Beveiliging onder controle

Hoe organisaties vallend onder de Nederlande Corporate Governance Code (en alle andere organisaties die hun verantwoording nemen) snel inzicht kunnen krijgen in de mate waarin ze ‘in control’ zijn over beveiliging en daarmee in staat zijn diverse operationele risico’s adequaat het hoofd te bieden.

Kijkend naar het onderwerp beveiliging, dan zou je bang kunnen worden van alle risico’s die je kunt lopen. Als je niet de rust en tijd neemt om een goede inschatting te maken van welke risico’s je realistisch inschat, dan gaan angst en emotie met je op de loop en ga je een veelvoud aan beveiligingsmaatregelen treffen.

Zo ontstaat een mismatch tussen de realistische risico’s, die echt een negatieve impact op de organisatie kunnen hebben en de maatregelen die getroffen zijn. Een kostbare zaak, niet alleen voor wat betreft de investeringen die je doet, maar ook voor het jaarlijks terugkerende onderhoud. En dan maar hopen dat de echt realistische risico’s voldoende meegenomen en gemitigeerd zijn.

Beveiliging is een onderwerp dat gestructureerd aangepakt moet worden. Hierbij moeten de realistische risico’s worden afgezet tegen de beveiligingsmaatregelen die getroffen zijn of moeten worden. Een ad hoc aanpak levert simpelweg te veel risico’s of te hoge kosten op. De vraag te stellen luidt dan:

“Hoe krijgen we beveiliging aantoonbaar onder controle?”

Good Governance: ook op het gebied van beveiliging

De Nederlandse Corporate Governance Code schrijft voor dat organisaties aantoonbaar zorg moeten dragen voor het beheersen van de operationele risico’s. Beveiliging levert een bijdrage aan het beheersen van een groot aantal van die operationele risico’s.

Wij helpen organisaties met het aantoonbaar maken van de gecontroleerde aanpak op het gebied van beveiliging. Dit doen we door Facility en Security Managers, die verantwoordelijk zijn voor het hebben, maken, uitvoeren en toetsen van beveiligingsbeleid, te helpen met het beantwoorden van de vraag:

“Hoe krijg je als onderdeel van De Nederlandse Corporate Governance Code ook beveiliging onder controle?”

Alle bij beveiliging betrokken functionarissen van de Nederlandse beursgenoteerde bedrijven vallend onder “De Nederlandse Corporate Governance Code” en alle Nederlandse organisaties die naar die code handelen, helpen wij graag.

Wat verstaan wij onder beveiliging?

Beveiliging is de juiste mix van organisatorische, bouwkundige, elektronische en reactieve maatregelen ter preventie, detectie, repressie en correctie van fysieke dreigingen gericht op mensen, informatie en bezittingen. Met beveiliging lever je een bijdrage aan de continuïteit door de processen te beschermen.

Wanneer is beveiliging aantoonbaar onder controle?

We spreken van beveiliging onder controle, als er op een structurele wijze aantoonbaar aandacht is voor beveiliging, vanuit een procesmatig aanpak en met het afleggen van verantwoording daarover.

De aanpak dient in zowel opzet, bestaan als werking te worden getoetst, zodat het onderwerp onderdeel uit gaat maken van de reeds aanwezige risicobeheersings- en controlesystemen.

Hoe weten we of we “in control” zijn?

Door naar de 10 volgende onderwerpen te kijken en de bijbehorende stellingen te beantwoorden, krijgen we snel inzicht in de aspecten die al voldoende op orde zijn en de onderwerpen die nog aandacht behoeven.

