Waarom de fysieke beveiligingsorganisatie vaak (nog) niet leert (en wat je eraan kunt doen)

In de wereld van organisatiekunde praten we vaak over ‘continue verbetering’ en de welbekende PDCA-cyclus (Plan-Do-Check-Act) om dit te bereiken. Dit concept, oorspronkelijk van Deming, is essentieel voor elke organisatie die vooruit wil. Toch zien we in de praktijk, zeker binnen het domein van fysieke beveiliging, dat een lerende organisatie vaak (nog) geen realiteit is. Maar hoe komt dat en wat kun je eraan doen? 

De theorie versus de harde praktijk

De theorie van continue verbetering door middel van de PDCA-cyclus stelt organisaties in staat om planmatig te werken, te doen wat gepland is, te controleren of het werkt en vervolgens bij te sturen voor constante vooruitgang. Daarin verschilt het onderwerp fysieke beveiliging niet van andere onderwerpen binnen de organisatie.

Echter, wanneer we kijken naar de fysieke beveiligingsorganisatie, zien we vaak dat deze cyclus niet of nauwelijks wordt doorlopen. Het resultaat? Geen structurele verbetering of in het ergste geval zelfs een verslechtering van de beveiligingssituatie. 

De gevolgen: Stilstand in fysieke beveiliging

Wanneer een organisatie geen lerende organisatie is op het gebied van fysieke beveiliging, leidt dit tot een reeks consequenties:

  1. Verhoogd risico op incidenten: 
    • Kwetsbaarheid voor nieuwe dreigingen: Oude systemen en procedures zijn niet of onvoldoende voorbereid op nieuwe of gewijzigde risico’s.
    • Ineffectieve maatregelen: Beveiligingsinvesteringen zijn minder effectief en gaten in de verdediging blijven mogelijk bestaan.
    • Hogere kans op en impact van incidenten: Er wordt niet geleerd van incidenten die zich hebben voorgedaan en de beveiliging wordt daar niet op aangepast om dergelijke incidenten te voorkomen of de schade ervan te beperken met financiële verliezen en verstoringen als gevolg.

    2. Operationele & financiële impact: 

    • Hogere kosten: Incidenten leiden tot herstel, onderzoek, hogere verzekeringspremies.
    • Reputatieschade: Incidenten schaden het vertrouwen van klanten, partners en medewerkers, wat kan leiden tot omzetdaling en een negatief imago.
    • Non-compliance: Het niet voldoen aan wet- en regelgeving (o.a. Wet weerbaarheid kritieke entiteiten, Cyberbeveiligingswet, AVG) verhoogt het risico op boetes en juridische problemen.

    3. Interne stagnatie & demotivatie:

    • Ouderwetse processen en systemen: Inefficiëntie, hogere kosten, langere doorlooptijden en meer fouten.
    • Gebrek aan innovatie: Focus op ‘brandjes blussen’ in plaats van proactieve aanpak van dieperliggende problemen.
    • Defensieve houding: Fouten worden verborgen door gebrek aan een leercultuur.
    • Minder wendbaarheid: Moeite met aanpassen aan onverwachte veranderingen in markt of maatschappij.
    • Demotiverende werkomgeving: Weinig groei en innovatie leiden tot demotivatie, verloop en verzuim van talentvolle medewerkers.
    • Onbenut potentieel: Ideeën en talent van medewerkers worden niet benut voor verbetering.

    4. Langetermijnrisico’s voor bestaan:

    • Verlies van continuïteit: Ernstige incidenten kunnen de bedrijfsvoering lamleggen, vooral bij kwetsbare kritieke infrastructuur of data.
    • Onverantwoorde risicoacceptatie: Management heeft een onrealistisch beeld van risico’s door gebrek aan diepgaande analyse en verbetermechanismen.

    Een lerende organisatie in fysieke beveiliging is essentieel. Het betekent proactief en continu analyseren, trainen, evalueren en bijsturen om een robuuste en effectieve beveiligingshouding te behouden in een dynamisch dreigingslandschap.

    De oorzaken van stagnatie in fysieke beveiliging

    Er zijn diverse oorzaken te benoemen waarom de lerende beveiligingsorganisatie uitblijft, denk bijvoorbeeld aan: 

