Beheer van beveiligingsinstallaties

Fysieke beveiligingsinstallaties worden steeds vaker aangesloten op het IT-netwerk van de organisatie. Beveiligingsinstallaties worden zo meer en meer IT-systemen. En daarmee ontstaat de logica om deze via de afdeling IT te laten beheren.

Elektronische beveiligingssystemen, zoals alarminstallaties, camerabewakings- en toegangscontrolesystemen worden meer en meer aangesloten op de IT-infrastructuur van de organisatie. De laatste tijd zien we binnen organisaties het beheer van de beveiligingssystemen steeds meer overgaan naar IT-afdelingen. Dit levert helaas nog veel discussies, onduidelijkheden en onzekerheden op.

Dit komt enerzijds omdat de IT-afdeling niet gewend is om dergelijke specifieke beveiligingssystemen te beheren. Men heeft weinig ervaring met dit soort systemen en men kent de achterliggende gedachtes onvoldoende. Anderzijds komt dit omdat de beveiligingsorganisatie niet gewend is om hun beveiligingssystemen als IT-systemen te zien en te beheren. Men doet dit op een geheel eigen wijze, al jaren, omdat dit makkelijk gevonden wordt.

Maar eigenlijk is het heel simpel: als IT-systemen beheerd worden door de IT-afdeling, dan moeten de elektronische beveiligingssystemen ook beheerd worden door de IT-afdeling.

Technisch-, applicatie- en functioneel beheer

Wanneer we kijken naar beheerprocessen van IT-systemen, dan maken we onderscheid in:

  • Technisch beheer (ITIL): Richt zich op het beheer van de IT-infrastructuur (servers, netwerk, verbindingen, etc.). De IT-infrastructuur is een basis waarop applicaties kunnen draaien.
  • Applicatiebeheer (ASL): Een applicatie is een programma dat bedoeld is voor de eindgebruiker (in dit voorbeeld dus de programma’s waarmee de alarminstallatie, camerabewakings-en toegangscontrolesystemen door de beveiligingsorganisatie gebruikt en bediend worden). Onder applicatiebeheer wordt verstaan het aanpassen van de applicatie naar aanleiding van geconstateerde fouten in de applicatie of veranderende technische of functionele eisen.
  • Functioneel beheer (BiSL): De applicaties worden gebruikt door de gebruikersorganisatie, in dit voorbeeld de beveiligingsorganisatie. De gebruikersorganisatie zal aan moeten geven aan welke eisen de applicatie en de onderliggende infrastructuur moet voldoen en controleren of deze na een aanpassing inderdaad nog voldoen.

Deze indeling is van belang om duidelijk te maken welke rol de gebruikersorganisatie, bijvoorbeeld de beveiligingsorganisatie, heeft en welke rol is weggelegd voor de IT-afdeling.

Uniformiteit in beheer

Het voordeel van het overdragen van technisch en applicatie beheer aan de IT-afdeling is dat de beveiligingssystemen goed beheerd kunnen worden, zoals de organisatie dat ook doet met andere IT- systemen.

Denk bijvoorbeeld aan de volgende IT-processen waarbij aangesloten kan worden, zoals:

  • IT Service Continuity Management: hoe kunnen we ervoor zorgen dat bij uitval van de beveiligingssystemen de continuïteitsplannen in werking treden?
  • Information Security Management: hoe zorgen we dat de beveiligingssystemen voldoen aan de beveiligingseisen beschikbaarheid, integriteit en exclusiviteit?
  • Change Management: hoe kunnen we wijzigingen in de beveiligingssystemen via een geformaliseerd wijzigingsbeheer laten verlopen om risico’s te voorkomen?
  • Problem Management: hoe kunnen we problemen in de werking van de beveiligingssystemen op een gestructureerde wijze oplossen?
  • Incident Management: hoe kunnen we incidenten die de werking van de beveiligingssystemen nadelig beïnvloeden snel en adequaat oplossen, inclusief escalatie?
  • Service Asset & Configuration Management: hoe kunnen we de configuratie-items, in casu de verschillende onderdelen van de beveiligingssystemen zoals detectoren, camera’s, paslezers, etc. inzichtelijk en beheersbaar krijgen?
  • Service Desk: hoe kunnen we storingen aan beveiligingssystemen melden en vragen stellen over de beveiligingssystemen?
  • Access Management: autorisatiebeheer, wie mag welke rechten hebben op het beveiligingssysteem qua bedienen, uitschakelen, camerabeelden terugkijken, etc. en hoe kunnen we dat managen?

Het overdragen van het technisch en applicatie beheer van de beveiligingssystemen aan de IT- afdeling zorgt ervoor dat deze beveiligingssystemen procesmatig beter beheerd kunnen worden. We sluiten hiermee aan op andere beheerprocessen binnen de IT-organisatie en de beveiligingssystemen zijn dan geen vreemde eend meer in de bijt.

Maar wat is (en blijft) de dan de rol van de gebruikersorganisatie?

Anders dan technisch en applicatie beheer richt functioneel zich niet op IT-afdelingen (supply), maar juist op de gebruikersorganisatie (demand). Dit functioneel beheer dient dan ook belegd te zijn bij en de verantwoordelijkheid te zijn van de gebruikersorganisatie.

Vanuit de gebruikersorganisatie wordt gekeken naar de juiste OBER-mix: organisatorische, bouwkundige, elektronische en reactieve beveiligingsmaatregelen. Dit impliceert dat voor de elektronische beveiligingssystemen zoals alarminstallaties, camerabewakings- en toegangscontrolesystemen de gebruikersorganisatie nog steeds bepaalt welke maatregelen nodig zijn en welke eisen er aan die maatregelen gesteld worden.

Samenwerken vanuit verschillende rollen

Processen die we aan de zijde van de gebruikersorganisatie inrichten zijn bijvoorbeeld:

  • Opstellen beveiligingsstrategie: hoe ziet onze beveiligingsstrategie eruit inclusief leveranciersmanagement en afstemming met ketenpartners?
  • Portfoliomanagement: hoe ziet ons beveiligingsportfolio eruit en welke beveiligingssystemen hebben we nodig?
  • Technologische ontwikkelingen: welke ontwikkelingen spelen er binnen de beveiligingswereld en hoe kunnen we die toepassen binnen onze organisatie?
  • Ontwikkeling bedrijfsprocessen: hoe zien onze beveiligingsprocessen eruit en hoe kunnen die ondersteund worden met beveiligingssystemen?
  • Gebruikersbeheer: wie mag met welke rechten waarbij?
  • Functionaliteitenbeheer: welke specificaties stellen we aan de beveiligingssystemen?

Een belangrijk voordeel van deze aanpak is dat de gebruikersorganisatie zo in staat is de functionele eisen en wensen die gesteld worden aan de elektronische beveiligingssystemen vast te kunnen leggen in een Service Level Agreement (SLA) tussen de gebruikersorganisatie en de IT-afdeling.

De beveiligingsorganisatie mag en moet dus eisen stellen aan de IT-afdeling en deze afspraken moeten formeel vastgelegd worden in SLA’s. De beveiligingsorganisatie mag de IT-afdeling aanspreken als niet aan de eisen wordt voldaan.

En hoe krijgen we dit beheer dan goed werkend?

Om de overgang van het beheer van de beveiligingssystemen naar de IT-afdeling in gang te zetten en soepel te laten verlopen zijn er minimaal twee partijen nodig: de latende gebruikersorganisatie en de ontvangende IT-afdeling.

Belangrijkste daarbij is begrip over en weer. Zo zal de beveiligingsorganisatie ervaring op moeten doen met IT-beheerprocessen zoals ITIL, ASL en BiSL. Gelijktijdig zal de IT-afdeling begrip moeten krijgen van de beveiligingssystemen zoals alarminstallaties, camerabewakings- en toegangscontrolesystemen.

Dit goed voor elkaar krijgen is echter bepaald geen sinecure, het is geen kortetermijnoplossing die alle problemen direct oplost en het zal alleen slagen met de juiste steun van het management. Maar als het eenmaal gelukt is dan kunnen we wel spreken over een volwassen beheer van de beveiligingssystemen.

Performancemeting toegangsverlening

“Iedereen komt hier zo maar met de deur in huis vallen.”

Hoe wij de toegangsverlening verbeterde door penetratietesten uit te voeren en de beveiligers meer bewust te maken

Bij een grote organisatie zijn op meerdere locaties beveiligingsloges ingericht. Hier houden ingehuurde beveiligers toezicht op het gebouw. Zij zijn het eerste aanspreekpunt en daarmee het visitekaartje voor de opdrachtgever. Voor de toegangsverlening van medewerkers en bezoekers zijn richtlijnen opgesteld. Van de beveiligers verwacht de opdrachtgever dat zij deze richtlijnen naleven vanuit een klantvriendelijk perspectief.

De klantvraag

Ik wil de bevestiging, dat de ingehuurde beveiliging capabel is. Ik moet er als opdrachtgever op kunnen vertrouwen dat de beveiliging alleen daartoe geautoriseerde personen tot onze gebouwen toe laat.

De aanpak

De opdrachtgever biedt binnen de organisatie ruimte aan scholing en ontwikkeling. Binnen de afdeling Facility Management worden voortdurend stagiairs en afstudeerders begeleid bij opdrachten, die zowel voor de student als de stage-biedende organisatie van nut moeten zijn.

Een afstudeerder van de Hogeschool voor Security Management wordt binnen de organisatie van de opdrachtgever door ons begeleidt. Zijn opdracht is het ontwikkelen van een testprogramma, die de door opdrachtgever ingehuurde beveiligingsorganisaties moet testen en moet leren de toegangsverlening op orde te hebben.

Er worden 14 scenario’s ontwikkeld om het beveiligd gebied van de opdrachtgever binnen te komen, enkel en alleen door de eisen en richtlijnen voor toegangsverlening te omzeilen. Deze scenario’s worden goed uitgedacht en met een zeer beperkte groep besproken. Vervolgens wordt afgesproken de scenario’s in de praktijk te gaan toetsen. Voor alle zekerheid wordt een vrijwaringsbrief opgesteld vanuit de beleidsmakende afdeling, om in geval dat de politie wordt ingeschakeld duidelijk te maken dat het hier om een interne toets en leerprogramma gaat.

De testen gaan van start en helaas lukt het in 10 van de 14 gevallen om binnen te komen. De scenario’s worden achteraf gefilmd zoals deze zich in werkelijkheid hebben voltrokken. Voor de beveiligingsorganisaties wordt een leerpakket samengesteld, waar deze films deel van uitmaken. Met de beveiligingsorganisaties wordt afgesproken dat zij dit leerpakket delen met hun teams. Tevens dat gedurende het jaar meerdere malen door een externe organisatie zal worden getoetst of het buiten de richtlijnen betreden van het beveiligd gebied nog mogelijk blijkt te zijn.

Het resultaat

Er is in het begin nog even een stroeve start. Op 3 locaties lukt het nog om de richtlijnen te omzeilen. Het management van de beveiligingsorganisaties wordt nogmaals benadrukt hun teams scherp te krijgen. En de gezamenlijke effort werpt zijn vruchten af. In het laatste kwartaal van het onderzoeksjaar lukt het niet meer om ongeautoriseerd toegang te krijgen tot de gebouwen van de opdrachtgever.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Met een compleet pakket aan diensten helpen wij organisaties in control te komen en te blijven op het gebied van beveiliging. Van het ontwikkelen van performancetoetsen en het uitvoeren hiervan tot audits op het gebied van beveiliging. Ook voor het ontwikkelen van trainingen en awareness programma’s ben je bij ons aan het juiste adres.

Daarbij hebben wij als doelstelling om onze kennis te delen met Young Security Professionals. Door hen ervaring te laten opdoen bij opdrachtgevers en hen daarbij te begeleiden, versterken wij op langere termijn het vakgebied Security Management.

Integratie beveiligingsloges

“Geen cent te veel, hoor!” (Zeeuws meisje)

Hoe wij ervoor zorgden dat een integratie tussen meerdere beveiligingsloges in 10 maanden werd terugverdiend

De goede dingen doen en dan deze dingen ook goed doen. Impliciet is dat je effectief en efficiënt met je geld wilt omgaan. Bij een periodieke herijking van de beveiligingscontracten werd een eerder verworpen besparingsvoorstel tegen het huidige licht gehouden. Eerder werd het nog niet mogelijk geacht om de beveiligingscapaciteit van de twee datacenters te reduceren. Veel ontwikkelingen en daarmee veel activiteit op de locaties verhinderde dat destijds. Maar dat was nu twee jaar later wel anders.

Een inventarisatie leverde de wetenschap op, dat gedurende de nachtelijke uren en in het weekend de bezetting op beide locaties miniem was. Dit waar nog geen twee jaar geleden ook in de avonden en nachten meerdere changes waren ingepland, waardoor er behoorlijk wat personeel zich in beide gebouwen bevonden.

De klantvraag

Kijk of we de capaciteit van de dagelijkse bezetting van beveiliging op onze datacenters kunnen reduceren bij een gelijkblijvend kwaliteitsniveau. Ofwel: geen toenemend risico voor de veiligheid of beveiliging van beide locaties.

De aanpak

Bij het bespreken van het voorstel met diverse stakeholders kwam er het nodige ‘oud zeer’ omhoog. Meerdere niet onderbouwde redenen werden geopperd waarom het niet mogelijk zou zijn om met minder beveiligers op locatie te zitten. Dit had niet zo zeer te maken met het voorstel op zich, maar meer met diverse zaken die tot op heden niet goed waren ingeregeld.

Besloten werd om alle risico’s nog eens kritisch onder de loep te nemen en vervolgens hier mitigerende maatregelen voor te formuleren. Zo bleek bijvoorbeeld dat niet op alle plaatsen in het gebouw telefonisch bereik mogelijk was. Het vervangen van de 13 jaar oude portofooninstallatie bood hiervoor uitkomst. Ook in de oplossing voor ‘man-down’-signalering kon met de nieuwe portofoons worden voorzien.

Met de leverancier is gekeken of het mogelijk was de bestaande security managementsystemen met elkaar te verbinden, zodat het mogelijk is dat de ene beveiligingsloge de activiteiten van de andere beveiligingsloge kan overnemen. En andersom natuurlijk ook. Dit bleek mogelijk en samen met een beveiligde lijn kon het remote beheren van de andere locatie gerealiseerd worden.

In het plan was verder niet voorzien in het verbouwen of het verhuizen van de beveiligingsloges. Was er nog een stakeholder met twijfel, dan werd deze overtuigd dat opschalen naar het oude niveau zonder meer mogelijk is.

Het resultaat

Na het lanceren van het idee zijn in een Risk Assessments alle risico’s opnieuw doorgelicht. Naar tevredenheid van alle betrokken stakeholders waren voor alle denkbare risico’s voldoende tegenmaatregelen voor handen om deze risico’s weg te nemen. Wel viel de investering voor de opdrachtgever hoger uit nu diverse eerder uitgestelde vervangingsinvesteringen moesten worden meegenomen om het plan zonder risico’s te kunnen uitvoeren.

Desondanks lag er een wel zeer positieve business case: in iets minder dan 10 maanden tijd kan de investering worden terugverdiend doordat iedere week 170 uren minder nodig is aan de inzet van externe beveiligers.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Doen we de goede dingen en doen we deze goed? Deze kernvraag hanteren wij voortdurend. Wij durven te stellen dat iedere organisatie, noemenswaardig op het kostenbudget van beveiliging kan, besparen, mits dit in combinatie bedacht wordt met investeringen in nieuwe, andere technieken. Als ketenregisseur voeren wij de regie over de beveiligingsportefeuille en leggen we opdrachtgevers de nodige ideeën voor besparingen.

Uiteraard kijken we dan naar het laaghangende fruit, dat snel geplukt een mooie besparing kan opleveren. Maar juist kijkend naar de samenhang tussen mensbeveiliging en technische beveiliging en dan inzoomend op de meerjarenonderhoudsplanningen (MJOP), dit biedt mogelijkheden voor langdurige besparingen en dit met behoudt of verbetering van de kwaliteit van beveiliging.

Landenanalyse

“Om te groeien moet je als organisatie over de grenzen heen durven kijken.”

Een grote internationale organisatie met kantoren in meer dan 30 landen betaalde jaarlijks meer dan € 60.000,- abonnementskosten aan twee gerenommeerde onderzoeksbureaus om informatie te krijgen over de risico’s die de organisatie loopt in de landen waarin zij gevestigd is.

Naast dit aanzienlijke vaste bedrag aan abonnementskosten moest de organisatie aanvullend een vergoeding betalen als zij vroeg om een specifiek rapport van een land. Per rapport ging het dan om een bedrag van minimaal € 2.500,-. Deze rapporten waren zeer algemeen van aard. De specifiek voor de organisatie van toepassing zijnde risico’s werden niet expliciet behandeld. De tevredenheid van de klant over de door de onderzoeksbureaus geleverde diensten nam langzaam af.

De klantvraag

Omdat de klant het vermoeden had meer dan gemiddelde risico’s te lopen in een Afrikaans land waar de klant een vestiging had, was de vraag aan ons om een landenanalyse uit te voeren en hiervan een rapport op te stellen, gebaseerd op openbaar beschikbare informatie.

De aanpak

Van de organisatie van de opdrachtgever hebben we het risicoprofiel aandachtig bestudeerd. Met dit actuele risicoprofiel voor ogen hebben we de vrij op het internet beschikbare informatie hiermee vergeleken. We hebben een aantal dagen nodig gehad om een voor de klant specifieke landenanalyse te maken. Juist de voor de organisatie relevante risico’s zijn in de rapportage prominent verwoord, voorafgaand aan de meer algemene informatie omtrent de aan het land gekoppelde risico’s.

