besloten wij de aard en inrichting van security management in Nederland te onderzoeken.

Transcriptie

1 Resultaten Survey 2010 De stand van security in Nederland Heeft u altijd al willen weten hoeveel euro s de concurrent aan security spendeert? Of de Raad van Bestuur zich elders wel om security bekommert? Welke securityrisico s de prioriteitenlijst van uw vakgenoten beheersen? Hoe andere security managers de kwaliteit en doelmatigheid van hun beveiligingsinspanningen controleren, toetsen en bevorderen? In dit artikel worden deze en andere vragen beantwoord. De n n i s d e Ho o g Ma, MSc & Se b a s t i a a n Ba r l a ge n MSc * Met mede werking v a n Elleke v a n d e n Br i n k MSc & An a Sa l g a d o MSc COT Instituut voor Veiligheidsen Crisismanagement, an Aon company (COT) en vakblad Security Management willen vanaf 2010 jaarlijks het zicht op de actuele stand van het security management in Nederland verbeteren. Met dit terugkerende onderzoek beogen de onderzoekers patronen, trends en ontwikkelingen op het gebied van security management te identificeren. Benchmark -behoefte Als belangrijkste aanleiding voor dit onderzoek geldt de groeiende behoefte aan vergelijkingsinformatie ( benchmark- informatie ) onder security managers. Zowel COT als Security Management krijgt steeds vaker de vraag Maar wat doen onze collega s nu eigenlijk en doen zij het goed? Omdat wij hier net als u benieuwd naar zijn, Beperkingen surveyonderzoek besloten wij de aard en inrichting van security management in Nederland te onderzoeken. De afgelopen maanden vond er daarom een uitgebreid surveyonderzoek plaats. Bijna tweehonderd respondenten (N=195) namen de tijd en verleenden hun medewerking. Graag willen we van deze gelegenheid gebruikmaken om de ondervraagden te bedanken voor hun bijdrage aan dit onderzoek. De ondervraagden zijn werkzaam voor een divers aantal organisaties in het bedrijfsleven en in de (semi)publieke sector. Bovendien zijn zij afkomstig uit een grote variëteit aan sectoren. Variërend van zakelijke dienstverlening, overheid (algemeen), gezondheidszorg en welzijn, industrie en productie, onderwijs, verkeer, vervoer, transport en opslag etcetera. In dit artikel delen wij de belangrijkste»» De resultaten zijn afhankelijk van de betrouwbaarheid van de door de ondervraagden aangeleverde gegevens.»» Percepties van de ondervraagden staan centraal.»» Vragen over hoe en wat worden beantwoord. Een antwoord op de waaromvraag vergt nader, maar ook ander onderzoek. uitkomsten van dit onderzoek. We doen dit als volgt. We starten met een profielschets van de gemiddelde security manager. Vervolgens staan we uitgebreid stil bij de belangrijkste kenmerken van de organisatie van security. Aansluitend besteden we aandacht aan een select maar divers aantal andere thema s. Deze verschaffen meer duidelijkheid over hoe security management verder wordt vormgegeven en gemanaged. We ronden af met een overzicht van de tien belangrijkste kenmerken van security management in Nederland: de benchmark It s a Man s World Soulzanger James Brown krijgt postuum alsnog gelijk. Althans, voor wat betreft de beroepsgroep van security managers. Het zal voor ingewijden geen verrassing zijn maar de security manager is écht bijna altijd een man. De resultaten maken duidelijk dat krap 4 procent van de deelnemende security managers vrouw is. Deze verdeling is evident scheef. Hoewel wij slechts kunnen gissen naar de oorzaak, is het beroep van de security manager voor vrouwen klaarblijkelijk minder aantrekkelijk. De security manager is niet alleen bijna altijd een man, hij is ook een wat 12

