Critical Entities Resilience Directive

Lees meer

Beveiligingsaudit versus volwassenheidsmeting

Lees meer

Ketenregie beveiliging, ook als je beveiliging uitbesteedt

Er zijn nogal wat trends waar je als Facilitair Manager mee wordt geconfronteerd: Smart buildings, circulaire economie, innovatie, hostmanship, verlaging van de CO2-uitstoot. En dat in combinatie met methodieken als Scrum & Agile, Lean & Mean en naast het dagelijkse servicegericht benaderen van je gasten en het managen van klantverwachtingen.

Een toch al vaak lastig gevonden onderwerp als beveiliging sneeuwt bij al dit ‘geweld’ al snel onder. Toch mag er niets fout gaan op dit gebied. Ook niet als er besloten is om het gehele facilitaire beheer uit te besteden op basis van een hoge knip uitbestedingsmodel als Integrated Facility Management of Managing Agent Modellen.

Naast de trends in Facility Management, zijn er ook binnen beveiliging een aantal trends te benoemen. Achtergrond van de meeste van die trends betreft het realiseren van een lagere Totale Cost of Ownership door een verhoging van de operationele efficiency, teneinde een bijdrage te leveren aan de winst van de organisatie.

Of in gewoon Nederlands: het moet goedkoper met een gelijkblijvende of betere kwaliteit. Zeker relevant voor beveiliging, dat gezien wordt als kosten in plaats van een directe bijdrage aan de verhoging van omzet.

Wij willen je laten zien hoe je als Facilitair Manager je beveiliging onder controle kunt hebben door het opzetten van een regie-organisatie voor beveiliging, inclusief de integratie van de keten die daarbij hoort. Ketenregie Beveiliging noemen we dit.

Regie organisatie inclusief ketenintegratie

De aspecten waar bij de inrichting van een regie-organisatie inclusief ketenintegratie rekening mee moeten houden zijn:

  • Ketens: Afstemming tussen vraag en aanbod
  • Performance management: Service Level Agreements (SLA’s) en Kritieke Prestatie Indicatoren (KPI’s)

Ketens

Een keten is een aaneenschakeling van activiteiten en organisaties die met elkaar een gezamenlijk resultaat bereiken. Vertalen we dit naar beveiliging, dan kunnen we stellen dat het resultaat moet zijn: een bij de organisatie passende beveiliging van gelijkblijvende of betere kwaliteit tegen lagere kosten door een aaneenschakeling van activiteiten en organisaties.

Maar wat is een “bij de organisatie passende beveiliging”? Om dit te kunnen bepalen, moeten de uitgangspunten voor beveiliging op orde zijn. En dan hebben we het over zaken als een dreigingsprofiel, die leidt tot een daderprofiel waar we ons tegen willen beveiligen en een beveiligingsbeleid voor de manier waarop we dat voor ons zien.

De eerste stap die dus gezet moet worden, is nagaan of het dreigingsprofiel en het beveiligingsbeleid er zijn en of ze actueel zijn. Vervolgens kan gekeken worden naar hoe de keten voor beveiliging eruitziet.

Dit verschilt uiteraard per organisatie, maar de belangrijkste schakels in de keten voor beveiliging zijn:

  • Leverancier(s) van toegangscontrolesystemen, camerabewakingssystemen en inbraakdetectiesystemen;
  • Leverancier(s) van bewakingsbeambten (stationering op locatie) en mobiele surveillancediensten;
  • De Particuliere Alarm Centrale(s);
  • Leverancier(s) van bouwkundige beveiligingsmaatregelen;
  • En bij een uitbesteding van het facilitair beheer ook de partners voor Integrated Facility Management of de Managing Agent(s).

Performance management

Zodra we zicht hebben op de keten is de volgende stap het inrichten van Performance management. Hierin zijn de Service Level Agreements en de Kritieke Prestatie Indicatoren (KPI’s) van belang.

KPI’s

Onder KPI’s verstaan we vooraf overeengekomen en vastgelegde variabelen om prestaties te kunnen meten. Als regie-organisatie kies je er bewust voor om minder inhoudelijke kennis in huis te hebben. Juist die kennis wend je aan via de specialist, de leverancier. Om grip te houden op de prestaties van de specialist, is het noodzakelijk om goede KPI’s overeen te komen. Dit zijn er in de praktijk vaak 2 tot maximaal 5. De KPI’s zijn uiteraard afgeleid uit het beveiligingsbeleid.

Organisaties zijn vaak geneigd alles te willen controleren. Besef dat er veel indicatoren randvoorwaardelijk zijn om een KPI te kunnen realiseren, en dat die wel voor de specialist relevant zijn, maar minder voor de regie-organisatie. Neem als voorbeeld het aantal storingen en de oplostijd van storingen. Dit lijken misschien KPI’s, maar zijn feitelijk slechts onderliggende prestatie indicatoren die randvoorwaardelijk zijn voor de echte KPI, nl. de beschikbaarheid van het systeem.

Met een actueel beveiligingsbeleid en een dreigingsprofiel op basis waarvan we de juiste KPI’s hebben opgesteld, zijn we aardig op weg. De KPI’s moeten, samen met andere afspraken, worden vastgelegd in Service Level Agreements (SLA’s). Dit zijn de contracten met de afzonderlijke leveranciers, waarover ze verantwoording af moeten leggen, zodat de performance van deze leveranciers gemeten kan worden.