Naast de risico’s zoals deze gelden voor het ondernemen en het zaken doen in het betreffende land, hebben we ook gekeken naar de risico’s voor de medewerkers. En dit dan voor:

  • De medewerkers die langdurig voor hun werk in dit land zijn gehuisvest (expats);
  • De medewerkers die tijdelijk naar dit land reizen voor hun werk;
  • De autochtone medewerkers die voor de organisatie werken;
  • De leveranciers die in het betreffende land aan de organisatie hun diensten leveren.

Het resultaat

Hiervoor staat al het belangrijkste resultaat verwoord, namelijk een specifiek op de risico’s van de organisatie toegesneden landenanalyse met daarin de maatregelen die de organisatie kan treffen om een veilige situatie te creëren voor medewerkers en klanten.

We hebben samen met de opdrachtgever een nauwlettende vergelijking gemaakt tussen het door ons opgeleverde rapport en de door de twee onderzoeksbureaus opgeleverde rapporten. Hierbij is de conclusie getrokken dat ons rapport meer organisatie-specifiek is opgesteld en bovendien meer relevante en actuelere informatie bevat inclusief concrete maatregelen.

Op grond hiervan heeft de organisatie besloten het jaarlijkse abonnement te beëindigen. Voor waar dit gewenst is zal specifiek worden gevraagd om een landenrapport op te stellen, waarin de door ons vervaardigde opzet als resultaatsinstructie wordt meegeleverd.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Onze belangrijkste focus is opdrachtgevers meer zekerheid bieden zodat de kwaliteit van hun beveiliging voldoet aan de eisen die de eigen organisatie hieraan stelt. En dit tegen de laagst mogelijke kosten.

Wij gebruiken hiervoor een aantal modellen als uitgangspunt, zoals het Security Governance Model, het beveiligingsraamwerk of het model van ketenregie. Net wat het best toepasbaar is in de betreffende situatie.

Belangrijk hierbij is dat wij ons hierbij specifiek richten op het beleid en de visie ten aanzien van beveiliging, zoals de opdrachtgever deze voor ogen heeft. Via generieke modellen de opdrachtgever een organisatie-specifiek resultaat op maat bieden. Dat is waar wij voor staan.

Hostmanship technisch geregeld

“Hostmanship is de kunst mensen het gevoel te geven dat ze welkom zijn.”

Het beveiligingsbeleid van een grote organisatie schrijft voor dat je geautoriseerd moet zijn om toegang te krijgen tot de panden van de organisatie. Een toegangspas is nodig om jezelf door de toegangspoortjes te helpen.

Bezoekers krijgen als niet-geautoriseerde personen een bezoekerspas. Deze bezoekerspas overhandigd de receptie aan de gastheer van de bezoeker. Het beveiligingsbeleid bepaald immers dat niet-geautoriseerde personen in het gebied achter de toegangspoortjes altijd begeleid moeten worden.

Niet iedereen blijkt volgens het beleid te handelen. De receptie wordt meer dan eens verzocht om bezoekers door te sturen wanneer de gastgever aangeeft dat het ophalen van de bezoeker even niet lukt. En sommige gastgevers laten de bezoekers na afloop van het bezoek zelfstandig het pand verlaten, wat meermaals heeft geleid tot verdwaalde bezoekers.

De klantvraag

Hoe kunnen we het voor elkaar krijgen dat bezoekers binnen het gebouw altijd door een gastgever worden begeleid?

De aanpak

Wat de opdrachtgever wil, is feitelijk geen rocket science. De oplossing ligt in de toepassing van het zogenaamde 4-ogen principe voor het toelaten van bezoekers. Onder dit principe kan een bezoeker nooit alleen op een pas naar binnen, maar heb je altijd een tweede persoon bij nodig om de autorisatie te verlenen voordat de bezoeker door de toegangspoortjes mag.

De leverancier van het toegangscontrolesysteem heeft dit principe al bij een andere klant geïmplementeerd. Er wordt andere software op de kaartlezers van de centrale toegangspoortjes geïnstalleerd. De bezoekerspassen worden zo geconfigureerd, dat ze alleen werken als binnen 8 seconden na het aanbieden van de bezoekerspas een tweede, geautoriseerde, toegangspas wordt aangeboden.

Wat wel nieuw is, maar feitelijk heel logisch en daarmee eigenlijk verbazingwekkend dat het als nieuw wordt betiteld, is dat ook bij het verlaten van het pand hetzelfde 4-ogen principe wordt gehanteerd. De bezoeker deponeert de bezoekerspas in de zogenaamde dropbox. Binnen 8 seconden moet een geautoriseerd persoon een pas aanbieden, om de bezoekers uitgang te verschaffen.

De feitelijke implementatie wordt ondersteund door een goede communicatie via de centrale kanalen van de organisatie. In de eerste dagen ondersteunen externe hostesses de bezoekers en hun begeleiders met tekst en uitleg op de grotere, drukkere locaties van de organisatie. Sinds de introductie staan bij de toegangspoortjes van de panden informatieborden met tekst en uitleg van het principe.

Het resultaat

De verandering werd niet door iedereen met gejuich ontvangen. Want dat halen en brengen van bezoekers vindt niet iedereen de normaalste zaak van de wereld. Hoe zouden ze dit bij hun thuis hebben georganiseerd?

Gelukkig betrof dit een kleine minderheid. Het wordt inmiddels als meer dan vanzelfsprekend en juist zeer klantvriendelijk beschouwd om de eigen bezoeker bij binnenkomst en vertrek op te vangen, welkom te heten en gedurende het verblijf binnen het pand te begeleiden.

Een bijkomend voordeel is dat de receptie de bezoekerspas al aan de bezoeker kan meegeven, zodra deze zich gemeld en gelegitimeerd heeft. Hierdoor hoeft de gastgever zich niet in een rij aan te sluiten om deze pas op te halen.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Met een compleet pakket aan diensten helpen wij organisaties in control te komen en te blijven op het gebied van beveiliging. Van het onderzoeken van welke maatregelen het best passen bij de benoemde risico’s van de organisatie tot het selecteren, contracteren, implementeren en beheren van de maatregelen.

All-in tarief alarmopvolging

“Als je vaak te laat komt, moet je de volgende keer gewoon wat vroeger vertrekken.” (Johan Cruyff)

Een grote landelijke organisatie beschikt over bijna 1.000 locaties in Nederland. Al deze locaties zijn voorzien van een inbraakalarminstallatie. Alarmen worden ontvangen door een Particuliere Alarm Centrale (PAC). De operator van de PAC volgt het bij het alarm behorende protocol. Dit komt er vaak op neer, dat een zogenoemd mobiele surveillant, moet worden aangestuurd. De mobiele surveillant gaat ter plaatse en controleert op locatie de situatie.

Als opdrachtgever investeer je behoorlijk wat in het beschermen van je eigendommen. Natuurlijk wil je als opdrachtgever dat als de dure inbraakalarminstallatie is afgegaan, de mobiele surveillant snel ter plaatse is. Dat levert het meeste op, als de surveillant sneller is dan dat de daders aan tijd nodig hebben om na het afgaan van het ‘stille’ alarm bij de door hun gewenste buit te komen en zich uit de voeten te maken.

In de praktijk zie je dat er maar weinig criminelen door de mobiele surveillancediensten worden aangehouden. Veelal is de aanrijtijd te lang. Dit moet sneller, ben je dan geneigd te zeggen.

De klantvraag

Bij de hernieuwde aanbesteding van de beveiligingsdienstverlening stelt de opdrachtgever de eis dat een mobiele surveillant binnen X-tijd ter plaatse moet zijn. Lukt dit niet, dan kan de leverancier een flinke malus tegemoetzien.

De aanpak

Voor de aanbesteding geldt ook al dat de mobiele surveillance binnen X-tijd ter plaatse moet zijn. Dan krijgt hij per uitgereden alarm de afgesproken vergoeding. Lukt het niet binnen de afgesproken tijd, dan wordt ‘slechts’ 50% van de vergoeding betaald. Bij de hernieuwde aanbesteding wil de Security Manager dit totaal anders. Want hoe gebruikelijk de ‘oude’ constructie in de markt ook zijn mag, het is voor de opdrachtgever absurd om te betalen voor iets, waar hij in feite niets tot weinig aan heeft.

De aanbesteding wordt geënt op een vast bedrag voor alarmopvolging per maand per locatie. Dit ongeacht het aantal keren dat de mobiele surveillant naar de locatie moet uitrijden. Idee hierachter is dat bij veel onnodig uitrijden naar eenzelfde locatie, de mobiele surveillant zijn vakkennis zal aanwenden om maatregelen te nemen ter voorkoming van onnodig uitrijden. Bijvoorbeeld door het kantoorpersoneel te instrueren over hoe te schakelen. Of te wijzen op materiaal dat de werking van de detectie verstoort. Bedenkt het maar. Vaak uitrijden kost de mobiele surveillant immers geld.

Aanrijdtijden blijven van toepassing. Lukt het de mobiele surveillant niet om in 95% van de gevallen binnen deze aanrijdtijden ter plaatse te zijn, dan wordt een malus van toepassing. De opdrachtgever ontvangt dan een substantieel deel van de afgesproken vergoeding terug. Bij heel erg vaak niet op tijd komen, kan dit leiden tot het overhevelen van omzet naar een concurrent en mogelijk zelfs tot het beëindigen van het contract met alle daarbij komende kosten ten laste van de falende mobiele surveillant.

De opdrachtgever komt aan de wens van de twee nieuw gecontracteerde mobiele surveillance partijen tegemoet, om hen van extra sleutels van iedere locatie te voorzien. Zo kunnen zij meerdere auto’s van een sleutel voorzien en is men flexibeler in wie naar de locatie te sturen en daarmee de tijdslijnen en percentages te realiseren.

Het resultaat

Het eerste contractjaar lukt het beide gecontracteerde partijen niet om te voldoen aan de gestelde normen. Een aanzienlijke malus is het gevolg. Pas nu lijken de partijen wakker geschud. Beiden nemen binnen de eigen organisatie maatregelen om te voorkomen dat de meldingen van de opdrachtgever op de grote hoop gaan van ‘uurtje-factuurtje’.

Eenieder binnen de organisatie laten beseffen dat rijden voor deze opdrachtgever de eigen organisatie geld kost in plaats van oplevert, dat vraagt om een andere aanpak. Meldingen worden beter gemonitord en locaties met veel meldingen worden overdag bezocht om te bepalen waar verbeteringen mogelijk zijn. Aan het einde van het tweede jaar is de performance van beide leveranciers sterk verbeterd. Men heeft sinds jaren zelfs de eerste aanhoudingen weten te doen.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

De belangrijkste focus voor ons is opdrachtgevers meer zekerheid te kunnen bieden, dat de kwaliteit van hun beveiliging voldoet aan de eisen die de eigen organisatie hieraan stelt. En dit tegen de laagst mogelijke kosten.

Mochten leveranciers aan komen zetten met argumenten van ‘kan niet’, ‘bestaat niet’ of ‘lukt niet’, dan weten we als geen ander dat we de oplossing voor een opdrachtgever dan elders moeten gaan zoeken. Want het kan toch niet waar zijn dat je duur geld neertelt voor iets wat je niet wilt hebben? Dan moet je iets anders. Wij denken anders. In het belang van de opdrachtgever. In het belang van de ontwikkeling van het vakgebied.

Trainen van coördinatoren beveiliging

“Practice is the hardest part of learning, and training is the essence of transformation.” (Ann Voskamp) 

Hoe wij de beveiligingscoördinatoren binnen de organisatie klaarstoomden om hun rol goed te kunnen vervullen

De directie Facility Management van deze opdrachtgever wordt verantwoordelijk gemaakt voor de uitvoering van fysieke beveiliging. Hoewel deze directie al jaren is betrokken bij de bouw en verbouw van de eigen kantoren, omvat het verantwoordelijk zijn voor fysieke beveiliging diverse elementen waar men minder mee bekend en vertrouwd is.

