Niet iedere organisatie hoeft (even) zwaar beveiligd te zijn. Wel moet iedere organisatie goed beveiligd zijn. Wat goed is? Dat hangt af van de risico’s die er zijn. Die leg je vast in het dreigingsprofiel, zodat je risicoanalyses uit kunt voeren. Daarna maak je keuzes ten aanzien van de maatregelen die je gaat implementeren en de voorbereidingen die je moet treffen. Theoretisch is het zo eenvoudig, maar voordat een organisatie daar is, doorloopt ze een aantal leerfasen. Laten we daar, en de invloed ervan op beveiliging, eens naar kijken.
Van onbewust onbekwaam, naar onbewust bekwaam
Abraham Harold Maslow was een Amerikaans klinisch psycholoog die je misschien kent van de piramide van Maslow. Maar hij is ook bekend van de leerfasen die onderscheiden worden bij gedragsverandering. Daarbij wordt onderscheid gemaakt in de mate van bewustzijn en bekwaamheid in vier fasen. Die gelden voor een individu maar zijn net zo goed van toepassing op veranderingen in een organisatie. Vertalen we die theorie naar een onderwerp als beveiligingsrisico’s, dan geeft dat een aantal inzichten.
Geen zin om het hele artikel te lezen of snel het hele overzicht? Hieronder zijn de belangrijkste punten voor je samengevat
Mate van bewustheid: | Onbewust | Bewust | Bewust | Onbewust |
---|---|---|---|---|
Mate van beveiliging: | Onbeveiligd | Onbeveiligd | Beveiligd | Beveiligd |
Omschrijving: | Onvoldoende bewust van de risico’s, niet of nauwelijks maatregelen getroffen, onvoldoende weerbaar en niet of slecht voorbereid op incidenten | Bewust van de grootste risico’s, gestart met maatregelen, (nog) niet voldoende weerbaar, enigszins voorbereid op incidenten | Zeer bewust van de meeste risico’s, basis maatregelen getroffen, verbeteringen bekend, weerbaar tegen de grootste risico’s, goed voorbereid op incidenten | Alle risico’s zijn bekend en beheerst, de nodige maatregelen zijn getroffen, weerbaar tegen alle realistische risico’s, zeer goed voorbereid op incidenten |
Gevolg: | Verrast door incidenten, paniek, angst, onnodig grote schade | Acceptatie dat er risico’s worden gelopen en gestart met zoeken naar nog onbekende risico’s | Verbeteringen bekend en gestart met implementatie | Rust, controle en voorbereiding |
Mate waarin risico wordt gelopen: | Zeer hoog: kans dat incidenten zich voordoen is zeer groot, incidenten worden niet tijdig ontdekt en er wordt te laat en ongestructureerd op gereageerd | Hoog: kans dat incidenten zich voordoen is groot, incidenten worden laat ontdekt en het actiepatroon wordt ter plaatse bedacht | Midden: kans dat incidenten zich voordoen is aanwezig maar worden tijdig ontdekt en er wordt gepast op gereageerd op basis van vooraf bedachte patronen | Laag: incidenten kunnen zich altijd voordoen maar worden vroegtijdig ontdekt en er wordt zeer adequaat op gereageerd op basis van vooraf bedachte en geoefende patronen |
Potentiële schade van een incident: | Onnodig grote financiële schade, veel onnodige slachtoffers, extreme of onmetelijke immateriële schade, onnodig verlies van veel vertrouwelijke of geheime informatie | Aanzienlijke financiële schade, aanzienlijk aantal slachtoffers, aanzienlijke immateriële schade of verlies van enige vertrouwelijke informatie. Een deel van de schade was te voorkomen | Beperkte financiële schade, 1 of enkele slachtoffers, aanzienlijke immateriële schade of verlies van een enkel stuk vertrouwelijke informatie. Een deel van de schade had beperkt kunnen worden | Zeer beperkte financiële schade, 1 of enkele slachtoffers, enige immateriële schade of verlies van niet vertrouwelijke informatie. Schade was niet of nauwelijks te voorkomen geweest |
Beveiligingsfocus: | Correctie | Repressie en correctie | Detectie, repressie en correctie | Preventie, detectie, repressie en correctie |
Actie om de volgende fase te bereiken: | Bewustwording | Uitvoeren risicoanalyses | Opstellen beveiligingsplannen | In stand houden en continu verder verbeteren |
Benodigd leiderschap: | Instrueren | Overtuigen | Overleggen | Delegeren |
Volwassenheidsniveau van het proces: | Initieel en ad-hoc | Herhaalbaar en gedefinieerd | Gemanaged | Geoptimaliseerd |
Fase 1: onbewust onbeveiligd
De eerste fase (onbewust onbekwaam) toont aan dat er binnen een organisatie niet of nauwelijks bewustzijn is ten aanzien van het gebrek aan kennis voor een bepaald onderwerp. Men weet niet dat ze iets niet weten.
Ten aanzien van beveiliging geldt dat de organisatie zich onvoldoende bewust is van de risico’s die er zijn en de maatregelen die daartegen getroffen kunnen worden. Er zijn misschien wel maatregelen, want iedere organisatie doet wel iets aan beveiliging (al is het maar omdat de verzekering het eist), maar er is onbekend of ze toereikend zijn. Of er niet teveel of misschien juist te weinig maatregelen getroffen zijn. Dat komt omdat ze niet of niet direct in relatie staan tot de risico’s die er zijn en de hoogte daarvan. De maatregelen zijn niet afgeleid uit de risico’s. Er is sprake van onbewust onbeveiligd en het is vooral te hopen dat er niks gebeurt.
Binnen de organisatie is (nog) niet duidelijk dat de toegepaste aanpak voor beveiliging niet effectief is. De organisatie kan verrast worden door incidenten die mogelijk voorkomen hadden kunnen worden en waarop ze onvoldoende is voorbereid. De focus van de organisatie is met name gericht op correctie. Doet een incident zich voor dan moeten alle zeilen bijgezet worden om de schade toch nog enigszins te beperken. Het risico is dat de organisatie hier onvoldoende in slaagt en de schade hoger is dan noodzakelijk.
Om deze fase te ontgroeien is aandacht voor bewustwording noodzakelijk. Er moet begrip ontstaan over het feit dat er risico’s zijn en dat er maatregelen getroffen kunnen worden om die risico’s te verlagen, de impact van incidenten te beperken en de weerbaarheid van de organisatie te verhogen.
“Organisaties denken bij beveiliging al snel aan risico‘s als inbraak en diefstal. Het zijn zeker relevante risico’s, de vraag is echter of het ook de belangrijkste risico‘s zijn en welke risico’s er nog meer zijn. We zien bijvoorbeeld een sterke toename in incidenten als gevolg van agressie, verbale dreiging en fysiek geweld. De maatregelen gericht tegen een inbraak helpen daar onvoldoende tegen.”
Fase 2: bewust onbeveiligd
Zodra een organisatie zich bewust wordt van het feit dat de beveiligingsrisico’s onvoldoende onderkend zijn en de organisatie onvoldoende voorbereid is, is duidelijk dat verandering nodig is. Hiermee ontstaat de volgende fase (bewust onbekwaam). Dit is de fase waarin de organisatie zich bewust wordt van het gebrek aan kennis. Men weet dat ze iets niet weten, maar weet niet wat ze niet weten.
Ten aanzien van de beveiliging geldt dat de organisatie weet dat ze nog geen compleet beeld of goed begrip van de risico’s heeft. Er is sprake van bewust onbeveiligd. Misschien zijn er (ooit) al eens risicoanalyses opgestart maar die zijn nog weinig gestructureerd. Niet voor alle objecten zijn ze aanwezig en/of ze worden niet op een uniforme wijze uitgevoerd. Er is bekend dat er risico’s zijn, maar het beeld is niet compleet. Het is niet precies duidelijk welke risico’s het betreft, hoe hoog ze zijn en wat de potentiële impact ervan is.
