Ja, er zijn taboes in de wereld van beleidsregels. Zaken die je niet mag zeggen. Bedrijven die beleidsregels stellen die niet houdbaar zijn maar die op de basis van 'zo hoort het' toch gesteld worden. Niet verstandig want wat kan dat betekenen? Duur, gemiste kansen en omgekeerde effecten.
Gelijk maar een paar uitdagende uitspraken:
– Je wachtwoord mag je niet opschrijven. ONZIN!
– Je mag niemand laten mee liften bij de achterdeur. ONZIN!
– Je laptop moet je onderweg altijd bij je houden. ONZIN!
Daarmee heb ik hopelijk bij je de interesse gewekt om verder te lezen. Terecht, want dit zijn meestal echt onzinnige beleidsregels. Sterker nog, deze beleidsregels zorgen over het algemeen voor een verhoogd risico en verminderen jouw kansen als organisatie, het omgekeerde van wat je eigenlijk wilt bereiken.
Met dat 'willen bereiken' wil ik beginnen. Wat wil je bereiken als organisatie en is dat hetzelfde als jouw doelstelling met dit beleid? Is de doelstelling het voldoen aan een checklist van de volgende audit? Als dat jouw enige belang is, dan is het tijd voor een goed gesprek, tijd om inzicht te krijgen waar het écht om gaat.
Even een vergelijking. Als je een sprinter bent en de eis is dat je alle spikes van jouw schoenen één minuut voor de aanvang van de wedstrijd controleert, dan kan je dat zien als het onbegrijpelijk moeten voldoen aan een onzinnige regel en het enige doel voor de extra controle is het naleven van de regel. Ik beweer echter dat het een extra kans is. Jij, maar ook jouw concurrent moeten voldoen aan dezelfde regels. Dat betekent dat als je het slimmer doet, je al een voorsprong op jouw concurrent hebt voordat je gestart bent. De beleidsregels moet je dan ook niet zomaar implementeren, daar moet je over nadenken met de organisatiedoelstellingen in het hoofd en ze dan laten werken in jouw voordeel.
Als ik een beleidsregel introduceer, bijvoorbeeld 'op reis hou je altijd je laptop bij je', dan gaat dat om veiligheid van informatie. Die informatie moet, doordat je voldoet aan de regel, veiliger zijn; beschikbaar, integer en confidentieel. Dat klinkt logisch. Totdat je zelf écht op reis gaat, een aanrader voor de beleidsmakers, een zakenreisje langs wat steden. Jouw laptop mee naar het dinner? Jouw laptop mee de fitnesruimte in? Sauna? Zwembad? De bar? Om nog maar niet te spreken over het bezoek aan een spionagegevoelige organisatie, waar je jouw laptop niet mee naar binnen mag nemen? Een onzinnige regel, beste beleidsmakers. En als een regel niet na te leven is, dan moeten we die niet stellen, daar moeten we intelligenter mee omgaan.
Een ander voorbeeld. De beleidsregel dat een wachtwoord nooit genoteerd mag worden. Ook zo een onzinnig idee. Als ik twintig tot vijftig accounts met wachtwoorden gebruik (de norm vandaag de dag) en die wachtwoorden volgens een andere beleidsregel niet gelijk mogen zijn, niet eenvoudig te herleiden zijn, uit de gekste karakters moet bestaan, elke zes weken totaal anders moeten zijn…, dan kan je van een gemiddeld mens niet verwachten deze wachtwoorden uit het hoofd te kennen. Ook een onzinnige regel dus. Niet na te leven, dus dan ook niet stellen! Slimmer oplossen.
Geen gelegenheid tot meeliften geven bij de achterdeur? Kan je van de jongste bediende verwachten dat zij de hele directie vraagt zich te legitimeren alvorens deze met haar mee mogen lopen? Of zal ze de deur voor hun neus dicht gooien? De tourniquetjes (ook niet ideaal) zijn niet voor niets uitgevonden. Dit is geen houdbare beleidsregel en daarmee ook onzinnig!
Mijn punt is hier dat beleidsregels gewogen moeten worden, open en zonder taboe. Alles mag ter discussie gesteld worden. Ondersteunen ze mijn bedrijfsdoelstellingen? Zo niet, dan is dit een alarmbel, tijd om het beleid tegen het licht te houden. Zijn ze realistisch na te leven? Zo niet, stop er mee! We gaan op zoek naar alternatieven die wel na te leven zijn. Wat kosten ze, wat brengen ze op? Dat moet in een goede verhouding zijn. Roepen dat het niet goed is, ja lekker makkelijk. Maar heb ik dan ook antwoorden?
Ja, ik heb antwoorden. Die antwoorden zijn bedrijfsregels op maat. Vooral niet een policydocument van het internet halen. Ja, dat gebeurt vaker dan de directie denkt, wow, mooi en zo snel! Maar ga eens echt meten hoe effectief en duur ze zijn. Een organisatie, werknemers, klanten, cultuur, gebouw, alles is uniek. Daarom moet je serieus nadenken over beleidsregels. Dat hoeft niet lang, maar wel goed. En juist doordat je er over nadenkt, kan je ze ook in jouw voordeel laten werken!
Goed artikel, je lijkt bijna een filosoof..
De regel dat een wachtwoord heel vaak veranderen moet, is zowieso slecht. Het leidt tot het kiezen van steeds simpelere wachtwoorden die nog net aan de complexiteitsregels voldoen.
U stipt een goed punt aan. Beleidsmakers denken soms niet pragmatisch na. Waarschijnlijk ligt het gebrek aan praktijkervaring hieraan ten grondslag.
Immers, op papier zag het allemaal er wel zo leuk uit.