Met name het integraal benaderen van dit vakgebied met daarin het vinden van een juiste balans tussen organisatorische, bouwkundige en elektronische maatregelen maakt hierin het verschil. Bij een audit door de interne auditafdeling wordt de constatering gedaan dat lang niet alle medewerkers van Facility Management, verantwoordelijk voor de beveiliging van de landelijke hoofdkantoren, over voldoende kennis van het vakgebied beschikken.

De klantvraag

Realiseer dat de coördinatoren die verantwoordelijk zijn voor de beveiliging van de landelijke hoofdkantoren over een goede basiskennis van fysieke beveiliging beschikken.

De aanpak

Het al langer met fysieke beveiliging bekende kernteam vraagt een landelijke coördinator om samen met het kernteam en Learning & Development een training te ontwikkelen. Learning & Development adviseert als opleidingsdeskundige afdeling een training te ontwikkelen, die gebaseerd is op bestaande, specifieke situaties.

Deze situatie wordt centraal als voorbeeld gesteld. Hier wordt vervolgens de theorie vanuit het beleid en vakgebied aan toegevoegd. Door dit vervolgens te combineren met een interactief element ontstaat een training, die volgens de leertheorie beter wordt ervaren, beleefd en onthouden dan iemand met een pak boeken vol informatie op te zadelen.

In overleg met de verantwoordelijke managers wordt bepaald dat meer dan alleen de landelijke coördinatoren de training moeten volgen. Ook de dagelijks in de panden aanwezige huismeesters, de product- en contractmanagers, de projectleiders huisvesting worden aangemerkt als te trainen medewerkers. Ook van buiten Facility Management wordt interesse getoond voor de training. Niet alleen de beleidsmaker meldt zich als geïnteresseerd, ook diverse medewerkers van de tweedelijns partijen: de partijen die toe zien op hoe Facility Management zijn uitvoerende rol op het gebied van fysieke beveiliging invult.

De bij het kernteam betrokken landelijke coördinator toetst bij zijn collega’s in het land waar hun behoefte ligt, wat zij nu zelf aangeven te missen en wat zij wel en niet als interessant ervaren. Mede op grond van deze input worden de cases vanuit de praktijk bij elkaar gesprokkeld. En wordt alle voor handen materiaal vanuit de theorie en praktijk bij elkaar gezocht.

Het resultaat

Met een externe leverancier wordt de opleiding volledig ontwikkeld. Vijf cases worden uitgewerkt, inclusief film- en fotomateriaal. Plaats en tijdonafhankelijk kan de training online worden gevolgd. Men kan stoppen op ieder gewenst moment om de training weer later te vervolgen daar waar men gebleven is. En als extra wordt gerealiseerd dat de training online beschikbaar blijft en daarmee een te allen tijde raadpleegbaar informatiebestand is. De training wordt afgesloten met een korte test, waarvan is gesteld dat 70% van de punten moet worden behaald om als geslaagd de training te kunnen beëindigen. Een evaluatie maakt deel uit van de test.

Uiteindelijk volgen 86 medewerkers de training en 74 ronden de training ‘geslaagd’ af. 89% van de deelnemers geeft aan dat de training hen het antwoord heeft gegeven op de vraag waarom fysieke beveiliging belangrijk is voor de organisatie en zij geven aan te zien waar zij hun bijdrage het best kunnen leveren.

De resultaten van de trainingen zijn met audit gedeeld en vormden voldoende aanleiding om de gedane constatering binnen de gestelde tijdlijn op ‘afgehandeld’ te zetten.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Waarom is beveiliging voor een organisatie belangrijk en wat kan ik als medewerker hieraan bijdragen? Als je in het vakgebied zelf dagelijks bezig bent, dan heb je dit wel op het netvlies. Maar hoe zit dat als je naar alle medewerkers binnen de organisatie kijkt? Zouden zij ook beseffen dat er diverse risico’s zijn, die de continuïteit van de organisatie en daarmee hun eigen toekomst bedreigen en dat juist door hun handelen en toedoen aan deze risico’s het hoofd geboden kan worden?

Doen we de goede dingen en doen we deze goed? Deze kernvraag hanteren wij voortdurend. Wij helpen door de bewustwording over de risico’s die de organisatie loopt bij medewerkers onder de aandacht te brengen. Bijvoorbeeld door het ontwikkelen van een doelgroep gerichte training, zoals in bovenstaande case. Maar ook door het ontwikkelen van een voor een bredere doelgroep gerichte awareness training. Inclusief een 0-meting en met periodieke metingen van het effect van de training.

Business Continuïty & Disaster Recovery

“Ik moet rennen, springen, vliegen, duiken, vallen, opstaan en weer doorgaan.” (Herman van Veen)

Een middelgrote organisatie in de financiële sector had in een ver verleden eens een Business Continuïty Plan op laten stellen. “Omdat andere organisaties dat nu eenmaal ook hebben en wij daar niet bij achter konden blijven”, zo verwoorden ze het letterlijk. “Een dergelijk plan komt alleen uit de kast als er zich een incident voordoet en we alle zeilen bij moeten zetten om zo snel mogelijk weer operationeel te zijn.”

Gelukkig was er al jaren niets bijzonders gebeurd, waardoor het plan al die tijd in de kast was gebleven. Het plan was inmiddels ook flink achterhaald. Zou er wat gebeuren, dan zou de organisatie helemaal niets meer aan dit plan hebben. Het sloot al lang niet meer aan bij de huidige processen. En vele in het plan vermelde gegevens waren sterk verouderd, waaronder de belangrijke contactgegevens van de contactpersonen en hulpdiensten.

De klantvraag

De klant vroeg ons het Business Continuïty Plan te evalueren en waar nodig te actualiseren. Daarbij werd het verzoek gedaan om vooral een praktisch plan te maken en niet alleen een papieren tijger.