Hierbij kunnen we twee grote uitdagingen onderscheiden:

  • Met de leveranciers SLA’s afsluiten met daarin de juiste KPI’s,
  • Het op elkaar afstemmen van alle SLA’s en KPI’s om daadwerkelijk te kunnen spreken over een keten

Afgezaagd maar waar: de keten is zo zwak als de zwakste schakel. Bij de performancemetingen moeten we ons dus in eerste instantie richten op de zwakste schakels om ervoor te kunnen zorgen dat de hele keten de juiste performance levert.

Next step: continious improvement

Richt je beveiliging als Facilitair Manager volgens het model van ketenregie in, dan ben je op weg om te realiseren dat je tegen lagere kosten een gelijkblijvende of zelfs verbeterde kwaliteit van beveiliging krijgt.

Juist omdat beveiliging noodzakelijk is om de continuïteit van organisaties te kunnen garanderen, ben je met beveiliging nooit klaar. De maatschappij, de eigen organisatie, de leveranciers, de processen, zullen in de loop van de tijd veranderen. En als Facilitair Manager wil je dat het model van ketenregie deze ontwikkelingen volgt om te voorkomen dat de maatregelen van gisteren de risico’s van vandaag niet meer afdekken.

Van een ketenregisseur beveiliging mag je verwachten, dat deze de ontwikkelingen scherp volgt en op basis van een lange termijnvisie de juiste keuzes en afwegingen maakt om de benodigde beveiligingsmaatregelen steeds op de bedrijfsrisico’s te laten aansluiten. Het

Dit vergt van de ketenregisseur:

  • Dat deze samen met de stakeholders binnen de organisatie continue de risico’s evalueert;
  • Dat sneller wordt geanticipeerd op innovaties;
  • Dat contracten meer flexibel worden ingericht om samen met leveranciers slimmer te kunnen omgaan met schaarse middelen;
  • Het betrekken van leveranciers en medewerkers van de organisatie om hen ook bewuster te maken van wat zij met hun houding en gedrag kunnen betekenen voor risicobeheersing.

Het verschil tussen beveiliging en beveiligingsbeheer

In gesprekken met nieuwe opdrachtgevers vertellen ze ons vaak trots wat er aan beveiliging al geregeld is en welke beveiligingsmaatregelen binnen hun organisatie allemaal getroffen zijn. Soms al snel gevolgd door de wat twijfelende vraag: “We zijn toch goed beveiligd?”.

Het korte antwoord

Of de organisatie goed beveiligd is, is een vraag waarop het antwoord niet 1, 2, 3 te geven is. Beveiliging is immers geen exacte wetenschap en risico’s leiden nu eenmaal tot een bepaalde mate van onzekerheid. Dus of je goed (genoeg) beveiligd bent, weet je nooit helemaal zeker. De kans dat je te weinig, de verkeerde of te veel maatregelen neemt of geconfronteerd wordt met een incident is altijd aanwezig. Die kans wordt zelfs nog groter naarmate er minder zicht is op, of begrip van, de risico’s die voorstelbaar en realistisch zijn.

Daarom zetten wij, bij de opdrachtgevers die we helpen, de risico’s centraal en stemmen de mate van beveiliging en de zwaarte van de maatregelen daaropaf. Door de manier waarop we beveiliging procesmatig inrichten, neemt de onzekerheid af. Je weet zo namelijk of het beveiligingsbeheer goed geregeld is. Daarmee verlaag je de kans dat er te weinig, de verkeerde of te veel maatregelen worden genomen aanzienlijk en kun je er beter op vertrouwen dat in ieder geval de aanpak goed genoeg is. Zo verhoog je de kans dat de onderkende risico’s beheersbaar zijn en blijven.

De vraag die wel beantwoord kan worden

Een vraag die wel beantwoord kan worden, is of het beveiligingsbeheer goed (genoeg) is. Het klinkt misschien wat cryptisch maar er is een groot verschil tussen het begrip beveiliging (security) en beveiligingsbeheer (securitymanagement). Wij helpen organisatie bij het inrichten, invoeren en uitvoeren van dat beveiligingsbeheer zodat ze de regie over de risico’s kunnen pakken en de wijze en mate van beveiliging daarop af kunnen stemmen.

Beveiliging wordt in onze optiek niet altijd beter door (nog) meer maatregelen te nemen. Vaak niet zelfs, want iedere maatregel brengt ook weer nieuwe risico’s met zich mee. Wel wordt de beveiliging beter door het beveiligingsbeheer stelselmatig in te richten zodat betere keuzes gemaakt kunnen worden. Als het beveiligingsbeheer goed is, dan kun je er beter op vertrouwen dat de beveiligingsrisico’s in voldoende mate afgedekt zijn.

Beveiliging versus beveiligingsbeheer

Onder het begrip fysieke beveiliging verstaan we het geheel aan maatregelen om de tastbare objecten van de organisatie te beschermen tegen schadelijke invloeden van bewust menselijk handelen.

Om te weten welke schadelijke invloeden er te verwachten zijn en welke daarvan realistisch zijn, worden dreigingsprofielen opgesteld en risicoanalyses uitgevoerd. Aan de hand van de hoogte van de risico’s die onderkend zijn, wordt bepaald welke maatregelen (naar verwachting) bijdragen aan het beheersen daarvan. Daarmee wordt beveiliging nog geen exacte wetenschap maar wel meer en meer een sociale wetenschap waarbij het beveiligingsbeheer zodanig is ingericht dat keuzes herleidbaar en controleerbaar zijn.

