Handreiking Security Management.

Transcriptie

1 Handreiking Security Management

2

3 Handreiking Security Management Den Haag, juni 2008

4 02

5 03 Inhoudsopgave Voorwoord 05 Leeswijzer 07 Stappenplan Inleiding Security Managementsysteem Achtergrond en aanleiding Convenant Olie en (Petro-) Chemische industrie Noodzaak voor security Introductie Security Managementsysteem (SMS) Security en kwaliteit 11 Bijlage 1: Checklist 29 Voorwaarden 29 Checklist 30 Bijlage 2: Voorbeeld van een security intentieverklaring Security beleid Risicomanagement Risicoanalysemethodiek Het middelenplan Security matrix 16 Kansbepaling 17 Effectbepaling 17 Uitwerking in de security matrix Tijdpadanalyse Stap 2 Uitvoeren afhankelijkheidsanalyse Stap 3 Uitvoeren dreigingsanalyse Stap 4 Uitvoeren kwetsbaarheidanalyse Standaardscenario s Stap 5 Uitvoeren risicoanalyse Stap 6 - Kosten- en batenanalyse De veiligheidsketen 24 4 Security maatregelen Inleiding security maatregelen Stap 7: Security maatregelen nemen Organisatorische security maatregelen Personele security maatregelen Fysieke security maatregelen (bouwkundige en elektronische) ICT-security maatregelen Mix van security maatregelen Security organisatie Stap 8 Beschrijving interne security organisatie Stap 9 Afstemming met hulpdiensten Niveaus van security 28

6 04

7 05 Voorwoord Veiligheid (safety) en beveiliging (security) zijn tegenwoordig niet meer weg te denken binnen bedrijven en ook daar buiten. Logisch, de belangen van de bedrijven zijn groot en er zijn veel (be)dreigingen die de belangen kunnen schaden. De vraag doet zich voor hoe bedrijven zich tegen deze (be)dreigingen kunnen beschermen. Dit beschermen of beveiligen duidt men in vaktaal veelal aan met security. Deze handreiking gaat over security management en, hoewel er veel bruikbare methoden bestaan om security te managen, kiest de handreiking niet voor één specifieke methode 1. De onderwerpen die deel uit maken van een security managementsysteem komen in de volgende hoofdstukken aan bod en vormen zo een aanpak om te komen tot een security managementsysteem voor uw bedrijf. Door het ondertekenen van het convenant hebben de directies van de deelnemende bedrijven laten zien dat security voor hen een serieus onderwerp in de bedrijfsvoering is. Voor de medewerkers binnen het bedrijf is dat een belangrijk signaal, voor de mensen die met security bezig zijn een stevige steun in de rug. Het doet er zeker toe als security management gezien wordt als volwaardig onderdeel van de bedrijfsvoering. Daarnaast is het belangrijk dat het security managementsysteem zo veel mogelijk bij bestaande systemen op het gebied van veiligheid (safety) aansluit. Security management gaat veel verder dan in deze handreiking beschreven wordt. De handreiking adviseert enkel over een mogelijke aanpak van security management binnen een bedrijf. Om alle taken op het terrein van security adequaat te kunnen uitvoeren, is het raadzaam om naast het lezen van (achtergrond) informatie en deze handreiking ook relevante opleidingen te volgen. Het uitgangspunt bij het schrijven van deze handreiking is het op weg helpen van de medewerker die security management, zeg maar beveiliging, binnen het bedrijf als extra taak naast zijn eigenlijke werk moet uitvoeren. Deze handreiking komt voort uit de afspraken in het kader van het Convenant Olie en (Petro-) Chemische Industrie. Hierin is afgesproken dat de deelnemende bedrijven die daar nog niet over beschikken een security managementsysteem (SMS) zullen inrichten. In het convenant zijn voorwaarden gesteld waaraan een SMS minimaal moet voldoen. Daarmee kan iets gezegd worden over de kwaliteit van een SMS en ontstaat de mogelijkheid om verschillende systemen op hun gelijkwaardigheid te toetsen. Denk daarbij aan concepten zoals de International Ship and Port Facility Security (ISPS) Code en het Authorised Economic Operator (AEO) concept. De ISPS-code is een internationaal voorschrift dat verplicht tot maatregelen voor de beveiliging van schepen en havenvoorzieningen. In het AEO-concept gaat het om de waarborgen die in de hele logistieke keten zijn getroffen om het goederenverkeer veilig te laten zijn. Sommige van de aan het convenant deelnemende bedrijven hebben namelijk met meer dan één verplichting met betrekking tot veiligheid te maken. 1 In Nederland is DHM voor security management een alom bekende methode. Deze opleiding kan onder meer aan de Haagse Hogeschool gevolgd worden. Daarnaast zijn persoonsgebonden certificatieschema s mogelijk, zoals het Certified Protection Professional (CPP ) programma van de ASIS International en het Certified Protection Officer (CPO) programma van de International Foundation for Protection Officers (IFPO). Beide opleidingsorganisaties bieden een opleiding aan in Nederland.

8 06

9 07 Leeswijzer De handreiking beschrijft een proces, gevormd door verschillende achtereenvolgende stappen, om te komen tot een security managementsysteem. Na de inleiding waarin kort ingegaan wordt op de achtergrond van het Convenant Olie- en (Petro-)Chemische industrie en op de noodzaak voor de deelnemende bedrijven om een security managementsysteem (SMS) in te richten, krijgt dit meer in detail aandacht. Benadrukt wordt dat een SMS een integraal onderdeel vormt van de normale bedrijfsvoering van een bedrijf. Daarbij komen enkele aspecten met over security en kwaliteit aan de orde. De handreiking bevat zowel theorie als concrete stappen om te komen tot een security managementsysteem. De ene stap is verder uitgewerkt dan de andere. De andere deelnemers aan het Convenant Olie en (Petro-) Chemische Industrie kunnen een rol spelen bij de invulling van een SMS voor uw bedrijf. Met name het NAVI zal in samenwerking met de brancheorganisaties de nodig ondersteuning bieden bij de implementatie van het SMS. Bij het opzetten van een security managementsysteem, dat wanneer het gerealiseerd is minimaal aan de voorwaarden in het convenant voldoet, kan het stappenplan op blz 8 worden gevolgd. Het startpunt bij het opstellen van een SMS is het opstellen van een security beleidsplan. Dit komt in hoofdstuk 2 aan de orde. Hoofdstuk 3 gaat in op risicomanagement hier natuurlijk gefocust op security management. Het risicoanalyseproces krijgt in de vijf volgende stappen aandacht. Met de uitkomsten van dit proces kijken we vervolgens hoe deze uitwerken naar security maatregelen en voorzieningen. In deze fase is het belangrijk ook naar de kosten en baten en naar de mogelijke effecten van de invoering van deze maatregelen en voorzieningen te kijken. Vragen moeten gesteld worden zoals: hebben de getroffen maatregelen wel het effect dat wij ervan verwachten of werken ze op juist negatief uit op security gebied of op de operationele activiteiten van het bedrijf? De samenwerking met politie, brandweer en de geneeskundige hulpverlening bij ongevallen en rampen (GHOR) komt aan de orde, evenals het belang van gezamenlijk oefenen in het kader van voorbereiding op incidenten. Om het belang hiervan te kunnen plaatsen in het totale proces van beveiligen, gaan we in op de veiligheidketen. In hoofdstuk 4 wordt ingegaan op de security maatregelen. Het inventariseren en treffen van security maatregelen is een belangrijke stap in het security managementsysteem. Enkele hulpmiddelen een keuze uit vele instrumenten die de security manager ter beschikking staat komen aan de orde. Hoofdstuk 5 is gericht op de security organisatie binnen het bedrijf maar ook de organisatie tussen het bedrijf en de lokale hulpdiensten. Het alerteringssysteem en aansluiting hierop in het kader van het convenant komt hier ook aan de orde.

10 08 Stappenplan Stap 1 Stap 2 Stap 3 Stap 4 Stap 5 Stap 6 Stap 7 Stap 8 Stap 9 Maken van het security beleidsplan, of afhankelijk van de grootte van het bedrijf een security beleidsintentie. [Dit proces is meer in detail beschreven in punt 2.2. van deze handreiking.] Uitvoeren afhankelijkheidsanalyse. [Dit proces is meer in detail beschreven in punt 3.2. van deze handreiking.] Uitvoeren dreigingsanalyse. [Dit proces is meer in detail beschreven in punt 3.3. van deze handreiking.] Uitvoeren kwetsbaarheidsanalyse. [Dit proces is meer in detail beschreven in punt 3.4. van deze handreiking.] Uitvoeren van een risicoanalyse met behulp van de uit stap 2, 3 en 4 verkregen resultaten. [Dit proces is meer in detail beschreven in punt 3.5. van deze handreiking.] Uitvoeren kosten-batenanalyse. [Dit proces is meer in detail beschreven in punt 3.6. van deze handreiking.] Het nemen van security maatregelen. [Dit proces is meer in detail beschreven in punt 4.2. van deze handreiking.] Het beschrijven en vorm geven aan de security organisatie (intern). [Dit proces is meer in detail beschreven in punt 5.2. van deze handreiking.] Het afstemmen met hulpdiensten. [Dit proces is meer in detail beschreven in punt 5.3. van deze handreiking.]