    • Gebrek aan strategie en visie: Er ontbreekt een duidelijke langetermijnvisie voor fysieke beveiliging. Wat wil de organisatie bereiken op dit gebied? Welk ambitieniveau streeft men na? Zonder deze kaders is het moeilijk om gericht te verbeteren. 
    • Geen inzicht in de mate van volwassenheid: De volwassenheid van de beveiligingsorganisatie wordt niet gemeten waardoor een duidelijk startpunt voor verbetering ontbreekt en niet duidelijk is wat er gedaan moet worden om het volgende volwassenheidsniveau te bereiken. 
    • Geen meetbare doelen (KPI’s): Hoe weet je of je vooruitgaat als je niet meet? Binnen veel organisaties zijn er voor beveiliging geen Key Performance Indicators (KPI’s) vastgesteld om op te sturen. Hierdoor blijft onduidelijk of wat er gedaan wordt wel effectief is en goed genoeg is. 
    • Ontbrekende systematische aanpak: De dagelijkse praktijk kenmerkt zich vaak door ad-hoc handelen en “waan van de dag”. Er wordt veel gedaan, maar zonder duidelijke kaders of een systematische werkwijze. Dit betekent dat acties incidenteel zijn en er geen doorbraak plaatsvindt in het planmatig en procesmatig werken. 
    • Onvoldoende toetsing en controle: Een cruciaal onderdeel van leren is controleren of je op de goede weg bent. In de fysieke beveiliging worden vaak niet of nauwelijks inspecties, controles en audits uitgevoerd. Er ontbreken bovendien duidelijke normenkaders waaraan getoetst kan worden, wat het onmogelijk maakt om te bepalen of de genomen maatregelen effectief zijn. 
    • Niet leren van incidenten: Incidenten en fouten uit het verleden zijn de meest waardevolle leermomenten. Toch wordt er niet altijd systematisch van geleerd. Veranderingen worden soms wel doorgevoerd naar aanleiding van een incident, maar zonder een grondige analyse is het onduidelijk of deze veranderingen daadwerkelijk tot een verbetering leiden. Het ontbreekt aan concrete verbeterplannen gebaseerd op analyses. 
    • Gebrek aan borging: Lessen die geleerd zijn en verbeteringen die zijn doorgevoerd, moeten geborgd worden om herhaling van fouten te voorkomen en vooruitgang vast te houden. Helaas gebeurt dit vaak onvoldoende. Kennis blijft te in de hoofden van individuen zitten en er wordt te veel vertrouwd op de inzet van die individuen. Dit leidt ertoe dat stappen steeds opnieuw moeten worden uitgevoerd zonder echte vooruitgang te boeken. 

    Het PDCA-probleem in de praktijk

    Om te spreken van ‘continue verbetering’ is een werkende PDCA-cyclus noodzakelijk. Bij een gebrek aan een lerende organisatie kunnen de problemen zich op verschillende plaatsen in de PDCA-cyclus manifesteren en ze kunnen zich tevens in verschillende combinaties voordoen. Veel voorkomende uitdagingen zijn:

    • Te veel Plan, te weinig Do: Organisaties besteden veel tijd aan planning, zoals het opstellen van beveiligingsbeleid en het uitdenken van processen. Een goede eerste stap. Echter, als deze plannen niet worden geïmplementeerd of nageleefd, blijft het bij ‘papieren tijgers’ en treedt er geen concrete verbetering op. 
    • Te veel Do, te weinig Plan: Omgekeerd komt het ook voor dat er te weinig planning is. Er is geen Security Manager aangesteld, er ontbreekt een gedegen plan, er wordt geen beleid opgesteld, processen worden niet uitgewerkt en er zijn geen ambitie of doelstellingen vastgesteld. Hierdoor opereert de organisatie ad-hoc, zonder duidelijke kaders. 
    • Te weinig Check: Het ontbreekt aan duidelijke normenkaders waaraan getoetst kan worden en er is een gebrek aan inspecties, controles en (onafhankelijke) audits, waardoor het onduidelijk is of de genomen acties effectief zijn en wat er nog verbeterd kan worden. 
    • Te weinig Act: Zelfs als er analyses worden gedaan, worden de lessen uit risicobeoordelingen, incidenten en audits niet vertaald naar concrete verbeterplannen en acties die daadwerkelijk leiden tot aantoonbare verbetering. 
    • Onvoldoende borging: Het geheel wordt niet of onvoldoende geborgd waardoor stappen steeds opnieuw uitgevoerd worden zonder vooruitgang te boeken. Kennis zit te veel in de hoofden van mensen en er wordt te veel vertrouwd op de inzet van individuen.

    De oplossing: een toereikende en lerende beveiligingsorganisatie

    Om deze uitdagingen te overwinnen, is het cruciaal om een toereikende en lerende beveiligingsorganisatie in te richten op strategisch, tactisch en operationeel niveau. Dit houdt onder meer in:

    • Vaststellen van ambitieniveau en doelstellingen: Bepaal wat de organisatie wil bereiken met haar fysieke beveiliging en meet, door middel van een volwassenheidsmeting, hoe je ervoor staat. 
    • Opstellen van beleid en processen: Creëer duidelijke kaders en werkwijzen en implementeer wat er bedacht is: Van plannen naar actie. 
    • Systematisch werken: Doorbreek de waan van de dag door planmatig en procesmatig te gaan werken en aan te sluiten bij andere processen binnen de organisatie. 
    • Regelmatig controleren: Creëer duidelijkheid over de effectiviteit van maatregelen door inspecties, controles en (onafhankelijke) audits uit te voeren.
    • Leren van risico’s, incidenten en fouten: Analyseer risico’s en incidenten (die zich binnen of buiten de organisatie hebben voorgedaan) grondig en maak concrete verbeterplannen. 
    • Borging van kennis: Voer informatiemanagement, kennismanagement en documentmanagement in. Vertrouw niet alleen op de kennis en inzet van individuen. 
    • Een complete beveiligingsorganisatie: Zorg voor een organisatie met voldoende functiescheiding. Zorg dat er invulling wordt gegeven aan rollen of functies als Security Manager en Security Officers, stem af met andere risicogebieden (BCM, informatiebeveiliging, veiligheid, etc.), betrek het lijnmanagement en stel auditors aan die het geheel controleren. 