Binnen de organisatie is duidelijk dat de aanpak aangepast moet worden. Er ontstaat een bepaalde mate van onzekerheid binnen de organisatie die weggenomen moet worden. Er is alleen nog niet precies bekend wat en hoe. De organisatie zal moeten accepteren dat ze (nog) niet alle risico’s inzichtelijk heeft en dat zich incidenten voor kunnen doen waarop ze nog onvoldoende is voorbereid. De organisatie begint zich er wel beter op voor te bereiden waardoor bepaalde incidenten mogelijk voorkomen kunnen worden. De focus van de organisatie is met name gericht op repressie en correctie waarbij geprobeerd wordt incidenten tijdig te ontdekken om de schade van een incident zoveel mogelijk te beperken.
Om deze fase te ontgroeien is aandacht voor beveiligingsplannen op basis van risicoanalyses noodzakelijk. Zo ontstaat er begrip over de risico’s die er zijn, hoe hoog ze zijn en wat de impact ervan kan zijn. Op basis daarvan kan de organisatie starten om maatregelen te bedenken die daartegen getroffen kunnen worden.
“Organisaties die inbraak als risico zien en daartoe een inbraakdetectiesysteem geïnstalleerd hebben, komen vaak bedrogen uit. Dat komt omdat de crimineel al na 2 minuten weer buiten staat terwijl de mobiel surveillant er al snel zo’n 15 minuten of langer over doet om ter plaatse polshoogte te nemen. De schade is inmiddels aangericht en de waardevolle bezittingen zijn buit gemaakt.”
Fase 3: bewust beveiligd
Gaat de organisatie zoeken wat er aangepast moet worden en hoe, dan belandt zij in de volgende fase (bewust bekwaam). Dit is de fase waarin men zich bewust wordt van wat er aan kennis nodig is. Men weet wat ze niet weten en gaat ernaar op zoek. Door te oefenen is men bewust bezig met het opdoen van de gewenste kennis, vaardigheden of competenties.
Ten aanzien van de beveiliging geldt dat de organisatie een steeds beter beeld heeft en begrip krijgt van de risico’s die er zijn. Het beeld is wellicht nog niet compleet (en de vraag is of dat ooit zo zal zijn) maar er worden op een gestructureerde en uniforme wijze risicoanalyses uitgevoerd voor alle objecten waarvoor dat noodzakelijk wordt geacht. Er is bekend dat er risico’s zijn en de meest realistische en voorstelbare risico’s inclusief de mogelijke impact daarvan is bekend.
Binnen de organisatie is duidelijk welke risico’s aangepakt moeten worden. Maar er is nog onzekerheid ten aanzien van de maatregelen die daartegen getroffen kunnen worden. De organisatie start met het bedenken, ontwerpen en selecteren van maatregelen die in relatie staan tot de risico’s die er zijn.
Het soort maatregelen wordt steeds beter afgeleid uit de risico’s die er zijn. Denk bijvoorbeeld aan de organisatorische, bouwkundige, elektronische en reactieve maatregelen. De zwaarte van de maatregelen wordt afgestemd op de hoogte van die risico’s. Licht waar het kan, zwaar(der) waar het moet. De risicoanalyses en maatregelen worden vastgelegd in beveiligingsplannen.
Door ook inzichtelijk te maken welke maatregelen al getroffen zijn, wordt duidelijk welke maatregelen nog ingevoerd of verbeterd moeten worden. De focus van de organisatie komt steeds meer te liggen op preventie, detectie en correctie. Op incidenten is de organisatie voorbereid waardoor de schade beperkt kan worden en er na een incident weer zo snel mogelijk kan worden teruggekeerd naar de normale gang van zaken.
Om deze fase te ontgroeien is aandacht voor onderhoud van de maatregelen en controle van de beveiligingsplannen noodzakelijk. De weerbaarheid wordt pas echt verhoogd, en de risico’s verlaagd, als de maatregelen werken zoals ze bedacht en bedoeld zijn. Op basis van incidentanalyses, audits en continue monitoring van de risico’s die er zijn, is de organisatie in staat om de beveiliging op het gewenste niveau te houden.
“De organisatie die inbraak en diefstal als gevolg daarvan als risico ziet, kiest ervoor om, naast een camera- en inbraakdetectiesysteem, ook een goede kluis te installeren. De crimineel doet er nu langer over om zijn buit te bereiken. Dat geeft de mobiele surveillant de tijd om naar de locatie toe te rijden en de politie in te schakelen. De crimineel is misschien al vertrokken maar buit heeft hij niet kunnen maken.”
Fase 4: onbewust beveiligd
Door continu aandacht te besteden aan de risico’s die er zijn worden de nieuwe kennis, vaardigheden of competenties eigen gemaakt. Het wordt logisch om een risicoanalyse uit te voeren en men wordt er bedreven in. Zo wordt de volgende fase bereikt (onbewust bekwaam). Er wordt (aantoonbaar) dat ze weten wat ze eerder niet wisten. De organisatie denkt er niet meer (bewust) over na dat ze over de kennis, vaardigheden of competenties beschikt maar laat het ook echt zien door risicoanalyses uit te voeren, beveiligingsplannen op te stellen en de juiste maatregelen te implementeren.
Ten aanzien van beveiliging geldt dat de organisatie het beeld en begrip dat zij heeft over de risico’s bijhoudt. Je kunt niet alle incidenten voorkomen en risico’s kunnen wijzigen, maar je kunt je wel op alle realistische risico’s voorbereiden. Incidenten, van binnen en buiten de organisatie, worden geanalyseerd. Nieuwe aanvalsmethoden, technologieën en ontwikkelingen worden in de gaten gehouden. Waar nodig worden de risicoanalyses hierop aangepast en worden de plannen bijgesteld. Voor alle objecten waarvoor dat noodzakelijk wordt geacht, worden automatisch risicoanalyses uitgevoerd, beveiligingsplannen opgesteld en maatregelen geïmplementeerd die onderhouden en periodiek getest of getoetst worden.
Er is sprake van een fase waarin de organisatie onbewust beveiligd is. Binnen die organisatie is duidelijk dat voor de risico’s die onacceptabel zijn, de nodige maatregelen getroffen zijn. Er kan op de aanpak vertrouwd worden. De primaire focus van de organisatie komt te liggen op preventie in de zin dat de organisatie voorbereid is op de risico’s die zij onderkend. Voor onacceptabele risico’s zijn de nodige maatregelen getroffen en voor acceptabele risico’s worden bewust geen onnodige maatregelen getroffen. Risico’s die niet (verder) verlaagd kunnen worden zijn inzichtelijk en voor restrisico, zijn voorbereidingen getroffen om tijdig en gepast te reageren op incidenten.
De organisatie heeft alle leerfases doorlopen. Belangrijk is nu om de kennis, vaardigheden of competenties te borgen binnen de organisatie. Beveiliging is geen eenmalige activiteit maar een continu proces waarbij de risico’s steeds centraal staan. Wijzigt er iets in de risico’s? Doen zich nieuwe aanvalsmethodes voor? Zijn er nieuwe of betere maatregelen die getroffen kunnen worden? Dan zorgt een proces ervoor dat de organisatie op ieder moment weerbaar is tegen de risico’s die er zijn. Doet een incident zich toch voor? Dan is de organisatie daarop voorbereid en kan de impact beperkt worden. Zo ontstaat rust binnen de organisatie en zo kan erop de beveiliging vertrouwd worden.
De leerfasen als basis voor de aansturing binnen de organisatie
De door Maslow genoemde fases zijn nog steeds actueel en bieden houvast bij verandering. Ze zijn niet alleen toepasbaar op individuen of organisaties maar ook op het beheersbaar houden van de risico’s. Daarbij kan de manier waarop de organisatie aangestuurd wordt, worden aangepast op de fase waarin zij zich bevindt.
Situationeel leiderschap biedt hiertoe een mooie volgende stap. Maar dat is een onderwerp voor een volgende keer. Laat ik het hier daarom beperkt houden. In fase 1 zal vooral gestuurd moeten worden op basis van instructie. Fase 2 vraagt naast sturing ook om ondersteuning en coaching. In fase 3 kunnen de teugels al wat gevierd worden en is nog wel enige sturing nodig maar moet er vooral ondersteund worden. Delegeren kan vervolgens in fase 4. De kennis, vaardigheden of competenties zijn aanwezig en het is vooral een kwestie van doen.
Weten waar je staat en hoe je de volgende fase kunt bereiken?
Laat je gegevens achter en we nemen contact met je op.