Onder het begrip beveiligingsbeheer verstaan we het besturen van de beveiliging om de belangen van de organisatie te beschermen tegen schadelijke invloeden van bewust menselijk handelen. Het heeft als doel het (her)formuleren en bereiken van de doelstellingen in de gegeven (soms sterk veranderende) context door de organisatie inclusief de processen in te richten op een manier die (naar verwachting) het beste bijdraagt aan het realiseren van die doelen. Door het beveiligingsbeheer goed in te richten en uit te voeren, verbeterd de kwaliteit van beveiliging en kan er op de resultaten gestuurd worden.

Kort samengevat richt beveiliging zich dus op het daadwerkelijk beschermen van objecten door op basis van risico’s beveiligingsmaatregelen te nemen. Beveiligingsbeheer richt zicht op het managen van de bescherming van de belangen van de organisatie door een proportionele wijze van beveiliging.

Beveiligingsbeheer is de randvoorwaarde voor een goede mate van beveiliging. Zonder goed beveiligingsbeheer kun je wel maatregelen nemen, maar weet je niet of en in welke mate de beveiligen bijdraagt aan het beheersen van de risico’s. Wil je weten of je goed beveiligd bent? Kijk dan eens naar het beveiligingsbeheer dat is ingevoerd. Is dat van goede kwaliteit? Dan kun je er beter op vertrouwen dat de getroffen maatregelen de juiste zijn.

Benieuwd naar wat wij voor jou zouden kunnen beteken?

Voorkomen is niet altijd beter dan genezen

Een oud gezegde luidt: “Voorkomen is beter dan genezen.” Naar onze mening gaat dit voor beveiliging niet altijd op. Sterker nog het is niet altijd mogelijk en ook niet altijd wenselijk. Waarom we dat vinden leggen we je graag uit.

OBER mag ik de juiste mix van u?

Binnen fysieke beveiliging spreken we al jaren over de zogenaamde OBE-mix:

organisatorische, bouwkundige en elektronische beveiligingsmaatregelen

Tenminste als je een aanhanger van De Haagse Methode bent, anders hanteer jij misschien een andere combinatie. Omdat dit te vaak wordt vergeten, vullen wij dit rijtje inmiddels al geruime tijd aan met de R van Reactie zodat ook de opvolging geborgd is.

De beveiligingsmaatregelen moeten een zo goed mogelijke mix van organisatorische, bouwkundige en elektronische maatregelen zijn, waarbij de reactie zorgt voor de nodige en tijdige opvolging van incidenten die niet voorkomen konden worden.

De vraag is echter wat een “zo goed mogelijke mix” is. Je wilt immers voorkomen dat allerlei maatregelen worden aangerukt en ingezet, zonder dat je precies helder hebt wat de risico’s zijn waartegen je deze beveiligingsmaatregelen inzet. Risicoanalyses vormen de basis om de mix van maatregelen te kunnen bepalen.

Van preventie naar correctie

Een andere mix waar we bij beveiliging rekening mee moeten houden is de zogenaamde PDRC-mix. Deze mix kijkt naar de fase waarin een onacceptabel risico zich voor kan doen en de mate waarin bepaalde beveiligingsmaatregelen een bijdrage leveren aan het voorkomen of beperken van dat risico.

  • Preventie: het voorkomen dat een incident zich voordoet. Voorbeelden van maatregelen: muren, deuren, bouten, sloten.
  • Detectie: het ontdekken dat een incident zich voordoet. Voorbeelden van maatregelen: inbraakinstallatie, camerasysteem, beveiliger op locatie.
  • Repressie: het onderdrukken van het incident op het moment dat het zich voordoet. Voorbeelden van maatregelen: compartimentering, sprinklerinstallaties, business continuity management.
  • Correctie: het herstellen van het incident nadat het zich heeft voorgedaan. Voorbeelden van maatregelen: alarmopvolging door mobiele surveillant, verzekering, disaster recovery.

Zou het gezegde ‘voorkomen is beter dan genezen’ altijd opgaan, dan zouden we er alles aan doen om het uitbreken van een incident te voorkomen. Dan zou alles wat we doen gericht zijn op preventie. Maar alles willen voorkomen kost niet alleen veel, heel veel, geld maar is ook niet altijd mogelijk of wenselijk. Daarom moet er ook de nodige aandacht voor detectie, repressie en correctie zijn.

Daarnaast moeten we er rekening mee houden dat de business as usual nog wel op een normale manier mogelijk moet zijn. Dat is immers het bestaansrecht van de organisatie en daarmee wordt, binnen commerciële organisaties, het geld verdiend en daartoe is de organisatie op aard. Beveiliging is en blijft een ondersteunend proces waar de organisatie zo min mogelijk last van moet ondervinden. Werkprocessen moeten niet onnodig gehinderd of beperkt worden door allerlei ingewikkelde en soms onnodige beveiligingsmaatregelen. De doelmatigheid en de doeltreffendheid van de primaire bedrijfsprocessen staat voorop. De beveiliging stemmen we daar zo goed mogelijk op af. Daarom kunnen incidenten ook niet altijd voorkomen worden.

Risicomanagement is ook (of eigenlijk met name) een lijnverantwoordelijkheid

Tot nu toe hebben we ons vooral gericht op beveiligingsmaatregelen. In de zin van een oorzaak-gevolg-relatie zijn beveiligingsmaatregelen ook meestal een gevolg en is het risico de oorzaak. Om zo optimaal mogelijk te beveiligen, moeten we vooral op zoek naar de oorzaken. Kunnen we die op een andere manier aanpakken? Dan zijn misschien geen, andere of minder zware beveiligingsmaatregelen nodig.

Om de toegevoegde waarde van beveiliging inzichtelijk te kunnen maken, moeten we inzicht hebben in risicomanagement, specifiek hierbij de daaruit af te leiden risicostrategie. Per risico kan daarbij overigens een afwijkende strategie gekozen worden. Het één en ander hangt onder meer af van de waarschijnlijkheid dat een risico zich manifesteert en de impact die het kan hebben als dat gebeurt in relatie tot hoe kritisch het proces is dat beschermd moet worden.

In zijn algemeenheid worden de volgende 4 risicostrategieën onderscheiden:

  1. Vermijden (kans en de impact zijn hoog)
  2. Verminderen (kans hoog, impact laag)
  3. Overdragen (kans laag, impact hoog)
  4. Accepteren (kans en impact zijn laag)

Belangrijk om op te merken is dat risicomanagement en beveiliging beiden een lijnverantwoordelijkheid zijn. Alleen de business kan namelijk bepalen welke strategie voor een bepaald risico het best passend is. Zij kunnen inschatten hoe kritisch het proces is voor de organisatie.

In zijn algemeenheid worden de volgende 3 risicogedragingen onderscheiden:

  • Risicomijdend gedrag
  • Risiconeutraal gedrag
  • Risicodragend gedrag

Een financiële instelling is over het algemeen risicomijdend, maar zij handelt ongetwijfeld ook in producten met een risicodragend profiel. Een evenementenorganisatie is in het algemeen al wat meer risicodragend ingesteld. Maar komt het op gezondheid van mensen aan, dan zal ook een evenementenorganisatie risicomijdende maatregelen voorstaan. Hiermee wordt duidelijk dat binnen een organisatie verschillende risicogedragingen voorkomen. Soms moeten risico’s zoveel mogelijk voorkomen worden, soms wordt bewust een hogere risicograad geaccepteerd.

Bij het bepalen van de juiste strategie per risico, moet de business daarom niet alleen rekening houden met het risicogedrag passend bij het eigen specifieke proces of verantwoordelijkheidsgebied, maar ook kijken naar het risicogedrag van de organisatie als geheel. Vanuit beveiliging kunnen we daarbij ondersteunen en kunnen we adviseren over de maatregelen die nodig zijn om invulling te geven aan de risicostrategie die door de lijn gekozen wordt.

De mix aan organisatorische, bouwkundige, elektronische en reactieve maatregelen die geadviseerd kan worden draagt vooral bij aan de strategieën vermijden en verminderen. Maar dus niet voordat die strategie door de business gekozen is tenzij dat wettelijk verplicht is. Bijkomend voordeel is dat deze werkwijze ook bijdraagt aan het draagvlak dat nodig is om de maatregelen werkend te krijgen en te houden. De business begrijpt beter waarom beveiligingsmaatregelen genomen worden als ze actief betrokken zijn geweest bij het bepalen van de risico’s.

Wat te beveiligen?

Processen worden ondersteund door de combinatie van personen, informatie en materieel en vinden veelal plaats in een locatie. Om te bepalen wat er beveiligd moet worden en op welke wijze, moet er een relatie gelegd worden tussen de processen enerzijds en de personen, informatie en het materieel die deze processen mogelijk maken anderzijds.

Op basis daarvan kan een set aan maatregelen worden voorgesteld ter bescherming van:

  • De gebouwen waarin die processen zich afspelen;
  • De personen die de processen uitvoeren;
  • De informatie die nodig is voor die processen;
  • Het materieel dat aan die processen bijdraagt.

Dat beschermen doen we tegen onacceptabele risico’s en met een set aan organisatorische, bouwkundige, elektronische maatregelen en waarbij we dus ook kijken naar de reactie. Hierbij houden we ook gelijk rekening met de mogelijke mix van preventie, detectie, repressie en correctie en het risicogedrag en de gekozen risicostrategie.

Waarom, waartegen en waarmee

De vragen die we ons moeten stellen is waarom, waartegen en waarmee kunnen we zo optimaal mogelijk beveiligen. Optimaal staat hierbij dus niet voor zoveel mogelijk, maar voor een proportionele mix van beveiligingsmaatregelen die gebaseerd is op een aantal fundamentele keuzes.

Een mix die is afgestemd op de kritische waarde van de bedrijfsprocessen. Maar ook een mix die gebaseerd is op de risicobereidheid die er is en de hoogte van de risico’s die onderkend zijn.

  • Waarom: we beveiligen om discontinuïteit te voorkomen. Discontinuïteit als gevolg van onacceptabele risico’s die van invloed kunnen zijn op de primaire en secundaire bedrijfsprocessen. Hierbij houden we rekening met de kosten-batenverhouding tussen de gevolgen van het risico, de kritische waarde van de processen en de kosten om dat risico beheersbaar te maken.
  • Waartegen: we kijken naar de realistische dreigingen en de business bepaalt welke risico’s onacceptabel zijn door de juiste strategie toe te passen (vermijden, verminderen, overdragen, accepteren). De business houdt hierbij rekening met het risicogedrag (mijdend, neutraal, dragend), zodat wij ons kunnen focussen op de juiste fase van een incident (preventie, detectie, repressie, correctie).
  • Waarmee: met dat in ons achterhoofd stellen we als beveiligingsdeskundigen de proportionele mix aan organisatorische, bouwkundige, elektronische maatregelen voor die we aanvullen met reactie zodat we tijdig en adequaat op incidenten kunnen reageren.

De strekking van dit verhaal

Voorkomen is niet altijd beter dan genezen. Sterker nog voorkomen is niet altijd mogelijk en ook niet altijd wenselijk. Stop met het nemen van beveiligingsmaatregelen en start met het beheersen van onacceptabele risico’s. Doe dit door te kijken naar hoe kritisch een proces is. Leg hierbij de relatie tussen het proces en de personen, informatie en het materieel die nodig zijn om het proces te kunnen realiseren. Breng op basis daarvan de realistische dreigingen in kaart. Op grond hiervan bepaalt de “business” hoe acceptabel een risico is en welke strategie ze bereid zijn om te volgen. Met daarbij het risicogedrag in ogenschouw nemend, passend bij dat proces.

Dat is voor beveiliging het vertrekpunt om de proportionele mix van beveiligingsmaatregelen voor te kunnen stellen. Daarom moeten we binnen beveiliging niet alleen een inhoudelijk expert zijn op ons eigen gebied maar moeten we ook een goede procesbegeleider zijn om de best denkbare toegevoegde waarde te kunnen leveren.

Zullen we samenwerken aan jouw beveiliging?

Beveiliging onder controle

Hoe organisaties vallend onder de Nederlande Corporate Governance Code (en alle andere organisaties die hun verantwoording nemen) snel inzicht kunnen krijgen in de mate waarin ze ‘in control’ zijn over beveiliging en daarmee in staat zijn diverse operationele risico’s adequaat het hoofd te bieden.

Kijkend naar het onderwerp beveiliging, dan zou je bang kunnen worden van alle risico’s die je kunt lopen. Als je niet de rust en tijd neemt om een goede inschatting te maken van welke risico’s je realistisch inschat, dan gaan angst en emotie met je op de loop en ga je een veelvoud aan beveiligingsmaatregelen treffen.

Zo ontstaat een mismatch tussen de realistische risico’s, die echt een negatieve impact op de organisatie kunnen hebben en de maatregelen die getroffen zijn. Een kostbare zaak, niet alleen voor wat betreft de investeringen die je doet, maar ook voor het jaarlijks terugkerende onderhoud. En dan maar hopen dat de echt realistische risico’s voldoende meegenomen en gemitigeerd zijn.

Beveiliging is een onderwerp dat gestructureerd aangepakt moet worden. Hierbij moeten de realistische risico’s worden afgezet tegen de beveiligingsmaatregelen die getroffen zijn of moeten worden. Een ad hoc aanpak levert simpelweg te veel risico’s of te hoge kosten op. De vraag te stellen luidt dan:

“Hoe krijgen we beveiliging aantoonbaar onder controle?”

Good Governance: ook op het gebied van beveiliging

De Nederlandse Corporate Governance Code schrijft voor dat organisaties aantoonbaar zorg moeten dragen voor het beheersen van de operationele risico’s. Beveiliging levert een bijdrage aan het beheersen van een groot aantal van die operationele risico’s.

Wij helpen organisaties met het aantoonbaar maken van de gecontroleerde aanpak op het gebied van beveiliging. Dit doen we door Facility en Security Managers, die verantwoordelijk zijn voor het hebben, maken, uitvoeren en toetsen van beveiligingsbeleid, te helpen met het beantwoorden van de vraag:

“Hoe krijg je als onderdeel van De Nederlandse Corporate Governance Code ook beveiliging onder controle?”

Alle bij beveiliging betrokken functionarissen van de Nederlandse beursgenoteerde bedrijven vallend onder “De Nederlandse Corporate Governance Code” en alle Nederlandse organisaties die naar die code handelen, helpen wij graag.

Wat verstaan wij onder beveiliging?

Beveiliging is de juiste mix van organisatorische, bouwkundige, elektronische en reactieve maatregelen ter preventie, detectie, repressie en correctie van fysieke dreigingen gericht op mensen, informatie en bezittingen. Met beveiliging lever je een bijdrage aan de continuïteit door de processen te beschermen.

Wanneer is beveiliging aantoonbaar onder controle?

We spreken van beveiliging onder controle, als er op een structurele wijze aantoonbaar aandacht is voor beveiliging, vanuit een procesmatig aanpak en met het afleggen van verantwoording daarover.

De aanpak dient in zowel opzet, bestaan als werking te worden getoetst, zodat het onderwerp onderdeel uit gaat maken van de reeds aanwezige risicobeheersings- en controlesystemen.

Hoe weten we of we “in control” zijn?

Door naar de 10 volgende onderwerpen te kijken en de bijbehorende stellingen te beantwoorden, krijgen we snel inzicht in de aspecten die al voldoende op orde zijn en de onderwerpen die nog aandacht behoeven.