    Hoe staat jouw organisatie ervoor? Een snelle check:

    Ben je benieuwd hoe jouw eigen organisatie presteert op het gebied van lerende fysieke beveiliging? Neem even de tijd om de volgende 10 vragen te beantwoorden. Hoe vaker je volmondig ‘ja’ kunt zeggen, hoe meer de organisatie al op de goede weg is!

    1. Strategie & visie: Heeft jouw organisatie een expliciete langetermijnvisie, duidelijke ambities en een beleid voor fysieke beveiliging vastgesteld en gecommuniceerd?
    2. Meetbare doelen: Zijn er concrete en meetbare KPI’s gedefinieerd voor de prestaties van de fysieke beveiliging en worden deze regelmatig gemonitord?
    3. Systematisch werken: Worden beveiligingsprocessen en procedures systematisch gevolgd en zijn ze gedocumenteerd, in plaats van dat er ad-hoc wordt gehandeld?
    4. Toetsing & controle: Voert jouw organisatie op reguliere basis inspecties, controles en onafhankelijke audits uit om de effectiviteit van het geheel aan fysieke beveiliging in het algemeen en de fysieke beveiligingsmaatregelen in het bijzonder te toetsen?
    5. Risico- en incidentanalyse: Worden beveiligingsrisico’s en -incidenten (en bijna-incidenten) grondig geanalyseerd om de dieperliggende oorzaken te achterhalen, in plaats van alleen de symptomen te bestrijden?
    6. Verbeterplannen: Worden lessen uit analyses, incidenten en audits systematisch vertaald naar concrete verbeterplannen met duidelijke verantwoordelijkheden en deadlines?
    7. Kennisdeling: Zijn er structurele mechanismen (bijv. een kennisbank, interne overleggen) aanwezig om ‘lessons learned’ en best practices op het gebied van fysieke beveiliging te delen binnen de organisatie?
    8. Borging: Is de opgedane kennis en zijn de doorgevoerde verbeteringen vastgelegd in beleid, procedures en trainingen, zodat ze niet afhankelijk zijn van individuele medewerkers?
    9. Opleiding en training: Investeert de organisatie proactief in de continue opleiding en training van alle bij beveiliging betrokken stakeholders over nieuwe dreigingen en technologieën?
    10. Leiderschapsbetrokkenheid: Zijn leiders binnen de organisatie zichtbaar betrokken en dragen zij actief bij aan het bevorderen van een cultuur van leren en continue verbetering binnen de fysieke beveiligingsorganisatie?

    Conclusie

    Het transformeren van een beveiligingsorganisatie naar een lerende entiteit is geen simpele taak, geen quick win en geen kortetermijnoplossing. Sterker nog: je zult de PDCA-cyclus meerdere keren moeten doorlopen en dat kost nu eenmaal tijd. Maar het is wel een noodzaak in een wereld waarin dreigingen constant evolueren. 

    Door een open cultuur te creëren, gestructureerde leerprocessen te implementeren, te investeren in mensen en kennisdeling, technologie te benutten en continu te evalueren, kan de fysieke beveiligingsorganisatie de stap maken van reactief naar proactief, adaptief en continu verbeterend. Dit is de sleutel tot een robuuste en effectieve beveiliging in het steeds veranderende dreigingslandschap.

    Wat levert een lerende beveiligingsorganisatie op?

    De voordelen van een lerende beveiligingsorganisatie reiken veel verder dan alleen het verminderen van incidenten. Het levert een breed scala aan positieve resultaten op voor de gehele organisatie. Denk bijvoorbeeld aan:

    • Verhoogde beveiliging en beter bewustzijn: Minder incidenten, snellere reactietijden en een proactieve houding leiden tot een veiligere omgeving voor medewerkers, bezoekers en activa. Het risico- en beveiligingsbewustzijn binnen de hele organisatie neemt toe.
    • Verbeterde efficiëntie en kostenbesparing: Door processen te optimaliseren en ineffectieve maatregelen te elimineren, worden operationele kosten verlaagd. Preventie van incidenten voorkomt dure herstelkosten en potentiële boetes.
    • Versterkte reputatie en vertrouwen: Een aantoonbaar robuuste en adaptieve beveiliging verhoogt het vertrouwen van klanten, partners en belanghebbenden. Een belangrijk aspect voor continuïteit en groei van de organisatie.
    • Grotere wendbaarheid, weerbaarheid en veerkracht: De organisatie kan sneller en effectiever inspelen op nieuwe of veranderende dreigingen, waardoor de weerbaarheid en veerkracht tegen onverwachte gebeurtenissen toeneemt.
    • Innovatie en technologisch voordeel: Door open te staan voor nieuwe ideeën en technologieën, blijft de beveiliging up-to-date en wordt optimaal gebruik gemaakt van de nieuwste ontwikkelingen.
    • Hogere medewerkerstevredenheid en -binding: Bij beveiliging betrokken medewerkers voelen zich gewaardeerd, krijgen kansen voor ontwikkeling en werken in een omgeving waar hun bijdrage ertoe doet. Dit leidt tot hogere motivatie en minder verloop.
    • Betere compliance en minder juridische risico’s: Door continu te leren en aan te passen aan wet- en regelgeving, verkleint de organisatie de kans op non-compliance en bijbehorende juridische problemen.

