ZBC Kennisbank

SMART doelstellingen vaak bedreiging voor informatiebeveiliging

 

Als doelstellingen vaag of onduidelijk zijn, dan is niet duidelijk wat er gedaan moet worden, kan niet gemeten worden of activiteiten succesvol waren en kunnen mensen niet worden beloond (of gestraft) voor het resultaat van hun acties. Dus moeten doelstellingen SMART geformuleerd worden.

Dat doelstellingen SMART geformuleerd moeten zijn, het is  zo’n typisch uit zijn verband gerukte uitspraak. Toen Martin Luther King in 1963 zijn beroemde toespraak hield: “I have a dream”, was dat allerminst SMART geformuleerd. Toch was die droom decennia lang het doel waarvoor gevochten werd.
Het SMART formuleren van doelstellingen kan best nuttig zijn, maar of het zinvol is, is afhankelijk van de context.

De context van SMART doelstellingen

Een doelstelling is SMART wanneer deze:

  • Specifiek is- de doelstelling is eenduidig;
  • Meetbaar is– de doelstelling is bereikt wanneer voldaan is aan (meetbare/observeerbare) voorwaarden of vorm;
  • Acceptabel is- de doelstelling is acceptabel voor de doelgroep en/of het management;
  • Realistisch is- het doel is haalbaar;
  • Tijdsgebonden is – er is aangegeven wanneer (in de tijd) het doel bereikt moet zijn.

Het begrip SMART kwam in de jaren 90 op onder technici en constructeurs, onder andere bij Philips, om hun managers te bewegen gerichte opdrachten te geven. Daarna werd SMART ook veel gebruikt binnen projecten, om projectactiviteiten doelgerichter te maken. In de context van de uitvoering van werkzaamheden zijn SMART doelstellingen zeker heel zinvol.
Buiten deze context kan echter het SMART formuleren van doelstellingen contraproductief werken. Want in feite geldt:

  • dat doelen niet altijd realiseerbaar of acceptabel hoeven te zijn; het werken aan doelen die nooit behaald zullen worden, is niet per definitie zinloos of anders gezegd, het normatieve karakter van SMART is tevens de grootste valkuil van SMART.
  • dat veel concepten (bijvoorbeeld veiligheid, geluk, leefbaarheid) moeilijk of niet meetbaar zijn; de eis om doelen SMART te formuleren, kan in die gevallen leiden tot fixatie op wél meetbare gegevens waarbij het eigenlijke doel uit het oog wordt verloren.

SMART doelstellingen en informatiebeveiliging

Informatiebeveiliging is ook zo’n terrein waar niet alle doelstellingen SMART gemeten kunnen worden. Op operationeel niveau kan dit uiteraard wel. Het meten en monitoren van allerlei zaken zoals toegang, capaciteit, periodieke beoordelingen enzovoort zijn uitstekend SMART te formuleren. Dit soort activiteiten wordt vaak ondergebracht in een operationele planning.
Als we echter proberen de doelstellingen van informatiebeveiliging zelf SMART te formuleren, dan zit dit er als snel gekunsteld uit. Doel van informatiebeveiliging is ervoor te zorgen dat informatie beschikbaar en integer is en dat het niet in verkeerde handen valt (vertrouwelijkheid).  Als we dit omzetten in SMART doelstellingen, dan krijgen we bijvoorbeeld voor applicatie X:

  • beschikbaarheid: 99,8 %;
  • vertrouwelijkheid: maximaal 1 onbevoegde toegang tot de productie omgeving;
  • integriteit: maximaal 1 melding per maand van een foutieve verwerking.

Deze doelstellingen zijn weliswaar SMART. Maar als je informatiebeveiliging terugbrengt tot deze drie meetbare doelstellingen, dan zal de directie onmiddellijk afhaken. Zij speelt geen enkele rol in het bereiken van deze doelstellingen, behalve dat ze een zak geld beschikbaar moet stellen als de doelstellingen niet gehaald worden. Kortom, de directieverantwoordelijkheid ofwel het leiderschap dat van de directie verwacht wordt, wordt hiermee in één klap om zeep geholpen.
En dat geldt eveneens voor de awareness van medewerkers. Ook voor hen is dit een ‘ver van mijn bed’-show, waaraan ze part noch deel hebben. Natuurlijk kunnen we als SMART-doelstelling toevoegen, dat iedere medewerker minimaal één keer per jaar een awareness training gevolgd moet hebben. Alleen zegt ook die doelstelling niets over de awareness van medewerkers. Het is echter het enige wat SMART gemaakt kan worden als het gaat om awareness.

Geen doelstellingen maar principes of uitgangspunten

Zeker als het gaat om een onderwerp als informatiebeveiliging, is het beter om te denken in principes of uitgangspunten. Die weerspiegelen de normen en waarden van de organisatie. En van managers en medewerkers wordt gevraagd deze te respecteren en zelfs hieraan bij te dragen. Voorbeelden zijn:

Dergelijke principes en uitgangspunten zorgen ervoor, dat directie en medewerkers snappen op welke wijze ook zij kunnen bijdragen aan de verbetering van de informatiebeveiliging en wat er van hen wordt verwacht.
Kortom, SMART doelstellingen zijn nuttig als het gaat om de uitvoering van activiteiten. Maar als je informatiebeveiliging wilt terugbrengen naar alleen een aantal operationele activiteiten, dan zal informatiebeveiliging nooit gaan werken.

ZBC helpt organisaties via coaching of cursussen om hun informatiebeveiliging conform ISO 27001 of NEN 7510 te verbeteren en desgewenst daarvoor gecertificeerd te worden.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur: Wiebe Zijlstra | 3 februari 2017


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *