Het verschil tussen beveiliging en beveiligingsbeheer

In gesprekken met nieuwe opdrachtgevers vertellen ze ons vaak trots wat er aan beveiliging al geregeld is en welke beveiligingsmaatregelen binnen hun organisatie allemaal getroffen zijn. Soms al snel gevolgd door de wat twijfelende vraag: “We zijn toch goed beveiligd?”.

Het korte antwoord

Of de organisatie goed beveiligd is, is een vraag waarop het antwoord niet 1, 2, 3 te geven is. Beveiliging is immers geen exacte wetenschap en risico’s leiden nu eenmaal tot een bepaalde mate van onzekerheid. Dus of je goed (genoeg) beveiligd bent, weet je nooit helemaal zeker. De kans dat je te weinig, de verkeerde of te veel maatregelen neemt of geconfronteerd wordt met een incident is altijd aanwezig. Die kans wordt zelfs nog groter naarmate er minder zicht is op, of begrip van, de risico’s die voorstelbaar en realistisch zijn.

Daarom zetten wij, bij de opdrachtgevers die we helpen, de risico’s centraal en stemmen de mate van beveiliging en de zwaarte van de maatregelen daaropaf. Door de manier waarop we beveiliging procesmatig inrichten, neemt de onzekerheid af. Je weet zo namelijk of het beveiligingsbeheer goed geregeld is. Daarmee verlaag je de kans dat er te weinig, de verkeerde of te veel maatregelen worden genomen aanzienlijk en kun je er beter op vertrouwen dat in ieder geval de aanpak goed genoeg is. Zo verhoog je de kans dat de onderkende risico’s beheersbaar zijn en blijven.

De vraag die wel beantwoord kan worden

Een vraag die wel beantwoord kan worden, is of het beveiligingsbeheer goed (genoeg) is. Het klinkt misschien wat cryptisch maar er is een groot verschil tussen het begrip beveiliging (security) en beveiligingsbeheer (securitymanagement). Wij helpen organisatie bij het inrichten, invoeren en uitvoeren van dat beveiligingsbeheer zodat ze de regie over de risico’s kunnen pakken en de wijze en mate van beveiliging daarop af kunnen stemmen.

Beveiliging wordt in onze optiek niet altijd beter door (nog) meer maatregelen te nemen. Vaak niet zelfs, want iedere maatregel brengt ook weer nieuwe risico’s met zich mee. Wel wordt de beveiliging beter door het beveiligingsbeheer stelselmatig in te richten zodat betere keuzes gemaakt kunnen worden. Als het beveiligingsbeheer goed is, dan kun je er beter op vertrouwen dat de beveiligingsrisico’s in voldoende mate afgedekt zijn.

Beveiliging versus beveiligingsbeheer

Onder het begrip fysieke beveiliging verstaan we het geheel aan maatregelen om de tastbare objecten van de organisatie te beschermen tegen schadelijke invloeden van bewust menselijk handelen.

Om te weten welke schadelijke invloeden er te verwachten zijn en welke daarvan realistisch zijn, worden dreigingsprofielen opgesteld en risicoanalyses uitgevoerd. Aan de hand van de hoogte van de risico’s die onderkend zijn, wordt bepaald welke maatregelen (naar verwachting) bijdragen aan het beheersen daarvan. Daarmee wordt beveiliging nog geen exacte wetenschap maar wel meer en meer een sociale wetenschap waarbij het beveiligingsbeheer zodanig is ingericht dat keuzes herleidbaar en controleerbaar zijn.

Onder het begrip beveiligingsbeheer verstaan we het besturen van de beveiliging om de belangen van de organisatie te beschermen tegen schadelijke invloeden van bewust menselijk handelen. Het heeft als doel het (her)formuleren en bereiken van de doelstellingen in de gegeven (soms sterk veranderende) context door de organisatie inclusief de processen in te richten op een manier die (naar verwachting) het beste bijdraagt aan het realiseren van die doelen. Door het beveiligingsbeheer goed in te richten en uit te voeren, verbeterd de kwaliteit van beveiliging en kan er op de resultaten gestuurd worden.

Kort samengevat richt beveiliging zich dus op het daadwerkelijk beschermen van objecten door op basis van risico’s beveiligingsmaatregelen te nemen. Beveiligingsbeheer richt zicht op het managen van de bescherming van de belangen van de organisatie door een proportionele wijze van beveiliging.

Beveiligingsbeheer is de randvoorwaarde voor een goede mate van beveiliging. Zonder goed beveiligingsbeheer kun je wel maatregelen nemen, maar weet je niet of en in welke mate de beveiligen bijdraagt aan het beheersen van de risico’s. Wil je weten of je goed beveiligd bent? Kijk dan eens naar het beveiligingsbeheer dat is ingevoerd. Is dat van goede kwaliteit? Dan kun je er beter op vertrouwen dat de getroffen maatregelen de juiste zijn.

Benieuwd naar wat wij voor jou zouden kunnen beteken?

Voorkomen is niet altijd beter dan genezen

Een oud gezegde luidt: “Voorkomen is beter dan genezen.” Naar onze mening gaat dit voor beveiliging niet altijd op. Sterker nog het is niet altijd mogelijk en ook niet altijd wenselijk. Waarom we dat vinden leggen we je graag uit.

OBER mag ik de juiste mix van u?

Binnen fysieke beveiliging spreken we al jaren over de zogenaamde OBE-mix:

organisatorische, bouwkundige en elektronische beveiligingsmaatregelen

Tenminste als je een aanhanger van De Haagse Methode bent, anders hanteer jij misschien een andere combinatie. Omdat dit te vaak wordt vergeten, vullen wij dit rijtje inmiddels al geruime tijd aan met de R van Reactie zodat ook de opvolging geborgd is.

De beveiligingsmaatregelen moeten een zo goed mogelijke mix van organisatorische, bouwkundige en elektronische maatregelen zijn, waarbij de reactie zorgt voor de nodige en tijdige opvolging van incidenten die niet voorkomen konden worden.

De vraag is echter wat een “zo goed mogelijke mix” is. Je wilt immers voorkomen dat allerlei maatregelen worden aangerukt en ingezet, zonder dat je precies helder hebt wat de risico’s zijn waartegen je deze beveiligingsmaatregelen inzet. Risicoanalyses vormen de basis om de mix van maatregelen te kunnen bepalen.

Van preventie naar correctie

Een andere mix waar we bij beveiliging rekening mee moeten houden is de zogenaamde PDRC-mix. Deze mix kijkt naar de fase waarin een onacceptabel risico zich voor kan doen en de mate waarin bepaalde beveiligingsmaatregelen een bijdrage leveren aan het voorkomen of beperken van dat risico.

  • Preventie: het voorkomen dat een incident zich voordoet. Voorbeelden van maatregelen: muren, deuren, bouten, sloten.
  • Detectie: het ontdekken dat een incident zich voordoet. Voorbeelden van maatregelen: inbraakinstallatie, camerasysteem, beveiliger op locatie.
  • Repressie: het onderdrukken van het incident op het moment dat het zich voordoet. Voorbeelden van maatregelen: compartimentering, sprinklerinstallaties, business continuity management.
  • Correctie: het herstellen van het incident nadat het zich heeft voorgedaan. Voorbeelden van maatregelen: alarmopvolging door mobiele surveillant, verzekering, disaster recovery.

Zou het gezegde ‘voorkomen is beter dan genezen’ altijd opgaan, dan zouden we er alles aan doen om het uitbreken van een incident te voorkomen. Dan zou alles wat we doen gericht zijn op preventie. Maar alles willen voorkomen kost niet alleen veel, heel veel, geld maar is ook niet altijd mogelijk of wenselijk. Daarom moet er ook de nodige aandacht voor detectie, repressie en correctie zijn.

Daarnaast moeten we er rekening mee houden dat de business as usual nog wel op een normale manier mogelijk moet zijn. Dat is immers het bestaansrecht van de organisatie en daarmee wordt, binnen commerciële organisaties, het geld verdiend en daartoe is de organisatie op aard. Beveiliging is en blijft een ondersteunend proces waar de organisatie zo min mogelijk last van moet ondervinden. Werkprocessen moeten niet onnodig gehinderd of beperkt worden door allerlei ingewikkelde en soms onnodige beveiligingsmaatregelen. De doelmatigheid en de doeltreffendheid van de primaire bedrijfsprocessen staat voorop. De beveiliging stemmen we daar zo goed mogelijk op af. Daarom kunnen incidenten ook niet altijd voorkomen worden.

Risicomanagement is ook (of eigenlijk met name) een lijnverantwoordelijkheid

Tot nu toe hebben we ons vooral gericht op beveiligingsmaatregelen. In de zin van een oorzaak-gevolg-relatie zijn beveiligingsmaatregelen ook meestal een gevolg en is het risico de oorzaak. Om zo optimaal mogelijk te beveiligen, moeten we vooral op zoek naar de oorzaken. Kunnen we die op een andere manier aanpakken? Dan zijn misschien geen, andere of minder zware beveiligingsmaatregelen nodig.

Om de toegevoegde waarde van beveiliging inzichtelijk te kunnen maken, moeten we inzicht hebben in risicomanagement, specifiek hierbij de daaruit af te leiden risicostrategie. Per risico kan daarbij overigens een afwijkende strategie gekozen worden. Het één en ander hangt onder meer af van de waarschijnlijkheid dat een risico zich manifesteert en de impact die het kan hebben als dat gebeurt in relatie tot hoe kritisch het proces is dat beschermd moet worden.

In zijn algemeenheid worden de volgende 4 risicostrategieën onderscheiden:

  1. Vermijden (kans en de impact zijn hoog)
  2. Verminderen (kans hoog, impact laag)
  3. Overdragen (kans laag, impact hoog)
  4. Accepteren (kans en impact zijn laag)

Belangrijk om op te merken is dat risicomanagement en beveiliging beiden een lijnverantwoordelijkheid zijn. Alleen de business kan namelijk bepalen welke strategie voor een bepaald risico het best passend is. Zij kunnen inschatten hoe kritisch het proces is voor de organisatie.

In zijn algemeenheid worden de volgende 3 risicogedragingen onderscheiden:

  • Risicomijdend gedrag
  • Risiconeutraal gedrag
  • Risicodragend gedrag

Een financiële instelling is over het algemeen risicomijdend, maar zij handelt ongetwijfeld ook in producten met een risicodragend profiel. Een evenementenorganisatie is in het algemeen al wat meer risicodragend ingesteld. Maar komt het op gezondheid van mensen aan, dan zal ook een evenementenorganisatie risicomijdende maatregelen voorstaan. Hiermee wordt duidelijk dat binnen een organisatie verschillende risicogedragingen voorkomen. Soms moeten risico’s zoveel mogelijk voorkomen worden, soms wordt bewust een hogere risicograad geaccepteerd.

Bij het bepalen van de juiste strategie per risico, moet de business daarom niet alleen rekening houden met het risicogedrag passend bij het eigen specifieke proces of verantwoordelijkheidsgebied, maar ook kijken naar het risicogedrag van de organisatie als geheel. Vanuit beveiliging kunnen we daarbij ondersteunen en kunnen we adviseren over de maatregelen die nodig zijn om invulling te geven aan de risicostrategie die door de lijn gekozen wordt.

De mix aan organisatorische, bouwkundige, elektronische en reactieve maatregelen die geadviseerd kan worden draagt vooral bij aan de strategieën vermijden en verminderen. Maar dus niet voordat die strategie door de business gekozen is tenzij dat wettelijk verplicht is. Bijkomend voordeel is dat deze werkwijze ook bijdraagt aan het draagvlak dat nodig is om de maatregelen werkend te krijgen en te houden. De business begrijpt beter waarom beveiligingsmaatregelen genomen worden als ze actief betrokken zijn geweest bij het bepalen van de risico’s.

Wat te beveiligen?

Processen worden ondersteund door de combinatie van personen, informatie en materieel en vinden veelal plaats in een locatie. Om te bepalen wat er beveiligd moet worden en op welke wijze, moet er een relatie gelegd worden tussen de processen enerzijds en de personen, informatie en het materieel die deze processen mogelijk maken anderzijds.

Op basis daarvan kan een set aan maatregelen worden voorgesteld ter bescherming van:

  • De gebouwen waarin die processen zich afspelen;
  • De personen die de processen uitvoeren;
  • De informatie die nodig is voor die processen;
  • Het materieel dat aan die processen bijdraagt.

Dat beschermen doen we tegen onacceptabele risico’s en met een set aan organisatorische, bouwkundige, elektronische maatregelen en waarbij we dus ook kijken naar de reactie. Hierbij houden we ook gelijk rekening met de mogelijke mix van preventie, detectie, repressie en correctie en het risicogedrag en de gekozen risicostrategie.

Waarom, waartegen en waarmee

De vragen die we ons moeten stellen is waarom, waartegen en waarmee kunnen we zo optimaal mogelijk beveiligen. Optimaal staat hierbij dus niet voor zoveel mogelijk, maar voor een proportionele mix van beveiligingsmaatregelen die gebaseerd is op een aantal fundamentele keuzes.

Een mix die is afgestemd op de kritische waarde van de bedrijfsprocessen. Maar ook een mix die gebaseerd is op de risicobereidheid die er is en de hoogte van de risico’s die onderkend zijn.

  • Waarom: we beveiligen om discontinuïteit te voorkomen. Discontinuïteit als gevolg van onacceptabele risico’s die van invloed kunnen zijn op de primaire en secundaire bedrijfsprocessen. Hierbij houden we rekening met de kosten-batenverhouding tussen de gevolgen van het risico, de kritische waarde van de processen en de kosten om dat risico beheersbaar te maken.
  • Waartegen: we kijken naar de realistische dreigingen en de business bepaalt welke risico’s onacceptabel zijn door de juiste strategie toe te passen (vermijden, verminderen, overdragen, accepteren). De business houdt hierbij rekening met het risicogedrag (mijdend, neutraal, dragend), zodat wij ons kunnen focussen op de juiste fase van een incident (preventie, detectie, repressie, correctie).
  • Waarmee: met dat in ons achterhoofd stellen we als beveiligingsdeskundigen de proportionele mix aan organisatorische, bouwkundige, elektronische maatregelen voor die we aanvullen met reactie zodat we tijdig en adequaat op incidenten kunnen reageren.

De strekking van dit verhaal

Voorkomen is niet altijd beter dan genezen. Sterker nog voorkomen is niet altijd mogelijk en ook niet altijd wenselijk. Stop met het nemen van beveiligingsmaatregelen en start met het beheersen van onacceptabele risico’s. Doe dit door te kijken naar hoe kritisch een proces is. Leg hierbij de relatie tussen het proces en de personen, informatie en het materieel die nodig zijn om het proces te kunnen realiseren. Breng op basis daarvan de realistische dreigingen in kaart. Op grond hiervan bepaalt de “business” hoe acceptabel een risico is en welke strategie ze bereid zijn om te volgen. Met daarbij het risicogedrag in ogenschouw nemend, passend bij dat proces.