11 09 1. Inleiding Security Managementsysteem Deze handreiking is een uitvloeisel van het recentelijk door de deelnemende partijen industrie en overheid - geaccordeerde Convenant voor de Olie en (Petro-) Chemische Industrie. In dit convenant verplicht ieder deelnemend bedrijf zich om een security managementsysteem (SMS) in te richten (voor zover nog niet aanwezig) en te onderhouden. De overheid levert hieraan een bijdrage in de vorm van deze handreiking. 1.1 Achtergrond en aanleiding De olie- en (petro-) chemische industrie is aangeduid als een van de sectoren die vitaal zijn voor Nederland. De aanleiding hiervoor is de motie Wijn 2. Antwoord moest gegeven worden op de vraag in hoeverre de Nederlandse vitale infrastructuur kwetsbaar is voor uitval, door moedwillige verstoring, door technisch-organisatorisch falen of door natuurverschijnselen. Kort na deze motie werd de wereld opgeschrikt door de aanslagen op het World Trade Center in New York, door velen aangeduid met nine eleven. Naast veel slachtoffers werd ook veel schade toegebracht aan de vitale infrastructuur van de VS met alle gevolgen van dien. De motie heeft geleid tot het project bescherming vitale infrastructuur (BVI), dat gecoördineerd wordt door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Bij dit project zijn naast de vitale sectoren, ook alle verantwoordelijke vakministeries bij betrokken. Als zich een incident voordoet, kan dit grote gevolgen hebben voor de omgeving. De (petro-) chemische sector is van vitaal belang voor Nederland en daardoor erg gevoelig voor calamiteiten. In de Beleidsbrief Bescherming Vitale Infrastructuur van 16 september 2005 aan de Tweede Kamer wordt aangegeven dat op het terrein van security een intensivering gewenst is. Het convenant dat nu is afgesloten tussen de overheid en de olie- en (petro-) chemische industrie, het oprichten van het publiek-private Nationaal Adviescentrum Vitale Infrastructuur (NAVI) dat vitale bedrijven en overheden adviseert op het gebied van security en het instellen van de Nationaal Coördinator Terrorismebestrijding zijn daar het uitvloeisel van. Deze handreiking is door het ministerie van VROM (directie Externe Veiligheid) in samenwerking met het ministerie van BZK (waaronder het NAVI), het ministerie van EZ en een aantal bedrijven uit de olie- en (petro) chemische industrie opgesteld. 1.2 Convenant Olie en (Petro-) Chemische Industrie Onder het convenant vallen bedrijven uit de chemische sector, te weten de zgn. Brzo 99-bedrijven 3. Omdat veel bedrijven ook petrochemische activiteiten uitvoeren, zijn ook oliebedrijven gevraagd deel te nemen aan dit convenant. De ministeries genoemd in paragraaf 1.1 en de industrie onderkennen dat de locaties waar olie en (petro-) chemische bedrijven gevestigd zijn mogelijk doelwit voor moedwillige verstoring kunnen zijn. Daarom heeft VROM samen met de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en een aantal ondernemingen het project Security in de Chemiesector uitgevoerd om inzicht te krijgen in de wijze waarop en de mate waarin olie en (petro-) chemische bedrijven security hebben vormgegeven. De uitkomsten van het project zijn verschillend, de conclusie echter duidelijk: VROM, AIVD en de deelnemende bedrijven zijn van oordeel dat een security managementsysteem (SMS) het instrument is om er voor zorg te dragen dat olie en (petro-) chemische bedrijven een adequaat weerstandsvermogen 4 hebben. Het is dus noodzakelijk dat een dergelijke security managementsysteem door de betreffende bedrijven wordt ingevoerd en onderhouden. De afspraken die daarmee verband houden zijn in het convenant vastgelegd. 1.3 Noodzaak voor security Men kan zich verschillende redenen voorstellen waarom security noodzakelijk is. Allereerst zorgt security ervoor dat de bedrijfsprocessen binnen het bedrijf ongestoord kunnen worden uitgevoerd. Security is dus voorwaardenscheppend. 2 Motie Wijn, (TK, , , nr. 20) 3 Brzo, Besluit risico s zware ongevallen 4 Het weerstandsvermogen is in feite de mate van beveiliging tegen incidenten.

12 10 Maar ook wet- en regelgeving zijn belangrijke redenen. Kernenergie centrales bijvoorbeeld moeten ingevolge de Kernenergiewet en internationale overeenkomsten aan een bepaald niveau van security voldoen. Het niveau wordt regelmatig door internationale inspectieteams gecontroleerd. Ook maatschappelijke en politieke druk kan als reden voor beveiliging worden genoemd. Een krantenkop in De Telegraaf: Wapens gestolen uit magazijn bij Defensie scoort niet bij het betreffende ministerie. Zo n incident beïnvloedt het imago van een bedrijf in belangrijke mate. Het imago is voor veel bedrijven een belangrijke reden om de security van het bedrijf goed te organiseren. Om deze redenen en om negatieve effecten zoveel mogelijk uit te sluiten, is het beter om security maatregelen en voorzieningen op basis van risicomanagement te treffen. Risicomanagement in algemene zin omvat alle activiteiten die erop gericht zijn om de risico s die een bedrijf loopt bij het bereiken van haar doelstelling te beheersen 5. We stellen ons dan vragen zoals hoe we met eerder vastgestelde risico s moeten omgaan en hoe we risico s kunnen beheersen. Wanneer we het totale proces van beleid tot uitvoering met inbegrip van de borging van kwaliteit op het gebied van beveiliging (security) beschouwen als security management, is risicomanagement een onderdeel van het security managementproces. Het hanteren van risicomanagement in een bedrijf leidt tot het doelbewust inzetten van security maatregelen en voorzieningen als integraal onderdeel van de bedrijfsvoering van het bedrijf. Als het kalf verdronken is Veel bedrijven treffen security voorzieningen en nemen security maatregelen nadat er een incident heeft plaatsgevonden. Dat mag nooit meer gebeuren, luidt dan de opdracht van de directie aan de security functionaris. Op zijn of haar beurt treft deze dan die security maatregelen en voorzieningen die in het kader van dit incident als afdoende worden geacht. Dit reactief beveiligen ook wel incident-gedreven beveiligen genoemd, leidt meestal tot aanzienlijke investeringen en exploitatiekosten. Het is daarom verstandig om security te organiseren voordat zich een incident heeft voorgedaan. De ervaring leert, dat het incident-gedreven beveiligen extra geld kost geld dat vervolgens dus niet voor de kerntaak van het bedrijf ingezet kan worden. Vanuit een organisatiebreed gezichtspunt is er in plaats van een quick win dus letterlijk sprake van een quick loss. 1.4 Introductie Security Managementsysteem (SMS) Security management gaat over de volgende activiteiten: het in lijn met de visie en missie van het bedrijf en de daarop gebaseerde plannen formuleren van een security strategie en deze in security plannen uitwerken (SMART); het structureren van de security organisatie; het leiden van het security personeel; het controleren of de beoogde security doelstellingen wel worden bereikt. Organisatorische en personele maatregelen worden samen met bouwkundige en elektronische voorzieningen (waaronder ICT) ingezet om de security doelstellingen te bereiken. Dat maakt security management een complex vak. Het vraagt om een gestructureerde, planmatige en systematische aanpak. Door het inrichten en onderhouden van een security managementsysteem wordt het mogelijk de security doelstellingen efficiënt en effectief te realiseren. In algemene zin is een systeem een geheel van elkaar wederzijds beïnvloedende elementen gericht op het bereiken van een bepaald doel. Op basis van deze eenvoudige definitie en de bovengenoemde uitleg van security management ziet een security managementsysteem (SMS) er als volgt uit. 5 Cees Coumou (2003) Risicomanagement voor security- en facilitymanagers, Alphen aan den Rijn: Kluwer.

13 11 Figuur 1: SMS onveiligheid socio- systeem technisch veiligheid Figuur 1 toont een security managementsysteem als een sociotechnisch systeem. Dat wil zeggen dat de wederzijds beïnvloedende elementen in dit systeem een menselijk en een technisch karakter dragen. Het socio-deel gaat over de mens als zwakste én als sterkste schakel. Een bekend voorbeeld van de zwakste schakel is de keg onder de deur om deze open te laten staan. Hiermee wordt het kostbare toegangsbeheersysteem van een organisatie omzeild. Een voorbeeld van de sterkste schakel is de security beambte die zich nauwgezet aan zijn opdrachten houdt en zich niet laat vermurwen door wie of wat dan ook. De organisatorische en personele security maatregelen passen in dit gedeelte van het systeem. Voorbeelden van organisatorische maatregelen zijn toegangsbeheer, clean desk policies, controlerondes en security bewustzijn (awareness). Voorbeelden van personele security maatregelen zijn ondermeer werving, selectie en pre-employment screening van nieuw personeel, beloning- en sanctiebeleid, vorming en opleiding. De technische kant van een security managementsysteem kenmerkt zich door bouwkundige en elektronische (inclusief ICT) voorzieningen. De bouwkundige voorzieningen bestaan meestal uit versterkte muren en deuren en goede sloten. Elektronische voorzieningen zijn meestal detectoren, Closed Circuit Television (CCTV)-systemen, kaartlezers. In het kader van informatiebeveiliging (ICT) gaat het over firewalls en antivirusprogrammatuur. In het kader van het convenant is het security managementsysteem als volgt gedefinieerd: Het security managementsysteem bevat tenminste de volgende elementen: een vastgesteld security beleid, risico-identificatie en analyse, security maatregelen en voorzieningen en af spraken over de interne en externe security organisatie. 1.5 Security en kwaliteit Veiligheid draagt bij aan het streven om een organisatie goed te laten functioneren. Daarbij wordt gefocused op het bereiken van een zo hoog mogelijke kwaliteit. Dit proces, continu verbeteren, neemt in het bedrijf een blijvende plaats in. Het principe is terug