De aanpak

Om aan de vraag van de klant invulling te geven, was wel wat werk nodig. Met name aan de cultuur bij de opdrachtgever was het nodig te veranderen. Je kunt het plan immers wel actualiseren en praktisch maken, maar als de organisatie niet in een dergelijk plan gelooft en het nut en de noodzaak van dit plan niet beleeft, dan begin je in feite aan iets onzinnigs.

Toen we het originele plan voor het eerst onder ogen kregen schrokken we wel even. Het was niet alleen een sterk verouderd maar ook vooral een theoretisch plan dat er op papier misschien goed uit zag maar in de praktijk nauwelijks bruikbaar is.

Wij hebben het plan opnieuw vormgegeven vanuit een praktische insteek. We hebben gekeken naar de kritische processen en de kritische systemen van deze organisatie en het plan daarop ingericht. Gelijktijdig hebben we de gegevens in het plan geactualiseerd.

In het plan hebben we niet alleen de maatregelen opgenomen om tijdens een incident zo goed mogelijk door te kunnen gaan (business continuïty) maar we hebben ook die maatregelen opgenomen om na een incident weer zo snel mogelijk terug te kunnen keren naar de “business as usual” (disaster recovery).

Daarnaast hebben we een voorstel gedaan voor een trainingscyclus. Juist om hetgeen in het plan staat te laten leven binnen de organisatie. Tijdens een crisis gelden een aantal andere spelregels waar je in de dagelijkse gang van zeken geen weet van hebt. Die heb je niet zomaar door. Die moet je oefenen, beleven, evalueren en verbeteren tot het begrepen wordt.

Het resultaat

Het resultaat was niet alleen een geactualiseerd plan, maar vooral ook een praktisch plan dat ervoor zorgt dat gedurende een incident de belangrijkste processen nog zo goed mogelijk door kunnen gaan. En dat er vervolgens op gericht is om zo snel mogelijk naar een situatie terug te keren zoals deze was voor het incident. Een incident zorgt al voor enorm veel (onvoorziene) kosten maar als we niet zo snel mogelijk weer terug kunnen naar de normale situatie dan kost het de organisatie nog veel meer.

Business Continuïty en Disaster Recovery zijn beiden belangrijk voor de continuïteit van een organisatie. En daarmee voor het vertrouwen van de medewerkers, klanten, leveranciers en wie nog meer een belang heeft bij de organisatie.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Hebben om het hebben is een typisch voorbeeld van op regels (rule based, ook wel compliance based ) gebaseerd handelen. Een vinkje kunnen zetten bij de vraag of je erover beschikt. Maar dan heb je het volgens ons niet goed begrepen.

De belangrijkste focus is dat je je bewust bent van de risico’s en je er continu op gericht bent om deze risico’s te regisseren, juist ook als een risico zich manifesteert (een incident). Op risico’s gebaseerd handelen. Dat is waar wij voor staan.

Een plan hebben is iets, maar een plan uitvoeren is iets anders. Van proberen kun je leren. Met het regelmatig goed doorlopen en het oefenen van de plannen ga je ze beleven. Missers en fouten zijn hierbij welkom, om daarmee de gewenste resultaten weer scherp te krijgen en daarom procesaanpassingen door te voeren gericht op het beste resultaat. Wij leveren ondersteuning bij alle onderdelen van crisismanagement: van plan tot training, van audit tot aanpassing.

Full-service onderhouds overeenkomst

“Kwaliteit is het resultaat van slimme inspanning.”

Hoe wij zorgden voor resultaatverplichting zodat beveiliging beter gegarandeerd wordt

Een grote organisatie met bijna 1.000 locaties in Nederland had een onderhoudscontract voor een van haar beveiligingsinstallaties, gebaseerd op een abonnement voor preventief onderhoud en het afrekenen van correctief onderhoud op basis van uurtje-factuurtje plus materiaal.

Interne regelingen bepalen dat moet worden aangetoond, dat waarvoor betaald is, ook daadwerkelijk is geleverd. Zowel aan de kant van de leverancier als de opdrachtgever werd een administratie gevoerd, die zijn weerga niet kent. En die afleidde van waar het nu werkelijk om gaat: een goed functionerende installatie.

De klantvraag

“Ik wil een contract, dat het resultaat centraal stelt in plaats van de inspanning, zonder hogere kosten.”

De aanpak

Op basis van een spend-analyse is gekeken naar wat er in de afgelopen jaren is betaald aan onderhoud. Zo werd duidelijk welke werkzaamheden en materialen allemaal in de kosten waren afgedekt. Tevens werd duidelijk dat alle genoemde uitzonderingen veel extra administratie en kosten met zich brachten. Zo kost het van ‘inclusief reiskosten’ uitgesloten ticket van de veerboot beide partijen bijvoorbeeld het vijfvoudige aan administratie. En de eis van benodigde toestemming voor reparaties boven een bepaald bedrag, betekende in de praktijk dat er meestal zoveel tijd verstreek, dat hier niet op locatie op gewacht kon worden en vervolgens extra kosten voor voorrijden en opstarten werden gemaakt.

Een gedegen uitgevoerde spend-analyse gaf beide partijen inzicht in de kostenstructuur. Ook in wat het effect zou zijn als alle in het verleden geformuleerde uitzonderingen nu in een all-in tarief zouden worden meegenomen. In plaats van tig contractuele bepalingen werden kritische performance indicatoren (KPI’s) geformuleerd, die grip geven op het gewenste resultaat van het contract. Enerzijds de eis ten aanzien van de oplostijd van storingen, anderzijds de eis aangaande de beschikbaarheid van het systeem.

Er is zo een contract tot stand gekomen, dat per locatietype een vaste prijs per jaar heeft voor al het te verrichten onderhoud. Groei of krimp van het aantal locaties heeft geen effect op de vastgestelde prijs. En, behoudens vandalisme en natuurgeweld, is alles in de prijs inbegrepen. Per maand wordt belast voor het aantal locaties dat moet worden onderhouden. Er wordt per kwartaal gerapporteerd over de resultaten op de KPI’s en tevens worden dan de aantallen locaties die onder het contract vallen getoetst.

