Fysiek Beveiligingsbeheer: vanuit de wet een noodzakelijke transformatie

Tot op heden was er weinig wetgeving waarin aandacht was voor fysieke beveiliging en het lukt nog niet altijd om de risico’s centraal te stellen en het op de juiste manier onder de aandacht van het hoger management te krijgen. Er wordt bijvoorbeeld gedacht dat het installeren van een inbraakdetectie- en/of camerasysteem wel voldoende is, dat het toch allemaal niet zo ingewikkeld kan zijn en/of dat een incident ons niet zal overkomen. Gezien de ontwikkelingen in wetgeving moet daar verandering in komen, willen organisaties compliant zijn.

Onderweg naar fysiek beveiligingsbeheer

Een goede mate van beveiliging is complex en houdt meer in dan het nemen van een aantal maatregelen. Het gaat, of zou moeten gaan, over het beheersbaar maken van beveiligings-risico’s. En dat op een zo doelmatig en doeltreffend mogelijke manier. Door de juiste combinatie van op elkaar afgestemde maatregelen die op hun beurt afgestemd zijn op de risico’s: licht waar het kan, zwaar(der) waar het moet. Aangevuld met een organisatie die in voldoende mate is voorbereid op incidenten die zich toch voordoen. Zonder te veel geld uit te geven aan maatregelen die niet nodig of te zwaar zijn en zonder te veel risico’s te lopen omdat maatregelen over het hoofd zijn gezien of niet werken zoals ze bedoeld zijn.

Daar is een vorm van fysiek beveiligingsbeheer (physical security management) voor nodig, op basis van een gestructureerde aanpak. Dat kan niet alleen incidenten voorkomen maar zorgt er ook voor dat er niet onnodig geld uitgegeven wordt en maakt het daarnaast mogelijk om over het onderwerp te rapporteren zodat het hoger management er meer begrip bij krijgt.

Een beperkte focus op losstaande maatregelen schiet tekort. Zeker in een tijdperk waarin vanuit wetgeving meer eisen aan risicomanagement gesteld worden en dreigingen complexer en veelomvattender zijn dan ooit tevoren. Om organisaties écht weerbaar te maken, is een fundamentele verschuiving nodig: van ad-hoc maatregelen nemen en reactieve incidentbestrijding naar proactief beveiligingsbeheer.

Het knelpunt

Uitzonderingen daargelaten is er binnen organisatie nog niet altijd sprake van zo’n vorm van fysiek beveiligingsbeheer. Risicoanalyses voor alle assets (locaties) zijn niet uitgevoerd of niet compleet, beveiligingsplannen voor assets ontbreken of zijn verouderd, incidenten die zich hebben voorgedaan worden niet grondig geanalyseerd of er worden nauwelijks lessen uitgetrokken. Laat staan verbeteringen doorgevoerd. Er wordt niet gerapporteerd over de status van beveiliging waardoor het bestuur er onvoldoende zicht op heeft en, soms onterecht, denkt dat het op orde is.

Door deze cirkel in stand te houden, krijgt het onderwerp niet de aandacht die het verdient. Dat kan en moet, vanuit de wet, anders.

Nieuwe wetgeving een gewijzigde realiteit voor fysieke beveiliging

Recente ontwikkelingen in wet- en regelgeving, waaronder de Verklaring Omtrent Risicobeheersing (VOR), de Wet weerbaarheid kritieke entiteiten (Wwke), de Cyber-beveiligingswet (CbW) en de Digital Operational Resilience Act (DORA), onderstrepen meer en meer de noodzaak van een benadering van beveiliging waarbij de risico’s centraal staan.

Deze wetten dwingen organisaties om fysieke beveiliging expliciet mee te nemen in hun organisatie brede manier van risicomanagement. Op basis van deze wetten moeten organisaties ook aantoonbaar (gaan) maken dat ze de risico’s in voldoende mate beheersbaar hebben gemaakt of op zijn minst stappen zetten om dat op termijn voor elkaar te krijgen. Wat geldt voor risico’s in het algemeen, geldt ook voor fysieke beveiligingsrisico’s in het bijzonder.