  1. Verantwoordelijkheden: Eén van de bestuurders is expliciet verantwoordelijk voor beveiliging en daarmee voor het beheersen van de operationele risico’s. De uitvoering van de taken op het gebied van beveiliging is formeel gedelegeerd aan een daartoe aangewezen en geëquipeerde functionaris of afdeling binnen (of buiten) de organisatie.
  2. Beveiligingsbeleid: Er is een formeel vastgesteld beveiligingsbeleid afgestemd op de organisatie brede risicostrategie en het dreigingsprofiel. De missie, visie en strategie op het gebied van beveiliging en de beschrijving van de taken, bevoegdheden en verantwoordelijkheden is erin opgenomen.
  3. Dreigingsprofiel: Er is een formeel vastgesteld dreigingsprofiel op het gebied van beveiliging, waarin de combinatie van realistische dreigingen, dadertypen inclusief hun motieven en te verwachten aanvalsmiddelen zijn vastgelegd. Dit dreigingsprofiel is de basis voor de effectieve en efficiënte inrichting van beveiliging binnen de organisatie en vormt de basis voor de risicoanalyses die uitgevoerd worden.
  4. Operationeel risicomanagement: Beveiligingsrisico’s wordt als integraal onderdeel gezien van operationeel risicomanagement, waarbij afstemming plaatsvindt met gebieden als informatiebeveiliging, veiligheid, privacy, business continuity en disaster recovery. Beveiligingsrisico’s die geaccepteerd worden, doorlopen een formeel risicoacceptatieproces.
  5. Vitale bedrijfsprocessen en kritische assets: Er is een geformaliseerd en actueel overzicht met voor de vitale bedrijfsprocessen van de organisatie kritische assets (informatie, materieel en personeel), dat met beveiligingsmaatregelen beschermd moet worden.
  6. Risicoanalyses: Er worden periodiek risicoanalyses op het gebied van beveiliging uitgevoerd, op basis waarvan de mix aan beveiligingsmaatregelen wordt getroffen om de onacceptabele risico’s af te dekken.
  7. Beveiligingsplannen: Op basis van de uitgevoerde risicoanalyses worden de beveiligingsplannen opgesteld, waarin in opzet, bestaan en werking beschreven is welke maatregelen getroffen zijn, welke risico’s nog niet volledig zijn afgedekt en welke restrisico’s formeel geaccepteerd zijn.
  8. Rapportage: Er is een rapportagestructuur, waarmee de voortgang en status van beveiliging inzichtelijk is en op basis waarvan continu verbeteringen worden doorgevoerd.
  9. Incident management proces: Er is een incident managementproces ingericht, zodat de organisatie proactief kan anticiperen en adequaat kan reageren, indien zich een incident op het gebied van beveiliging voordoet of voor dreigt te doen. Relevante beveiligingsincidenten worden gemeld, geregistreerd en geanalyseerd.
  10. Controle door auditing, mystery visits en penetratietesten: De auditfunctie toetst periodiek de aanpak van beveiliging in opzet, bestaan en werking en rapporteert over haar bevindingen. De maatregelen worden onderhouden en periodiek getest door middel van mystery visits en penetratietesten.

Meer inzicht met het Good Security Governance Model

Op basis van de bovengenoemde onderwerpen is snel inzicht verkregen in de mate waarin de organisatie “in control” is op het gebied van beveiliging. Voor organisaties die meer detailinzicht willen hebben in de volwassenheid van de beveiliging, kan met een set van detailvragen de diepgang worden gezocht.

Het Good Security Governance Model dat door ons ontwikkeld is, levert inzicht in de volwassenheid van de beveiliging binnen de organisatie. De organisatie wordt bewust van de reële risico’s en de maatregelen die hiertegen te nemen zijn.

Je weet waar je uit wilt komen en je weet hoe je daar moet komen. Dit is neergelegd in een heldere, breed gedragen visie. Alle betrokken weten wat je gaat doen, welk budget je nodig hebt, waar je dat aan gaat besteden en wat dat oplevert. Op die manier kun je erop vertrouwen dat het proces gewoon zijn werk zal doen. Je doet de goede dingen en die doe je goed. Je bent ‘in control’.

De waarde van security audits voor integrale beveiliging

Er wordt al jaren gepleit voor een meer integrale beveiligingsaanpak, waarbij informatiebeveiliging en fysieke beveiliging meer en meer naar elkaar toe moeten groeien. Als de toezichthoudende partijen – de tweedelijns partijen – beter weten aan te haken, dan kunnen echt stappen vooruit worden gemaakt.

Het begin is er

Er zijn flink wat organisaties die op strategisch en tactisch niveau een integraal beveiligingsbeleid hebben. Hoe ver ‘integraal’ reikt, dat kan verschillen, maar in ieder geval hebben deze organisaties een basis gelegd waarop kan worden voortgebouwd.

Fysieke en informatiebeveiliging zijn op operationeel niveau al naar elkaar toe aan het groeien. Fysieke beveiligingssystemen worden meer en meer IT-systemen, vooral cameratoezicht en toegangscontrole. We zien dat er onderscheid wordt gemaakt tussen technisch, applicatie en functioneel beheer van deze systemen. Technisch en applicatiebeheer zijn dan veelal bij IT belegd, waar de gebruiker als eigenaar het functioneel beheer invulling geeft.

Andersom zien we ook dat IT zaken aan de facilitaire afdeling overlaat. Zo bevat de Code voor Informatiebeveiliging een hoofdstuk over fysieke beveiliging met daarin de nodige bepalingen t.a.v. wanden, deuren en sloten, maar ook de hardware van fysieke beveiligingssystemen. De IT-afdeling laat de uitvoering hiervan, ook die van de eigen ruimten, vaker dan ooit over aan de afdeling die het gebouw beheert, vaak de facilitaire afdeling.

De neuzen dezelfde kant op

De belangrijkste uitdaging is dat de neuzen dezelfde kant op richten en dat ook zo te houden. Voor informatiebeveiliging en voor fysieke beveiliging geldt immers hetzelfde uitgangspunt: een bijdrage leveren aan de continuïteit van de organisatie door onacceptabele risico’s beheersbaar te maken en te houden.