Dat is voor beveiliging het vertrekpunt om de proportionele mix van beveiligingsmaatregelen voor te kunnen stellen. Daarom moeten we binnen beveiliging niet alleen een inhoudelijk expert zijn op ons eigen gebied maar moeten we ook een goede procesbegeleider zijn om de best denkbare toegevoegde waarde te kunnen leveren.

Zullen we samenwerken aan jouw beveiliging?

Beveiliging onder controle

Hoe organisaties vallend onder de Nederlande Corporate Governance Code (en alle andere organisaties die hun verantwoording nemen) snel inzicht kunnen krijgen in de mate waarin ze ‘in control’ zijn over beveiliging en daarmee in staat zijn diverse operationele risico’s adequaat het hoofd te bieden.

Kijkend naar het onderwerp beveiliging, dan zou je bang kunnen worden van alle risico’s die je kunt lopen. Als je niet de rust en tijd neemt om een goede inschatting te maken van welke risico’s je realistisch inschat, dan gaan angst en emotie met je op de loop en ga je een veelvoud aan beveiligingsmaatregelen treffen.

Zo ontstaat een mismatch tussen de realistische risico’s, die echt een negatieve impact op de organisatie kunnen hebben en de maatregelen die getroffen zijn. Een kostbare zaak, niet alleen voor wat betreft de investeringen die je doet, maar ook voor het jaarlijks terugkerende onderhoud. En dan maar hopen dat de echt realistische risico’s voldoende meegenomen en gemitigeerd zijn.

Beveiliging is een onderwerp dat gestructureerd aangepakt moet worden. Hierbij moeten de realistische risico’s worden afgezet tegen de beveiligingsmaatregelen die getroffen zijn of moeten worden. Een ad hoc aanpak levert simpelweg te veel risico’s of te hoge kosten op. De vraag te stellen luidt dan:

“Hoe krijgen we beveiliging aantoonbaar onder controle?”

Good Governance: ook op het gebied van beveiliging

De Nederlandse Corporate Governance Code schrijft voor dat organisaties aantoonbaar zorg moeten dragen voor het beheersen van de operationele risico’s. Beveiliging levert een bijdrage aan het beheersen van een groot aantal van die operationele risico’s.

Wij helpen organisaties met het aantoonbaar maken van de gecontroleerde aanpak op het gebied van beveiliging. Dit doen we door Facility en Security Managers, die verantwoordelijk zijn voor het hebben, maken, uitvoeren en toetsen van beveiligingsbeleid, te helpen met het beantwoorden van de vraag:

“Hoe krijg je als onderdeel van De Nederlandse Corporate Governance Code ook beveiliging onder controle?”

Alle bij beveiliging betrokken functionarissen van de Nederlandse beursgenoteerde bedrijven vallend onder “De Nederlandse Corporate Governance Code” en alle Nederlandse organisaties die naar die code handelen, helpen wij graag.

Wat verstaan wij onder beveiliging?

Beveiliging is de juiste mix van organisatorische, bouwkundige, elektronische en reactieve maatregelen ter preventie, detectie, repressie en correctie van fysieke dreigingen gericht op mensen, informatie en bezittingen. Met beveiliging lever je een bijdrage aan de continuïteit door de processen te beschermen.

Wanneer is beveiliging aantoonbaar onder controle?

We spreken van beveiliging onder controle, als er op een structurele wijze aantoonbaar aandacht is voor beveiliging, vanuit een procesmatig aanpak en met het afleggen van verantwoording daarover.

De aanpak dient in zowel opzet, bestaan als werking te worden getoetst, zodat het onderwerp onderdeel uit gaat maken van de reeds aanwezige risicobeheersings- en controlesystemen.

Hoe weten we of we “in control” zijn?

Door naar de 10 volgende onderwerpen te kijken en de bijbehorende stellingen te beantwoorden, krijgen we snel inzicht in de aspecten die al voldoende op orde zijn en de onderwerpen die nog aandacht behoeven.

  1. Verantwoordelijkheden: Eén van de bestuurders is expliciet verantwoordelijk voor beveiliging en daarmee voor het beheersen van de operationele risico’s. De uitvoering van de taken op het gebied van beveiliging is formeel gedelegeerd aan een daartoe aangewezen en geëquipeerde functionaris of afdeling binnen (of buiten) de organisatie.
  2. Beveiligingsbeleid: Er is een formeel vastgesteld beveiligingsbeleid afgestemd op de organisatie brede risicostrategie en het dreigingsprofiel. De missie, visie en strategie op het gebied van beveiliging en de beschrijving van de taken, bevoegdheden en verantwoordelijkheden is erin opgenomen.
  3. Dreigingsprofiel: Er is een formeel vastgesteld dreigingsprofiel op het gebied van beveiliging, waarin de combinatie van realistische dreigingen, dadertypen inclusief hun motieven en te verwachten aanvalsmiddelen zijn vastgelegd. Dit dreigingsprofiel is de basis voor de effectieve en efficiënte inrichting van beveiliging binnen de organisatie en vormt de basis voor de risicoanalyses die uitgevoerd worden.
  4. Operationeel risicomanagement: Beveiligingsrisico’s wordt als integraal onderdeel gezien van operationeel risicomanagement, waarbij afstemming plaatsvindt met gebieden als informatiebeveiliging, veiligheid, privacy, business continuity en disaster recovery. Beveiligingsrisico’s die geaccepteerd worden, doorlopen een formeel risicoacceptatieproces.
  5. Vitale bedrijfsprocessen en kritische assets: Er is een geformaliseerd en actueel overzicht met voor de vitale bedrijfsprocessen van de organisatie kritische assets (informatie, materieel en personeel), dat met beveiligingsmaatregelen beschermd moet worden.
  6. Risicoanalyses: Er worden periodiek risicoanalyses op het gebied van beveiliging uitgevoerd, op basis waarvan de mix aan beveiligingsmaatregelen wordt getroffen om de onacceptabele risico’s af te dekken.
  7. Beveiligingsplannen: Op basis van de uitgevoerde risicoanalyses worden de beveiligingsplannen opgesteld, waarin in opzet, bestaan en werking beschreven is welke maatregelen getroffen zijn, welke risico’s nog niet volledig zijn afgedekt en welke restrisico’s formeel geaccepteerd zijn.
  8. Rapportage: Er is een rapportagestructuur, waarmee de voortgang en status van beveiliging inzichtelijk is en op basis waarvan continu verbeteringen worden doorgevoerd.
  9. Incident management proces: Er is een incident managementproces ingericht, zodat de organisatie proactief kan anticiperen en adequaat kan reageren, indien zich een incident op het gebied van beveiliging voordoet of voor dreigt te doen. Relevante beveiligingsincidenten worden gemeld, geregistreerd en geanalyseerd.
  10. Controle door auditing, mystery visits en penetratietesten: De auditfunctie toetst periodiek de aanpak van beveiliging in opzet, bestaan en werking en rapporteert over haar bevindingen. De maatregelen worden onderhouden en periodiek getest door middel van mystery visits en penetratietesten.

Meer inzicht met het Good Security Governance Model

Op basis van de bovengenoemde onderwerpen is snel inzicht verkregen in de mate waarin de organisatie “in control” is op het gebied van beveiliging. Voor organisaties die meer detailinzicht willen hebben in de volwassenheid van de beveiliging, kan met een set van detailvragen de diepgang worden gezocht.