14 12 Figuur 2 PLAN ACT DO CHECK te voeren naar een eenvoudig model dat bekend staat onder de naam: Deming-cirkel of Plan Do Check Act cirkel of de regelkring. Het model biedt de security managers gereedschap om ook binnen het security managementsysteem kwaliteit te realiseren. 1.6 Eisen aan het SMS vanuit het convenant In het convenant is de afspraak gemaakt dat het te implementeren SMS tenminste de volgende elementen bevat: een vastgesteld security beleid; risico-identificatie en analyse (risicomanagement); security maatregelen en voorzieningen; afspraken over de interne en externe security organisatie. In deze handreiking worden negen stappen doorlopen aan de hand waarvan kan worden gestreefd naar een SMS dat aan de eisen uit het convenant voldoet.

15 13 2. Security beleid Een goede start voor het inrichten van een security managementsysteem is om het security beleid te beschrijven. In dit hoofdstuk wordt een introductie op security beleid beschreven. Stap 1 om te komen tot een SMS: het opstellen van een security beleidsplan. 2.1 Inleiding security beleid Beveiligings- of security beleid is een thema dat eenvoudig uit te leggen en te begrijpen is. Letterlijk is het een plan van aanpak voor het oplossen van security problemen in de meest ruime zin. Een organisatie formuleert beleid om haar doelstelling te kunnen realiseren. Men heeft dus een bepaald resultaat voor ogen. Daarbij is de directie verantwoordelijk voor het algemeen beleid, stelt dit beleid vast en neemt het op in een beleidsplan. Dit plan is nodig om verbeteringen of veranderingen in de toekomst aan te geven en om, daaraan gerelateerd, richting te geven aan structurele veranderingen in personeel en middelen. Alle managementdisciplines binnen het bedrijf krijgen aandacht in het beleidsplan: het strategische management, human resource management, het financieel management, het operationeel management, het ICT- en middelenmanagement, veranderingsmanagement, kwaliteitsmanagement, safety management en ook security management. 2.2 Stap 1: Opstellen van het security beleidsplan De eerste stap voor de inrichting en onderhouden van een security managementsysteem is een door de directie goedgekeurd security beleidsplan of een security intentieverklaring bij een kleiner bedrijf. In beide gevallen komen de volgende onderwerpen aan bod: de betrokkenheid van de directie bij security; de relatie van security met het algemene bedrijfsbeleid; de hoofdlijnen van het security beleid; verwijzingen naar wet- en regelgeving; eventuele interne regelgeving die als basis kan dienen bij de security; de organisatie van security; de toezicht en handhaving; de verantwoordelijkheden en bevoegdheden; de financiële middelen; kwaliteitszorg en security; de informatieverstrekking; nadere aanwijzingen over beleidsoverleg security (periodiciteit). Om een goed beeld te krijgen van een security beleidsplan is in bijlage 2 een voorbeeld opgenomen. Bij security beleid staan de volgende vragen centraal: Wat moet worden beveiligd? (de essentiële zaken van het bedrijf) Waartegen moet worden beveiligd? (dreigingen) Met welke middelen kan dit het beste gebeuren? (maatregelen) Om security beleid en uitvoering ervan op een planmatige en systematische manier te kunnen verankeren in het bedrijf, is het belangrijk dat er zowel bij directie als ook bij de medewerkers draagvlak bestaat. Dit moet uiteindelijk uitmonden in een security beleidsplan of, afhankelijk van de grootte van het bedrijf, in een intentieverklaring over security.

16 14 3. Risicomanagement Al eerder hebben we gezien dat risicomanagement 6 in algemene zin alle activiteiten omvat die erop gericht zijn om de risico s die een bedrijf loopt bij het bereiken van haar doelstelling te beheersen 7. Om er achter te komen aan welke risico s het bedrijf blootstaat, voeren we een risico-inventarisatie en -analyse uit. Iedere organisatie loopt op elk voorstelbaar gebied voortdurend risico s. Elke manager is daarom op zijn of haar gebied bezig met risicobeheersing. Met name de security manager zal zich veelal richten op het voorkomen of beheersen van ongeautoriseerde beïnvloeding van de bedrijfsprocessen, of in het kader van terrorismebestrijding, moedwillige verstoring van de bedrijfsprocessen. In dit hoofdstuk staat eerst informatie over risicomanagement. Hierin wordt beschreven wat we onder risicomanagement verstaan en welke methoden er zijn voor het uitvoeren van een risicoanalyse. Vanaf paragraaf worden de volgende stappen voor het inrichten van een SMS beschreven: het uitvoeren van een afhankelijkheidsanalyse, een dreiginganalyse, een kwetsbaarhedenanalyse, de risicoanalyse en een kosten-batenanalyse. 3.1 Inleiding risicomanagement Om een goede risicoanalyse te kunnen uitvoeren is kennis en informatie nodig over het bedrijf, over concrete en potentiële dreigingen én over maatregelen die de weerbaarheid van een bedrijf verhogen. Doel van de risicoanalyse is om in te spelen op ernstige risico s van nu en in de nabije toekomst (zie figuur 3). Drie belangrijke aspecten dragen bij aan de risico s die een bedrijf loopt, te weten de onderwerpen bedrijfsbelangen, dreiging en kwetsbaarheid. De bedrijfsbelangen betreffen de vitale bedrijfsprocessen en cruciale onderdelen van het bedrijf. Deze belangen, waarvan het bedrijf afhankelijk is voor het bereiken van zijn doelstelling, moeten beschermd worden om ernstige bedrijfseconomische of maatschappelijke schade te voorkomen. De dreiging hangt af van de mogelijkheden van potentiële daders (capability) en de mate waarin zij bereid zijn om hun daad uit te voeren (intent). Tijdens de risico-inventarisatie en analyse zal deze dreiging in kaart moeten worden gebracht. Daarbij is de doelstelling het meten van de bereidheid en de mogelijkheden van de daders en deze vervolgens te rangschikken op de mate van gevaar die zij voor het bedrijf opleveren. De security manager kan over veel bronnen beschikken om zicht op de dreiging te krijgen. Het ligt voor de hand dat hij dreiginginformatie opvraagt bij de regiopolitie en ook bij collega s van bedrijven in de buurt. Het lezen van vakbladen en participeren in een beroepsvereniging kan bovendien meehelpen. Op het gebied van terrorismebestrijding kan hij voor actuele dreiginginformatie de internetsite van de NCTb raadplegen. Als bedrijven zich aansluiten op het Alerteringssysteem van de NCTb zijn ze verzekerd van periodieke informatie. De kwetsbaarheid hangt af van de mogelijkheden die de omgeving deze potentiële daders biedt. De weerbaarheid van een bedrijf is in dit kader belangrijk. Figuur 3 op blz 15 toont de onderdelen van een risicoanalyse. Wanneer een bedrijf zich wat betreft zijn beveiliging alleen baseert op de verwachte of ingeschatte dreiging, kan men mogelijk tot verkeerde conclusies komen. Een lage dreiging zou men met relatief weinig middelen het hoofd kunnen bieden. Wanneer men zich echter op risico s oriënteert - dus naast de dreiging, de kwetsbaarheid en het belang in de overwegingen meeneemt - is het niet uitgesloten dat men ondanks een lage dreiging grote risico s moet vaststellen. Het volgende hoofdstuk gaat dieper op deze denkwijze in Risicoanalysemethodiek Mensen en organisaties zijn voortdurend bezig dagelijkse risico s te beheersen. Vaak gebeurt dat intuïtief, zonder een expliciete aanpak of methodiek. Maar er zijn ook bedrijfssectoren en vakgebieden die gespecialiseerd zijn in het analyseren en managen van risico s. Een voorbeeld hiervan is de financiële sector, die zich bezighoudt met het beperken van risico s rond investeringen, verzekeringen en beleggingen. 6 De tekst van deze paragraaf en bijbehorende subparagrafen berust met toestemming van de NCTb en het NAVI in belangrijke mate op de Wat kan uw bedrijf ondernemen tegen terrorisme? Handreiking voor bedrijven uitgegeven door de NCTb. 7 Cees Coumou (2003) Risicomanagement voor security- en facilitymanagers, Alphen aan den Rijn: Kluwer.