2 management oudere man. De gemiddelde security manager is nog nét geen vijftig (49,6 jaar oud). Uitgaande van het gegeven dat het werkzame leven gemiddeld rond het achttiende levensjaar aanvangt en bij het vijfenzestigste stopt, bevindt de security manager zich op ongeveer twee derde van zijn professionele loopbaan. De jongste deelnemende manager is 29 jaar oud. De oudste is met 69 jaar de pensioengerechtigde leeftijd inmiddels ruim voorbij. De security manager is ervaren. Uit de resultaten blijkt dat de ondervraagden met gemiddeld 16,4 ervaringsjaren verre van starters op de arbeidsmarkt zijn. Ofschoon de minst ervaren deelnemer over welgeteld één ervaringsjaar beschikt, boogt de meest ervaren security manager op 45 ervaringsjaren. De security manager is gemiddeld hoger opgeleid. Meer dan driekwart van de ondervraagden is hbo of hoger geschoold. Grofweg 60% beschikt over een diploma van een hogere beroepsopleiding, en 17% over een universitaire graad. Invulling functie De security manager is lang niet altijd als zodanig herkenbaar. Sterker nog, in veel gevallen kan de securityverantwoordelijkheid niet aan de functienaam worden herleid. In dat licht is een grote diversiteit aan functies én daarmee in de functionele ophanging van de ondervraagden waarneembaar. Variërend van arbo- en milieucoördinator, hoofd inkoop, manager (algemeen), personeelsfunctionaris, medewerker marketing & sales, risk manager et cetera. Profiel Security Manager De functie van security manager wordt in de praktijk dus ook sterk verschillend vormgegeven. Circa één op de vijf ondervraagden geeft aan dat security een nevenfunctie is. Opmerkelijk is ook dat bijna 10% van de organisaties gebruikmaakt van een extern betrokken security manager. Meer dan de helft van de respondenten (53,2%) is manager van een afdeling security en/of mag zich security manager noemen. De ondervraagden zijn overwegend hoger in de organisatie ondergebracht. Bijna 44% bekleedt een managementfunctie, terwijl 21% een directiefunctie vervult. Verreweg de meeste security managers zijn niet alleen verantwoordelijk voor de beveiliging, maar ook voor de integrale veiligheid (43%). Het functieniveau van de security manager wordt onder andere bepaald door zijn/ haar leeftijd, ervarings jaren en opleiding. Met functie niveau wordt hier het niveau bedoeld waarop de security manager is onder gebracht. Wat opvalt, is dat ICT-security in slechts 2% van de gevallen tot het takenpakket van de security manager behoort. Dit duidt op een tamelijk» Geslacht Leeftijd Opleidingsniveau Ervaringsjaren Functieniveau Functie Taakveld Plaats in de organisatie Personeel mannelijk 49,6 jaar hbo 16,4 jaar management (algemeen) lang niet altijd als securityverantwoordelijke herkenbaar, security nog vaak een nevenfunctie integrale veiligheid (security & safety) Facility management voldoende om de gestelde taken uit te kunnen voeren Budget circa

3 Top 10 securityrisico s Diefstal 2. Onbevoegde aanwezigheid 3. Ongewenst gedrag 4. Agressie 5. Fraude 6. Vandalisme 7. Lekken of manipuleren van informatie 8. Ongewenste intimiteiten 9. Cybercrime + overval (gedeelde negende plaats) 10. Terrorisme rigoureuze scheiding tussen infor matie technologische beveiligingsaspecten enerzijds en de meer klassieke organisatorische, bouwkundige en elektronische toepassingen anderzijds. Dat is vooral vanwege de toenemende prominentie van ICT een belangwekkende bevinding. Klaarblijkelijk bestaat het securityconcept van de ondervraagden in hoge mate los van ICT-security. Personeel en plaats in de organisatie De ondervraagden geven vrij overtuigend te kennen dat het aantal medewerkers dat aan security is toegewezen, in principe voldoende is om de toegewezen taken uit te kunnen voeren (78%). Over het algemeen kan de security manager voor de taakuitvoering kennelijk rekenen op voldoende personeel. In meer dan de helft van de gevallen is security functioneel ondergebracht bij facilitaire zaken (53,2%). Hieruit kan worden afgeleid dat beveiliging in meer dan de helft van de gevallen wordt gezien als een ondersteunende dienst. Interessant is ook dat security meestal op afstand van het primaire proces van organisaties wordt georganiseerd. Dit roept vragen op over de fit tussen de operationele kerntaken van een organisatie en de mate waarin security deze ondersteunt. Eindverantwoordelijkheid & managementcommitment De eindverantwoordelijkheid voor security is hoog belegd. In bijna 20% van de gevallen is de verantwoordelijkheid op het niveau van de Raad van Bestuur ondergebracht. Voor ongeveer de helft van de gevallen geldt dat security een expliciete directieverantwoordelijkheid is. Hieruit kan worden afgeleid dat security in toenemende mate een expliciet board room of directievraagstuk is. Immers, voor bijna 70% van de ondervraagden geldt