Het Good Security Governance Model dat door ons ontwikkeld is, levert inzicht in de volwassenheid van de beveiliging binnen de organisatie. De organisatie wordt bewust van de reële risico’s en de maatregelen die hiertegen te nemen zijn.

Je weet waar je uit wilt komen en je weet hoe je daar moet komen. Dit is neergelegd in een heldere, breed gedragen visie. Alle betrokken weten wat je gaat doen, welk budget je nodig hebt, waar je dat aan gaat besteden en wat dat oplevert. Op die manier kun je erop vertrouwen dat het proces gewoon zijn werk zal doen. Je doet de goede dingen en die doe je goed. Je bent ‘in control’.

De waarde van security audits voor integrale beveiliging

Er wordt al jaren gepleit voor een meer integrale beveiligingsaanpak, waarbij informatiebeveiliging en fysieke beveiliging meer en meer naar elkaar toe moeten groeien. Als de toezichthoudende partijen – de tweedelijns partijen – beter weten aan te haken, dan kunnen echt stappen vooruit worden gemaakt.

Het begin is er

Er zijn flink wat organisaties die op strategisch en tactisch niveau een integraal beveiligingsbeleid hebben. Hoe ver ‘integraal’ reikt, dat kan verschillen, maar in ieder geval hebben deze organisaties een basis gelegd waarop kan worden voortgebouwd.

Fysieke en informatiebeveiliging zijn op operationeel niveau al naar elkaar toe aan het groeien. Fysieke beveiligingssystemen worden meer en meer IT-systemen, vooral cameratoezicht en toegangscontrole. We zien dat er onderscheid wordt gemaakt tussen technisch, applicatie en functioneel beheer van deze systemen. Technisch en applicatiebeheer zijn dan veelal bij IT belegd, waar de gebruiker als eigenaar het functioneel beheer invulling geeft.

Andersom zien we ook dat IT zaken aan de facilitaire afdeling overlaat. Zo bevat de Code voor Informatiebeveiliging een hoofdstuk over fysieke beveiliging met daarin de nodige bepalingen t.a.v. wanden, deuren en sloten, maar ook de hardware van fysieke beveiligingssystemen. De IT-afdeling laat de uitvoering hiervan, ook die van de eigen ruimten, vaker dan ooit over aan de afdeling die het gebouw beheert, vaak de facilitaire afdeling.

De neuzen dezelfde kant op

De belangrijkste uitdaging is dat de neuzen dezelfde kant op richten en dat ook zo te houden. Voor informatiebeveiliging en voor fysieke beveiliging geldt immers hetzelfde uitgangspunt: een bijdrage leveren aan de continuïteit van de organisatie door onacceptabele risico’s beheersbaar te maken en te houden.

In de praktijk moeten we dit vertalen naar die risico’s, die een negatieve invloed kunnen hebben op de omzet, de kosten en het imago van de organisatie. Omzet, kosten en imago bepalen de continuïteit en ze komen voort uit de primaire en secundaire processen van de organisatie. En deze processen worden dan weer mogelijk gemaakt door de combinatie van personen, informatie en materieel.

Willen we spreken over een integrale aanpak, dan moeten we dus de onacceptabele risico’s die van invloed kunnen zijn op de informatie, het materieel en de personen aanpakken. Hiervoor zijn verschillende soorten van maatregelen nodig vanuit de gebieden informatiebeveiliging en fysieke beveiliging:

  • Informatiebeveiliging richt zich met name op de technische, procedurele en organisatorische maatregelen om de (geautomatiseerde) data te beschermen;
  • Fysieke beveiliging richt zich met name op de organisatorische, bouwkundige, elektronische en reactieve maatregelen om de (niet geautomatiseerde) data, het materieel en de personen te beschermen.

Schoenmaker blijf bij je leest

Als beide disciplines van elkaar begrijpen dat ze hetzelfde doel nastreven en accepteren dat ze daarvoor een andere set aan maatregelen implementeren, dan zit de kracht in het samenwerken om het totaalpakket aan maatregelen beheersbaar te maken.

Ze hoeven de details van elkaars werk niet te kennen. Een informatiebeveiliger hoeft niet te weten hoe een passieve infrarood detector werkt, en de fysieke beveiliger niet hoe encryptie werkt.

Vanuit het gemeenschappelijke belang – continuïteit – moeten ze erop vertrouwen dat ieder zijn werk doet met het oog op hetzelfde doel. De kunst is daarbij om ieders set aan maatregelen zo goed mogelijk op elkaar aan te laten sluiten en te voorkomen dat er te weinig of te veel wordt gedaan.

Samenwerken vanuit beide vakgebieden

Volledige integratie van kennis of kunde is ondergeschikt aan samenwerking en vertrouwen. Samenwerken aan hetzelfde doel – continuïteit – vanuit de vakgebieden informatiebeveiliging en fysieke beveiliging staat voorop. Feitelijk conform de trias politica.

Deze scheiding der machten is een theorie vanuit de staatsinrichting, waarin de staat opgedeeld is in drie organen die elkaars functioneren bewaken: de wetgevende, de uitvoerende en de toezichthoudende macht, die ook wel als rechterlijke macht bekend staat.

Vertalen we dit naar organisaties en dan specifiek naar de aanpak van beveiliging, dan komen we op de volgende indeling:

  • Wetgevende macht: deze maken het beleid, bijvoorbeeld een integraal beveiligingsbeleid of minimaal een afstemming tussen informatiebeveiligingsbeleid en fysiek beveiligingsbeleid.
  • Uitvoerende macht: deze voert het beveiligingsbeleid uit. Vaak de facilitaire afdeling voor fysieke beveiliging, terwijl de IT-afdeling dit voor informatiebeveiliging is. Zoals hiervoor aangegeven groeien deze beiden al aardig naar elkaar toe maar ze hoeven hiërarchisch niet één afdeling te zijn.
  • Toezichthoudende macht: deze toetst aan bestaande wet- en regelgeving, denk aan afdelingen als Compliance, Legal en Audit.

Hoe de toezichthoudende macht beveiliging kan verbeteren

Bij informatiebeveiliging loopt het ‘smooth’. De risico’s van cybercrime zijn al jaren een hot-topic. De risicomanagementafdeling binnen de organisatie heeft daar aandacht voor, terwijl de IT-auditors zich aanvullend richten op de toetsing van informatiebeveiliging. Prima samenwerking.

Maar als fysieke beveiliging al binnen de scope van de toezichthoudende macht valt, dan is er over het algemeen weinig interesse voor. Belangrijke oorzaak hiervoor is de ontbrekende kwalitatieve en kwantitatieve capaciteit om op dit gebied toegevoegde waarde te kunnen leveren.

De toezichthoudende macht zou hun controlerende processen en de aanpak zoals ze deze hanteren voor informatiebeveiliging ook moeten toepassen op fysieke beveiliging. Voor de detailkennis van het vakgebied fysieke beveiliging kunnen specialisten ter ondersteuning van de toezichthoudende macht worden ingeschakeld.

Hier ligt dan ook in onze ogen de verbetering, wetend dat we allemaal hetzelfde doel hebben: continuïteit van de organisatie. Een goede controle van de toezichthoudende macht op fysieke beveiliging gaat daar enorm aan bijdragen. Dit is de enige manier om onomstoten helder te krijgen of we op het gebied van fysieke beveiliging de goede dingen goed doen en waar het beter kan.

Conclusie

Er is voortgang geboekt met integrale beveiliging. Belangrijk hierin is dat we onderkennen dat met fysieke en informatiebeveiliging eenzelfde doel wordt nagestreefd en dat we proberen de onacceptabele risico’s beheersbaar te maken en te houden met de juiste set aan beveiligingsmaatregelen.

