In onze maatschappij zijn tal van bedreigingen. In de media worden incidenten breed uitgemeten en becommentarieerd, met als centrale vraag: wie is verantwoordelijk voor de veiligheid en het veiligheidsbeleid? Ook bij het beveiligen van gebouwen, terreinen en eigendommen gebeurt dat. Een inbraak in een opslag van gevaarlijke stoffen, een terroristische aanslag op een vliegveld, uitval van een server in een ziekenhuis of een hack bij een verzekeraar halen direct het nieuws. De vraag rijst al snel of we dit hadden kunnen voorkomen? Hoe zit het eigenlijk met de beveiliging van onze kritische bedrijfsprocessen?
Jordan van den Akker, adviseur Safety & Security bij Royal Haskoning DHV.
Veelal zien we na een incident dat er direct een pakket aan maatregelen wordt getroffen om een herhaling van dit incident te voorkomen. Dit noemen we reactief handelen. Als het kalf verdronken is, dempt men de put… Het pakket van maatregelen bestaat vaak uit het aanbrengen van technische systemen. Er wordt dan zelden gekeken naar de consequenties voor de medewerker en het inrichten van een goede organisatie voor securitymanagement. Typische vragen die we bij reactief handelen tegenkomen zijn:
- Wij willen graag dit type camera in en rondom ons pand. Kan dat?
- Kan deze scanner ook drones detecteren en verstoren?
- Kan ik met een irisscanner af van toegangspasjes en sleutels?
Deze gefragmenteerde aanpak leidt tot versnipperde oplossingen zonder juiste samenhang. Voor een goede en duurzame beveiliging dient er gekozen te worden voor een beveiligingsplan waarbij mens, techniek en organisatie samenkomen. Ook wel een integraal securitymodel (ISM) genoemd.
Integrale securitymanagementbenadering
Het ISM-model gaat uit van een integrale securitymanagementbenadering om structuur te geven aan de huidige security-organisatie. De operationele structuur dient te worden bepaald aan de hand van de strategische doelen en het securitybeleid.
PDCA-Securitycyclus
De Plan-Do-Check-Act-securitycyclus (PDCA) beschrijft de te nemen operationele stappen. Er wordt
daarbij integraal over afdelingen heen gekeken en er wordt samenwerking en afstemming gezocht tussen de verschillende verantwoordelijken.
De PDCA-securitycyclus gaat ervan uit dat de vier stappen continu doorlopen worden. Bij iedere stap horen specifieke controlevragen om het beleid en de maatregelen te herijken. Door het doorlopen van deze stappen worden steeds nieuwe antwoorden gegenereerd voor nieuwe security vraagstukken.
De PDCA-stappen zijn onderdeel van een doorlopend proces. Aan de hand van scenario’s en nieuwe inzichten en ontwikkelingen dienen de getroffen technische maatregelen en de opzet van de security-organisatie regelmatig te worden herijkt. Door de cyclus opnieuw te doorlopen worden nieuwe bedreigingen van zowel intern als extern op passende wijze omgezet in nieuwe maatregelen. Hierbij kan vanzelfsprekend gekozen worden voor organisatorische of technische oplossingen.
Nieuwe duurzame security-aanpak
Om te voorkomen dat er ineffectieve maatregelen getroffen worden, dient in kaart gebracht te worden wat er momenteel al gedaan wordt aan securitymanagement:
- Wat zijn de doelen van de getroffen maatregelen en waarom zijn deze aangebracht?
- Zijn de maatregelen nog wel effectief op elkaar ingericht?
- Is er security beleid en zijn taken en verantwoordelijkheden nog steeds op de juiste manier belegd?
Deze vragen dienen gesteld te worden om schijnveiligheid te voorkomen en een duurzame security-aanpak te bewerkstelligen.
Voordelen van deze nieuwe duurzame security-aanpak
- Van ad-hoc maatregelen naar een planmatige integrale aanpak, waarbij je overzicht hebt over de verschillende risico’s en dreigingen. Daarnaast ben je flexibel en toekomstbestendig voor nieuwe externe ontwikkelingen.
- Nieuwe aanpassingen zijn daarna klein en passen in het integrale securitybeleid.
- Technische maatregelen zijn vaak duur en worden verkeerd gebruikt, waardoor een investering niet het gewenste effect heeft en het risico of de dreiging nog steeds kan optreden, wat de continuïteit
van de organisatie in gevaar kan brengen. - Onvoorzienbare schadeposten door incidenten kunnen verminderd worden, wat zowel gunstig is
op financieel vlak als voor het imago van het bedrijf.
Om te komen tot een cultuurverandering en een verbetering van de integratie van maatregelen kan met een integrale quickscan de huidige situatie inzichtelijk worden gemaakt. De verschillende aspecten van het ISM-model en de PDCA-securitycyclus worden dan geïnventariseerd, waarbij verbeterpunten boven water komen. Zo worden bestaande maatregelen effectief ingebed in toekomstig beleid. Op deze manier wordt een begin gemaakt met een securitycyclus, wat een opstap is voor een integrale en duurzame security-organisatie.
Casus PDCA-cyclus
Een organisatie beschikt over een eigen terrein met daarop meerdere gebouwen. De gebouwen zijn op verschillende momenten gebouwd en de organisatie is gestaag gegroeid. De gebouwen hebben een hoog risicoprofiel en daarom zijn er diverse beveiligingsmaatregelen getroffen op zowel organisatorisch, bouwkundig als elektronisch vlak. Gedurende de jaren zijn de systemen op elkaar gestapeld en zeer complex geworden. Daarnaast is er beperkt gedocumenteerd en is onduidelijk wat het doel en het idee achter de maatregelen nu precies nog zijn.
Op dit moment wordt het werkgebied uitgebreid met meerdere nieuwe gebouwen en wordt er een integratie gezocht met de andere gebouwen. Daarbij vallen enkele systemen bijna uit. Een goed moment om de security weer goed te regelen. Continuïteit en security zijn op dit moment niet meer te waarborgen.
De PDCA-cyclus heeft deze organisatie geholpen om inzicht te krijgen in de complexiteit van de huidige beveiligingssituatie. De volgende stappen zijn doorlopen:
Plan-fase
De organisatie begint met het inventariseren van de huidige beveiligingsrisico’s. Door een integraal team wordt hiernaar gekeken. Ieder vanuit zijn eigen visie. Er is daarbij een inventarisatie gemaakt van ruimtes, locaties en zones. Het blijkt dat lang niet alle risico’s meer relevant zijn en dat er ook enkele zijn bijgekomen. Door het projectteam is in kaart gebracht waar de risico’s en dreigingen het grootst zijn en wat daarbij de meest aannemelijke scenario’s zijn.
Do-fase
Uit de plan-fase blijkt dat er een duidelijke behoefte is om de huidige beveiliging te optimaliseren. In deze fase kijkt de organisatie naar welke maatregelen er nu al getroffen zijn en wat de eigenschappen van de systemen zijn. Daarbij wordt er gekeken of de maatregelen passend zijn en of ze nog wel het juiste doel dienen. Besparingen zijn hierbij gerealiseerd.
Check-fase
De organisatie heeft een methode bedacht om de genomen maatregelen jaarlijks te kunnen controleren op strategisch, tactisch en operationeel niveau van onderhoud en beheer. Daarnaast is er een methode ontwikkeld waarbij incidenten worden gerapporteerd en geanalyseerd. Van fouten leert men.
Act-fase
Voor de totale locatie is een security verantwoordelijke aangewezen, die de vorige stappen vastlegt en documenteert in een integraal securityplan. Dit plan wordt regelmatig afgestemd, aangepast en aangevuld. Daarnaast zijn er geregeld securitymeetings georganiseerd met alle betrokken afdelingen, zoals dat is vastgelegd in het securityplan. Ook zijn medewerkers opgeleid en getraind.
Meer weten?
Op de opleiding risicomanager leert u hoe u uw organisatie beschermt tegen mogelijke risico’s.
Op de cursus Wetgeving & Security leert u wat de juridische mogelijkheden en onmogelijkheden zijn van security.