    Kortom, een lerende beveiligingsorganisatie is geen kostenpost maar een strategische investering die zich op vele fronten uitbetaalt en bijdraagt aan de algehele stabiliteit en het succes van de organisatie.

    Fysiek Beveiligingsbeheer: vanuit de wet een noodzakelijke transformatie

    Tot op heden was er weinig wetgeving waarin aandacht was voor fysieke beveiliging en het lukt nog niet altijd om de risico’s centraal te stellen en het op de juiste manier onder de aandacht van het hoger management te krijgen. Er wordt bijvoorbeeld gedacht dat het installeren van een inbraakdetectie- en/of camerasysteem wel voldoende is, dat het toch allemaal niet zo ingewikkeld kan zijn en/of dat een incident ons niet zal overkomen. Gezien de ontwikkelingen in wetgeving moet daar verandering in komen, willen organisaties compliant zijn.

    Onderweg naar fysiek beveiligingsbeheer

    Een goede mate van beveiliging is complex en houdt meer in dan het nemen van een aantal maatregelen. Het gaat, of zou moeten gaan, over het beheersbaar maken van beveiligings-risico’s. En dat op een zo doelmatig en doeltreffend mogelijke manier. Door de juiste combinatie van op elkaar afgestemde maatregelen die op hun beurt afgestemd zijn op de risico’s: licht waar het kan, zwaar(der) waar het moet. Aangevuld met een organisatie die in voldoende mate is voorbereid op incidenten die zich toch voordoen. Zonder te veel geld uit te geven aan maatregelen die niet nodig of te zwaar zijn en zonder te veel risico’s te lopen omdat maatregelen over het hoofd zijn gezien of niet werken zoals ze bedoeld zijn.

    Daar is een vorm van fysiek beveiligingsbeheer (physical security management) voor nodig, op basis van een gestructureerde aanpak. Dat kan niet alleen incidenten voorkomen maar zorgt er ook voor dat er niet onnodig geld uitgegeven wordt en maakt het daarnaast mogelijk om over het onderwerp te rapporteren zodat het hoger management er meer begrip bij krijgt.

    Een beperkte focus op losstaande maatregelen schiet tekort. Zeker in een tijdperk waarin vanuit wetgeving meer eisen aan risicomanagement gesteld worden en dreigingen complexer en veelomvattender zijn dan ooit tevoren. Om organisaties écht weerbaar te maken, is een fundamentele verschuiving nodig: van ad-hoc maatregelen nemen en reactieve incidentbestrijding naar proactief beveiligingsbeheer.

    Het knelpunt

    Uitzonderingen daargelaten is er binnen organisatie nog niet altijd sprake van zo’n vorm van fysiek beveiligingsbeheer. Risicoanalyses voor alle assets (locaties) zijn niet uitgevoerd of niet compleet, beveiligingsplannen voor assets ontbreken of zijn verouderd, incidenten die zich hebben voorgedaan worden niet grondig geanalyseerd of er worden nauwelijks lessen uitgetrokken. Laat staan verbeteringen doorgevoerd. Er wordt niet gerapporteerd over de status van beveiliging waardoor het bestuur er onvoldoende zicht op heeft en, soms onterecht, denkt dat het op orde is.

    Door deze cirkel in stand te houden, krijgt het onderwerp niet de aandacht die het verdient. Dat kan en moet, vanuit de wet, anders.

    Nieuwe wetgeving een gewijzigde realiteit voor fysieke beveiliging

    Recente ontwikkelingen in wet- en regelgeving, waaronder de Verklaring Omtrent Risicobeheersing (VOR), de Wet weerbaarheid kritieke entiteiten (Wwke), de Cyber-beveiligingswet (CbW) en de Digital Operational Resilience Act (DORA), onderstrepen meer en meer de noodzaak van een benadering van beveiliging waarbij de risico’s centraal staan.

    Deze wetten dwingen organisaties om fysieke beveiliging expliciet mee te nemen in hun organisatie brede manier van risicomanagement. Op basis van deze wetten moeten organisaties ook aantoonbaar (gaan) maken dat ze de risico’s in voldoende mate beheersbaar hebben gemaakt of op zijn minst stappen zetten om dat op termijn voor elkaar te krijgen. Wat geldt voor risico’s in het algemeen, geldt ook voor fysieke beveiligingsrisico’s in het bijzonder.