17 15 Figuur 3 Belang (financieel of anderszins) Risico Dreiging (b.v. door criminaliteit) Kwetsbaarheid (omgeving) Een ander soort risicomanagement is het beperken van risico s die kwaadwillende personen, zoals terroristen, bewust veroorzaken. Hiervoor zijn specifieke risicoanalysemethoden ontwikkeld. Ze bestaan meestal uit een combinatie van een afhankelijkheidsanalyse, een dreigingsanalyse en een kwetsbaarheidanalyse. Het schema (figuur 4 op blz 16) kan helpen bij de uitvoering van een (minder omvangrijke) risicoanalyse. Aan de hand van deze stappen kunnen de risico s van een bedrijf worden gerangschikt en benoemd. Dit vormt de basis voor (aanvullende) maatregelen om risico s te verminderen. In de afhankelijkheidsanalyse staan de kroonjuwelen van het bedrijf centraal: vitale bedrijfsprocessen en cruciale onderdelen van het bedrijf. Deze kroonjuwelen waarvan het bedrijf afhankelijk is voor het bereiken van zijn doelstelling moeten beschermd worden om ernstige bedrijfseconomische of maatschappelijke schade te voorkomen. Hier staat de kans op de dreiging centraal. In de kwetsbaarheidanalyse gaat het om de weerbaarheid van een bedrijf door de genomen security maatregelen en voorzieningen. In de risicoanalyse worden de cruciale belangen en afhankelijkheden, de kans op dreigingen en de weerbaarheid van een bedrijf aan elkaar gerelateerd. Dat levert een beeld op van de risico s van een bedrijf. Welke risico s het bedrijf wel of niet wil lopen is vastgelegd in het security beleidsplan. De risicoanalyse levert een beeld op van de aanwezige risico s, de mate van bedreiging en de (nog) te nemen maatregelen. Wanneer we voor de taak staan om de risico s te beheersen, zullen we daarvoor een soort middelenplan moeten ontwikkelen. In de dreigingsanalyse worden kwaadwillende personen en hun activiteiten onderzocht.

18 16 Figuur 4 Afhankelijkheidsanalyse (zie 3.2) Beperken van risico s Dreigingsanalyse (zie 3.3) Risicoanalyse (zie 3.5.) Kosten- en batenanalyse (zie 3.6) Kwetsbaarheidsanalyse (zie 3.4) Het middelenplan In het middenplan worden de security maatregelen en voorzieningen beschreven die in te zetten zijn om de vastgestelde risico s te beheersen. In de wetenschap dat nooit alle risico s te beheersen zijn, wordt ernaar gestreefd om de restrisico s zo klein mogelijk te krijgen. Restrisico s zijn de risico s die overblijven wanneer we alle noodzakelijk geachte security maatregelen en -voorzieningen hebben getroffen. Een aantal middelen is veelal al in het bedrijf aanwezig; op basis van de risicoanalyse zal veelal blijken dat er aanvullende maatregelen nodig zijn. In het middelenplan gaat het heel concreet om een opsomming van technische maatregelen en voorzieningen, te weten: de bouwkundinge maatregelen; de elektronische maatregelen; de alarmering; compartimenteringsmaatregelen; (...). Het mag duidelijk zijn dat we met dit plan in de hand ook heel eenvoudig aanvullende maatregelen kunnen nemen. Het ontwerpen van dit onderdeel van het security plan is niet eenvoudig, maar kan door de toepassing van een aantal instrumenten sterk vereenvoudigd worden. In deze paragraaf komt verder de security matrix aan de orde, vervolgens krijgt de tijdpad analyse aandacht. Overigens is niet alles planbaar. Een tijdpadanalyse is op zich een goed instrument, maar heeft weinig meerwaarde bij incidenten zoals bij voorbeeld beschieting met raketten, bomauto s, gijzeling, afpersing of ICT-aanvallen. De vraag is natuurlijk of dit reële incidenten zijn. Uiteraard moet men eerst nadrukkelijk nadenken over welke scenario s mogelijk en echt zijn. In deze paragraaf gaan we overigens nog niet in op de verschillende security strategieën en security maatregelen en voorzieningen. Bovendien wordt in de handreiking maar een beperkt aantal van de beschikbare instrumenten genoemd Security matrix Security managers staan voor de taak een uitspraak te doen over de mate van beveiliging en daarop actie te nemen. Bij dit proces kan een eenvoudig, doch grofmazig instrument enigszins hulp

19 17 Kansbepaling K Kans Kwalificering 2 heel kleine tot kleine Praktisch onmogelijk tot denkbaar, maar zeer onwaarschijnlijk 4 matige Ongewoon, maar mogelijk 6 gerede Voorstelbaar 8 grote Zeer goed mogelijk bieden: de security matrix. De input voor de security matrix levert de naar zijn ontwerper genoemde Jaarsma-schaal 8 (nadien als waarde-incident-schaal opgenomen in DHM voor security management). Deze Jaarsma-schaal is voor deze handreiking aangepast (zie figuur op bla 18). Om de zwaarte van het risico te bepalen gebruiken we de formule Risico is Kans maal Effect [ R = K x E ], waarbij we ons steeds moeten realiseren dat deze benadering subjectief is. De toepassing is als volgt. Als eerste bepalen we de kans, dat een incident zich kan voordoen. Vervolgens kijken we naar het effect dat optreedt of de effecten die optreden wanneer het incident zich voordoet. Voorbeeld: wanneer we de kans op een incident groot vinden scoort dit in de tabel kans een 8. Bij de effectbepaling nemen we altijd de hoogste score. Als dat bijvoorbeeld bij algemene beoordeling: hindelijk is, scoort dat een 4. 8 Ing J.C. (Jan) Jaarsma (1994) Beveiliging Van Braam Houckgeest kazerne te Doorn, Nootdorp: Secure Connection B.V. Effectbepaling E Verstoring bedrijf in mensuren Materiële schade, kosten reparatie Publicitaire schade Operationele gereedheid Algemene beoordeling 2 < 40 uur en/of < Enige 1 dag verstoring Kleine omvang 4 < 500 uur en/of < Aanzienlijke 3 dagen verstoring Hinderlijk 6 < 3000 uur en/of < Grote 2 weken verstoring Omvangrijk 8 < 4000 uur en/of > Zeer grote Volledig ontregeld Ramp

20 18 Let op: de gebruikte waarden in de matrices zijn algemeen. Per bedrijf zullen deze waarden op hun bruikbaarheid of toepasselijkheid moeten worden beoordeeld, aangepast en vastgesteld. Een kwestie van beleid dus! Uitwerking in de security matrix Door de kans en het effect in de eerdergenoemde tabellen te scoren, kunnen we deze waarden in de formule R = K x E invullen. Bovengenoemde voorbeeld leidt tot R = K x E R = 8 x 4 R = 32 Het idee is nu, dat de belangen die in de range scoren de zwaarste beveiliging krijgen. Hier accepteert men geen enkele schade aan het te beveiligen belang. De belangen die scoren in de 4 12 range krijgen geen of de lichtste beveiliging. Hier accepteert men zoveel schade aan het te beveiligen belang als daders kunnen maken in de periode vallend tussen bij voorbeeld twee surveillances (dat kan letterlijk zijn: het maken van schade, maar ook het ontvreemden van zaken behoort hiertoe). De moeilijkste categorie zijn de belangen die scoren in de range. Hier zal de security manager de mate van beveiliging per geval moeten beoordelen. Het instrument of hulpmiddel lijkt discutabel, maar heeft in de praktijk zijn nut bewezen. Het is snel en redelijk betrouwbaar. Voorwaarde voor de mate van die betrouwbaarheid is, dat de beoordeling van het te beveiligen belang in relatie tot het risico door een groep van mensen (bij voorbeeld een auditteam) uitgevoerd wordt. Er is dan sprake van collectieve subjectiviteit, waardoor persoonlijke meningen enigszins afgezwakt worden. Steeds moet men overwegen of men de gedachte maatregelen en voorzieningen wel of niet gaat nemen. De security manager doet voorstellen aan de directie. Effecten kunnen de adequate inschatting van risico s soms vertroebelen en vergen doorgaans een hard managementbesluit waarbij de kosten-batenanalyse nadrukkelijk aan de orde is. Daarnaast kunnen bureaupolitieke overwegingen een rol spelen bij de uiteindelijke duiding van risico s en de beheersing daarvan met behulp van security maatregelen en voorzieningen. De directie beslist! Bijgestelde Jaarsma-schaal KANS klein groot klein EFFECT groot Tijdpadanalyse Wanneer security maatregelen en voorzieningen zijn geïmplementeerd, is het in lijn met de uitgangspunten voor adequaat security management om het security ontwerp en de realisatie ervan te toetsen. Hiervoor gebruikt men veelal de tijdpadanalyse. Deze analyse 9 werkt als volgt. We trekken twee parallelle lijnen en voorzien deze lijnen van een schaalverdeling (zie uitgewerkt voorbeeld met tijdschaal op blz 19). Het mogelijke scenario van de dader(s) wordt in activiteiten opgesplitst en vervolgens op de bovenste lijn in tijd zichtbaar gemaakt. Op de onderste tijdlijn vinden we de activiteiten om de inbraak of een ander incident te verijdelen. 9 Voorheen bij de politie als PIVA-ALRE-methodiek aangeduid; binnen DHM voor security management INCI-DETAR-methodiek genoemd.