  • Verklaring Omtrent Risicobeheersing (VOR): De VOR vereist dat beursgenoteerde bedrijven rapporteren over de effectiviteit van hun interne risicomanagement- en controlesystemen, inclusief risico’s die verband houden met fysieke beveiliging. De VOR dwingt organisaties onder andere om fysieke beveiligingsrisico’s, als subset van de operationele risico’s, te identificeren, te beheersen en hierover verantwoording af te leggen in het jaarverslag.
  • Wet weerbaarheid kritieke entiteiten (Wwke) als Nederlandse vertaling van de Critical Entities Resilience Directive (CER): De Wwke is gericht op het verhogen van de weerbaarheid van vitale infrastructuren en kritieke entiteiten waaronder tegen fysieke dreigingen. Organisaties die onder de Wwke vallen hebben een zorgplicht en meldplicht. Dat betekent onder meer dat ze verplicht zijn om risicoanalyses uit te voeren en maatregelen te treffen om hun fysieke beveiliging te waarborgen. Ook moeten zij incidenten registreren, analyseren en (afhankelijk van het incident) rapporteren aan de bevoegde autoriteiten.
  • Cyberbeveiligingswet (Cbw) als Nederlandse vertaling van de Network and Information Security Directive (NIS2): Hoewel de Cbw primair gericht is op cyberbeveiliging, heeft deze ook implicaties voor fysieke beveiliging. Ook hier gelden de zorgplicht en meldplicht. De Cbw vereist dat organisaties, op basis van risicobeoordelingen, passende beveiligingsmaatregelen nemen om hun digitale systemen te beschermen. Fysieke beveiliging is hierbij essentieel om te voorkomen dat kwaadwillenden fysiek toegang krijgen tot de systemen en data.
  • Digital Operational Resilience Act (DORA, of in het Nederlands de verordening operationele digitale weerbaarheid): DORA stelt eisen aan de operationele weerbaarheid van bedrijven in de financiële sector, inclusief ICT-dienstverleners. Waaronder eisen ten aanzien van de ICT-risicobeheersing, het melden van ICT-incidenten, het testen van de weerbaarheid en het beheer van ICT-risico’s bij uitbesteding aan derden. De focus ligt op het versterken van de weerbaarheid tegen ICT-risico’s, zoals tegen cyberaanvallen. Omdat dreigingen vaak een hybride karakter hebben, waarbij bijvoorbeeld fysieke toegang gebruikt kan worden voor digitale aanvallen of vice versa, moet er ook gekeken worden naar de fysieke beveiligingsrisico’s.

De implicaties voor fysieke beveiliging

Deze wetten hebben significante implicaties voor de fysieke beveiliging van organisaties. Ze vereisen een meer systematische en risicogebaseerde aanpak, waarbij niet alleen gekeken wordt naar de beveiligingsmaatregelen maar juist ook naar de risico’s en de mate waarin de maatregelen daarop afgestemd zijn.

Om aantoonbaar aan de wetten te voldoen moeten organisaties, ten aanzien van fysieke beveiliging, daarvoor minimaal:

