Als je beveiligers weinig ervaring hebben met audi4ng. en je auditors weinig kennis hebben van fysieke beveiliging

Maat: px

Weergave met pagina beginnen:

Download "Als je beveiligers weinig ervaring hebben met audi4ng. en je auditors weinig kennis hebben van fysieke beveiliging"

Vincent Meyer
4 jaren geleden
Aantal bezoeken:

1 Als je beveiligers weinig ervaring hebben met audi4ng en je auditors weinig kennis hebben van fysieke beveiliging hoe weet je dan of je in evenwicht bent?

1 Nee, eigenlijk niet 2 Ze hebben er wel wat kennis van 3 Ja, ze hebben zeer veel kennis van fysieke beveiliging Is het beveiligingsbeleid actueel en afgestemd op de strategie van de organisa4e?

2 Hebben de beveiligers voldoende ervaring met audi4ng? 1 Nee, eigenlijk niet 2 Ze hebben er wel wat ervaring mee 3 Ja, ze hebben zeer veel ervaring met audi4ng Beantwoord de 5 vragen Hebben de auditors voldoende kennis van fysieke beveiliging? 1 Nee, eigenlijk niet 2 Ze hebben er wel wat kennis van 3 Ja, ze hebben zeer veel kennis van fysieke beveiliging Is het beveiligingsbeleid actueel en afgestemd op de strategie van de organisa4e? 1 Nee eigenlijk niet 2 Deels 3 Ja, volledig Zijn er beveiligingsplannen voor alle loca4es en zijn die nog up- to- date? 1 Nee, eigenlijk niet 2 Er zijn er wel wat beveiligingsplannen maar die zijn verouderd 3 Ja, voor alle loca4es zijn er up- to- date beveiligingsplannen Weet je zeker dat alle beveiligingsmaatregelen ook echt werken? 1 Nee, eigenlijk niet 2 Deels 3 Ja, volledig Minder dan 15 punten gescoord? Wordt het dan geen 4jd om op de fysieke beveiliging eens goed door te laten lichten door middel van een onaoankelijke audit? Zodat je zeker weet dat het nog goed genoeg is.

correc;e van fysieke bedreigingen gericht op mensen, informa;e en bezi?

3 Defini4e Fysieke beveiliging is de juiste mix van organisatorische, bouwkundige én elektronische maatregelen aangevuld met reac;e ter preven;e, detec;e, repressie en correc;e van fysieke bedreigingen gericht op mensen, informa;e en bezi?ngen waarmee een bijdrage geleverd wordt aan de con$nuïteit van de processen van de organisa;e.

4 Met een fysieke beveiligingsaudit weet je zeker dat goed goed genoeg is

5 want wat goed genoeg is hangt af van de reële bedreigingen en de risico s die je bereid bent om te nemen,

6 zodat je zeker weet dat er niet te weinig maar ook niet te veel beveiligings maatregelen zijn genomen

7 en je erop kunt vertrouwen dat de maatregelen werken zoals ze bedoeld zijn in Opzet, Bestaan én Werking

genoeg afgestemd op de realis2sche bedreigingen, actueel en

8 Opzet Beveiligings beleid Past het beveiligingsbeleid nog bij de strategie van de organisa2e, is het beleid nog goed genoeg afgestemd op de realis2sche bedreigingen, actueel en voldoende uitgewerkt in voorschri;en, richtlijnen en best prac2ces?

9 Bestaan Beveiligings plannen Zijn er voor alle loca2es actuele beveiligingsplannen en beveiligingsprocedures aanwezig die voldoen aan het beleid en zijn ze bekend bij de betrokkenen?

maatregelen zoals ze bedoeld zijn en zijn er niet

10 én werking Beveiligings maatregelen Werken de organisatorische, bouwkundige en elektronische maatregelen zoals ze bedoeld zijn en zijn er niet te weinig of te veel beveiligingsmaatregelen getroffen?

De aanpak: Het uitvoeren van een fysieke beveiligingsaudit is geen eenmalige ac2viteit maar een proces dat periodiek herhaald moet worden voor de

Verkenningsgesprek, selecteren en informeren betrokkenen, toelich4ng op de fysieke beveiligingsaudit 2. Interviews en loca4ebezoeken 3.