    • Verklaring Omtrent Risicobeheersing (VOR): De VOR vereist dat beursgenoteerde bedrijven rapporteren over de effectiviteit van hun interne risicomanagement- en controlesystemen, inclusief risico’s die verband houden met fysieke beveiliging. De VOR dwingt organisaties onder andere om fysieke beveiligingsrisico’s, als subset van de operationele risico’s, te identificeren, te beheersen en hierover verantwoording af te leggen in het jaarverslag.
    • Wet weerbaarheid kritieke entiteiten (Wwke) als Nederlandse vertaling van de Critical Entities Resilience Directive (CER): De Wwke is gericht op het verhogen van de weerbaarheid van vitale infrastructuren en kritieke entiteiten waaronder tegen fysieke dreigingen. Organisaties die onder de Wwke vallen hebben een zorgplicht en meldplicht. Dat betekent onder meer dat ze verplicht zijn om risicoanalyses uit te voeren en maatregelen te treffen om hun fysieke beveiliging te waarborgen. Ook moeten zij incidenten registreren, analyseren en (afhankelijk van het incident) rapporteren aan de bevoegde autoriteiten.
    • Cyberbeveiligingswet (Cbw) als Nederlandse vertaling van de Network and Information Security Directive (NIS2): Hoewel de Cbw primair gericht is op cyberbeveiliging, heeft deze ook implicaties voor fysieke beveiliging. Ook hier gelden de zorgplicht en meldplicht. De Cbw vereist dat organisaties, op basis van risicobeoordelingen, passende beveiligingsmaatregelen nemen om hun digitale systemen te beschermen. Fysieke beveiliging is hierbij essentieel om te voorkomen dat kwaadwillenden fysiek toegang krijgen tot de systemen en data.
    • Digital Operational Resilience Act (DORA, of in het Nederlands de verordening operationele digitale weerbaarheid): DORA stelt eisen aan de operationele weerbaarheid van bedrijven in de financiële sector, inclusief ICT-dienstverleners. Waaronder eisen ten aanzien van de ICT-risicobeheersing, het melden van ICT-incidenten, het testen van de weerbaarheid en het beheer van ICT-risico’s bij uitbesteding aan derden. De focus ligt op het versterken van de weerbaarheid tegen ICT-risico’s, zoals tegen cyberaanvallen. Omdat dreigingen vaak een hybride karakter hebben, waarbij bijvoorbeeld fysieke toegang gebruikt kan worden voor digitale aanvallen of vice versa, moet er ook gekeken worden naar de fysieke beveiligingsrisico’s.

    De implicaties voor fysieke beveiliging

    Deze wetten hebben significante implicaties voor de fysieke beveiliging van organisaties. Ze vereisen een meer systematische en risicogebaseerde aanpak, waarbij niet alleen gekeken wordt naar de beveiligingsmaatregelen maar juist ook naar de risico’s en de mate waarin de maatregelen daarop afgestemd zijn.

    Om aantoonbaar aan de wetten te voldoen moeten organisaties, ten aanzien van fysieke beveiliging, daarvoor minimaal:

    • Alle locaties in beeld hebben, inclusief de mate waarin ze daarvan afhankelijk zijn aan de hand van Te Beschermen Belangen waaronder de bedrijfsprocessen en de ondersteunende middelen (personen, informatie, materieel, attractieve zaken en overige bedrijfsmiddelen).
    • Alle realistische risico’s voor die locaties in beeld hebben. Bijvoorbeeld door het uitvoeren van risicoanalyses op basis van een dreigingsprofiel waarin naast de dreigingen ook de dadertypen, motieven en aanvalsmiddelen zijn opgenomen inclusief criteria om de kans en impact te bepalen.
    • Voor alle locaties waar ze verantwoordelijk voor zijn over actuele beveiligingsplannen beschikken waarin staat wat er aan beveiligingsmaatregelen nodig is op basis van de risico’s die onderkend zijn.
    • Inzicht hebben in de verschillen tussen de maatregelen die nodig zijn en de maatregelen die in de praktijk al genomen zijn zodat de verbeteringen inzichtelijk worden.
    • Weten of de maatregelen beheerd worden, werken zoals ze bedoeld zijn (inspecties, audits) en storingen tijdig opgelost worden.
    • Incidenten die zich voordoen melden, registreren, analyseren, erover rapporteren en er lessen uit trekken om verbeteringen door te kunnen voeren om, vergelijkbare, incidenten in de toekomst mogelijk wel te kunnen voorkomen.
    • De gegevens meten (prestatie-indicatoren) en in een zodanige vorm beschikbaar hebben dat erover gerapporteerd kan worden (dashboards) zodat aantoonbaar gemaakt kan worden wat er gedaan wordt om de risico’s beheersbaar te maken.