21 19 Uitgewerkt voorbeeld met tijdschaal Dader A. Verplaatst zich van de openbare weg naar de periferie van het bedrijf. 6 minuten. (Totale tijd 6 minuten.) B. Knipt gat in hek. 2 minuten. (Totale tijd 8 minuten.) C. Verplaatst zich over bedrijfsterrein. 6 minuten. (Totale tijd 14 minuten.) D. Breekt in door bovenlicht te forceren. 3 minuten. (Totale tijd 17 minuten.) E. Detectiesysteem genereert een alarm. F. Buit verzamelen. 11 minuten. (Totale tijd 28 minuten.) G. [ ] Repressie K. Ontvangst gegenereerd alarm in particuliere alarmcentrale. L. Detectieverificatie met behulp van video. 2 minuten. (Totale tijd 2 minuten.) M. Waarschuwen politie en aanrijtijd. 5 minuten. (Totale tijd 7 minuten.) De politie is in dit voorbeeld op tijd om de inbreker op heterdaad te betrappen! Dader lijn A B C D F K L Repressie lijn

22 Stap 2 Uitvoeren afhankelijkheidsanalyse De afhankelijkheidsanalyse bepaalt voor elk belang de waarde en daarmee de afhankelijkheid. Denk aan mensen, bedrijfsprocessen, cruciale bedrijfselementen, grondstoffen, objecten of locaties. Het gaat om belangrijke waarden die kunnen worden aangetast en waarvan een bedrijf afhankelijk is. Hieronder volgen een paar invalshoeken om de belangen en de afhankelijkheden van bedrijven te verhelderen: mensen en hun veiligheid zijn natuurlijk van het grootste belang voor ieder bedrijf. Elk bedrijf moet de fysieke veiligheid van mensen kunnen waarborgen; informatie kan uniek, kostbaar, imagogevoelig, vertrouwelijk of cruciaal zijn voor de continuïteit of concurrentiepositie van een bedrijf. De beschikbaarheid, vertrouwelijkheid of de integriteit van de informatie moet dan ook worden veiliggesteld; bedrijfsprocessen zijn vaak cruciaal voor de continuïteit of concurrentiepositie van een bedrijf. Deze processen mogen niet of zo min mogelijk worden verstoord; grondstoffen, productiemiddelen, producten en diensten kunnen kostbaar voor het bedrijf zijn en aantrekkelijk voor kwaadwillenden. Het is dan ook belangrijk om de beschikbaarheid en integriteit hiervan te waarborgen. Een goede afhankelijkheidsanalyse geeft inzicht in de belangen die het bedrijf onderkent en de waarde ervan. Ook geeft de analyse aan waarvan die belangen afhankelijk zijn. Zo kan bepaalde informatie cruciaal voor een bedrijf zijn. Om deze informatie te beschermen is het bedrijf afhankelijk van een betrouwbaar computersysteem. Mede op basis van de afhankelijkheidsanalyse krijgt het bedrijf inzicht in de aard en omvang van de schade die een ernstig incident kan aanrichten. Deze schade kan van bedrijfseconomische of meer maatschappelijke aard zijn. De aard en omvang van de schade die een incident kan aanrichten noemen we het effect of de ernst van een incident. Een categorisering en rangschikking van de ernst van mogelijke schades vormt de basis voor de risicoanalyse. De afhankelijkheidsanalyse levert een overzicht van de verschillende te beveiligen belangen en hun gewicht ten opzichte van elkaar op (letterlijk: het ene belang telt zwaarder dan het andere). Een zwaarder belang vereist een zwaardere beveiliging dan een minder zwaar belang. Daarnaast geeft de analyse een overzicht waar deze belangen zich bevinden. Hiermee worden de risico plaatsen de plaatsen waar de risico s bestaan - bekend. Een inventarisatie van de belangen, inschatting van de zwaarte van deze belangen en de risicoplaatsen vormen de eerste bouwsteen voor de risicoanalyse. 3.3 Stap 3 Uitvoeren dreigingsanalyse Als de belangen en de afhankelijkheden van een bedrijf zijn benoemd en gerangschikt, moeten we systematisch kijken hoe die belangen kunnen worden bedreigd. Wie kunnen een belang schaden en hoe gaat men te werk? Een dreigingsanalyse spreekt zich uit over (potentiële) dreigingen. Bij deze analyse is het verstandig eerst mogelijke kwaadwillende personen zoals criminelen in kaart te brengen. De keuze van kwaadwillenden voor een bepaald bedrijf is afhankelijk van de aantrekkelijkheid van dat bedrijf en de genomen security maatregelen (vergelijk de aantrekkelijkheid van de buit die bij een juwelier te verdienen is met bij voorbeeld de buit bij een composteerbedrijf). Wie heeft de kennis, kunde en intentie om specifieke bedrijven schade toe te brengen? Vervolgens moeten we vaststellen met welke middelen en met welke methoden kwaadwillenden te werk kunnen of zullen gaan. Om een dreigingsanalyse op te stellen waarin de terroristische dreiging centraal staat, kunnen bedrijven gebruikmaken van de informatie van de AIVD ( en de NCTb ( Om een inschatting te maken van dreiging die uitgaat van bijvoorbeeld criminelen, moeten bedrijven andere bronnen en deskundigen raadplegen. Een categorisering en inschatting van de kans op een (terroristische of criminele) dreiging is de tweede bouwsteen voor de risicoanalyse. 3.4 Stap 4 Uitvoeren kwetsbaarheidsanalyse De kwetsbaarheidsanalyse onderzoekt de kwetsbaarheid van bedrijven voor onbevoegde beïnvloeding, zoals bijvoorbeeld criminaliteit of terroristische activiteiten. In de analyse wordt een relatie gelegd tussen de methoden en de middelen van kwaad-

23 21 willenden en de weerbaarheid van het bedrijf daartegen. De methoden en middelen die kwaadwillenden kunnen of zullen gebruiken, vloeien voort uit de dreigingsanalyse. De kwetsbaarheidsanalyse verstrekt inzicht in de wijze waarop het bedrijf zich heeft beveiligd tegen bepaalde scenario s en vormt de derde bouwsteen voor de risicoanalyse. In de risicoanalyse moeten deze bouwstenen vervolgens samengevoegd worden. Voordat we deze stap maken is het nodig om even stil te staan bij twee belangrijke aspecten binnen security management, namelijk de standaardscenario s en de veiligheidsketen Standaardscenario s Een scenario is letterlijk een chronologische beschrijving van een bepaald voorval (of een aaneenschakeling van voorvallen) dat heeft plaatsgevonden of kan plaatsvinden. Het is een aannemelijke en vaak vereenvoudigde beschrijving van wat mogelijk zou kunnen gebeuren, gebaseerd op een samenhangende en onderling verenigbare reeks veronderstellingen over belangrijke sturende krachten op het terrein van security en relaties van security. De wijze van optreden van de tegenstander (potentiële crimineel of terrorist of anderen), ook wel de modus operandi genoemd, maakt hier deel van uit. Wanneer men scenario s tracht te ontwikkelen voor de eigen security situatie, zijn er in theorie oneindig veel te bedenken. Maar niet allemaal zijn ze even reëel. Het is aan het bedrijf om te bepalen welke scenario s het mee wil nemen. In het kader van het convenant ontwikkelt en beheert een speciaal daartoe in het leven geroepen werkgroep een set standaard scenario s met reële voorvallen. Daarmee blijft het aantal voorvallen waartegen men zich moet beveiligen beheersbaar en blijven de scenario s actueel. 3.5 Stap 5 Uitvoeren risicoanalyse De risicoanalyse brengt de belangen, dreigingen en weerbaarheid van het bedrijf bij elkaar. Het geeft inzicht in de soorten risico s, welke risico s acceptabel zijn en tegen welke risico s het bedrijf maatregelen moeten nemen. Het onjuist analyseren van de risico s leidt mogelijk tot security incidenten. De risicoanalyse maakt de ernst of het effect van de meest waarschijnlijke security incidenten duidelijk en houdt rekening met de weerbaarheid van het bedrijf. De risicoanalyse betrekt de resultaten uit de andere analyses: de kans op dreigingen en incidenten; de weerbaarheid van het bedrijf tegen specifieke dreigingen of activiteiten; de ernst van de schade die incidenten ondanks de weerbaarheid van het bedrijf veroorzaken. De kans op incidenten uit de dreigingsanalyse wordt concreter in het licht van de bestaande én ontbrekende weerbaarheid (maatregelen en voorzieningen) uit de kwetsbaarheidanalyse. Sommige incidenten zullen bij nader inzien door de al aanwezige maatregelen minder aannemelijk blijken te zijn. Zo kan een bedrijf beschikken over informatie die voor bijvoorbeeld terroristen interessant is. Als blijkt dat een bedrijf adequate security maatregelen heeft genomen, is de kans dat deze informatie misbruikt wordt - en daarmee de kans op een incident - kleiner. De kans dat een bedrijf te maken krijgt met een terroristische aanslag is doorgaans veel lager dan bijvoorbeeld de kans op diefstal. Daar staat tegenover dat de schade door een terroristische aanslag veel ernstiger kan zijn dan de schade die door diefstal wordt veroorzaakt. In de risicoanalyse wordt de kans op bijvoorbeeld een criminele daad of terroristische aanslag daarom gerelateerd aan het effect van het incident. Het resultaat is een waardering van het risico, zoals al werd toegepast bij de security matrix. De formule hiervoor is: Risico = Kans X Effect Nadat de risico s in een rangorde geplaatst zijn, geeft het bedrijf aan welke risico s acceptabel zijn en tegen welke risico s het aanvullende maatregelen moet nemen. De analysetabel laat zien waar de afhankelijkheidsanalyse, dreigingsanalyse, kwetsbaarheids analyse en risicoanalyse met elkaar samenhangen, waar zij zich op richten en waar dat toe leidt.