  • Alle locaties in beeld hebben, inclusief de mate waarin ze daarvan afhankelijk zijn aan de hand van Te Beschermen Belangen waaronder de bedrijfsprocessen en de ondersteunende middelen (personen, informatie, materieel, attractieve zaken en overige bedrijfsmiddelen).
  • Alle realistische risico’s voor die locaties in beeld hebben. Bijvoorbeeld door het uitvoeren van risicoanalyses op basis van een dreigingsprofiel waarin naast de dreigingen ook de dadertypen, motieven en aanvalsmiddelen zijn opgenomen inclusief criteria om de kans en impact te bepalen.
  • Voor alle locaties waar ze verantwoordelijk voor zijn over actuele beveiligingsplannen beschikken waarin staat wat er aan beveiligingsmaatregelen nodig is op basis van de risico’s die onderkend zijn.
  • Inzicht hebben in de verschillen tussen de maatregelen die nodig zijn en de maatregelen die in de praktijk al genomen zijn zodat de verbeteringen inzichtelijk worden.
  • Weten of de maatregelen beheerd worden, werken zoals ze bedoeld zijn (inspecties, audits) en storingen tijdig opgelost worden.
  • Incidenten die zich voordoen melden, registreren, analyseren, erover rapporteren en er lessen uit trekken om verbeteringen door te kunnen voeren om, vergelijkbare, incidenten in de toekomst mogelijk wel te kunnen voorkomen.
  • De gegevens meten (prestatie-indicatoren) en in een zodanige vorm beschikbaar hebben dat erover gerapporteerd kan worden (dashboards) zodat aantoonbaar gemaakt kan worden wat er gedaan wordt om de risico’s beheersbaar te maken.

Een overzichtelijke aanvliegroute

Spreekwoordelijk is Rome niet in één dag gebouwd en moet je een olifant in kleine stukjes eten. Vergelijkbaar bouw je fysiek beveiligingsbeheer ook niet op één dag of in één keer. Afhankelijk van de stappen die de organisatie al gezet heeft en hoe volwassen de organisatie op het gebied van fysieke beveiliging is, is er een middellange of lange termijnstrategie nodig om fysiek beveiligingsbeheer op een effectieve en efficiënte manier in te richten, de risico’s onder controle te krijgen en aan de wetten te voldoen.

Kijk je echter naar de eerdergenoemde wetten, dan is die tijd er niet (meer) en moeten er op korte termijn stappen gezet worden. Zoals Confucius (500 v Chr) al zei: Het beste moment om een boom te planten is 10 jaar gelden. Het op één na beste moment is nu. Dat wil niet zeggen dat je de stip op de horizon niet moet zetten en er de tijd voor moet nemen om daarnaar toe te groeien. Het betekent echter ook dat er eigenlijk geen tijd meer te verliezen is om de eerste resultaten te laten zien.

Er zijn complete raamwerken om fysiek beveiligingsbeheer onder controle te krijgen (zie verderop en ik vertel je daar graag meer over) maar als we snel stappen moeten zetten dan kun je vandaag nog beginnen met de volgende overzichtelijke aanvliegroute:

  1. Breng al je locaties in kaart en voer voor iedere locatie een risicoanalyse uit;
  2. Stel de beveiligingsplannen op door daarin de maatregelen op te nemen die moeten, bepaal wat al gerealiseerd is en maak inzichtelijk waar nog verbeteringen nodig zijn;
  3. Meet de prestatie-indicatoren. Begin klein, bijvoorbeeld: voor iedere locatie is een risicoanalyse aanwezig, voor iedere locatie is een beveiligingsplan opgesteld en voor iedere locatie zijn de verbeteringen inzichtelijk;
  4. Verzamel de gegevens en presenteer ze door middel van dashboards;
  5. Verrijk die dashboards met informatie over incidenten die zich hebben voorgedaan;
  6. Zorg dat er, periodiek, over het geheel gerapporteerd wordt aan het hoger management en geef daarbij aan waar de organisatie staat ten opzichte van de lange termijnstrategie.

Visualiseren we deze stappen, dan ziet dat er als volgt uit:

Als organisaties met deze stappen beginnen, zijn ze al aardig op weg om meer zicht op de fysieke beveiliging te krijgen en ontstaat een kwaliteitscirkel (Deming/PDCA) waarmee de risico’s steeds beter onder controle komen. Het levert ook informatie op die met het hoger management gedeeld kan worden zodat er meer begrip ontstaat en men weet waar we mee bezig zijn. Is de basis gelegd? Dan kan daarna doorgebouwd worden en meer en meer gericht worden op de steeds meer gestructureerde manier van fysiek beveiligingsbeheer op de lange termijn.