    Een overzichtelijke aanvliegroute

    Spreekwoordelijk is Rome niet in één dag gebouwd en moet je een olifant in kleine stukjes eten. Vergelijkbaar bouw je fysiek beveiligingsbeheer ook niet op één dag of in één keer. Afhankelijk van de stappen die de organisatie al gezet heeft en hoe volwassen de organisatie op het gebied van fysieke beveiliging is, is er een middellange of lange termijnstrategie nodig om fysiek beveiligingsbeheer op een effectieve en efficiënte manier in te richten, de risico’s onder controle te krijgen en aan de wetten te voldoen.

    Kijk je echter naar de eerdergenoemde wetten, dan is die tijd er niet (meer) en moeten er op korte termijn stappen gezet worden. Zoals Confucius (500 v Chr) al zei: Het beste moment om een boom te planten is 10 jaar gelden. Het op één na beste moment is nu. Dat wil niet zeggen dat je de stip op de horizon niet moet zetten en er de tijd voor moet nemen om daarnaar toe te groeien. Het betekent echter ook dat er eigenlijk geen tijd meer te verliezen is om de eerste resultaten te laten zien.

    Er zijn complete raamwerken om fysiek beveiligingsbeheer onder controle te krijgen (zie verderop en ik vertel je daar graag meer over) maar als we snel stappen moeten zetten dan kun je vandaag nog beginnen met de volgende overzichtelijke aanvliegroute:

    1. Breng al je locaties in kaart en voer voor iedere locatie een risicoanalyse uit;
    2. Stel de beveiligingsplannen op door daarin de maatregelen op te nemen die moeten, bepaal wat al gerealiseerd is en maak inzichtelijk waar nog verbeteringen nodig zijn;
    3. Meet de prestatie-indicatoren. Begin klein, bijvoorbeeld: voor iedere locatie is een risicoanalyse aanwezig, voor iedere locatie is een beveiligingsplan opgesteld en voor iedere locatie zijn de verbeteringen inzichtelijk;
    4. Verzamel de gegevens en presenteer ze door middel van dashboards;
    5. Verrijk die dashboards met informatie over incidenten die zich hebben voorgedaan;
    6. Zorg dat er, periodiek, over het geheel gerapporteerd wordt aan het hoger management en geef daarbij aan waar de organisatie staat ten opzichte van de lange termijnstrategie.

    Visualiseren we deze stappen, dan ziet dat er als volgt uit:

    Als organisaties met deze stappen beginnen, zijn ze al aardig op weg om meer zicht op de fysieke beveiliging te krijgen en ontstaat een kwaliteitscirkel (Deming/PDCA) waarmee de risico’s steeds beter onder controle komen. Het levert ook informatie op die met het hoger management gedeeld kan worden zodat er meer begrip ontstaat en men weet waar we mee bezig zijn. Is de basis gelegd? Dan kan daarna doorgebouwd worden en meer en meer gericht worden op de steeds meer gestructureerde manier van fysiek beveiligingsbeheer op de lange termijn.

    Daarbij wordt dan bijvoorbeeld ook de volwassenheid gemeten, het beleid opgesteld, de beveiligingsorganisatie daarop afgestemd, de beveiligingsprocessen ingericht, de leveranciers erbij betrokken en worden controles en audits uitgevoerd om het geheel steeds verder te verbeteren. Daarvoor kan bijvoorbeeld onderstaand raamwerk gebruikt worden.

    Hulp nodig?

    Met de genoemde 6 stappen kan de organisatie al snel beginnen en zichtbaar voortgang boeken. Maar ik kan me ook voorstellen dat je er wel wat hulp bij kunt gebruiken.

    Heb je het gevoel dat de risicobeoordelingen en beveiligingsplannen niet up-to-date zijn? Wij bieden de oplossing. Met Beveiligingsplan as a Service (BaaS) haal je een betrouwbare dienst in huis die je het werk uit handen neemt. Voor een vast bedrag per locatie per maand voeren wij de risicobeoordelingen uit, stellen we de beveiligingsplannen op en zorgen dat alles up-to-date blijft. Aan de hand van de prestatie-indicatoren meten we hoe de organisatie ervoor staat en we zorgen ervoor dat er dashboards beschikbaar zijn waarmee je aan het hoger management kunt rapporten. Als je wil, voeren we ook de inspecties, verschillenanalyses of beveiligingsaudits uit en monitoren we de verbeteringen voor je.

    Wil je meer weten over de 6 genoemde stappen, over de dienst waarmee we je kunnen ondersteunen of over het complete raamwerk voor fysiek beveiligingsbeheer? Stuur me een bericht of klik hier: https://www.risicoregisseurs.nl/baas-beveiligingsplan-as-a-service/>

    Download Fysiek beveiligingsbeheer: vanuit de wet een noodzakelijke transformatie

    High security? Eerst de basis maar eens op orde

    Om me heen hoor ik nog wel eens verhalen hoe “high secure” de locaties van een organisatie beveiligd zijn. Op de één of andere manier lijkt het “stoer” om zwaarbeveiligd te moeten zijn. Maar zwaar beveiligen is zo eenvoudig nog niet en kost veel inspanning, tijd, doorzettingsvermogen en heel veel geld. De keten is immers zo zwak als de zwakste schakel.