24 22 Analysetabel Type analyse Focus op Leidt tot Afhankelijkheidsanalyse Aard en omvang van de bedrijfsbelangen Inschatting van de schade bij een incident Dreigingsanalyse Kwetsbaarheidsanalyse Risicoanalyse Kosten- en batenanalyse potentiële dreiging kwaadwillenden middelen en methoden weerbaarheid maatregelen belangen potentiële dreiging weerbaarheid effect / baten van de maatregelen kosten van de maatregelen Inschatting van de kans op criminele of terroristische acties of incidenten Inschatting van de weerbaarheid van het bedrijf tegen activiteiten van kwaadwillenden + Inschatting van de ernst van de schade die incidenten ondanks de weerbaarheid van een bedrijf veroorzaken + Inschatting van de meest kosteneffectieve maatregelen: keuze van aanvullende maatregelen Een belangrijk absoluut niet te vergeten aspect is dus de samenhang der dingen. In een analyse wordt het eigen optreden afgezet tegen het optreden van de tegenstander om duidelijkheid over het eigen weerstandsvermogen (effectiviteit en efficiëntie) te verkrijgen. Aan de hand van de uitkomsten van en het vervolg op de analyse wordt de behoefte aan aanvullende security maatregelen en voorzieningen bepaald. 3.6 Stap 6 - Kosten- en batenanalyse De kosten- en batenanalyse, ook wel maatregelenanalyse genoemd, bekijkt de aanvullende maatregelen die de vastgestelde risico s kunnen verminderen. Het is belangrijk om alle schakels uit de veiligheidsketen hierbij te betrekken (zie 3.6.1). Aan de hand van de maatregelen en voorzieningen is het mogelijk de daadwerkelijke vermindering van risico s, dus de baten te bepalen. Centraal staat echter de vraag of de risico s écht minder worden door de maatregelen. Om het effect van deze maatregelen te beoordelen is enige deskundigheid vereist. De volgende stap is het afzetten van de baten tegen de kosten van de maatregelen en voorzieningen. Daardoor wordt duidelijk welke het meest kosteneffectief zijn. Staan de kosten in een acceptabele verhouding tot de baten? Het bedrijf is zelf verantwoordelijk voor deze afweging en voor de keuze van het al dan niet invoeren van maatregelen en voorzieningen. Met andere woorden: bedrijven bepalen zelf het risico dat ze willen lopen. Na de keuze voor te treffen maatregelen en voorzieningen is het mogelijk de kwetsbaarheidanalyse en vervolgens de risicoanalyse op bepaalde punten bij te stellen. Door het treffen van maatregelen is immers de kwetsbaarheid afgenomen. De nieuwe uitkomst van de risicoanalyse geeft dan zicht op de beheersbaarheid van de verschillende risico s en de acceptatie daarvan door het bedrijf.

25 De veiligheidsketen Naast de kosten- en batenanalyse moeten we de uitkomsten van het hiervoor beschreven proces ook nog in de verschillende fasen die we binnen risicobeheersing hebben vastgesteld, beoordelen. Die fasen vormen de schakels in de veiligheidsketen. De veiligheidsketen bestaat uit vijf schakels. In security management worden alle vijf schakels betrokken bij het beheersen van de risico s. Deze schakels zijn proactie, preventie, preparatie, respons en nazorg. Door de veiligheidsketen als leidraad te nemen en te gebruiken bij het ontwerp en invoeren van security maatregelen en voorzieningen kan het veiligheidsniveau en daarmee de weerbaarheid van een bedrijf positief worden beïnvloed. Nazorg: activiteiten gericht op het verhelpen van de gevolgen van een security incident en de terugkeer naar de normale situatie. Nazorgmaatregelen moeten de bedrijfscontinuïteit en de teruggang naar de normale situatie bevorderen. Een concreet voorbeeld is het regelen van een uitwijklocatie. Voor de duidelijkheid zijn de vijf schakels hieronder uitgewerkt. Proactie: het voorkomen of wegnemen van structurele oorzaken van onveiligheid. Proactieve maatregelen moeten voorkomen dat kwetsbaarheden ontstaan. Een bedrijf kan bijvoorbeeld bedrijfsonderdelen naar een minder risicovolle locatie verplaatsen. Het schrijven van een security beleidsplan is een concreet voorbeeld. Preventie: het voorkomen van directe oorzaken van onveiligheid en beperken van de gevolgen van eventuele inbreuken op die veiligheid (security incident). Preventieve maatregelen verkleinen de kwetsbaarheid en dus de kans op een incident. Voorbeelden hiervan zijn goed hang- en sluitwerk aanbrengen, een toegangscontrole instellen en virusscanners gebruiken. Preparatie: het voorbereiden op het optreden bij een security incident. Preparatieve maatregelen zijn gericht op een goede voorbereiding op incidenten. Een bedrijf kan bijvoorbeeld een ontruimingsplan opstellen voor het personeel en geregeld oefenen. Respons: bestrijden en beperken van de nadelige gevolgen van een security incident en hulp verlenen. Soms gebruiken we voor het woord respons ook repressie. Responsieve maatregelen moeten de directe nadelige gevolgen van een incident beperken. Denk aan het inzetten van blusmiddelen, het organiseren van de eerste hulp en het managen van de crisis.

26 24 4. Security maatregelen Op basis van het security beleid en de risicoanalyse zullen bepaalde (aanvullende) security maatregelen en voorzieningen getroffen worden. Deze maatregelen en voorzieningen kunnen een aantal doelen dienen. Het belangrijkste is wel tijd winnen om te kunnen reageren de respons of repressie op een incident. In algemene zin is het zo dat hoe zwaarder een maatregel is, hoe meer tijd een opponent nodig heeft of die maatregel te overwinnen. Het beheer van de security maatregelen wordt vastgelegd in het operator security plan (OSP). In deze handreiking wordt verder niet ingegaan op het OSP. In dit hoofdstuk vindt u meer informatie over het nemen van mogelijke security maatregelen. 4.1 Inleiding security maatregelen Security heeft tot doel de belangen van een bedrijf te beschermen tegen onbevoegde en/of onbedoelde beïnvloeding. Daaronder valt ook het moedwillig verstoren van de bedrijfsprocessen. De security doelen voor bedrijven in de vitale infrastructuur, kennen de volgende volgordelijkheid: 1 Voorkomen dat gevoelige of kwetsbare informatie in het publieke domein terecht komt (bijvoorbeeld op het internet). 2 Afschermen van attractieve en kwetsbare onderdelen om kennisname en verkenningsacties door kwaadwillenden te bemoeilijken. 3 Afschrikken van kwaadwillenden. De kwaadwillende moet het gevoel hebben dat de beveiliging bij het bedrijf goed op orde is. 4 Tegenhouden. De kwaadwillende wordt het fysiek onmogelijk gemaakt zijn daad te verrichten. 5 Detectie. Indien al het voorgaande de kwaadwillende niet heeft afgeschrikt of tegengehouden, is het zaak zijn inbreuk zo vroeg mogelijk te detecteren. 6 Vertragen. Het opwerpen van barrières tussen de gedetecteerde kwaadwillende en zijn doel. Dit kan zowel het binnendringen als het kunnen vluchten betreffen. 7 Interventie. De kwaadwillende wordt tijdig door een bevoegde en capabele functionaris tegengehouden. Uitlevering aan Justitie behoort tot de mogelijkheden. Om deze doelen te bereiken staan ons meerdere security strategieën, security maatregelen en voorzieningen ter beschikking. De genoemde doelen moeten daarbij afzonderlijk en in samenhang worden behandeld. 4.2 Stap 7: Security maatregelen nemen Bij security management worden security maatregelen verdeeld in groepen. Daarbij komt men veel verdelingen tegen. Een veel toegepaste verdeling is de volgende verdeling: organisatorische security maatregelen; personele security maatregelen; bouwkundige security maatregelen; elektronische security maatregelen; ICT-security maatregelen. Met in het achterhoofd het bedrijfsbeleid zal de security manager zich op het gebied van security tot doel moeten stellen deze maatregelen en voorzieningen kosteneffectief te realiseren. De manager zal dus die maatregelen en voorzieningen moeten kiezen waarmee het vereiste security niveau daadwerkelijk te realiseren is tegen zo gering mogelijke kosten Organisatorische security maatregelen De meest verstrekkende maatregelen zijn de organisatorische maatregelen. Deze vormen de basis voor de security van het bedrijf. Het vergt niet alleen veel denk- en schrijfwerk, vooral de naleving van deze maatregelen vergt de nodige aandacht. Daarnaast hangt de consistentie van de beveiliging af van de kwaliteit van de organisatorische maatregelen. Een goede veiligheidscultuur draagt positief bij aan de kwaliteit van de security en het borgen daarvan. Veiligheidsbewustwordingsprogramma s kunnen de veiligheidscultuur verbeteren. Voorbeelden van organisatorische maatregelen zijn: toegangsbeheer; zoneringsplan (wie mag waar komen?); fotografeerverbod; sluitplan (waaronder sleutelbeheer); autorisatie toekenning en autorisatiebeheer (wie mag wat?); uitvoerbeleid (geautoriseerd meenemen van bedrijfseigendommen); clean desk regeling (wat moet altijd worden opgeborgen?); need-to-know regeling (wie mag wat weten?);