Wel moet er binnen de organisatie meer aandacht komen voor de toetsing van fysieke beveiliging. De lijnorganisatie moet beseffen dat beveiliging bijdraagt aan een reductie van de risico’s van hun processen en kan gericht om toetsing vragen. Bij de toezichthoudende macht moet meer aandacht voor fysieke beveiliging komen om zo meer zekerheid te krijgen of in opzet, bestaan en werking op het gebied van fysieke beveiliging het goede wordt gedaan en daarmee dus eenzelfde bijdrage wordt geleverd aan hetgeen de essentie is van dit vakgebied: de continuïteit van de organisatie.

Beleidsuitvoering: risk based versus rule based

Risk based versus rule based: “Risico komt door niet te weten wat je doet.” (Warren Buffet)

Hoe wij voor een grote zakelijke dienstverlener 13,8 miljoen euro bespaarde op beveiliging zonder dat zij meer risico’s zijn gaan lopen

Eind 2013 wordt de afdeling Facility Management van een zakelijke dienstverlener verantwoordelijk gesteld voor de uitvoering van nieuw vastgesteld beleid op het gebied van fysieke beveiliging. Bijna 25 grote kantoorgebouwen worden door een externe partij geschouwd, waarbij de afwijkingen tussen beleid en werkelijkheid in een rapport worden vastgelegd. Uiteindelijk worden door die partij bijna 3.400 afwijkingen benoemd.

Een eerste raming van de investering benodigd voor het oplossen van alle afwijkingen komt uit op 9 miljoen euro. Na de eerste offertes en rekening houdend met de impact van de aanpassingen in een bestaande, bebouwde omgeving wordt de investeringsraming bijgesteld naar 18 miljoen euro. Op basis van de afwijkingen en de investeringen, werden wij gevraagd de dienstverlener te ondersteunen bij het wegwerken daarvan.

De klantvraag

Zorg dat we binnen twee jaar zoveel, liefst alle, geconstateerde afwijkingen hebben opgelost. Er mogen dan geen high risk findings meer open staan. Het afgegeven budget is hierbij taakstellend.

De aanpak

Het betreft een omvangrijk en complex project. Na diverse reorganisaties en fusies blijkt er weinig historie voor handen en moet van scratch af aan alles opnieuw worden opgezet en ontwikkeld. Alle tot het security framework behorende documenten worden gedurende het eerste jaar ontwikkeld. Dit geeft inzicht in wat allemaal moet worden aangepakt. Maar ook maakt het duidelijk dat bij het opstellen van het beleid destijds is uitgegaan van een bepaalde zwaarte van beveiligen, die niet past bij al de 25 kantoorpanden.

Hoewel er sprake is van een classificatie van panden naar Standard, Secure en High Secure, is er maar één fysiek beveiligingshandboek van toepassing verklaard en ook maar één programma van eisen waarin de maatregelen vastliggen.

In het tactisch en strategisch overleg steken de Security Manager en RisicoRegisseurs als diens adviseur in op een risk based benadering. Met het simpelweg voldoen aan alle gestelde eisen zal de investeringsraming ruimschoots worden overschreden. Dan worden maatregelen getroffen omdat ze in het beleid zijn genoemd, terwijl het risico dat deze maatregelen moeten afvangen niet op meerdere locaties aanwezig is. Zo is op 14 locaties geen beveiliging gestationeerd, waar het beleid dit wel vraagt.

In overleg met de beleidsmakers en de partijen die het beleid controleren, maar ook met het lijnmanagement op locatie, wordt het proces van risico-acceptatie opgestart. Maatregelen hoeven niet 1 op 1 conform het beleid te worden uitgevoerd, als het risico niet of slechts deels aanwezig is.

Het resultaat

Ten aanzien van bouwkundige en elektronische maatregelen ten aanzien van de fysieke beveiliging zijn er veel afwijkingen geconstateerd. De meeste afwijkingen kunnen ook worden opgelost door het ontwerpen van organisatorische maatregelen, vastgelegd in procedures.

Zo zijn ruim 2.700 afwijkingen tot een goede oplossing gebracht. Bijna 400 afwijkingen zijn in gezamenlijk overleg geaccepteerd. Deze acceptaties zijn per pand op schrift vastgelegd zodat ze controleerbaar zijn. Bij een eerste aanpassing van het fysieke beveiligingshandboek moeten deze een plaats krijgen. En ja, voor hen die hebben meegeteld, de andere bijna 300 afwijkingen hebben zich opgelost toen de opdrachtgever besloot om twee kantoren te gaan sluiten.

In de panden geclassificeerd als High Secure waren in totaal negen high findings benoemd. Ook hiervan zijn de meesten opgelost door het treffen van organisatorische maatregelen, zoals het niet-alleen mogen werken op de zalen in het datacentrum.

In totaal is 4,2 miljoen euro geïnvesteerd in plaats van de 9 miljoen op basis van de grove eerste ramingen of 18 miljoen op basis van de daadwerkelijke offertes. Een besparing van 4,8 respectievelijk 13,8 miljoen, afhankelijk van hoe je ernaar kijkt. Geen slecht resultaat, al zeggen we het zelf.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Doen we de goede dingen en doen we de dingen goed? Deze kernvraag hanteren wij voortdurend en bij alles wat we doen. Daarom ook adviseerden wij de opdrachtgever te kiezen voor een risk based benadering: eerst kijken naar de risico’s en dan passende maatregelen treffen.

Het zou de weg van de minste weerstand zijn geweest om als uitvoerende organisatie gewoon te doen wat werd gevraagd, nl. de opgesomde maatregelen te treffen. Dan zou rule based gehandeld zijn en zou juist de kern van risicomanagement, het managen en regisseren van risico’s, ten onder zijn gegaan aan verstand op nul uitvoeren.

Het nemen van de juiste maatregelen bij de juiste risico’s zorgt er uiteraard voor dat je geen overbodige kosten maakt. Daarbij is het met elkaar in gesprek zijn over de risico’s en de maatregelen feitelijk het belangrijkst. Daarmee houd je het beleid, het begrip en de aandacht voor beveiliging levend.

Beheer van beveiligingsinstallaties

Fysieke beveiligingsinstallaties worden steeds vaker aangesloten op het IT-netwerk van de organisatie. Beveiligingsinstallaties worden zo meer en meer IT-systemen. En daarmee ontstaat de logica om deze via de afdeling IT te laten beheren.

Elektronische beveiligingssystemen, zoals alarminstallaties, camerabewakings- en toegangscontrolesystemen worden meer en meer aangesloten op de IT-infrastructuur van de organisatie. De laatste tijd zien we binnen organisaties het beheer van de beveiligingssystemen steeds meer overgaan naar IT-afdelingen. Dit levert helaas nog veel discussies, onduidelijkheden en onzekerheden op.

Dit komt enerzijds omdat de IT-afdeling niet gewend is om dergelijke specifieke beveiligingssystemen te beheren. Men heeft weinig ervaring met dit soort systemen en men kent de achterliggende gedachtes onvoldoende. Anderzijds komt dit omdat de beveiligingsorganisatie niet gewend is om hun beveiligingssystemen als IT-systemen te zien en te beheren. Men doet dit op een geheel eigen wijze, al jaren, omdat dit makkelijk gevonden wordt.

Maar eigenlijk is het heel simpel: als IT-systemen beheerd worden door de IT-afdeling, dan moeten de elektronische beveiligingssystemen ook beheerd worden door de IT-afdeling.