In de praktijk moeten we dit vertalen naar die risico’s, die een negatieve invloed kunnen hebben op de omzet, de kosten en het imago van de organisatie. Omzet, kosten en imago bepalen de continuïteit en ze komen voort uit de primaire en secundaire processen van de organisatie. En deze processen worden dan weer mogelijk gemaakt door de combinatie van personen, informatie en materieel.

Willen we spreken over een integrale aanpak, dan moeten we dus de onacceptabele risico’s die van invloed kunnen zijn op de informatie, het materieel en de personen aanpakken. Hiervoor zijn verschillende soorten van maatregelen nodig vanuit de gebieden informatiebeveiliging en fysieke beveiliging:

  • Informatiebeveiliging richt zich met name op de technische, procedurele en organisatorische maatregelen om de (geautomatiseerde) data te beschermen;
  • Fysieke beveiliging richt zich met name op de organisatorische, bouwkundige, elektronische en reactieve maatregelen om de (niet geautomatiseerde) data, het materieel en de personen te beschermen.

Schoenmaker blijf bij je leest

Als beide disciplines van elkaar begrijpen dat ze hetzelfde doel nastreven en accepteren dat ze daarvoor een andere set aan maatregelen implementeren, dan zit de kracht in het samenwerken om het totaalpakket aan maatregelen beheersbaar te maken.

Ze hoeven de details van elkaars werk niet te kennen. Een informatiebeveiliger hoeft niet te weten hoe een passieve infrarood detector werkt, en de fysieke beveiliger niet hoe encryptie werkt.

Vanuit het gemeenschappelijke belang – continuïteit – moeten ze erop vertrouwen dat ieder zijn werk doet met het oog op hetzelfde doel. De kunst is daarbij om ieders set aan maatregelen zo goed mogelijk op elkaar aan te laten sluiten en te voorkomen dat er te weinig of te veel wordt gedaan.

Samenwerken vanuit beide vakgebieden

Volledige integratie van kennis of kunde is ondergeschikt aan samenwerking en vertrouwen. Samenwerken aan hetzelfde doel – continuïteit – vanuit de vakgebieden informatiebeveiliging en fysieke beveiliging staat voorop. Feitelijk conform de trias politica.

Deze scheiding der machten is een theorie vanuit de staatsinrichting, waarin de staat opgedeeld is in drie organen die elkaars functioneren bewaken: de wetgevende, de uitvoerende en de toezichthoudende macht, die ook wel als rechterlijke macht bekend staat.

Vertalen we dit naar organisaties en dan specifiek naar de aanpak van beveiliging, dan komen we op de volgende indeling:

  • Wetgevende macht: deze maken het beleid, bijvoorbeeld een integraal beveiligingsbeleid of minimaal een afstemming tussen informatiebeveiligingsbeleid en fysiek beveiligingsbeleid.
  • Uitvoerende macht: deze voert het beveiligingsbeleid uit. Vaak de facilitaire afdeling voor fysieke beveiliging, terwijl de IT-afdeling dit voor informatiebeveiliging is. Zoals hiervoor aangegeven groeien deze beiden al aardig naar elkaar toe maar ze hoeven hiërarchisch niet één afdeling te zijn.
  • Toezichthoudende macht: deze toetst aan bestaande wet- en regelgeving, denk aan afdelingen als Compliance, Legal en Audit.

Hoe de toezichthoudende macht beveiliging kan verbeteren

Bij informatiebeveiliging loopt het ‘smooth’. De risico’s van cybercrime zijn al jaren een hot-topic. De risicomanagementafdeling binnen de organisatie heeft daar aandacht voor, terwijl de IT-auditors zich aanvullend richten op de toetsing van informatiebeveiliging. Prima samenwerking.

Maar als fysieke beveiliging al binnen de scope van de toezichthoudende macht valt, dan is er over het algemeen weinig interesse voor. Belangrijke oorzaak hiervoor is de ontbrekende kwalitatieve en kwantitatieve capaciteit om op dit gebied toegevoegde waarde te kunnen leveren.

De toezichthoudende macht zou hun controlerende processen en de aanpak zoals ze deze hanteren voor informatiebeveiliging ook moeten toepassen op fysieke beveiliging. Voor de detailkennis van het vakgebied fysieke beveiliging kunnen specialisten ter ondersteuning van de toezichthoudende macht worden ingeschakeld.

Hier ligt dan ook in onze ogen de verbetering, wetend dat we allemaal hetzelfde doel hebben: continuïteit van de organisatie. Een goede controle van de toezichthoudende macht op fysieke beveiliging gaat daar enorm aan bijdragen. Dit is de enige manier om onomstoten helder te krijgen of we op het gebied van fysieke beveiliging de goede dingen goed doen en waar het beter kan.

Conclusie

Er is voortgang geboekt met integrale beveiliging. Belangrijk hierin is dat we onderkennen dat met fysieke en informatiebeveiliging eenzelfde doel wordt nagestreefd en dat we proberen de onacceptabele risico’s beheersbaar te maken en te houden met de juiste set aan beveiligingsmaatregelen.

Wel moet er binnen de organisatie meer aandacht komen voor de toetsing van fysieke beveiliging. De lijnorganisatie moet beseffen dat beveiliging bijdraagt aan een reductie van de risico’s van hun processen en kan gericht om toetsing vragen. Bij de toezichthoudende macht moet meer aandacht voor fysieke beveiliging komen om zo meer zekerheid te krijgen of in opzet, bestaan en werking op het gebied van fysieke beveiliging het goede wordt gedaan en daarmee dus eenzelfde bijdrage wordt geleverd aan hetgeen de essentie is van dit vakgebied: de continuïteit van de organisatie.