27 25 rubriceringsregeling (personeelsvertrouwelijke informatie, patentinfo etc.); merkingsregeling (markeren en registreren van waardevolle assets); registratie en archivering (van kwetsbare informatie); procedure alarmopvolging (detectie en tijdpadanalyse); incidentenregistratie; opleidingsplan op terrein van security; communicatieplan op terrein van security (o.a. veiligheidsbewustzijn) Personele security maatregelen Personele security maatregelen zijn onder te verdelen in: 1. Maatregelen voor indiensttreding, vooral gericht op de werving en selectie van nieuw personeel, zoals bijvoorbeeld: werving, selectie- en aannameprocedures; controleren cv en getuigschrift en referenties; antecedentenonderzoek; verklaring omtrent gedrag (VOG); geheimhoudingsverklaring; laten invullen van vragenlijst; procedure extern personeel/inhuur. 2. Maatregelen bij in dienst zijn, zoals: security opleidingen/bewustzijn; gedragscode; functionerings- en beoordelingsgesprekken; beloning- en sanctiebeleid. 3. Maatregelen bij vertrek, te weten: intrekken autorisaties; inleveren pasjes, sleutels, telefoon e.d.; checklist laatste dag; exitgesprek met leidinggevende; ontslag-op-staande-voet-procedure Fysieke security maatregelen (bouwkundige en elektronische) Bouwkundige security maatregelen bestaan uit het vakkundig ontwerpen, bouwen en beheren van onder andere verstevigde muren, goedgekeurd hang- en sluitwerk op bereikbare ramen en deuren, het afschermen van glaspartijen en het afschermen van ventilatieopeningen. Voorbeelden hiervan zijn: terreinafscheiding (hekwerken, grachten, barrières, poort); buitengevel (steensmetselwerk, beton, kunststof e.d.); hang- en sluitwerk (SKG-normering); zonescheiding en compartimentering; opbergmiddelen (kluis, kasten e.d.); indringerdetectiesysteem (radar, infrarood, geluid, combinatie); closed circuit TV (CCTV); verlichting (permanent, schrik, dag-nacht); toegangsverleningssysteem (slagboom, tourniquet, kaartlezer, irisscan e.d.) ICT-security maatregelen Voorbeelden van ICT-security maatregelen zijn: backupregeling; virusscanners; encryptie (versleuteling van informatie); stand alone systeem (dus los van internet); firewall(s); ICT-authenticatie en autorisatie (wie ben je en wat mag je op het netwerk); wachtwoordbeheer Mix van security maatregelen Wanneer een bedrijf zich wil beveiligen tegen georganiseerde criminele activiteiten of tegen een terroristische aanslag zal het andersoortige maatregelen treffen dan wanneer het zich wil beschermen tegen een gelegenheidsdader. Het ontwikkelen van scenario s (hoe treedt de opponent op) is daarbij een goed hulpmiddel. Om deze scenario s te kunnen ontwikkelen, kan men omtrent de wijze van optreden van mogelijke opponenten (gelegenheidsdader, semi-professional, professional, terrorist) advies inwinnen bij de lokale politiecontacten. Vervolgens moet per scenario worden aangegeven met welke maatregelen de kwaadwillende wordt afgeschrikt, tegengehouden dan wel gedetecteerd en geïntervenieerd. Hierbij kan ook worden aangegeven in welke mate deze security doelen worden gehaald. Doorgaans zijn de maatregelen uit de security doelen 1,

28 26 2 en 3 (zie paragraaf 4.1) goedkoper en eenvoudiger te realiseren dan de overige security doelen. De mate waarin de hoge security doelen moeten worden nagestreefd is afhankelijk van de effectiviteit van de lagere security doelen. Bijvoorbeeld: als kwaadwillenden uw bedrijf niet weten te vinden of binnen uw bedrijf de kwetsbare installaties niet weten te vinden, hoeft u minder te investeren in het tegenhouden van deze kwaadwillenden. Het Nationaal Adviescentrum Vitale Infrastructuur (NAVI) kan u adviseren over het opstellen van de scenario s, het uitvoeren van een risicoanalyse en het nemen van security maatregelen. Als deelnemer aan het Convenant Olie en (Petro-) Chemische Industrie ontvangt u tevens een aantal standaard scenario s. Deze standaard scenario s kunt u toevoegen aan de scenario s die u voor uw bedrijf opstelt (zie paragraaf 3.4.1). Onderstaande tabel kan als hulpmiddel worden gebruikt. Opponent 1 (scenario 1) Security doel 1 Effectiviteit security maatregelen Security doel 2 Etc. Etc. O-maatregelen - maatregel X - maatregel Y P-maatregelen B-maatregelen E-maatregelen ICT-maatregelen

29 27 5. Security organisatie 5.1 Inleiding security organisatie Tot nu toe zijn stappen genomen en accenten gelegd op security zoals die van dag tot dag van plaats tot plaats bijna vanuit een bepaalde routine georganiseerd wordt. Maar op het moment dat zich een incident anders gezegd: een inbreuk op de veiligheid voordoet, moet ook adequaat worden gereageerd. Daarvoor is het noodzakelijk te weten wie op welk moment waarvoor verantwoordelijk is en welke taken hij of zij moet uitvoeren. Ook de samenwerking met de zogenoemde zwaailichtdiensten is belangrijk. Deze zaken staan beschreven in stap 8 en 9. Afsluitend komen de niveaus van security aan bod. Dit is vooral belangrijk op het moment dat uw bedrijf zich bij het Alerteringssysteem aansluit. 5.2 Stap 8 Beschrijving interne security organisatie Het beschrijven van de taken, verantwoordelijkheden en bevoegdheden binnen het bedrijf op het gebied van security is belangrijk. Deze activiteit schept duidelijkheid op dit terrein en geeft aan hoe security personeel samenwerkt in routinesituaties en in crisissituaties. Afhankelijk van de grootte van het bedrijf kunnen de volgende functionarissen een rol hebben bij de uitvoering van het security management: Een directeur of lid van de Raad van Bestuur, die security in zijn portefeuille heeft. Indien dit niet het geval is, moet deze rol belegd worden. Security manager. In een kleine organisatie is het denkbaar dat deze functie in deeltijd wordt uitgevoerd, bijvoorbeeld de safety- en securitymanager of de security- en facilitymanager. Security - bewakingspersoneel. Dit kan zowel bewakers aan de poort betreffen, als receptiemedewerkers als ook terreinsurveillance, eigen personeel of ingehuurd. Medewerkers. Zij hebben een rol, echter niet als functionaris, maar als medewerker die security beleid moet naleven. De security manager organiseert de security binnen het bedrijf, bereidt het beleid voor, regelt de uitvoering, draagt zorg voor de kwaliteit en coördineert het optreden met de lokale politie, brandweer en de geneeskundige hulpverlening. De geneeskundige hulpverlening bij ongevallen en rampen wordt vaak afgekort als GHOR. De taken, verantwoordelijkheden en bevoegdheden van de functionaris én het personeel van de eventuele security afdeling dienen in een security plan te zijn opgenomen. In een groot bedrijf zijn deze taken vaak over meerdere personen verdeeld en onderdeel van een security afdeling. In kleine bedrijven zijn deze vaak bij één persoon belegd. Te allen tijde is het noodzakelijk om de taken, verantwoordelijkheden en bevoegdheden met betrekking tot security op papier vast te leggen, zodat een ieder weet wat te doen. Regelmatig oefenen van wat er is uitgedacht als reactie (waaronder repressie) op een incident is noodzakelijk om in crisissituaties adequaat te kunnen handelen. Tevens levert het oefenen informatie op hoe deelonderwerpen in het security plan kunnen worden verbeterd. 5.3 Stap 9 Afstemming met hulpdiensten Een incident beperkt zich zelden tot het object zelf. Veelal is het bedrijf bij de beheersing van het incident aangewezen op de assistentie van anderen, zoals de politie, de brandweer en de GHOR. In deze stap moeten met deze zwaailichtdiensten security afspraken gemaakt worden en op papier worden vastgelegd. Vervolgens dienen deze afspraken door daartoe bevoegde functionarissen bij de verschillende partijen te worden bekrachtigd. In essentie komt het erop neer af te spreken wat het bedrijf bij een incident moet doen, wat de politie, brandweer en/of GHOR moet doen, wie op welk moment welke verantwoordelijkheid en/ of bevoegdheid voor wat heeft, wie de voorlichting doet etc. Belangrijk is het om ook deze afspraken in de praktijk in een oefensituatie met de verschillende partners te beoefenen. 5.4 Niveaus van security In het SMS zal in relatie tot moedwillige verstoring dus in dit kader een mogelijke terroristische aanslag en daarop volgend een eventuele opschaling - rekening gehouden worden met vier niveaus van security. Deze niveaus zijn gerelateerd aan de dreigingsniveaus van het

