In gesprekken met nieuwe opdrachtgevers vertellen ze ons vaak trots wat er aan beveiliging al geregeld is en welke beveiligingsmaatregelen binnen hun organisatie allemaal getroffen zijn. Soms al snel gevolgd door de wat twijfelende vraag: “We zijn toch goed beveiligd?”.

Het korte antwoord

Of de organisatie goed beveiligd is, is een vraag waarop het antwoord niet 1, 2, 3 te geven is. Beveiliging is immers geen exacte wetenschap en risico’s leiden nu eenmaal tot een bepaalde mate van onzekerheid. Dus of je goed (genoeg) beveiligd bent, weet je nooit helemaal zeker. De kans dat je te weinig, de verkeerde of te veel maatregelen neemt of geconfronteerd wordt met een incident is altijd aanwezig. Die kans wordt zelfs nog groter naarmate er minder zicht is op, of begrip van, de risico’s die voorstelbaar en realistisch zijn.

Daarom zetten wij, bij de opdrachtgevers die we helpen, de risico’s centraal en stemmen de mate van beveiliging en de zwaarte van de maatregelen daaropaf. Door de manier waarop we beveiliging procesmatig inrichten, neemt de onzekerheid af. Je weet zo namelijk of het beveiligingsbeheer goed geregeld is. Daarmee verlaag je de kans dat er te weinig, de verkeerde of te veel maatregelen worden genomen aanzienlijk en kun je er beter op vertrouwen dat in ieder geval de aanpak goed genoeg is. Zo verhoog je de kans dat de onderkende risico’s beheersbaar zijn en blijven.

De vraag die wel beantwoord kan worden

Een vraag die wel beantwoord kan worden, is of het beveiligingsbeheer goed (genoeg) is. Het klinkt misschien wat cryptisch maar er is een groot verschil tussen het begrip beveiliging (security) en beveiligingsbeheer (securitymanagement). Wij helpen organisatie bij het inrichten, invoeren en uitvoeren van dat beveiligingsbeheer zodat ze de regie over de risico’s kunnen pakken en de wijze en mate van beveiliging daarop af kunnen stemmen.

Beveiliging wordt in onze optiek niet altijd beter door (nog) meer maatregelen te nemen. Vaak niet zelfs, want iedere maatregel brengt ook weer nieuwe risico’s met zich mee. Wel wordt de beveiliging beter door het beveiligingsbeheer stelselmatig in te richten zodat betere keuzes gemaakt kunnen worden. Als het beveiligingsbeheer goed is, dan kun je er beter op vertrouwen dat de beveiligingsrisico’s in voldoende mate afgedekt zijn.

Beveiliging versus beveiligingsbeheer

Onder het begrip fysieke beveiliging verstaan we het geheel aan maatregelen om de tastbare objecten van de organisatie te beschermen tegen schadelijke invloeden van bewust menselijk handelen.

Om te weten welke schadelijke invloeden er te verwachten zijn en welke daarvan realistisch zijn, worden dreigingsprofielen opgesteld en risicoanalyses uitgevoerd. Aan de hand van de hoogte van de risico’s die onderkend zijn, wordt bepaald welke maatregelen (naar verwachting) bijdragen aan het beheersen daarvan. Daarmee wordt beveiliging nog geen exacte wetenschap maar wel meer en meer een sociale wetenschap waarbij het beveiligingsbeheer zodanig is ingericht dat keuzes herleidbaar en controleerbaar zijn.

Onder het begrip beveiligingsbeheer verstaan we het besturen van de beveiliging om de belangen van de organisatie te beschermen tegen schadelijke invloeden van bewust menselijk handelen. Het heeft als doel het (her)formuleren en bereiken van de doelstellingen in de gegeven (soms sterk veranderende) context door de organisatie inclusief de processen in te richten op een manier die (naar verwachting) het beste bijdraagt aan het realiseren van die doelen. Door het beveiligingsbeheer goed in te richten en uit te voeren, verbeterd de kwaliteit van beveiliging en kan er op de resultaten gestuurd worden.

Kort samengevat richt beveiliging zich dus op het daadwerkelijk beschermen van objecten door op basis van risico’s beveiligingsmaatregelen te nemen. Beveiligingsbeheer richt zicht op het managen van de bescherming van de belangen van de organisatie door een proportionele wijze van beveiliging.

Beveiligingsbeheer is de randvoorwaarde voor een goede mate van beveiliging. Zonder goed beveiligingsbeheer kun je wel maatregelen nemen, maar weet je niet of en in welke mate de beveiligen bijdraagt aan het beheersen van de risico’s. Wil je weten of je goed beveiligd bent? Kijk dan eens naar het beveiligingsbeheer dat is ingevoerd. Is dat van goede kwaliteit? Dan kun je er beter op vertrouwen dat de getroffen maatregelen de juiste zijn.