Daarbij wordt dan bijvoorbeeld ook de volwassenheid gemeten, het beleid opgesteld, de beveiligingsorganisatie daarop afgestemd, de beveiligingsprocessen ingericht, de leveranciers erbij betrokken en worden controles en audits uitgevoerd om het geheel steeds verder te verbeteren. Daarvoor kan bijvoorbeeld onderstaand raamwerk gebruikt worden.

Hulp nodig?

Met de genoemde 6 stappen kan de organisatie al snel beginnen en zichtbaar voortgang boeken. Maar ik kan me ook voorstellen dat je er wel wat hulp bij kunt gebruiken.

Heb je het gevoel dat de risicobeoordelingen en beveiligingsplannen niet up-to-date zijn? Wij bieden de oplossing. Met Beveiligingsplan as a Service (BaaS) haal je een betrouwbare dienst in huis die je het werk uit handen neemt. Voor een vast bedrag per locatie per maand voeren wij de risicobeoordelingen uit, stellen we de beveiligingsplannen op en zorgen dat alles up-to-date blijft. Aan de hand van de prestatie-indicatoren meten we hoe de organisatie ervoor staat en we zorgen ervoor dat er dashboards beschikbaar zijn waarmee je aan het hoger management kunt rapporten. Als je wil, voeren we ook de inspecties, verschillenanalyses of beveiligingsaudits uit en monitoren we de verbeteringen voor je.

Wil je meer weten over de 6 genoemde stappen, over de dienst waarmee we je kunnen ondersteunen of over het complete raamwerk voor fysiek beveiligingsbeheer? Stuur me een bericht of klik hier: https://www.risicoregisseurs.nl/baas-beveiligingsplan-as-a-service/>

Download Fysiek beveiligingsbeheer: vanuit de wet een noodzakelijke transformatie

High security? Eerst de basis maar eens op orde

Om me heen hoor ik nog wel eens verhalen hoe “high secure” de locaties van een organisatie beveiligd zijn. Op de één of andere manier lijkt het “stoer” om zwaarbeveiligd te moeten zijn. Maar zwaar beveiligen is zo eenvoudig nog niet en kost veel inspanning, tijd, doorzettingsvermogen en heel veel geld. De keten is immers zo zwak als de zwakste schakel.

Zwaar beveiligen is eigenlijk ook alleen nodig als de dreigingen daar aanleiding toe geven. Je moet het wellicht overwegen als je de organisatie wil beschermen tegen dreigingen als explosies of bomaanslagen, infiltratie en spionage, overvallen, sabotage en/of schietpartijen. En dat zijn complexe en soms hybride dreigingen die worden uitgevoerd door dadertypen als de georganiseerde criminaliteit, terroristische organisaties of statelijke actoren. Daartegen beveiligen is zo eenvoudig nog niet (en hoeft ook niet in alle gevallen want soms kan het ook wel een tandje minder).

Tel vooral je zegeningen als je niet zwaarbeveiligd hoeft te zijn. Want kijk je hoe de vlag er op het gebied van fysieke beveiliging in de praktijk echt bij hangt? Dan (b)lijkt het vaak toch allemaal tegen te vallen. De maatregelen zijn er (misschien) wel maar werken (op zichzelf of in samenhang) toch niet zo goed als gedacht. Helaas kom je daar soms pas achter nadat een incident zich voor heeft gedaan. Omdat er geen inspecties of audits zijn uitgevoerd naar de werking van de maatregelen en/of omdat er geen gedegen risicoanalyses zijn uitgevoerd of beveiligingsplannen zijn opgesteld. Simpel gezegd: Het schort nog wel eens aan het basis beveiligingsniveau van organisaties.