    Zwaar beveiligen is eigenlijk ook alleen nodig als de dreigingen daar aanleiding toe geven. Je moet het wellicht overwegen als je de organisatie wil beschermen tegen dreigingen als explosies of bomaanslagen, infiltratie en spionage, overvallen, sabotage en/of schietpartijen. En dat zijn complexe en soms hybride dreigingen die worden uitgevoerd door dadertypen als de georganiseerde criminaliteit, terroristische organisaties of statelijke actoren. Daartegen beveiligen is zo eenvoudig nog niet (en hoeft ook niet in alle gevallen want soms kan het ook wel een tandje minder).

    Tel vooral je zegeningen als je niet zwaarbeveiligd hoeft te zijn. Want kijk je hoe de vlag er op het gebied van fysieke beveiliging in de praktijk echt bij hangt? Dan (b)lijkt het vaak toch allemaal tegen te vallen. De maatregelen zijn er (misschien) wel maar werken (op zichzelf of in samenhang) toch niet zo goed als gedacht. Helaas kom je daar soms pas achter nadat een incident zich voor heeft gedaan. Omdat er geen inspecties of audits zijn uitgevoerd naar de werking van de maatregelen en/of omdat er geen gedegen risicoanalyses zijn uitgevoerd of beveiligingsplannen zijn opgesteld. Simpel gezegd: Het schort nog wel eens aan het basis beveiligingsniveau van organisaties.

    Voordat organisaties “high security” na gaan streven, doen ze er wat mij betreft verstandig aan eerst eens goed te kijken naar de manier waarop ze nu beveiligd zijn. Welke risico’s er zijn, welke maatregelen zijn er (nodig), hoe goed werken de maatregelen en wat kan er verbeterd worden. Eerst de basis op orde en het zogenaamde “low hanging fruit” maar eens plukken voordat er veel, heel veel, geld geïnvesteerd wordt in allerlei dure, ingewikkelde en soms onnodige beveiligingsmaatregelen.

    Met dit in gedachte, geef ik hierna 25 voorbeelden die ik in de praktijk geregeld tegenkom. Het zijn zaken die verbeterd moeten worden om eerst de basis op orde te brengen. Ik ben vooral ook benieuwd naar de voorbeelden die jij tegenkomt.