Technisch-, applicatie- en functioneel beheer

Wanneer we kijken naar beheerprocessen van IT-systemen, dan maken we onderscheid in:

  • Technisch beheer (ITIL): Richt zich op het beheer van de IT-infrastructuur (servers, netwerk, verbindingen, etc.). De IT-infrastructuur is een basis waarop applicaties kunnen draaien.
  • Applicatiebeheer (ASL): Een applicatie is een programma dat bedoeld is voor de eindgebruiker (in dit voorbeeld dus de programma’s waarmee de alarminstallatie, camerabewakings-en toegangscontrolesystemen door de beveiligingsorganisatie gebruikt en bediend worden). Onder applicatiebeheer wordt verstaan het aanpassen van de applicatie naar aanleiding van geconstateerde fouten in de applicatie of veranderende technische of functionele eisen.
  • Functioneel beheer (BiSL): De applicaties worden gebruikt door de gebruikersorganisatie, in dit voorbeeld de beveiligingsorganisatie. De gebruikersorganisatie zal aan moeten geven aan welke eisen de applicatie en de onderliggende infrastructuur moet voldoen en controleren of deze na een aanpassing inderdaad nog voldoen.

Deze indeling is van belang om duidelijk te maken welke rol de gebruikersorganisatie, bijvoorbeeld de beveiligingsorganisatie, heeft en welke rol is weggelegd voor de IT-afdeling.

Uniformiteit in beheer

Het voordeel van het overdragen van technisch en applicatie beheer aan de IT-afdeling is dat de beveiligingssystemen goed beheerd kunnen worden, zoals de organisatie dat ook doet met andere IT- systemen.

Denk bijvoorbeeld aan de volgende IT-processen waarbij aangesloten kan worden, zoals:

  • IT Service Continuity Management: hoe kunnen we ervoor zorgen dat bij uitval van de beveiligingssystemen de continuïteitsplannen in werking treden?
  • Information Security Management: hoe zorgen we dat de beveiligingssystemen voldoen aan de beveiligingseisen beschikbaarheid, integriteit en exclusiviteit?
  • Change Management: hoe kunnen we wijzigingen in de beveiligingssystemen via een geformaliseerd wijzigingsbeheer laten verlopen om risico’s te voorkomen?
  • Problem Management: hoe kunnen we problemen in de werking van de beveiligingssystemen op een gestructureerde wijze oplossen?
  • Incident Management: hoe kunnen we incidenten die de werking van de beveiligingssystemen nadelig beïnvloeden snel en adequaat oplossen, inclusief escalatie?
  • Service Asset & Configuration Management: hoe kunnen we de configuratie-items, in casu de verschillende onderdelen van de beveiligingssystemen zoals detectoren, camera’s, paslezers, etc. inzichtelijk en beheersbaar krijgen?
  • Service Desk: hoe kunnen we storingen aan beveiligingssystemen melden en vragen stellen over de beveiligingssystemen?
  • Access Management: autorisatiebeheer, wie mag welke rechten hebben op het beveiligingssysteem qua bedienen, uitschakelen, camerabeelden terugkijken, etc. en hoe kunnen we dat managen?

Het overdragen van het technisch en applicatie beheer van de beveiligingssystemen aan de IT- afdeling zorgt ervoor dat deze beveiligingssystemen procesmatig beter beheerd kunnen worden. We sluiten hiermee aan op andere beheerprocessen binnen de IT-organisatie en de beveiligingssystemen zijn dan geen vreemde eend meer in de bijt.

Maar wat is (en blijft) de dan de rol van de gebruikersorganisatie?

Anders dan technisch en applicatie beheer richt functioneel zich niet op IT-afdelingen (supply), maar juist op de gebruikersorganisatie (demand). Dit functioneel beheer dient dan ook belegd te zijn bij en de verantwoordelijkheid te zijn van de gebruikersorganisatie.

Vanuit de gebruikersorganisatie wordt gekeken naar de juiste OBER-mix: organisatorische, bouwkundige, elektronische en reactieve beveiligingsmaatregelen. Dit impliceert dat voor de elektronische beveiligingssystemen zoals alarminstallaties, camerabewakings- en toegangscontrolesystemen de gebruikersorganisatie nog steeds bepaalt welke maatregelen nodig zijn en welke eisen er aan die maatregelen gesteld worden.

Samenwerken vanuit verschillende rollen

Processen die we aan de zijde van de gebruikersorganisatie inrichten zijn bijvoorbeeld:

  • Opstellen beveiligingsstrategie: hoe ziet onze beveiligingsstrategie eruit inclusief leveranciersmanagement en afstemming met ketenpartners?
  • Portfoliomanagement: hoe ziet ons beveiligingsportfolio eruit en welke beveiligingssystemen hebben we nodig?
  • Technologische ontwikkelingen: welke ontwikkelingen spelen er binnen de beveiligingswereld en hoe kunnen we die toepassen binnen onze organisatie?
  • Ontwikkeling bedrijfsprocessen: hoe zien onze beveiligingsprocessen eruit en hoe kunnen die ondersteund worden met beveiligingssystemen?
  • Gebruikersbeheer: wie mag met welke rechten waarbij?
  • Functionaliteitenbeheer: welke specificaties stellen we aan de beveiligingssystemen?

Een belangrijk voordeel van deze aanpak is dat de gebruikersorganisatie zo in staat is de functionele eisen en wensen die gesteld worden aan de elektronische beveiligingssystemen vast te kunnen leggen in een Service Level Agreement (SLA) tussen de gebruikersorganisatie en de IT-afdeling.

De beveiligingsorganisatie mag en moet dus eisen stellen aan de IT-afdeling en deze afspraken moeten formeel vastgelegd worden in SLA’s. De beveiligingsorganisatie mag de IT-afdeling aanspreken als niet aan de eisen wordt voldaan.

En hoe krijgen we dit beheer dan goed werkend?

Om de overgang van het beheer van de beveiligingssystemen naar de IT-afdeling in gang te zetten en soepel te laten verlopen zijn er minimaal twee partijen nodig: de latende gebruikersorganisatie en de ontvangende IT-afdeling.

Belangrijkste daarbij is begrip over en weer. Zo zal de beveiligingsorganisatie ervaring op moeten doen met IT-beheerprocessen zoals ITIL, ASL en BiSL. Gelijktijdig zal de IT-afdeling begrip moeten krijgen van de beveiligingssystemen zoals alarminstallaties, camerabewakings- en toegangscontrolesystemen.

Dit goed voor elkaar krijgen is echter bepaald geen sinecure, het is geen kortetermijnoplossing die alle problemen direct oplost en het zal alleen slagen met de juiste steun van het management. Maar als het eenmaal gelukt is dan kunnen we wel spreken over een volwassen beheer van de beveiligingssystemen.

Performancemeting toegangsverlening

“Iedereen komt hier zo maar met de deur in huis vallen.”

Hoe wij de toegangsverlening verbeterde door penetratietesten uit te voeren en de beveiligers meer bewust te maken

Bij een grote organisatie zijn op meerdere locaties beveiligingsloges ingericht. Hier houden ingehuurde beveiligers toezicht op het gebouw. Zij zijn het eerste aanspreekpunt en daarmee het visitekaartje voor de opdrachtgever. Voor de toegangsverlening van medewerkers en bezoekers zijn richtlijnen opgesteld. Van de beveiligers verwacht de opdrachtgever dat zij deze richtlijnen naleven vanuit een klantvriendelijk perspectief.

De klantvraag

Ik wil de bevestiging, dat de ingehuurde beveiliging capabel is. Ik moet er als opdrachtgever op kunnen vertrouwen dat de beveiliging alleen daartoe geautoriseerde personen tot onze gebouwen toe laat.