security als bestuursof directie-aangelegenheid. In 20% van de gevallen is security een verantwoordelijkheid van het (algemeen) management. Voor de overige organisaties (ruwweg 10%) geldt dat de eindverantwoordelijkheid voor security nog niet op managementniveau is belegd. De betrokkenheid van het hoger management ten aanzien van security wordt gemiddeld als enigszins hoog beoordeeld. Opvallend is dat noch de totale omzet noch het voor security beschikbare budget bepalend is voor het managementcommitment. Frappant is ook dat de betrokkenheid van het hoger management een negatieve samenhang vertoont met het aantal medewerkers: hoe meer medewerkers, des te lager de betrokkenheid. Strategie & beleid Bijna de helft van de ondervraagden (45,2%) geeft aan dat de doelstellingen voor security zijn afgeleid van de algemene doelstellingen van de organisatie. Eén derde van de organisaties werkt daadwerkelijk risicogestuurd, op basis van periodieke risicoanalyses. Er is over het algemeen sprake van securitybeleid (72%). Dit beleid is bovendien uniform en van toepassing op de gehele organisatie. Voor ongeveer de helft van de betrokken organisaties geldt dat security onderwerp dan wel onderdeel is van een systematisch managementsysteem. Hieruit kan meteen worden afgeleid dat security toch nog vaak niet is ingebed in een managementsysteem. Budget Het gemiddelde securitybudget bedraagt circa 2,3 miljoen euro. Er is echter sprake van een zeer scheve verdeling waarbij een klein aantal extremen dit gemiddelde sterk opstuwt. Zo ligt bijvoorbeeld 70% van de security budgetten onder de ,- Anderzijds is een klein aantal forse uitschieters waarneembaar, waarvan de meest extreme ,- bedraagt. Aangezien deze uitschieter het gemiddelde securitybudget onevenredig boost, is deze bij de berekening Security is in toenemende mate een expliciet board room of directievraagstuk van het gemiddelde buiten beschouwing gelaten. Kleinere organisaties hebben logischerwijs een lager securitybudget dan een multinational. Gemiddeld bedraagt het securitybudget per medewerker echter circa 450,-. In het verlengde van de kengetallen is het nog nuttig om op te merken dat de kosten voor beveiliging opvallend vaak als een investering en niet als een kostenpost worden beschouwd. De helft van de respondenten geeft namelijk te kennen dat securitykosten ook daadwerkelijk als een investering worden beschouwd. Derden Security management krijgt in de praktijk vaak gestalte met behulp van derden. Denk hierbij aan particuliere organisaties die specifieke (deel)taken vervullen. Welke derden zijn dit? Afgaande op de ondervraagden zijn dit in de meeste gevallen particuliere beveiligingsorganisaties, gevolgd door externe 14

4 adviseurs en particuliere recherchebureaus. De uitbestede taken zijn dominant gericht op bewakings- of beveiligingstaken zoals uitgevoerd door particuliere beveiligingsorganisaties. In dat verlengde wordt tevens cameratoezicht vaak uitbesteed, net als geldt voor recherche-onderzoek, audits, organisatieadvies en risicoanalyse. De uitbestede securitydiensten zijn gemiddeld goed voor 36% van het securitybudget. Dit aandeel correspondeert met gemiddeld ,- op jaarbasis. Risico s Welke securityrisico s stellen organisaties centraal? Op basis van een ruim aantal risico s hebben de ondervraagden duidelijk kunnen maken welke met voorrang moeten worden beheerst. Dit levert een boeiend inzicht op. Wat duidelijk wordt, is dat de vijf belangrijkste risico s vrij alledaagse beveiligingsrisico s zijn waarvan de waarschijnlijkheid groot maar de impact gemiddeld genomen laag is (low impact). Denk aan diefstal, onbevoegde aanwezigheid, ongewenst gedrag et cetera. Daarentegen nemen risico s met een grotere impact, zoals vormen van zware criminaliteit, in het risicoregister van de ondervraagden een vrij marginale plaats in. Ervan uitgaande dat organisaties security in toenemende mate risicogestuurd vormgeven, kunnen we uit de resultaten afleiden dat inspanningen met name zijn gericht op het voorkomen van alledaagse vormen van criminaliteit en schendingen van de integriteit. Belang Organisaties hechten gemiddeld genomen een wat neutraal belang aan security. Gevraagd naar hoe belangrijk de