Het resultaat

Er ligt nu een voor de opdrachtgever financieel voordeliger onderhoudsovereenkomst, waarin wordt gestuurd op het gewenste resultaat van het onderhoud qua beschikbaarheid van het systeem en een tijdige reactie in het geval van verstoring.

De versimpeling van het contract en het wegvallen van administratie compenseert het door de leverancier ingecalculeerde risico voor full-service onderhoud op een al jaren bestaand installatielandschap.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Resultaatgerichtheid en een risk based benaderwijze is wat ons bijzonder maakt en onderscheidt van de rest. Kosteneffectief en kostenefficient zijn hierbij de kernbegrippen. Wij sturen op een bij de organisatie passende beveiliging met een verbeterde prijs-kwaliteitsverhouding. Dat is voor ons regie voeren over de beveiligingsketen.

Risico Acceptatie Proces

“De tool heiligt de middelen.”

Eind 2013 wordt de afdeling Facility Management van een organisatie verantwoordelijk gesteld voor de uitvoering van het nieuw vastgestelde beleid op het gebied van fysieke beveiliging. Het beleid wordt door de beleidsmaker aangeleverd. Het is de verantwoordelijkheid van Facility Management om het programma van eisen op te stellen en te implementeren.

Wat zou moeten, is dat het beleid aangeeft welk risico wordt gelopen en waarom dit risico moet worden gemitigeerd. Hoe de mitigatie vormgegeven kan worden, moet dan zijn beslag krijgen in het programma van eisen. Wat we vaker zien, is dat de begrippen ‘Waarom, Wat en Hoe’ door elkaar worden gebruikt en soms met elkaar worden verward. Dat is hier ook het geval.

In het beleid wordt bijvoorbeeld gesteld dat een conferentiecentrum binnen de beveiligde schil moet liggen, omdat er anders een risico is dat informatie ongewenst openbaar kan worden gemaakt (filmen, afluisteren). Maar een groter risico van een conferentiecentrum binnen de beveiligde schil is, dat het dan voor personen van buitenaf relatief eenvoudig is om zaken te zien die ze niet zouden moeten kunnen zien omdat ze zich binnen de beveiligde schil begeven. Het is maar net welk risico je groter vindt.

Het risico om informatie niet ongewenst in de openbaarheid te brengen kun je op meerdere manieren het hoofd bieden. Het ‘Wat’ is hier verward met het ‘Hoe’. Er wordt daarmee een oplossing voorschreven, die niet alleen zeer kostbaar is, maar die ook andere risico’s met zich meebrengt. Dat is vaak het geval. Iedere maatregel die je neemt, brengt in potentie weer nieuwe risico’s met zich mee.

De klantvraag

Zorg voor een geformaliseerd proces, dat de organisatie toestaat op grond van een goede argumentatie en afstemming met alle belanghebbenden af te kunnen wijken van het gestelde in het beleid.

De aanpak

Binnen de organisatie is reeds een generiek Risico Acceptatie Proces aanwezig, waarbij met het onderwerp beveiliging zonder problemen kan worden aangesloten. Onder opgave van het risico en de motivatie voor het accepteren van het risico, kan het proces worden gestart. Alle relevante stakeholders worden benoemd en gevraagd om zich inhoudelijk uit te spreken over het risico en de motivatie voor de acceptatie.

Specifiek voor fysieke beveiliging wordt een Risico Acceptatie vooraf besproken in een tactisch overleg, waarbij de voor beveiliging meest relevante belanghebbenden aanwezig zijn. Hier wordt meer inhoudelijk op de materie ingegaan en wordt inzicht gegeven in de gemaakte afweging. Het voordeel is dat een risico niet door een individu geaccepteerd wordt, maar door alle belanghebbenden wordt afgewogen en vervolgens goed wordt gedocumenteerd.

Risico’s gekwalificeerd als ‘hoog’ worden aan het strategisch overleg ter beoordeling voorgelegd en de eigenaar van het risico neemt het risico mee voor bespreking in het managementteam en registratie in de beheerstool. Beveiligingsrisico’s worden zo onderdeel van het standaard Risico Acceptatie Proces binnen de organisatie.

Het resultaat

Veelal worden de onderdelen van een beveiligingsraamwerk in eerste instantie vrij generiek beschreven. Juist door goede discussies over het nut en noodzaak van gevraagde maatregelen bij een risico krijg je binnen een organisatie begrip voor elkaars standpunten en ook het besef dat wat voor de ene situatie passend is, dat voor een andere situatie niet hoeft te zijn.

Juist deze discussies over de werkelijke risico’s die je loopt en welke maatregel het best zou passen, rechtvaardigen de te maken kosten voor het mitigeren of accepteren van het risico het best. Niet door beveiliging als iets bijzonders te zien, maar juist door gebruik te maken van reeds bestaande processen.

Wat RisicoRegisseurs voor jouw organisatie kan betekenen

Doen we de goede dingen en doen we de dingen goed? Deze kernvraag hanteren wij voortdurend en bij alles wat we doen. Daarom ook adviseerden wij de opdrachtgever te kiezen voor een risk based benadering: eerst kijken naar de risico’s en dan passende maatregelen treffen.

Het zou de weg van de minste weerstand zijn geweest om als uitvoerende organisatie gewoon te doen wat werd gevraagd, nl. de opgesomde maatregelen te treffen. Dan zou rule based gehandeld zijn en zou juist de kern van risicomanagement, het managen en regisseren van risico’s, ten onder zijn gegaan aan verstand op nul uitvoeren.

Het nemen van de juiste maatregelen bij de juiste risico’s zorgt er uiteraard voor dat je geen overbodige kosten maakt. Daarbij is het met elkaar in gesprek zijn over de risico’s en de maatregelen feitelijk het belangrijkst. Daarmee houd je het beleid, het begrip en de aandacht voor beveiliging levend.