De aanpak

De opdrachtgever biedt binnen de organisatie ruimte aan scholing en ontwikkeling. Binnen de afdeling Facility Management worden voortdurend stagiairs en afstudeerders begeleid bij opdrachten, die zowel voor de student als de stage-biedende organisatie van nut moeten zijn.

Een afstudeerder van de Hogeschool voor Security Management wordt binnen de organisatie van de opdrachtgever door ons begeleidt. Zijn opdracht is het ontwikkelen van een testprogramma, die de door opdrachtgever ingehuurde beveiligingsorganisaties moet testen en moet leren de toegangsverlening op orde te hebben.

Er worden 14 scenario’s ontwikkeld om het beveiligd gebied van de opdrachtgever binnen te komen, enkel en alleen door de eisen en richtlijnen voor toegangsverlening te omzeilen. Deze scenario’s worden goed uitgedacht en met een zeer beperkte groep besproken. Vervolgens wordt afgesproken de scenario’s in de praktijk te gaan toetsen. Voor alle zekerheid wordt een vrijwaringsbrief opgesteld vanuit de beleidsmakende afdeling, om in geval dat de politie wordt ingeschakeld duidelijk te maken dat het hier om een interne toets en leerprogramma gaat.

De testen gaan van start en helaas lukt het in 10 van de 14 gevallen om binnen te komen. De scenario’s worden achteraf gefilmd zoals deze zich in werkelijkheid hebben voltrokken. Voor de beveiligingsorganisaties wordt een leerpakket samengesteld, waar deze films deel van uitmaken. Met de beveiligingsorganisaties wordt afgesproken dat zij dit leerpakket delen met hun teams. Tevens dat gedurende het jaar meerdere malen door een externe organisatie zal worden getoetst of het buiten de richtlijnen betreden van het beveiligd gebied nog mogelijk blijkt te zijn.

Het resultaat

Er is in het begin nog even een stroeve start. Op 3 locaties lukt het nog om de richtlijnen te omzeilen. Het management van de beveiligingsorganisaties wordt nogmaals benadrukt hun teams scherp te krijgen. En de gezamenlijke effort werpt zijn vruchten af. In het laatste kwartaal van het onderzoeksjaar lukt het niet meer om ongeautoriseerd toegang te krijgen tot de gebouwen van de opdrachtgever.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Met een compleet pakket aan diensten helpen wij organisaties in control te komen en te blijven op het gebied van beveiliging. Van het ontwikkelen van performancetoetsen en het uitvoeren hiervan tot audits op het gebied van beveiliging. Ook voor het ontwikkelen van trainingen en awareness programma’s ben je bij ons aan het juiste adres.

Daarbij hebben wij als doelstelling om onze kennis te delen met Young Security Professionals. Door hen ervaring te laten opdoen bij opdrachtgevers en hen daarbij te begeleiden, versterken wij op langere termijn het vakgebied Security Management.

Integratie beveiligingsloges

“Geen cent te veel, hoor!” (Zeeuws meisje)

Hoe wij ervoor zorgden dat een integratie tussen meerdere beveiligingsloges in 10 maanden werd terugverdiend

De goede dingen doen en dan deze dingen ook goed doen. Impliciet is dat je effectief en efficiënt met je geld wilt omgaan. Bij een periodieke herijking van de beveiligingscontracten werd een eerder verworpen besparingsvoorstel tegen het huidige licht gehouden. Eerder werd het nog niet mogelijk geacht om de beveiligingscapaciteit van de twee datacenters te reduceren. Veel ontwikkelingen en daarmee veel activiteit op de locaties verhinderde dat destijds. Maar dat was nu twee jaar later wel anders.

Een inventarisatie leverde de wetenschap op, dat gedurende de nachtelijke uren en in het weekend de bezetting op beide locaties miniem was. Dit waar nog geen twee jaar geleden ook in de avonden en nachten meerdere changes waren ingepland, waardoor er behoorlijk wat personeel zich in beide gebouwen bevonden.

De klantvraag

Kijk of we de capaciteit van de dagelijkse bezetting van beveiliging op onze datacenters kunnen reduceren bij een gelijkblijvend kwaliteitsniveau. Ofwel: geen toenemend risico voor de veiligheid of beveiliging van beide locaties.

De aanpak

Bij het bespreken van het voorstel met diverse stakeholders kwam er het nodige ‘oud zeer’ omhoog. Meerdere niet onderbouwde redenen werden geopperd waarom het niet mogelijk zou zijn om met minder beveiligers op locatie te zitten. Dit had niet zo zeer te maken met het voorstel op zich, maar meer met diverse zaken die tot op heden niet goed waren ingeregeld.

Besloten werd om alle risico’s nog eens kritisch onder de loep te nemen en vervolgens hier mitigerende maatregelen voor te formuleren. Zo bleek bijvoorbeeld dat niet op alle plaatsen in het gebouw telefonisch bereik mogelijk was. Het vervangen van de 13 jaar oude portofooninstallatie bood hiervoor uitkomst. Ook in de oplossing voor ‘man-down’-signalering kon met de nieuwe portofoons worden voorzien.

Met de leverancier is gekeken of het mogelijk was de bestaande security managementsystemen met elkaar te verbinden, zodat het mogelijk is dat de ene beveiligingsloge de activiteiten van de andere beveiligingsloge kan overnemen. En andersom natuurlijk ook. Dit bleek mogelijk en samen met een beveiligde lijn kon het remote beheren van de andere locatie gerealiseerd worden.

In het plan was verder niet voorzien in het verbouwen of het verhuizen van de beveiligingsloges. Was er nog een stakeholder met twijfel, dan werd deze overtuigd dat opschalen naar het oude niveau zonder meer mogelijk is.

Het resultaat

Na het lanceren van het idee zijn in een Risk Assessments alle risico’s opnieuw doorgelicht. Naar tevredenheid van alle betrokken stakeholders waren voor alle denkbare risico’s voldoende tegenmaatregelen voor handen om deze risico’s weg te nemen. Wel viel de investering voor de opdrachtgever hoger uit nu diverse eerder uitgestelde vervangingsinvesteringen moesten worden meegenomen om het plan zonder risico’s te kunnen uitvoeren.

Desondanks lag er een wel zeer positieve business case: in iets minder dan 10 maanden tijd kan de investering worden terugverdiend doordat iedere week 170 uren minder nodig is aan de inzet van externe beveiligers.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Doen we de goede dingen en doen we deze goed? Deze kernvraag hanteren wij voortdurend. Wij durven te stellen dat iedere organisatie, noemenswaardig op het kostenbudget van beveiliging kan, besparen, mits dit in combinatie bedacht wordt met investeringen in nieuwe, andere technieken. Als ketenregisseur voeren wij de regie over de beveiligingsportefeuille en leggen we opdrachtgevers de nodige ideeën voor besparingen.

Uiteraard kijken we dan naar het laaghangende fruit, dat snel geplukt een mooie besparing kan opleveren. Maar juist kijkend naar de samenhang tussen mensbeveiliging en technische beveiliging en dan inzoomend op de meerjarenonderhoudsplanningen (MJOP), dit biedt mogelijkheden voor langdurige besparingen en dit met behoudt of verbetering van de kwaliteit van beveiliging.

Landenanalyse

“Om te groeien moet je als organisatie over de grenzen heen durven kijken.”

