouwen!! En daar houden we niet van, wij van Security, wij van Compliance en wij van Risk Management. En zo komen we op een (voor sommigen?) ongemakkelijke waarheid. Als we haar wantrouwen, is de medewerker een gevaar, en ook nog een gevaar binnen de muren. Als we haar vertrouwen, als we haar betrouwbaar maken, is de medewerker juist een sterke schakel, een serieus deel van de verdediging. Dan moeten we haar wel alles vertellen, dan moeten we haar in staat stellen om mee te denken en om situaties op hun merites te beoordelen.
Natuurlijk kunnen we nog steeds een paar vangnetacties organiseren, die de medewerkers niet beperken in hun werk. Medewerkers van Security, Compliance en Risk denken te veel op basis van wantrouwen. Ze onderschatten de waarde van vertrouwen en doen daarmee de onderneming tekort. En dat gaat allemaal ten koste van de wendbaarheid van de onderneming. Eigenlijk zijn de enige medewerkers die je een beetje moet wantrouwen, die van Security, Compliance en Risk Management. Want als die te veel denken in wantrouwen, zijn ze een serieus securitygevaar voor de onderneming.
Deze column verscheen eerder in ICT/Magazine.