Voordat organisaties “high security” na gaan streven, doen ze er wat mij betreft verstandig aan eerst eens goed te kijken naar de manier waarop ze nu beveiligd zijn. Welke risico’s er zijn, welke maatregelen zijn er (nodig), hoe goed werken de maatregelen en wat kan er verbeterd worden. Eerst de basis op orde en het zogenaamde “low hanging fruit” maar eens plukken voordat er veel, heel veel, geld geïnvesteerd wordt in allerlei dure, ingewikkelde en soms onnodige beveiligingsmaatregelen.

Met dit in gedachte, geef ik hierna 25 voorbeelden die ik in de praktijk geregeld tegenkom. Het zijn zaken die verbeterd moeten worden om eerst de basis op orde te brengen. Ik ben vooral ook benieuwd naar de voorbeelden die jij tegenkomt.

  1. De sleuteladministratie is niet op orde waardoor er onbekend is wie welke sleutel heeft en dus wie toegang heeft tot het gebouw of delen van dat gebouw en toegangsrechten zijn gestapeld waardoor iemand die er al lang werkt meer en meer rechten heeft en in ruimtes kan komen waar hij of zij niets te zoeken heeft.
  2. Er zijn wel (veel) maatregelen maar er is niet duidelijk of ze werken zoals ze bedoeld zijn omdat er geen inspecties of audits uitgevoerd worden naar de werking van de maatregelen.
  3. Er wordt gebruik gemaakt van (en soms blind vertrouwt) op de adviezen van beveiligings-leveranciers die ook de spullen (mogen) leveren waardoor de risico’s niet centraal staan en er soms te veel of de verkeerde maatregelen worden getroffen die eigenlijk niet nodig zijn maar die wel veel geld kosten.
  4. De partij die de storingen aan beveiligingsmaatregelen op moet lossen heeft niet in alle gevallen tijdig een passende oplossing waardoor langer dan noodzakelijk (soms dagen of weken) gaten in de beveiliging aanwezig zijn als een storing zich voordoet.
  5. Er is een inbraakdetectiesysteem en er zijn inbraakdetectoren maar het alarm wordt er op vaste tijdstippen opgezet waardoor delen van de dag het gebouw niet onder alarm staat (vooral ’s morgens vroeg en aan het einde van de werkdag als het gebouw verlaten is staat het alarm er nog niet op).
  6. De aanrijtijd van de mobiele surveillance is contractueel misschien 15 minuten maar de praktijk leert dat ze er al snel 30 tot 45 minuten over doen om op locatie te komen terwijl de gemiddelde crimineel slechts een paar minuten nodig heeft om zijn actie uit te voeren.
  7. Er zijn camera’s maar de beelden zijn slecht of er is niemand die actief de beelden bewaakt, zelfs niet als er gebruik wordt gemaakt van zogenaamde slimme camera’s. De camera’s schrikken (mogelijk) af en de beelden kunnen als bewijslast gebruikt worden maar incidenten worden er niet mee voorkomen.
  8. Bij het ontwerp van het gebouw is onvoldoende rekening gehouden met beveiliging waardoor vluchtwegen (die geopend moeten kunnen worden in geval van een calamiteit) door beveiligde compartimenten lopen en daar dus een risico voor vormen.
  9. Er wordt gebruik gemaakt van een (elektronisch) toegangscontrolesysteem maar aan de onbeveiligde kant van de deuren zijn nooddrukkers aangebracht waarmee de deur door onbevoegden eenvoudig geopend kan worden.
  10. Toegangspassen en -middelen worden onderling aan elkaar uitgeleend waardoor niet geautoriseerde personen toegang krijgen tot delen van gebouwen waar ze niets te zoeken hebben.
  11. Toegangspassen worden niet zichtbaar gedragen en personen zonder toegangspas worden niet aangesproken. Bezoekers kunnen door het gebouw zwerven zonder dat iemand naar ze omkijkt omdat ze niet begeleid worden.
