Beveiligingsmodel

Beveiligingsbeheer vanuit ons model fysieke beveiliging
Beveiligingsbeheer is het middel waarmee de aanpak van fysieke beveiliging wordt geregisseerd en gecontroleerd.

Wij als RisicoRegisseurs werken vanuit een gestructureerd model voor het beheersbaar maken en houden van fysieke beveiliging. De risico’s van de organisatie staan aan de basis van onze aanpak. Deze aanpak is een combinatie van ‘een op regels gebaseerde’ en ‘een op risico’s gebaseerde’ benadering, met de nadruk op dit laatste.

  • Een op regels gebaseerde benadering wil zeggen dat volledig is beschreven en vastgelegd welke beveiligingsmaatregelen van toepassing zijn binnen de organisatie.
  • Een op risico’s gebaseerde benadering is een situationele benadering, waarbij een risicoanalyse maatgevend is voor de te treffen mix aan maatregelen.

Het beveiligingsmodel dat wij hierbij gebruiken ziet er als volgt uit:

Risico's van de organisatie

Een lijnmanager is als eigenaar van de processen verantwoordelijk voor het beheersen van de realistische risico's. Daarbij wordt gekeken naar het belang van de processen en de middelen die nodig zijn om deze processen uit te voeren en de locaties waar deze plaats vinden. Binnen de organisatie wordt bepaald welke risico's men bereid is te lopen en welke met behulp van beveiliging gecontroleerd moeten worden. En dit niet eenmalig, maar continu, zeker als er iets in de processen en de risico's hiervan wijzigt.

Beveiligingsbeleid

Het beveiligingsbeleid wordt door de directie vastgesteld en is voor iedereen geldend. In het beleid is vastgelegd wat de visie is op beveiliging en welke bereidheid er is voor het nemen van risico's. Ook wordt beschreven hoe de beveiligingsorganisatie is ingericht, wie met welke verantwoordelijkheden betrokken zijn, welke processen van toepassing zijn en wat van de medewerkers wordt verwacht.

Dreigingsprofiel

Het dreigingsprofiel beschrijft de combinaties van dreigingen, daders en aanvalsmiddelen waar de organisatie zich tegen wil beveiligen. Deze combinaties worden in de termen van wel of niet realistisch gewaardeerd. Dit vormt de basis voor de later uit te voeren risicoanalyse per locatie.

Het dreigingsprofiel wordt actueel gehouden door dreigingen en incidenten die zich binnen en buiten de organisatie voordoen te analyseren en daar waar nodig toe te voegen aan het dreigingsprofiel.

Programma van Eisen

Op basis van wet- en regelgeving, het beveiligingsbeleid en het dreigingsprofiel wordt in het Programma van Eisen beschreven welke beveiligingsmaatregelen genomen worden om de voor de organisatie benoemde risico's beheersbaar te maken. Omdat dreigingen per type locatie verschillen en omdat locaties in meer of mindere mate van belang zijn voor de organisatie kunnen meerdere Programma's van Eisen nodig zijn.

Koppelingstabel

In deze unieke stap, van het model, worden de dreigingen uit het dreigingsprofiel gekoppeld aan de maatregelen vanuit het Programma van Eisen. Bepalend hierbij is de keuze voor welke maatregelen en de zwaarte hiervan daadwerkelijk een bijdrage kunnen leveren aan het beheersbaar maken van iedere afzonderlijke dreiging. Het resultaat van alle overwegingen wordt vastgelegd in een koppelingstabel, waarmee een keuze uit duizenden mogelijkheden is gemaakt die steeds wordt toegepast als maatwerk per situatie: controleerbaar, efficiënt en effectief

Risicoanalyse per locatie

Per locatie wordt gekeken naar de processen die er worden uitgevoerd en wat hiervoor op de locatie aanwezig is. Op grond hiervan wordt bepaald welke risico's voor deze locatie realistisch zijn, wat de gevolgen daarvan kunnen zijn en welke maatregelen uit het Programma van Eisen wenselijk zijn om die risico's op een aanvaardbaar niveau te houden. Als de risicoanalyse is vastgesteld, worden daaruit de relevante maatregelen vanuit het Programma van Eisen geselecteerd.

Beveiligingsplan

In het beveiligingsplan wordt beschreven welke mix aan maatregelen gewenst is, wat hiervan al gerealiseerd is en wat nog gedaan moet worden en wanneer dat gedaan moet zijn. Waar van het Programma van Eisen is afgeweken wordt aangegeven of er alternatieven mogelijk zijn of dat het risico formeel geaccepteerd moet worden. Het beveiligingsplan wordt periodiek getoetst op actualiteit en waar er wijzigingen zijn in processen, risico's en/of maatregelen, worden deze in het plan verwerkt.

Maatregelen

De mix aan beveiligingsmaatregelen die getroffen wordt bestaat uit een combinatie van organisatorische, bouwkundige en elektronische maatregelen en de reactieve maatregelen. De maatregelen worden geïmplementeerd, onderhouden en periodiek gecontroleerd. Daar waar leveranciers betrokken zijn bij de maatregelen vindt afstemming plaats, worden de afspraken in contracten vastgelegd en wordt er periodiek verantwoording afgelegd over de prestaties.

Randvoorwaardelijk voor het model zijn verder:

Analyse van incidenten

Analyse van de incidenten en bijna incidenten, zowel van binnen als buiten de eigen organisatie, is belangrijk om helder te krijgen of de gekozen maatregelen (nog) voldoen en om inzicht te krijgen of er nieuwe dreigingen relevant zijn. Dit zorgt ervoor dat de beveiliging van de organisatie steeds zo goed als maar mogelijk is afgestemd op de realistische dreigingen die zich voor kunnen doen.

Risico acceptatieproces

Beveiliging is een lijnverantwoordelijkheid. Degene die verantwoordelijk is, moet ervoor zorgen dat de risico's voor de processen beheersbaar worden gemaakt. Hierbij wordt een keuze gemaakt tussen het wegnemen van het risico, het accepteren van een risico of een combinatie van deze beiden. Voor die risico's die geaccepteerd kunnen worden, wordt het risico acceptatieproces gevolgd. Meerdere belanghebbenden en specialisten beoordelen het risico waarna een definitieve keuze gemaakt wordt over hoe met het risico om wordt gegaan.

Audits

Het doel van beveiliging is om de risico's te beheersen. Is gedaan wat was gepland en zijn de locaties nu voldoende beveiligd?

Het uitvoeren van audits geeft zekerheid over de mate waarin de aanpak van beveiliging voldoende is georganiseerd (procesaudit) en de wijze waarop de beveiligingsmaatregelen voldoende in staat zijn (tactisch en operationele audit) om de baas over de beveiliging van de organisatie te kunnen zijn.

De flyer waarin uitgelegd wordt hoe je in zes stappen blijvend de baas over de beveiliging van je organisatie wordt, kun je hier downloaden: