‘Dieven stelen massaal toiletpapier in chinees stadspark.’ ‘Schaarste zorgt voor diefstal van avocado’s in Nieuw-Zeeland.’ Zo maar enkele opmerkelijke berichten die recentelijk in de media verschenen en die een relatie hebben met beveiliging. Het niet beveiligen van toiletpapier en avocado’s is wellicht logisch, gezien de te maken kosten en de mate van onwaarschijnlijkheid. Maar hoe zit het met uw bedrijfsterreinen en -gebouwen, de gevoelige bedrijfsinformatie of persoonsgegevens?
Jordan van den Akker, adviseur Safety & Security bij Royal HaskoningDHV.
Reactief
Dit roept de vraag op of we dit soort risico’s kunnen voorspellen? Zijn deze specifieke risico’s al eens benoemd bij de betrokken bedrijven? En is er bij deze bedrijven bewust gekozen om niets aan beveiliging te doen? Het antwoord is voor 99 procent zeker: ‘Nee’. Niet gek, omdat de beveiligingswereld nog te vaak reactief en ad hoc reageert op incidenten. De mate van beveiliging loopt daardoor bijna altijd achter op de dreigingen. Het ‘in control’ zijn over de beveiligingsrisico’s is daarbij vaak nog ver te zoeken.
De primaire reactie die we regelmatig zien, is dat er een beveiligingsmaatregel wordt bedacht om dit specifieke risico tegen te gaan om het scenario dat heeft plaatsgevonden een volgende keer te beperken. Maar is dit de juiste aanpak? Was deze beveiligingsmaatregel wel echt nodig? Of stapelen we deze op het huidige pakket aan beveiligingsmaatregelen en creëren we zo extra complexiteit en overbodigheid? Ook kan de bewuste keuze om niets te doen een goede aanpak zijn.
8 stappen
Om een antwoord te geven op de gestelde vragen, dienen we het vraagstuk op een hoger abstractieniveau te bekijken. We moeten weg van het nemen van technische maatregelen naar aanleiding van incidenten en moeten naar het formuleren van strategisch risico’s vanuit een risicomanagementfilosofie. Dit alles met als doel om vanuit een proactieve en integrale aanpak te komen tot een acceptabele beheersing van de beveiligingsrisico’s. De 8 stappen van de security-achtbaan – gebaseerd op de ‘RIGO 8baan’ – helpen daarbij:
- Formuleren van ondernemingsdoelstellingen (wat is ons primaire bedrijfsproces, wat zijn ondersteunende secundaire processen) en bepalen hoe risicomanagement een rol speelt binnen deze processen.
- Bepalen van de diverse strategische risico’s en prioriteren hiervan naar de mate van impact op de organisatie:
– Financiële risico’s (krediet, liquiditeit, prijsstelling)
– Business risico’s (management, bedrijfscontinuïteit, marktpositie)
– Operationele risico’s (proces, IT, personeel, juridisch)
– Veiligheidsrisico’s (security, safety, health & environment)
– Vaststellen van risicobereidheid voor security - Uitwerken integraal securitybeleid, afwegingskaders en richtlijnen gebaseerd op de benoemde securityrisico’s. Bewust accepteren of verzekeren van risico’s kan ook in dit beleid vastgelegd worden.
- Identificeren van securityrisico’s in projecten en operationele processen
- Ontwerpen, inrichten en uitvoeren van beveiligingsmaatregelen. Hier valt te kiezen uit organisatiekundige, elektronische, bouwkundige en digitale oplossingen.
- Bewaken van en rapporteren over risico-indicatoren.
- Toetsen van risico-indicatoren aan het integrale securitybeleid.
- Evalueren en herijken van het risicomanagementbeleid en dit afstemmen met de bedrijfsdoelstellingen.
Plan, Do, Check, Act
Bij het doorlopen van deze 8 stappen wordt een risicomanagement- en specifiek beveiligingstraject ingezet, waarbij een continu Plan, Do, Check, Act (PDCA) proces ontstaat tussen strategische, tactische en operationele processen. Op deze manier worden de beveiligingsmaatregelen ondergeschikt aan de primaire bedrijfsprocessen. Overbodige maatregelen kunnen eenvoudiger in kaart worden gebracht op basis van de gedefinieerde risico’s. Zo komen we tot een bewuste keuze om wel of niet bepaalde risico’s aan te pakken. Tevens wordt inzichtelijk of maatregelen overbodig zijn of ineffectief. Dit kan natuurlijk een besparing met zich meebrengen, omdat investeringen effectiever worden ingezet. En zo investeren we eindelijk in waar het nodig is op basis van strategisch beleid.
‘In control’
Natuurlijk kunnen risico-indicatoren zich nog steeds voordoen. Maar herkennen en mogelijk voorkomen van incidenten wordt met deze aanpak aanzienlijk vergroot. Zo hadden we toch best kunnen zien dat een schaarste aan avocado’s een groeiende risico-indicator was? En hadden we toch best kunnen opmerken dat bedrijfsinformatie waardevol is en dus goed beschermd dient te worden? Of dat onze gebouwen en terreinen zo openbaar zijn, dat iedereen eenvoudig met onze medewerkers mee naar binnen kan lopen, tot aan de kritische ruimtes?
De samenleving verandert continu en daarmee de beveiligingsrisico’s en -scenario’s. Helemaal nu maatschappelijke en technologische ontwikkelingen elkaar in hoog tempo opvolgen. Het is daarom van toenemend belang om als organisatie ‘in control’ te zijn. Eigenlijk wel logisch toch?
Meer weten?
Op de cursus Wetgeving & Security leert u wat de juridische mogelijkheden en onmogelijkheden zijn van security.
Op het Cyber Security Event hoort u hoe u uw organisatie beschermt tegen cybercrime en datalekken.
Op de opleiding risicomanager leert u hoe u uw organisatie beschermt tegen mogelijke risico’s.
Bron: Security Management