organisaties van de ondervraagden security vinden, lopen de beelden uiteen. Een kleine 35% typeert het belang van de organisatie als (zeer) laag, een kleine 45% als (zeer) hoog. De overige 20% scoort het belang werkelijk neutraal. Ondanks de gemiddelde, wat neutrale score schat een meerderheid van de respondenten voor hun organisatie het belang van security in als (zeer) hoog. Het belang neemt niet toe of af naarmate het aantal medewerkers of de omzet dan wel het securitybudget toeneemt. Beveiligingsbewustzijn Security managers beoordelen de security awareness binnen hun organisatie gemiddeld neutraal: niet hoog, niet laag. Kijken we naar de precieze verdeling, dan is zichtbaar dat toch bijna 40% van de ondervraagden het bewustzijn binnen hun organisatie als hoog of zelfs zeer hoog beschouwt. Dit in tegenstelling tot de 30% die het niveau van awareness als (zeer) laag bestempelt. De overige circa 30% beoordeelt het bewustzijn daadwerkelijk neutraal. Het beveiligingsbewustzijn vertoont geen samenhang met de omzet en het securitybudget van organisaties. Awareness neemt dan ook niet automatisch toe naarmate er meer financiële middelen beschikbaar zijn. Beveiligingsbewustzijn vertoont wel samenhang met de omvang van een organisatie. Naarmate de omvang van een organisatie toeneemt, des te lager is gemiddeld het beveiligingsbewustzijn. Incidenten Hoewel de organisaties van de geraadpleegde security managers onderling grote verschillen vertonen, worden organisaties (zeer) vaak met securityincidenten geconfronteerd. Gemiddeld genomen is het zelfs zo dat organisaties jaarlijks per duizend medewerkers bijna Financiële kengetallen 2010 tachtig incidenten te verduren krijgen. Daarbij moet natuurlijk wel in ogenschouw worden genomen dat bepaalde organisaties op basis van hun activiteiten gemiddeld zeer vaak met bijvoorbeeld kleine criminaliteit te kampen hebben denk bijvoorbeeld aan grootwinkelbedrijven. De statistische relatie tussen de omvang van de organisatie en het aantal security-incidenten is positief. Dit houdt in dat hoe groter de organisatie, hoe vaker de organisatie wordt geconfronteerd met security- incidenten. Registreren & evalueren Een flinke meerderheid van de ondervraagde security managers (79%) geeft aan security-incidenten te registreren. Voor wat betreft het leren van voorgevallen incidenten, wordt duidelijk dat een bijzonder ruim aantal van de incidenten ook daadwerkelijk geëvalueerd wordt. Afgaande op de respondenten geldt dit voor bijna 70% van de voorgevallen incidenten. Relateren we dit percentage aan het jaarlijks aantal van circa tachtig incidenten per duizend medewerkers, dan kan de indruk ontstaan dat evalueren een sluimerende kerntaak is van de security manager. Dit percentage roept daarom ook vooral vervolgvragen op over wat security managers precies onder evalueren verstaan en hoe incidenten in de praktijk geëvalueerd worden. Er blijkt overigens een significante relatie te bestaan tussen het aantal incidenten en het aantal evaluaties: hoe meer incidenten, des te vaker wordt er geëvalueerd. Testen & trainen Een meerderheid van de betrokken security managers maakt gebruik van mogelijkheden om het weerstandsvermogen van de organisatie en genomen maatregelen tegen securitydreigin-» Gemiddeld securitybudget per organisatie per jaar ,- Gemiddelde kosten derden op jaarbasis ,- Gemiddelde jaarlijkse securitykosten per medewerker 450,- 15

5 Volwassenheidsniveau Het beeld dat ondervraagden hebben bij de volwassenheid ( maturity ) van hun security management is positief. Verreweg de meeste security managers typeren het volwassenheidsniveau van hun security management als gevorderd (71,2%) hetzij enigszins, hetzij vergevorderd. Een kwart van de ondervraagden beonderzoek gen te vergroten. Zo geeft 70% van de ondervraagden aan het functioneren van beveiligingsmaatregelen in de praktijk te testen. Verder geeft een kleine 60% aan de organisatie met enige regelmaat te oefenen met security-incidenten. Hoewel we de volgende uitspraak met enige voorzichtigheid moeten lezen, lijkt er in relatie tot het aantal security-incidenten van organisaties geen positief verband te bestaan. Oftewel, security managers die hun maatregelen testen en