  12. Toegangspoorten en/of beveiligde deuren staan (te lang) open waardoor het voor ongeautoriseerde personen eenvoudig is om binnen te komen of mee te lopen met medewerkers die wel geautoriseerd zijn.
  13. Deuren (reguliere deuren en/of nooduitgangen) worden opengehouden door er brandblussers of andere materialen voor te zetten. Hierdoor is er geen zicht op wie het gebouw allemaal betreedt.
  14. BHV’ers moeten toegang hebben tot alle ruimtes en hebben daarvoor de rechten op hun toegangsmiddel. Ze horen deze rechten echter alleen te gebruiken als er zich een calamiteit voordoet maar in de praktijk worden de rechten ook voor andere situaties gebruikt.
  15. De vluchtwegen zijn geblokkeerd waardoor vluchten niet mogelijk is en er onnodige slachtoffers kunnen vallen. Vluchtwegen zijn wettelijk verplicht (Arbowet, Bouwbesluit bijvoorbeeld t.a.v. brand) maar zijn ook van belang voor andere beveiligingsincidenten waarbij mensen moeten kunnen vluchten.
  16. Nooduitgangen worden gebruikt om even snel een sigaretje te roken of een luchtje te scheppen waardoor er gaten in de buitengevel ontstaan en onbevoegden eenvoudig binnen kunnen sluipen.
  17. Akoestische signalen bij nooduitgangen worden als hinderlijk ervaren (want ze maken zo’n irritant geluid). Daarom worden ze onklaar gemaakt door kabels los te knippen.
  18. Bij een ontruiming of het indrukken van een rode noodknop (ontruimingsalarm), vallen alle deuren vrij en zijn zowel het gebouw als beveiligde compartimenten daarin door ongeautoriseerde personen te betreden zonder dat er toezicht op gehouden wordt.
  19. Er is beperkte kennis binnen de organisatie aanwezig op het gebied van fysieke beveiliging, beveiligingsrisico’s en de bijbehorende maatregelen. Iemand (zoals de Facility Manager) moet het erbij doen en die heeft het al druk genoeg met allerlei andere zaken.
  20. Er is geen of een sterk verouderd beveiligingsbeleid dat in de praktijk nauwelijks gebruikt wordt en vooral een papieren tijger is.
  21. Er zijn geen risicoanalyses, beveiligingsplannen en/of -dossiers voor de locaties waardoor het ontbreekt aan inzicht. Risico’s worden over- of onderschat en de maatregelen zijn niet afgestemd op de risico’s.
  22. Er is een laag beveiligingsbewustzijn binnen de organisatie en medewerkers is niet goed uitgelegd waarom bepaalde maatregelen aanwezig zijn. Maatregelen worden als lastig ervaren en omzeild terwijl er niet gehandhaafd wordt.
  23. Het hogere management vindt dat de maatregelen niet op hen van toepassing zijn. Ze vinden de maatregelen onzinnig of leven ze niet na. Of er ontstaan juist allerlei cowboy verhalen waardoor maatregelen getroffen worden die niet nodig zijn omdat ze geen risico’s verlagen.
  24. Na een incident begint het hoogste management zich te bemoeien met de beveiligings-maatregelen en moeten er, op stel en sprong, allerlei ondoordachte maatregelen worden doorgevoerd die uiteindelijk niet leiden tot een lager risico of soms zelfs leiden tot een verhoogd risico.
  25. Er worden slechts zeer beperkt incidentanalyses uitgevoerd nadat een beveiligingsincident zich voor heeft gedaan. Er is geen sprake van een lerende organisatie en het is vooral pleisters plakken. Hierdoor is niet inzichtelijk of het incident een geaccepteerd risico betrof, wat eventueel de oorzaak van het incident is en welke verbeteringen er eventueel moeten worden doorgevoerd.

Dit zijn praktijkvoorbeelden die ik zo kon verzinnen en als ik er nog wat verder over nadenk, kan ik er ongetwijfeld nog 25 bij bedenken. Maar welke veel voorkomende praktijkvoorbeelden kom jij tegen die organisaties op kunnen pakken om het basis beveiligingsniveau op orde te brengen? Laat ze me weten, ik ben reuze benieuwd.

Resilience = weerbaarheid + veerkracht

Lees meer

Wet weerbaarheid kritieke entiteiten

Lees meer

Critical Entities Resilience Directive

Lees meer

Beveiligingsaudit versus volwassenheidsmeting

Lees meer

Ketenregie beveiliging, ook als je beveiliging uitbesteedt

Er zijn nogal wat trends waar je als Facilitair Manager mee wordt geconfronteerd: Smart buildings, circulaire economie, innovatie, hostmanship, verlaging van de CO2-uitstoot. En dat in combinatie met methodieken als Scrum & Agile, Lean & Mean en naast het dagelijkse servicegericht benaderen van je gasten en het managen van klantverwachtingen.

Een toch al vaak lastig gevonden onderwerp als beveiliging sneeuwt bij al dit ‘geweld’ al snel onder. Toch mag er niets fout gaan op dit gebied. Ook niet als er besloten is om het gehele facilitaire beheer uit te besteden op basis van een hoge knip uitbestedingsmodel als Integrated Facility Management of Managing Agent Modellen.

Naast de trends in Facility Management, zijn er ook binnen beveiliging een aantal trends te benoemen. Achtergrond van de meeste van die trends betreft het realiseren van een lagere Totale Cost of Ownership door een verhoging van de operationele efficiency, teneinde een bijdrage te leveren aan de winst van de organisatie.

Of in gewoon Nederlands: het moet goedkoper met een gelijkblijvende of betere kwaliteit. Zeker relevant voor beveiliging, dat gezien wordt als kosten in plaats van een directe bijdrage aan de verhoging van omzet.

Wij willen je laten zien hoe je als Facilitair Manager je beveiliging onder controle kunt hebben door het opzetten van een regie-organisatie voor beveiliging, inclusief de integratie van de keten die daarbij hoort. Ketenregie Beveiliging noemen we dit.

Regie organisatie inclusief ketenintegratie

De aspecten waar bij de inrichting van een regie-organisatie inclusief ketenintegratie rekening mee moeten houden zijn:

  • Ketens: Afstemming tussen vraag en aanbod
  • Performance management: Service Level Agreements (SLA’s) en Kritieke Prestatie Indicatoren (KPI’s)

Ketens

Een keten is een aaneenschakeling van activiteiten en organisaties die met elkaar een gezamenlijk resultaat bereiken. Vertalen we dit naar beveiliging, dan kunnen we stellen dat het resultaat moet zijn: een bij de organisatie passende beveiliging van gelijkblijvende of betere kwaliteit tegen lagere kosten door een aaneenschakeling van activiteiten en organisaties.

Maar wat is een “bij de organisatie passende beveiliging”? Om dit te kunnen bepalen, moeten de uitgangspunten voor beveiliging op orde zijn. En dan hebben we het over zaken als een dreigingsprofiel, die leidt tot een daderprofiel waar we ons tegen willen beveiligen en een beveiligingsbeleid voor de manier waarop we dat voor ons zien.

De eerste stap die dus gezet moet worden, is nagaan of het dreigingsprofiel en het beveiligingsbeleid er zijn en of ze actueel zijn. Vervolgens kan gekeken worden naar hoe de keten voor beveiliging eruitziet.

Dit verschilt uiteraard per organisatie, maar de belangrijkste schakels in de keten voor beveiliging zijn:

  • Leverancier(s) van toegangscontrolesystemen, camerabewakingssystemen en inbraakdetectiesystemen;
  • Leverancier(s) van bewakingsbeambten (stationering op locatie) en mobiele surveillancediensten;
  • De Particuliere Alarm Centrale(s);
  • Leverancier(s) van bouwkundige beveiligingsmaatregelen;
  • En bij een uitbesteding van het facilitair beheer ook de partners voor Integrated Facility Management of de Managing Agent(s).