Beleidsuitvoering: risk based versus rule based

Risk based versus rule based: “Risico komt door niet te weten wat je doet.” (Warren Buffet)

Hoe wij voor een grote zakelijke dienstverlener 13,8 miljoen euro bespaarde op beveiliging zonder dat zij meer risico’s zijn gaan lopen

Eind 2013 wordt de afdeling Facility Management van een zakelijke dienstverlener verantwoordelijk gesteld voor de uitvoering van nieuw vastgesteld beleid op het gebied van fysieke beveiliging. Bijna 25 grote kantoorgebouwen worden door een externe partij geschouwd, waarbij de afwijkingen tussen beleid en werkelijkheid in een rapport worden vastgelegd. Uiteindelijk worden door die partij bijna 3.400 afwijkingen benoemd.

Een eerste raming van de investering benodigd voor het oplossen van alle afwijkingen komt uit op 9 miljoen euro. Na de eerste offertes en rekening houdend met de impact van de aanpassingen in een bestaande, bebouwde omgeving wordt de investeringsraming bijgesteld naar 18 miljoen euro. Op basis van de afwijkingen en de investeringen, werden wij gevraagd de dienstverlener te ondersteunen bij het wegwerken daarvan.

De klantvraag

Zorg dat we binnen twee jaar zoveel, liefst alle, geconstateerde afwijkingen hebben opgelost. Er mogen dan geen high risk findings meer open staan. Het afgegeven budget is hierbij taakstellend.

De aanpak

Het betreft een omvangrijk en complex project. Na diverse reorganisaties en fusies blijkt er weinig historie voor handen en moet van scratch af aan alles opnieuw worden opgezet en ontwikkeld. Alle tot het security framework behorende documenten worden gedurende het eerste jaar ontwikkeld. Dit geeft inzicht in wat allemaal moet worden aangepakt. Maar ook maakt het duidelijk dat bij het opstellen van het beleid destijds is uitgegaan van een bepaalde zwaarte van beveiligen, die niet past bij al de 25 kantoorpanden.

Hoewel er sprake is van een classificatie van panden naar Standard, Secure en High Secure, is er maar één fysiek beveiligingshandboek van toepassing verklaard en ook maar één programma van eisen waarin de maatregelen vastliggen.

In het tactisch en strategisch overleg steken de Security Manager en RisicoRegisseurs als diens adviseur in op een risk based benadering. Met het simpelweg voldoen aan alle gestelde eisen zal de investeringsraming ruimschoots worden overschreden. Dan worden maatregelen getroffen omdat ze in het beleid zijn genoemd, terwijl het risico dat deze maatregelen moeten afvangen niet op meerdere locaties aanwezig is. Zo is op 14 locaties geen beveiliging gestationeerd, waar het beleid dit wel vraagt.

In overleg met de beleidsmakers en de partijen die het beleid controleren, maar ook met het lijnmanagement op locatie, wordt het proces van risico-acceptatie opgestart. Maatregelen hoeven niet 1 op 1 conform het beleid te worden uitgevoerd, als het risico niet of slechts deels aanwezig is.

Het resultaat

Ten aanzien van bouwkundige en elektronische maatregelen ten aanzien van de fysieke beveiliging zijn er veel afwijkingen geconstateerd. De meeste afwijkingen kunnen ook worden opgelost door het ontwerpen van organisatorische maatregelen, vastgelegd in procedures.

Zo zijn ruim 2.700 afwijkingen tot een goede oplossing gebracht. Bijna 400 afwijkingen zijn in gezamenlijk overleg geaccepteerd. Deze acceptaties zijn per pand op schrift vastgelegd zodat ze controleerbaar zijn. Bij een eerste aanpassing van het fysieke beveiligingshandboek moeten deze een plaats krijgen. En ja, voor hen die hebben meegeteld, de andere bijna 300 afwijkingen hebben zich opgelost toen de opdrachtgever besloot om twee kantoren te gaan sluiten.

In de panden geclassificeerd als High Secure waren in totaal negen high findings benoemd. Ook hiervan zijn de meesten opgelost door het treffen van organisatorische maatregelen, zoals het niet-alleen mogen werken op de zalen in het datacentrum.

In totaal is 4,2 miljoen euro geïnvesteerd in plaats van de 9 miljoen op basis van de grove eerste ramingen of 18 miljoen op basis van de daadwerkelijke offertes. Een besparing van 4,8 respectievelijk 13,8 miljoen, afhankelijk van hoe je ernaar kijkt. Geen slecht resultaat, al zeggen we het zelf.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Doen we de goede dingen en doen we de dingen goed? Deze kernvraag hanteren wij voortdurend en bij alles wat we doen. Daarom ook adviseerden wij de opdrachtgever te kiezen voor een risk based benadering: eerst kijken naar de risico’s en dan passende maatregelen treffen.

Het zou de weg van de minste weerstand zijn geweest om als uitvoerende organisatie gewoon te doen wat werd gevraagd, nl. de opgesomde maatregelen te treffen. Dan zou rule based gehandeld zijn en zou juist de kern van risicomanagement, het managen en regisseren van risico’s, ten onder zijn gegaan aan verstand op nul uitvoeren.

Het nemen van de juiste maatregelen bij de juiste risico’s zorgt er uiteraard voor dat je geen overbodige kosten maakt. Daarbij is het met elkaar in gesprek zijn over de risico’s en de maatregelen feitelijk het belangrijkst. Daarmee houd je het beleid, het begrip en de aandacht voor beveiliging levend.