Een oud gezegde luidt: “Voorkomen is beter dan genezen.” Naar onze mening gaat dit voor beveiliging niet altijd op. Sterker nog het is niet altijd mogelijk en ook niet altijd wenselijk. Waarom we dat vinden leggen we je graag uit.

OBER mag ik de juiste mix van u?

Binnen fysieke beveiliging spreken we al jaren over de zogenaamde OBE-mix:

organisatorische, bouwkundige en elektronische beveiligingsmaatregelen

Tenminste als je een aanhanger van De Haagse Methode bent, anders hanteer jij misschien een andere combinatie. Omdat dit te vaak wordt vergeten, vullen wij dit rijtje inmiddels al geruime tijd aan met de R van Reactie zodat ook de opvolging geborgd is.

De beveiligingsmaatregelen moeten een zo goed mogelijke mix van organisatorische, bouwkundige en elektronische maatregelen zijn, waarbij de reactie zorgt voor de nodige en tijdige opvolging van incidenten die niet voorkomen konden worden.

De vraag is echter wat een “zo goed mogelijke mix” is. Je wilt immers voorkomen dat allerlei maatregelen worden aangerukt en ingezet, zonder dat je precies helder hebt wat de risico’s zijn waartegen je deze beveiligingsmaatregelen inzet. Risicoanalyses vormen de basis om de mix van maatregelen te kunnen bepalen.

Van preventie naar correctie

Een andere mix waar we bij beveiliging rekening mee moeten houden is de zogenaamde PDRC-mix. Deze mix kijkt naar de fase waarin een onacceptabel risico zich voor kan doen en de mate waarin bepaalde beveiligingsmaatregelen een bijdrage leveren aan het voorkomen of beperken van dat risico.

  • Preventie: het voorkomen dat een incident zich voordoet. Voorbeelden van maatregelen: muren, deuren, bouten, sloten.
  • Detectie: het ontdekken dat een incident zich voordoet. Voorbeelden van maatregelen: inbraakinstallatie, camerasysteem, beveiliger op locatie.
  • Repressie: het onderdrukken van het incident op het moment dat het zich voordoet. Voorbeelden van maatregelen: compartimentering, sprinklerinstallaties, business continuity management.
  • Correctie: het herstellen van het incident nadat het zich heeft voorgedaan. Voorbeelden van maatregelen: alarmopvolging door mobiele surveillant, verzekering, disaster recovery.

Zou het gezegde ‘voorkomen is beter dan genezen’ altijd opgaan, dan zouden we er alles aan doen om het uitbreken van een incident te voorkomen. Dan zou alles wat we doen gericht zijn op preventie. Maar alles willen voorkomen kost niet alleen veel, heel veel, geld maar is ook niet altijd mogelijk of wenselijk. Daarom moet er ook de nodige aandacht voor detectie, repressie en correctie zijn.

Daarnaast moeten we er rekening mee houden dat de business as usual nog wel op een normale manier mogelijk moet zijn. Dat is immers het bestaansrecht van de organisatie en daarmee wordt, binnen commerciële organisaties, het geld verdiend en daartoe is de organisatie op aard. Beveiliging is en blijft een ondersteunend proces waar de organisatie zo min mogelijk last van moet ondervinden. Werkprocessen moeten niet onnodig gehinderd of beperkt worden door allerlei ingewikkelde en soms onnodige beveiligingsmaatregelen. De doelmatigheid en de doeltreffendheid van de primaire bedrijfsprocessen staat voorop. De beveiliging stemmen we daar zo goed mogelijk op af. Daarom kunnen incidenten ook niet altijd voorkomen worden.

Risicomanagement is ook (of eigenlijk met name) een lijnverantwoordelijkheid

Tot nu toe hebben we ons vooral gericht op beveiligingsmaatregelen. In de zin van een oorzaak-gevolg-relatie zijn beveiligingsmaatregelen ook meestal een gevolg en is het risico de oorzaak. Om zo optimaal mogelijk te beveiligen, moeten we vooral op zoek naar de oorzaken. Kunnen we die op een andere manier aanpakken? Dan zijn misschien geen, andere of minder zware beveiligingsmaatregelen nodig.

Om de toegevoegde waarde van beveiliging inzichtelijk te kunnen maken, moeten we inzicht hebben in risicomanagement, specifiek hierbij de daaruit af te leiden risicostrategie. Per risico kan daarbij overigens een afwijkende strategie gekozen worden. Het één en ander hangt onder meer af van de waarschijnlijkheid dat een risico zich manifesteert en de impact die het kan hebben als dat gebeurt in relatie tot hoe kritisch het proces is dat beschermd moet worden.

In zijn algemeenheid worden de volgende 4 risicostrategieën onderscheiden:

  1. Vermijden (kans en de impact zijn hoog)
  2. Verminderen (kans hoog, impact laag)
  3. Overdragen (kans laag, impact hoog)
  4. Accepteren (kans en impact zijn laag)

Belangrijk om op te merken is dat risicomanagement en beveiliging beiden een lijnverantwoordelijkheid zijn. Alleen de business kan namelijk bepalen welke strategie voor een bepaald risico het best passend is. Zij kunnen inschatten hoe kritisch het proces is voor de organisatie.

In zijn algemeenheid worden de volgende 3 risicogedragingen onderscheiden:

  • Risicomijdend gedrag
  • Risiconeutraal gedrag
  • Risicodragend gedrag

Een financiële instelling is over het algemeen risicomijdend, maar zij handelt ongetwijfeld ook in producten met een risicodragend profiel. Een evenementenorganisatie is in het algemeen al wat meer risicodragend ingesteld. Maar komt het op gezondheid van mensen aan, dan zal ook een evenementenorganisatie risicomijdende maatregelen voorstaan. Hiermee wordt duidelijk dat binnen een organisatie verschillende risicogedragingen voorkomen. Soms moeten risico’s zoveel mogelijk voorkomen worden, soms wordt bewust een hogere risicograad geaccepteerd.

Bij het bepalen van de juiste strategie per risico, moet de business daarom niet alleen rekening houden met het risicogedrag passend bij het eigen specifieke proces of verantwoordelijkheidsgebied, maar ook kijken naar het risicogedrag van de organisatie als geheel. Vanuit beveiliging kunnen we daarbij ondersteunen en kunnen we adviseren over de maatregelen die nodig zijn om invulling te geven aan de risicostrategie die door de lijn gekozen wordt.

De mix aan organisatorische, bouwkundige, elektronische en reactieve maatregelen die geadviseerd kan worden draagt vooral bij aan de strategieën vermijden en verminderen. Maar dus niet voordat die strategie door de business gekozen is tenzij dat wettelijk verplicht is. Bijkomend voordeel is dat deze werkwijze ook bijdraagt aan het draagvlak dat nodig is om de maatregelen werkend te krijgen en te houden. De business begrijpt beter waarom beveiligingsmaatregelen genomen worden als ze actief betrokken zijn geweest bij het bepalen van de risico’s.

Wat te beveiligen?

Processen worden ondersteund door de combinatie van personen, informatie en materieel en vinden veelal plaats in een locatie. Om te bepalen wat er beveiligd moet worden en op welke wijze, moet er een relatie gelegd worden tussen de processen enerzijds en de personen, informatie en het materieel die deze processen mogelijk maken anderzijds.

Op basis daarvan kan een set aan maatregelen worden voorgesteld ter bescherming van:

  • De gebouwen waarin die processen zich afspelen;
  • De personen die de processen uitvoeren;
  • De informatie die nodig is voor die processen;
  • Het materieel dat aan die processen bijdraagt.

Dat beschermen doen we tegen onacceptabele risico’s en met een set aan organisatorische, bouwkundige, elektronische maatregelen en waarbij we dus ook kijken naar de reactie. Hierbij houden we ook gelijk rekening met de mogelijke mix van preventie, detectie, repressie en correctie en het risicogedrag en de gekozen risicostrategie.

Waarom, waartegen en waarmee

De vragen die we ons moeten stellen is waarom, waartegen en waarmee kunnen we zo optimaal mogelijk beveiligen. Optimaal staat hierbij dus niet voor zoveel mogelijk, maar voor een proportionele mix van beveiligingsmaatregelen die gebaseerd is op een aantal fundamentele keuzes.

Een mix die is afgestemd op de kritische waarde van de bedrijfsprocessen. Maar ook een mix die gebaseerd is op de risicobereidheid die er is en de hoogte van de risico’s die onderkend zijn.

  • Waarom: we beveiligen om discontinuïteit te voorkomen. Discontinuïteit als gevolg van onacceptabele risico’s die van invloed kunnen zijn op de primaire en secundaire bedrijfsprocessen. Hierbij houden we rekening met de kosten-batenverhouding tussen de gevolgen van het risico, de kritische waarde van de processen en de kosten om dat risico beheersbaar te maken.
  • Waartegen: we kijken naar de realistische dreigingen en de business bepaalt welke risico’s onacceptabel zijn door de juiste strategie toe te passen (vermijden, verminderen, overdragen, accepteren). De business houdt hierbij rekening met het risicogedrag (mijdend, neutraal, dragend), zodat wij ons kunnen focussen op de juiste fase van een incident (preventie, detectie, repressie, correctie).
  • Waarmee: met dat in ons achterhoofd stellen we als beveiligingsdeskundigen de proportionele mix aan organisatorische, bouwkundige, elektronische maatregelen voor die we aanvullen met reactie zodat we tijdig en adequaat op incidenten kunnen reageren.

De strekking van dit verhaal

Voorkomen is niet altijd beter dan genezen. Sterker nog voorkomen is niet altijd mogelijk en ook niet altijd wenselijk. Stop met het nemen van beveiligingsmaatregelen en start met het beheersen van onacceptabele risico’s. Doe dit door te kijken naar hoe kritisch een proces is. Leg hierbij de relatie tussen het proces en de personen, informatie en het materieel die nodig zijn om het proces te kunnen realiseren. Breng op basis daarvan de realistische dreigingen in kaart. Op grond hiervan bepaalt de “business” hoe acceptabel een risico is en welke strategie ze bereid zijn om te volgen. Met daarbij het risicogedrag in ogenschouw nemend, passend bij dat proces.

Dat is voor beveiliging het vertrekpunt om de proportionele mix van beveiligingsmaatregelen voor te kunnen stellen. Daarom moeten we binnen beveiliging niet alleen een inhoudelijk expert zijn op ons eigen gebied maar moeten we ook een goede procesbegeleider zijn om de best denkbare toegevoegde waarde te kunnen leveren.