  1. Verantwoordelijkheden: Eén van de bestuurders is expliciet verantwoordelijk voor beveiliging en daarmee voor het beheersen van de operationele risico’s. De uitvoering van de taken op het gebied van beveiliging is formeel gedelegeerd aan een daartoe aangewezen en geëquipeerde functionaris of afdeling binnen (of buiten) de organisatie.
  2. Beveiligingsbeleid: Er is een formeel vastgesteld beveiligingsbeleid afgestemd op de organisatie brede risicostrategie en het dreigingsprofiel. De missie, visie en strategie op het gebied van beveiliging en de beschrijving van de taken, bevoegdheden en verantwoordelijkheden is erin opgenomen.
  3. Dreigingsprofiel: Er is een formeel vastgesteld dreigingsprofiel op het gebied van beveiliging, waarin de combinatie van realistische dreigingen, dadertypen inclusief hun motieven en te verwachten aanvalsmiddelen zijn vastgelegd. Dit dreigingsprofiel is de basis voor de effectieve en efficiënte inrichting van beveiliging binnen de organisatie en vormt de basis voor de risicoanalyses die uitgevoerd worden.
  4. Operationeel risicomanagement: Beveiligingsrisico’s wordt als integraal onderdeel gezien van operationeel risicomanagement, waarbij afstemming plaatsvindt met gebieden als informatiebeveiliging, veiligheid, privacy, business continuity en disaster recovery. Beveiligingsrisico’s die geaccepteerd worden, doorlopen een formeel risicoacceptatieproces.
  5. Vitale bedrijfsprocessen en kritische assets: Er is een geformaliseerd en actueel overzicht met voor de vitale bedrijfsprocessen van de organisatie kritische assets (informatie, materieel en personeel), dat met beveiligingsmaatregelen beschermd moet worden.
  6. Risicoanalyses: Er worden periodiek risicoanalyses op het gebied van beveiliging uitgevoerd, op basis waarvan de mix aan beveiligingsmaatregelen wordt getroffen om de onacceptabele risico’s af te dekken.
  7. Beveiligingsplannen: Op basis van de uitgevoerde risicoanalyses worden de beveiligingsplannen opgesteld, waarin in opzet, bestaan en werking beschreven is welke maatregelen getroffen zijn, welke risico’s nog niet volledig zijn afgedekt en welke restrisico’s formeel geaccepteerd zijn.
  8. Rapportage: Er is een rapportagestructuur, waarmee de voortgang en status van beveiliging inzichtelijk is en op basis waarvan continu verbeteringen worden doorgevoerd.
  9. Incident management proces: Er is een incident managementproces ingericht, zodat de organisatie proactief kan anticiperen en adequaat kan reageren, indien zich een incident op het gebied van beveiliging voordoet of voor dreigt te doen. Relevante beveiligingsincidenten worden gemeld, geregistreerd en geanalyseerd.
  10. Controle door auditing, mystery visits en penetratietesten: De auditfunctie toetst periodiek de aanpak van beveiliging in opzet, bestaan en werking en rapporteert over haar bevindingen. De maatregelen worden onderhouden en periodiek getest door middel van mystery visits en penetratietesten.

Meer inzicht met het Good Security Governance Model

Op basis van de bovengenoemde onderwerpen is snel inzicht verkregen in de mate waarin de organisatie “in control” is op het gebied van beveiliging. Voor organisaties die meer detailinzicht willen hebben in de volwassenheid van de beveiliging, kan met een set van detailvragen de diepgang worden gezocht.

Het Good Security Governance Model dat door ons ontwikkeld is, levert inzicht in de volwassenheid van de beveiliging binnen de organisatie. De organisatie wordt bewust van de reële risico’s en de maatregelen die hiertegen te nemen zijn.

Je weet waar je uit wilt komen en je weet hoe je daar moet komen. Dit is neergelegd in een heldere, breed gedragen visie. Alle betrokken weten wat je gaat doen, welk budget je nodig hebt, waar je dat aan gaat besteden en wat dat oplevert. Op die manier kun je erop vertrouwen dat het proces gewoon zijn werk zal doen. Je doet de goede dingen en die doe je goed. Je bent ‘in control’.