30 28 Alerteringsysteem Terrorismebestrijding (ATb) van de NCTb, te weten: 1. basisniveau; 2. lichte dreiging; 3. matige dreiging; 4. hoge dreiging. Bij elk niveau van dreiging hoort een niveau van security. Het eerste niveau wordt doorgaans het basis security niveau genoemd. Dit betreft de security matrix zoals benoemd in paragraaf De security maatregelen tegen lichte, matige en hoge dreiging zijn aanvullende en steeds oplopende maatregelen bovenop het basisniveau. Het niveau van dreiging wordt door de NCTb afgekondigd via het ATb-systeem. Houd er rekening mee dat de dreigingniveaus lichte en matige dreiging voor langere periode kunnen worden afgekondigd. Dit betekent dat de bijbehorende maatregelen ook een langere periode moeten zijn vol te houden. Bij een hoge dreiging is sprake van een concrete dreiging qua tijd en plaats. De maatregelen zullen dan extreem zijn, zoals bijvoorbeeld afzetting van wegen, ontruiming in het meest extreme geval, sluiting van het bedrijf. Bij alle niveaus is het van wezenlijk belang de lokale afstemming met politie, brandweer, GHOR, particuliere security organisaties, buren (buurbedrijven) goed te regelen en de afspraken in een plan vast te leggen 10. De handreiking Wat kan uw bedrijf ondernemen tegen terrorisme? Handreiking voor bedrijven uitgegeven door de Nationaal Coördinator Terrorismebestrijding is daarbij een bruikbaar en vrij te downloaden hulpmiddel ( Wanneer het bedrijf zich aansluit bij het ATb zal in overleg met personeel van de NCTb een opschalingsmatrix worden opgesteld. Deze matrix geeft per dreigingniveau de security maatregelen en voorzieningen aan die getroffen moeten worden op een bepaalde dreigingniveau. 10 In DHM voor security management spreekt men over Plan Interne Beveiligings Organisatie (IBO) en Plan Externe Beveiligings Organisatie (EBO).

31 29 Bijlage 1: Checklist Wanneer alle hiervoor besproken stappen doorlopen zijn, de plannen zijn gemaakt en de security maatregelen en voorzie ningen zijn ingevoerd, is er sprake van een security management systeem dat aan de in het convenant gestelde eisen voldoet. Voorwaarden Artikel 4 van het Convenant Olie en (Petro-) Chemische Industrie vermeldt de volgende verplichtingen van de deelnemende bedrijven: De bedrijven zorgen dat zij binnen 12 maanden na inwerkingtreding van dit convenant een security managementsysteem hebben ontwikkeld en geïmplementeerd. Het security managementsysteem bevat tenminste de volgende elementen: een vastgesteld security beleid, risico-identificatie en analyse, security maatregelen en voorzieningen en afspraken over de interne en externe security organisatie. De bedrijven onderhouden en verbeteren continu het security managementsysteem. De bedrijven passen de security maatregelen en voorzieningen zo nodig aan als actualisatie van de standaard scenario s, zoals vermeld in artikel 3 heeft plaatsgevonden. De bedrijven voeren tenminste één maal per jaar een interne operationele audit op het security managementsysteem uit. Integraal onderdeel van deze audit is het nagaan of actualisatie heeft plaatsgevonden van de risico s op basis van de standaard scenario s.

32 30 Checklist Stap no. 1 Maken van het security beleidsplan, of afhankelijk van de grootte van het bedrijf een security beleidsintentie. Activiteit Resultaat Opmerking Security beleidsplan / security beleidsintentie. 2 Uitvoeren afhankelijkheidsanalyse. Bedrijfsbelangen/bedrijfswaarden in kaart gebracht. 3 Uitvoeren dreigingsanalyse. Dreigingsbeeld voor het bedrijf op de locatie in beeld gebracht. 4 Uitvoeren kwetsbaarheid analyse. [Dit proces is meer in detail beschreven in punt 3.4. van deze handreiking]. Eigen security in kaart gebracht; daarmee weerstandsvermogen van eigen bedrijf tegen vastgestelde dreiging bekend. 5 Uitvoeren van een risico analyse. Risico s in beeld. Scenario s in beeld. 6 Uitvoeren kosten-baten analyse. Inzicht in wel of niet treffen van bepaalde security maatregelen en voorzieningen; acceptatie van bepaalde (rest)risico s. 7 Het nemen van security maatregelen. Concrete security maatregelen getroffen. 8 Het beschrijven en vorm geven aan de security organisatie (intern). [Dit proces is meer in detail beschreven in punt 5.2. van deze handreiking]. 9 Het afstemmen met hulpdiensten. [Dit proces is meer in detail beschreven in punt 5.3. van deze handreiking]. Actieplan optreden eigen organisatie wanneer zich een incident voordoet. Plan optreden zwaailichtdiensten (politie, brandweer, GHOR) wanneer zich een incident voordoet. Moet zijn vastgesteld door de directie. Gezamenlijke activiteit in de lijn- en staforganisatie. Input van lokale politie, NCTb (internet) mogelijk. Zo genoemde SOLL-situatie met betrekking tot security maatregelen en voorzieningen bekend. Houdt rekening met de security cultuur van het bedrijf. Inzet instrumentarium (in de voorbeelden gegeven normen en waarden eerst naar eigen bedrijf vertalen). Ook oog hebben voor samenwerking met zwaailichtdiensten (politie, brandweer, GHOR).

33 31 Bijlage 2: Voorbeeld van een security intentieverklaring B.V. Olie- en Gasopslag Onderhuizen B.V. Olie- en Gasopslag Onderhuizen (OGO) exploiteert op het bedrijventerrein Halfweg een aantal opslagtanks voor tijdelijke olie- en gasopslag binnen de Randstadregio. Zij beschikt over de daarvoor benodigde vergunningen. De VROM-Inspectie en de gemeente Z. zijn belast met het toezicht op de bedrijfsuitoefening van de B.V. OGO. Het security beleid van B.V. OGO is onderdeel van het totale beleid van het bedrijf. Onderstaande security intentieverklaring is gericht op het nemen van security maatregelen en voorzieningen die tegengaan dat de bedrijfsuitoefening van het bedrijf onbevoegd kan worden beïnvloed. Het doel van deze door de directie afgegeven verklaring is om iedere werknemer op elk niveau duidelijkheid te verschaffen over de doelstellingen met betrekking tot security en om het begrip binnen de gehele organisatie voor reeds genomen en te nemen security maatregelen te bevorderen. Security intentieverklaring 1. De directie van B.V. Olie- en Gasopslag Onderhuizen verplicht zich tot het treffen van maatregelen en voorzieningen die tegen-gaan dat de bedrijfsprocessen, de daarvoor benodigde materialen en apparatuur van de inrichting onbevoegd kunnen worden beïnvloed. De security maatregelen zijn aanvullend op de veiligheidsmaatregelen (safety), dus niet vervangend. Zij beschouwt daarbij de veiligheid (safety én security) van het personeel als haar belangrijkste taak. 2. De zorg voor het op de juiste wijze nemen van deze maatregelen en voorzieningen vormt een integraal onderdeel van het algemene ondernemingsbeleid van OGO. De zorg op het gebied van het beveiligen tegen onbevoegd beïnvloeden is een onderdeel van de kwaliteitszorg. 3. Tot deze zorg behoort het inrichten en in stand houden van een adequaat security managementsysteem, de daarbij behorende plannen, de daarbij behorende security organisatie; het verstrekken van de nodige budgetten en middelen en het treffen van de vereiste organisatorische en personele maatregelen en de vereiste bouwkundige en elektronische security maatregelen (inclusief ICT). 4. De directie heeft dhr. N.N. naast zijn taak als facilitymanager voor 8 uren per week als object-security manager (OSM) aangesteld. Deze heeft tot taak de directie te adviseren over het te voeren security beleid en de daaruit voortvloeiende security maatregelen en voorzieningen, met inbegrip van de handhaving van dit beleid. 5. Gebeurtenissen die (in)direct te maken hebben met de security maatregelen of voorzieningen, of een inbreuk hierop kunnen maken worden direct door tussenkomst van de OSM aan de directie gemeld. 6. De directie draagt er zorg voor dat er binnen het bedrijf ten aanzien van de security maatregelen en voorzieningen een duidelijke toewijzing en delegatie van taken, verantwoordelijkheden en bevoegdheden plaatsvindt. 7. De directie is ervoor verantwoordelijk dat iedereen binnen het bedrijf bekend is met de voor haar/hem geldende relevante security maatregelen en voorzieningen. 8. Als uitvloeisel van deze intentieverklaring verplicht de directie zich tot het opstellen van een security plan waarin naast de interne security ook de externe security van het object geregeld wordt (afspraken met de politie, brandweer en Geneeskundige Hulpverlening bij Ongevallen en Rampen (GHOR) 9. De directie zal zich ten aanzien van het treffen van de vereiste security maatregelen en voorzieningen bij voortduring laten leiden door datgene dat op dit terrein qua ontwikkeling gebruikelijk en noodzakelijk is (state-of-the-art).

34 32

35

36 Dit is een publicatie van: Ministerie van VROM > Rijnstraat 8 > 2515 XP Den Haag > VROM 8225 / JUNI 2008 Ministerie van VROM > staat voor ruimte, milieu, wonen, wijken en integratie. Beleid maken, uitvoeren en handhaven. Nederland is klein. Denk groot.