hun organisatie trainen, hebben even vaak te kampen met security-incidenten als collega s die nooit testen of trainen. Benchmark 2010: waar staat uw organisatie?»» Er is voldoende managementcommitment voor security.»»de eindverantwoordelijkheid voor security is op hoog niveau belegd.»» Er is een dedicated verantwoordelijke voor security.»»personele en financiële randvoorwaarden zijn op orde.»»security is ondersteunend aan de algemene strategie, doelen en kerntaken.»»security is ingebed in een managementsysteem.»» Er is sprake van voldoende beveiligingsbewustzijn onder personeel.»» Security-incidenten worden geregistreerd en geëvalueerd.»» De organisatie wordt getraind, beveiligingsmaatregelen worden getest.»» De contacten met relevante overheden zijn goed. Publiek-private samenwerking De security managers in het onderzoek zijn gevraagd om uitspraken te doen over publiek-private samenwerking. Hieruit blijkt dat er in veel gevallen gevestigde contacten zijn met relevante overheden. Ruim 63% geeft aan gemiddeld goede tot zelfs zeer goede contacten met overheden te onderhouden. 10% van de ondervraagden typeert de contacten als (zeer) slecht. Over de auteurs Dennis de Hoog (1978) is historicus en politicoloog en werkt sinds 2004 voor het COT Instituuut voor Veiligheids- & Crisismanagement, an Aon company. Sebastiaan Barlagen (1980) is bedrijfswetenschapper en sinds 2008 werkzaam bij het COT. Gezamenlijk verrichten zij al een aantal jaren praktijkgericht onderzoek naar security & security management. Zij richten zich daarbij op de inrichting, inbedding, doelmatigheid en kwaliteit van security schouwt de volwassenheid van de securityorganisatie als beginnend. De omvang van de organisatie in termen van omzet of medewerkers speelt hierbij geen rol van betekenis. Dat het security management van grotere organisaties met meer resources automatisch meer volwassen zou zijn, is blijkbaar niet aan de orde. Tot slot Voor zover ons bekend, is dit de eerste keer dat er in Nederland op deze schaal systematisch en valide onderzoek is gedaan naar hoe security management in de praktijk wordt vormgegeven. Niet alleen wordt met deze resultaten tegemoetgekomen aan de groeiende behoefte aan betrouw bare bench mark-informatie onder security professionals. Ook kunnen de uitkomsten de beelden, ideeën en aannames die Onderzoekers Dennis de Hoog (links) en Sebastiaan Barlagen. management. Op basis daarvan ontwikkelen zij kennisproducten zoals het Security Ambition Model : een volwassenheidsmodel bedoeld om het presteren van organisaties met een securityfunctie te verbeteren. De Hoog en Barlagen zijn tevens (mede)verantwoordelijk voor de strategische adviesdiensten van COT op het gebied van security management. er over security management bestaan van een betere onderbouwing voorzien. Overzien we de resultaten in dit artikel, dan wordt een aantal algemeen be staan de ideeën bevestigd ( de security manager is een wat oudere ervaren man ), maar levert het surveyonderzoek daarnaast nieuw inzicht in onder andere de financieel-economische dimensie van security management. Tegelijkertijd kunnen we constateren dat een aantal resultaten echt als contra-intuïtief kan worden beschouwd ( ICT-security staat volledig los van security management, alledaagse beveiligingsrisico s staan centraal ). Het survey-onderzoek is daarom voor wat betreft de betrokken onderzoekers geslaagd. Zoals onderzoek betaamt, roepen nieuwe resultaten direct allerlei vervolgvragen op. Samen met de ervaringen en inzichten die de afgelopen maanden zijn opgedaan, stellen deze ons in staat om het Security Management Survey voor 2011 verder te verbeteren. Mocht u als lezer van Security Management én hopelijk ook als gebruiker van de resultaten de behoefte hebben om op dit artikel te reageren, dan nodigen wij u hiertoe van harte uit. In ieder geval hopen wij u en een nog groter aantal securityprofessionals in 2011 (opnieuw) te mogen bevragen. Dit stelt ons in staat om samen met u het inzicht in de praktijkwerking van security management verder verdiepen. Mail uw eventuele vragen of suggesties naar aanleiding van dit artikel naar Dennis de Hoog via d.dehoog@cot.nl, of Arjen de Kort via adekort@kluwer.nl. 16