Een grote internationale organisatie met kantoren in meer dan 30 landen betaalde jaarlijks meer dan € 60.000,- abonnementskosten aan twee gerenommeerde onderzoeksbureaus om informatie te krijgen over de risico’s die de organisatie loopt in de landen waarin zij gevestigd is.

Naast dit aanzienlijke vaste bedrag aan abonnementskosten moest de organisatie aanvullend een vergoeding betalen als zij vroeg om een specifiek rapport van een land. Per rapport ging het dan om een bedrag van minimaal € 2.500,-. Deze rapporten waren zeer algemeen van aard. De specifiek voor de organisatie van toepassing zijnde risico’s werden niet expliciet behandeld. De tevredenheid van de klant over de door de onderzoeksbureaus geleverde diensten nam langzaam af.

De klantvraag

Omdat de klant het vermoeden had meer dan gemiddelde risico’s te lopen in een Afrikaans land waar de klant een vestiging had, was de vraag aan ons om een landenanalyse uit te voeren en hiervan een rapport op te stellen, gebaseerd op openbaar beschikbare informatie.

De aanpak

Van de organisatie van de opdrachtgever hebben we het risicoprofiel aandachtig bestudeerd. Met dit actuele risicoprofiel voor ogen hebben we de vrij op het internet beschikbare informatie hiermee vergeleken. We hebben een aantal dagen nodig gehad om een voor de klant specifieke landenanalyse te maken. Juist de voor de organisatie relevante risico’s zijn in de rapportage prominent verwoord, voorafgaand aan de meer algemene informatie omtrent de aan het land gekoppelde risico’s.

Naast de risico’s zoals deze gelden voor het ondernemen en het zaken doen in het betreffende land, hebben we ook gekeken naar de risico’s voor de medewerkers. En dit dan voor:

  • De medewerkers die langdurig voor hun werk in dit land zijn gehuisvest (expats);
  • De medewerkers die tijdelijk naar dit land reizen voor hun werk;
  • De autochtone medewerkers die voor de organisatie werken;
  • De leveranciers die in het betreffende land aan de organisatie hun diensten leveren.

Het resultaat

Hiervoor staat al het belangrijkste resultaat verwoord, namelijk een specifiek op de risico’s van de organisatie toegesneden landenanalyse met daarin de maatregelen die de organisatie kan treffen om een veilige situatie te creëren voor medewerkers en klanten.

We hebben samen met de opdrachtgever een nauwlettende vergelijking gemaakt tussen het door ons opgeleverde rapport en de door de twee onderzoeksbureaus opgeleverde rapporten. Hierbij is de conclusie getrokken dat ons rapport meer organisatie-specifiek is opgesteld en bovendien meer relevante en actuelere informatie bevat inclusief concrete maatregelen.

Op grond hiervan heeft de organisatie besloten het jaarlijkse abonnement te beëindigen. Voor waar dit gewenst is zal specifiek worden gevraagd om een landenrapport op te stellen, waarin de door ons vervaardigde opzet als resultaatsinstructie wordt meegeleverd.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Onze belangrijkste focus is opdrachtgevers meer zekerheid bieden zodat de kwaliteit van hun beveiliging voldoet aan de eisen die de eigen organisatie hieraan stelt. En dit tegen de laagst mogelijke kosten.

Wij gebruiken hiervoor een aantal modellen als uitgangspunt, zoals het Security Governance Model, het beveiligingsraamwerk of het model van ketenregie. Net wat het best toepasbaar is in de betreffende situatie.

Belangrijk hierbij is dat wij ons hierbij specifiek richten op het beleid en de visie ten aanzien van beveiliging, zoals de opdrachtgever deze voor ogen heeft. Via generieke modellen de opdrachtgever een organisatie-specifiek resultaat op maat bieden. Dat is waar wij voor staan.

Hostmanship technisch geregeld

“Hostmanship is de kunst mensen het gevoel te geven dat ze welkom zijn.”

Het beveiligingsbeleid van een grote organisatie schrijft voor dat je geautoriseerd moet zijn om toegang te krijgen tot de panden van de organisatie. Een toegangspas is nodig om jezelf door de toegangspoortjes te helpen.

Bezoekers krijgen als niet-geautoriseerde personen een bezoekerspas. Deze bezoekerspas overhandigd de receptie aan de gastheer van de bezoeker. Het beveiligingsbeleid bepaald immers dat niet-geautoriseerde personen in het gebied achter de toegangspoortjes altijd begeleid moeten worden.

Niet iedereen blijkt volgens het beleid te handelen. De receptie wordt meer dan eens verzocht om bezoekers door te sturen wanneer de gastgever aangeeft dat het ophalen van de bezoeker even niet lukt. En sommige gastgevers laten de bezoekers na afloop van het bezoek zelfstandig het pand verlaten, wat meermaals heeft geleid tot verdwaalde bezoekers.

De klantvraag

Hoe kunnen we het voor elkaar krijgen dat bezoekers binnen het gebouw altijd door een gastgever worden begeleid?

De aanpak

Wat de opdrachtgever wil, is feitelijk geen rocket science. De oplossing ligt in de toepassing van het zogenaamde 4-ogen principe voor het toelaten van bezoekers. Onder dit principe kan een bezoeker nooit alleen op een pas naar binnen, maar heb je altijd een tweede persoon bij nodig om de autorisatie te verlenen voordat de bezoeker door de toegangspoortjes mag.

De leverancier van het toegangscontrolesysteem heeft dit principe al bij een andere klant geïmplementeerd. Er wordt andere software op de kaartlezers van de centrale toegangspoortjes geïnstalleerd. De bezoekerspassen worden zo geconfigureerd, dat ze alleen werken als binnen 8 seconden na het aanbieden van de bezoekerspas een tweede, geautoriseerde, toegangspas wordt aangeboden.

Wat wel nieuw is, maar feitelijk heel logisch en daarmee eigenlijk verbazingwekkend dat het als nieuw wordt betiteld, is dat ook bij het verlaten van het pand hetzelfde 4-ogen principe wordt gehanteerd. De bezoeker deponeert de bezoekerspas in de zogenaamde dropbox. Binnen 8 seconden moet een geautoriseerd persoon een pas aanbieden, om de bezoekers uitgang te verschaffen.

De feitelijke implementatie wordt ondersteund door een goede communicatie via de centrale kanalen van de organisatie. In de eerste dagen ondersteunen externe hostesses de bezoekers en hun begeleiders met tekst en uitleg op de grotere, drukkere locaties van de organisatie. Sinds de introductie staan bij de toegangspoortjes van de panden informatieborden met tekst en uitleg van het principe.

Het resultaat

De verandering werd niet door iedereen met gejuich ontvangen. Want dat halen en brengen van bezoekers vindt niet iedereen de normaalste zaak van de wereld. Hoe zouden ze dit bij hun thuis hebben georganiseerd?

Gelukkig betrof dit een kleine minderheid. Het wordt inmiddels als meer dan vanzelfsprekend en juist zeer klantvriendelijk beschouwd om de eigen bezoeker bij binnenkomst en vertrek op te vangen, welkom te heten en gedurende het verblijf binnen het pand te begeleiden.

Een bijkomend voordeel is dat de receptie de bezoekerspas al aan de bezoeker kan meegeven, zodra deze zich gemeld en gelegitimeerd heeft. Hierdoor hoeft de gastgever zich niet in een rij aan te sluiten om deze pas op te halen.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Met een compleet pakket aan diensten helpen wij organisaties in control te komen en te blijven op het gebied van beveiliging. Van het onderzoeken van welke maatregelen het best passen bij de benoemde risico’s van de organisatie tot het selecteren, contracteren, implementeren en beheren van de maatregelen.