Performance management

Zodra we zicht hebben op de keten is de volgende stap het inrichten van Performance management. Hierin zijn de Service Level Agreements en de Kritieke Prestatie Indicatoren (KPI’s) van belang.

KPI’s

Onder KPI’s verstaan we vooraf overeengekomen en vastgelegde variabelen om prestaties te kunnen meten. Als regie-organisatie kies je er bewust voor om minder inhoudelijke kennis in huis te hebben. Juist die kennis wend je aan via de specialist, de leverancier. Om grip te houden op de prestaties van de specialist, is het noodzakelijk om goede KPI’s overeen te komen. Dit zijn er in de praktijk vaak 2 tot maximaal 5. De KPI’s zijn uiteraard afgeleid uit het beveiligingsbeleid.

Organisaties zijn vaak geneigd alles te willen controleren. Besef dat er veel indicatoren randvoorwaardelijk zijn om een KPI te kunnen realiseren, en dat die wel voor de specialist relevant zijn, maar minder voor de regie-organisatie. Neem als voorbeeld het aantal storingen en de oplostijd van storingen. Dit lijken misschien KPI’s, maar zijn feitelijk slechts onderliggende prestatie indicatoren die randvoorwaardelijk zijn voor de echte KPI, nl. de beschikbaarheid van het systeem.

Met een actueel beveiligingsbeleid en een dreigingsprofiel op basis waarvan we de juiste KPI’s hebben opgesteld, zijn we aardig op weg. De KPI’s moeten, samen met andere afspraken, worden vastgelegd in Service Level Agreements (SLA’s). Dit zijn de contracten met de afzonderlijke leveranciers, waarover ze verantwoording af moeten leggen, zodat de performance van deze leveranciers gemeten kan worden.

Hierbij kunnen we twee grote uitdagingen onderscheiden:

  • Met de leveranciers SLA’s afsluiten met daarin de juiste KPI’s,
  • Het op elkaar afstemmen van alle SLA’s en KPI’s om daadwerkelijk te kunnen spreken over een keten

Afgezaagd maar waar: de keten is zo zwak als de zwakste schakel. Bij de performancemetingen moeten we ons dus in eerste instantie richten op de zwakste schakels om ervoor te kunnen zorgen dat de hele keten de juiste performance levert.

Next step: continious improvement

Richt je beveiliging als Facilitair Manager volgens het model van ketenregie in, dan ben je op weg om te realiseren dat je tegen lagere kosten een gelijkblijvende of zelfs verbeterde kwaliteit van beveiliging krijgt.

Juist omdat beveiliging noodzakelijk is om de continuïteit van organisaties te kunnen garanderen, ben je met beveiliging nooit klaar. De maatschappij, de eigen organisatie, de leveranciers, de processen, zullen in de loop van de tijd veranderen. En als Facilitair Manager wil je dat het model van ketenregie deze ontwikkelingen volgt om te voorkomen dat de maatregelen van gisteren de risico’s van vandaag niet meer afdekken.

Van een ketenregisseur beveiliging mag je verwachten, dat deze de ontwikkelingen scherp volgt en op basis van een lange termijnvisie de juiste keuzes en afwegingen maakt om de benodigde beveiligingsmaatregelen steeds op de bedrijfsrisico’s te laten aansluiten. Het

Dit vergt van de ketenregisseur:

  • Dat deze samen met de stakeholders binnen de organisatie continue de risico’s evalueert;
  • Dat sneller wordt geanticipeerd op innovaties;
  • Dat contracten meer flexibel worden ingericht om samen met leveranciers slimmer te kunnen omgaan met schaarse middelen;
  • Het betrekken van leveranciers en medewerkers van de organisatie om hen ook bewuster te maken van wat zij met hun houding en gedrag kunnen betekenen voor risicobeheersing.