11 De aanpak: Het uitvoeren van een fysieke beveiligingsaudit is geen eenmalige ac2viteit maar een proces dat periodiek herhaald moet worden voor de verschillende loca2es. Voor het uitvoeren van een audit hanteren we de volgende aanpak: 1. Verkenningsgesprek, selecteren en informeren betrokkenen, toelich4ng op de fysieke beveiligingsaudit 2. Interviews en loca4ebezoeken 3. Bronnenonderzoek: verzamelen en verwerken van documenta4e en bewijsmateriaal die de audit ondersteunen (beleid, processen, beveiligingsplannen, etc.) 4. Analyse en vaststellen van de constateringen (findings) 5. Rapportage en presenta4e

12 Het waarom: Fysieke beveiliging is een onderwerp dat gestructureerd aangepakt dient te worden en waarbij de realis2sche risico s moeten worden afgezet tegen de beveiligingsmaatregelen die getroffen worden. Het kan allemaal nog zo mooi op papier worden gezet in beveiligingsbeleid en beveiligingsplannen maar uiteindelijk gaat het erom in hoeverre er op vertrouwd kan worden dat de maatregelen werken op het moment dat ze nodig zijn. Op basis van risico analyses is een set aan maatregelen geïmplementeerd om de onacceptabele risico s af te dekken. Als er 2jd en geld is geïnvesteerd in fysieke beveiliging dan moet er ook zekerheid verkregen worden of de risico s voldoende zijn afgedekt en welke restrisico s er nog bestaan. Er moet zekerheid zijn of aan het beveiligingsbeleid wordt voldaan en of de juiste mix van organisatorische, bouwkundige en elektronische preven2eve, detec2eve, repressieve en correc2eve maatregelen is geïmplementeerd. Met audits in opzet, bestaan en werking stellen we vast of de doelstellingen op het gebied van fysieke beveiliging zijn gerealiseerd en welke verbeteringen nodig zijn om de onacceptabele risico s op een zo efficiënt mogelijke wijze af te dekken. We kijken daarbij of hetgeen in opzet beschreven is juist en volledig is. Maar we kijken ook of er daadwerkelijk invulling aan is gegeven (bestaan) en of de maatregelen werken zoals ze bedacht zijn (werking). Indien nodig stellen we verbeteringen voor.

Wat het is: Een audit is een: systema;sch, onaaankelijk en gedocumenteerd proces voor het verkrijgen van bewijsmateriaal en het objec;ef beoordelen daarvan om vast te stellen in welke mate aan

13 Wat het is: Een audit is een: systema;sch, onaaankelijk en gedocumenteerd proces voor het verkrijgen van bewijsmateriaal en het objec;ef beoordelen daarvan om vast te stellen in welke mate aan overeengekomen criteria is voldaan. Met een audit stellen we vast in hoeverre fysieke beveiliging voldoet aan de gespecificeerde eisen, hoe effec2ef het geïmplementeerde proces is en bepalen we waar de organisa2e zich nog kan verbeteren. Strategisch en tac4sch Tijdens het uitvoeren van fysieke beveiligingsaudits kijken we in hoeverre het beleid nog past bij de strategie van de organisa2e, of het beleid nog goed genoeg is en of het voldoende is geïmplementeerd. Maar dat is nog niet voldoende om vast te kunnen stellen of alle loca2es voldoende beveiligd zijn. Daarom wordt vastgesteld of voor alle loca2es actuele beveiligingsplannen en beveiligingsprocedures aanwezig zijn die voldoen aan het beleid. Opera4oneel Het belangrijkste aspect is echter of de mix aan organisatorische, bouwkundige en elektronische maatregelen aangevuld met reac2e voldoende in staat is om de onacceptabele risico s af te dekken. Daarbij is het belangrijk om vast te stellen of er niet te weinig maar ook niet te veel maatregelen zijn getroffen. Te weinig maatregelen levert onacceptabele risico s op. Maar te veel maatregelen zorgt voor onnodig hoge kosten en kan de bedrijfsprocessen onnodig vertragen.

14 Wat het oplevert: Fysieke beveiliging moet erop gericht zijn om de doelen van de organisa4e te realiseren. Fysieke beveiliging mag niet worden gezien als het ul2eme doel, maar juist als middel om het doel te bereiken. Fysieke beveiligingsaudits leveren inzicht in de mate waarin de huidige aanpak een zo goed mogelijke bijdrage levert aan de con4nuïteit van de organisa4e en welke verbeteringen mogelijk zijn. Dit kan betekenen dat het vastgestelde beveiligingsbeleid moet worden aangepast als blijkt dat dit onvoldoende bijdraagt aan het realiseren van de doelstellingen. Maar het kan ook betekenen dat de fysieke beveiliging per loca2e verbeterd moet worden. Less$ =$ More$ Less is more: Het is waar, de kosten gaan voor de baten uit. Maar het verbeteren van fysieke beveiliging op basis van audits hoe; niet te betekenen dat er meer beveiligingsmaatregelen moeten worden getroffen. In onze ervaring gaat het eerder om minder maatregelen waarbij de juiste mix aan maatregelen belangrijker is dan de hoeveelheid maatregelen.

15 Ook zeker weten of fysieke beveiliging goed genoeg is?

Vergelijkbare documenten

Hoe je als onderdeel van De Nederlandse Corporate Governance Code. ook fysieke beveiliging onder controle krijgt

Hoe je als onderdeel van De Nederlandse Corporate Governance Code ook fysieke beveiliging onder controle krijgt Doelgroep Voorzi