    1. De sleuteladministratie is niet op orde waardoor er onbekend is wie welke sleutel heeft en dus wie toegang heeft tot het gebouw of delen van dat gebouw en toegangsrechten zijn gestapeld waardoor iemand die er al lang werkt meer en meer rechten heeft en in ruimtes kan komen waar hij of zij niets te zoeken heeft.
    2. Er zijn wel (veel) maatregelen maar er is niet duidelijk of ze werken zoals ze bedoeld zijn omdat er geen inspecties of audits uitgevoerd worden naar de werking van de maatregelen.
    3. Er wordt gebruik gemaakt van (en soms blind vertrouwt) op de adviezen van beveiligings-leveranciers die ook de spullen (mogen) leveren waardoor de risico’s niet centraal staan en er soms te veel of de verkeerde maatregelen worden getroffen die eigenlijk niet nodig zijn maar die wel veel geld kosten.
    4. De partij die de storingen aan beveiligingsmaatregelen op moet lossen heeft niet in alle gevallen tijdig een passende oplossing waardoor langer dan noodzakelijk (soms dagen of weken) gaten in de beveiliging aanwezig zijn als een storing zich voordoet.
    5. Er is een inbraakdetectiesysteem en er zijn inbraakdetectoren maar het alarm wordt er op vaste tijdstippen opgezet waardoor delen van de dag het gebouw niet onder alarm staat (vooral ’s morgens vroeg en aan het einde van de werkdag als het gebouw verlaten is staat het alarm er nog niet op).
    6. De aanrijtijd van de mobiele surveillance is contractueel misschien 15 minuten maar de praktijk leert dat ze er al snel 30 tot 45 minuten over doen om op locatie te komen terwijl de gemiddelde crimineel slechts een paar minuten nodig heeft om zijn actie uit te voeren.
    7. Er zijn camera’s maar de beelden zijn slecht of er is niemand die actief de beelden bewaakt, zelfs niet als er gebruik wordt gemaakt van zogenaamde slimme camera’s. De camera’s schrikken (mogelijk) af en de beelden kunnen als bewijslast gebruikt worden maar incidenten worden er niet mee voorkomen.
    8. Bij het ontwerp van het gebouw is onvoldoende rekening gehouden met beveiliging waardoor vluchtwegen (die geopend moeten kunnen worden in geval van een calamiteit) door beveiligde compartimenten lopen en daar dus een risico voor vormen.
    9. Er wordt gebruik gemaakt van een (elektronisch) toegangscontrolesysteem maar aan de onbeveiligde kant van de deuren zijn nooddrukkers aangebracht waarmee de deur door onbevoegden eenvoudig geopend kan worden.
    10. Toegangspassen en -middelen worden onderling aan elkaar uitgeleend waardoor niet geautoriseerde personen toegang krijgen tot delen van gebouwen waar ze niets te zoeken hebben.
    11. Toegangspassen worden niet zichtbaar gedragen en personen zonder toegangspas worden niet aangesproken. Bezoekers kunnen door het gebouw zwerven zonder dat iemand naar ze omkijkt omdat ze niet begeleid worden.
    12. Toegangspoorten en/of beveiligde deuren staan (te lang) open waardoor het voor ongeautoriseerde personen eenvoudig is om binnen te komen of mee te lopen met medewerkers die wel geautoriseerd zijn.
    13. Deuren (reguliere deuren en/of nooduitgangen) worden opengehouden door er brandblussers of andere materialen voor te zetten. Hierdoor is er geen zicht op wie het gebouw allemaal betreedt.
    14. BHV’ers moeten toegang hebben tot alle ruimtes en hebben daarvoor de rechten op hun toegangsmiddel. Ze horen deze rechten echter alleen te gebruiken als er zich een calamiteit voordoet maar in de praktijk worden de rechten ook voor andere situaties gebruikt.
    15. De vluchtwegen zijn geblokkeerd waardoor vluchten niet mogelijk is en er onnodige slachtoffers kunnen vallen. Vluchtwegen zijn wettelijk verplicht (Arbowet, Bouwbesluit bijvoorbeeld t.a.v. brand) maar zijn ook van belang voor andere beveiligingsincidenten waarbij mensen moeten kunnen vluchten.
    16. Nooduitgangen worden gebruikt om even snel een sigaretje te roken of een luchtje te scheppen waardoor er gaten in de buitengevel ontstaan en onbevoegden eenvoudig binnen kunnen sluipen.
    17. Akoestische signalen bij nooduitgangen worden als hinderlijk ervaren (want ze maken zo’n irritant geluid). Daarom worden ze onklaar gemaakt door kabels los te knippen.
    18. Bij een ontruiming of het indrukken van een rode noodknop (ontruimingsalarm), vallen alle deuren vrij en zijn zowel het gebouw als beveiligde compartimenten daarin door ongeautoriseerde personen te betreden zonder dat er toezicht op gehouden wordt.
    19. Er is beperkte kennis binnen de organisatie aanwezig op het gebied van fysieke beveiliging, beveiligingsrisico’s en de bijbehorende maatregelen. Iemand (zoals de Facility Manager) moet het erbij doen en die heeft het al druk genoeg met allerlei andere zaken.
    20. Er is geen of een sterk verouderd beveiligingsbeleid dat in de praktijk nauwelijks gebruikt wordt en vooral een papieren tijger is.
    21. Er zijn geen risicoanalyses, beveiligingsplannen en/of -dossiers voor de locaties waardoor het ontbreekt aan inzicht. Risico’s worden over- of onderschat en de maatregelen zijn niet afgestemd op de risico’s.
    22. Er is een laag beveiligingsbewustzijn binnen de organisatie en medewerkers is niet goed uitgelegd waarom bepaalde maatregelen aanwezig zijn. Maatregelen worden als lastig ervaren en omzeild terwijl er niet gehandhaafd wordt.
    23. Het hogere management vindt dat de maatregelen niet op hen van toepassing zijn. Ze vinden de maatregelen onzinnig of leven ze niet na. Of er ontstaan juist allerlei cowboy verhalen waardoor maatregelen getroffen worden die niet nodig zijn omdat ze geen risico’s verlagen.
    24. Na een incident begint het hoogste management zich te bemoeien met de beveiligings-maatregelen en moeten er, op stel en sprong, allerlei ondoordachte maatregelen worden doorgevoerd die uiteindelijk niet leiden tot een lager risico of soms zelfs leiden tot een verhoogd risico.
    25. Er worden slechts zeer beperkt incidentanalyses uitgevoerd nadat een beveiligingsincident zich voor heeft gedaan. Er is geen sprake van een lerende organisatie en het is vooral pleisters plakken. Hierdoor is niet inzichtelijk of het incident een geaccepteerd risico betrof, wat eventueel de oorzaak van het incident is en welke verbeteringen er eventueel moeten worden doorgevoerd.

    Dit zijn praktijkvoorbeelden die ik zo kon verzinnen en als ik er nog wat verder over nadenk, kan ik er ongetwijfeld nog 25 bij bedenken. Maar welke veel voorkomende praktijkvoorbeelden kom jij tegen die organisaties op kunnen pakken om het basis beveiligingsniveau op orde te brengen? Laat ze me weten, ik ben reuze benieuwd.

    Resilience = weerbaarheid + veerkracht

    Lees meer

    Wet weerbaarheid kritieke entiteiten

    Lees meer

    Critical Entities Resilience Directive

    Lees meer

    Beveiligingsaudit versus volwassenheidsmeting

    Lees meer