Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van de gebaande paden en onderzoeken waar de organisatie op een efficiënte en effectieve wijze verbeterd kan worden zonder dat de organisatie daar last van ondervindt. De bedrijfsvoering, de primaire en secundaire processen en de aspecten die voor de continuïteit van de organisatie van belang zijn worden daarbij door mij steeds als uitgangspunt genomen. Op strategisch en tactisch niveau zijn mijn adviezen gebaseerd op de groei in volwassenheid van de organisatie. Mijn ervaring op het gebied van change management, risico management en integrale beveiliging binnen organisaties als het Ministerie van Defensie, de ABN AMRO Bank en KPN Telecom aangevuld met mijn universitaire opleiding Bedrijfswetenschappen en HBO opleiding Marketing Management helpen mij daarbij. Waarom Het is mijn doel om organisaties te helpen om continuïteit te waarborgen door (beveiligings)risico s en kansen zichtbaar en begrijpelijk te maken, zodat de impact op omzet, kosten en imago kan worden beheerst. Hoe Ik ben een strategische en tactische business consultant met een specialisatie in operationeel risicobeheer voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Wat Ik zorg ervoor dat organisaties hun doelen bereiken door Good Governance (goed bestuur) en maturity (volwassenheid) te waarborgen voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Dat doe ik door het ontwikkelen en implementeren van beveiligingsbeleid, door het evalueren en aanpassen van dat beleid en door middel van quick scans en audits van het beleid en de getroffen beveiligingsmaatregelen. Copyright Thimo Keizer, Vlaardingen 2017 Voor meer informatie: www.b-mature.com www.fysiekebeveiliging.nl www.linkedin.com/in/thimokeizer/ 1
Een oud gezegde luidt: voorkomen is beter dan genezen. Toch is het de vraag of dit gezegde ook opgaat voor fysieke beveiliging. Naar mijn mening is dit namelijk niet het geval en gaat het tekort door de bocht om maar zoveel mogelijk risico s uit te willen sluiten (anders had ik er ook niet over geschreven). Waarom dat zo is leg ik hierna uiteraard uit. OBER mag ik de juiste mix van u? Binnen beveiliging spreken we al jaren over de zogenaamde OBE-mix die we inmiddels hebben aangevuld met de R (van Reactie). De beveiligingsmaatregelen moeten daarbij een zo goed mogelijke mix van organisatorische, bouwkundige, elektronische maatregelen zijn waarbij de reactie zorgt voor de nodige en tijdige alarmopvolging. Tot zover niets nieuws onder de zon en een mix die bij iedereen die ook maar iets doet op het gebied van fysieke beveiliging bekend is. De vraag is echter wat een "zo goed mogelijke mix" is. Het gevaar is dat we met deze mix in het achterhoofd beginnen het selecteren van allerlei beveiligingsmaatregelen (sloten, bouten, moeren, camera s, detectoren, procedures, etc.) zonder dat we weten wat de risico s zijn en wat het doel van die beveiligingsmaatregelen nu precies is. Van preventie naar correctie Een andere mix waar we rekening mee moeten houden is die van preventie, detectie, repressie en correctie (laten we dat PDRC noemen en hoewel het ook een Deming-cyclus is moeten we die niet verwarren met de PDCA-cyclus). Deze mix kijkt naar de fase waarin een onacceptabel risico zich voor kan doen en de mate waarin bepaalde beveiligingsmaatregelen daaraan een bijdrage leveren. 2
Preventie: het voorkomen dat een incident zich voordoet. Voorbeelden van maatregelen: muren, deuren, bouten, sloten, moeren. Detectie: het ontdekken dat een incident zich voordoet. Voorbeelden van maatregelen: inbraakinstallatie, camerasysteem, beveiliger op locatie. Repressie: het onderdrukken van het incident op het moment dat het zich voordoet. Voorbeelden van maatregelen: compartimentering, sprinklerinstallaties, business continuity management. Correctie: het herstellen van het incident nadat het zich heeft voorgedaan. Voorbeelden van maatregelen: alarmopvolging door mobiele surveillant, verzekering, disaster recovery. Zou het gezegde waar zijn dan zouden we er alles aan moeten doen om het uitbreken van een incident te voorkomen en zouden alle maatregelen die we treffen gericht moeten zijn op preventie. Dat zou zelfs in een wereld waarin er onbeperkte budgeten waren voor fysieke beveiliging niet het geval zijn. Iedere maatregel die we treffen kost uiteraard geld maar kan het de medewerkers ook moeilijk maken om de primaire en secundaire processen uit te voeren. Daarnaast levert iedere beveiligingsmaatregel op zichzelf ook weer nieuwe risico s op. Fysieke beveiliging is geen primair proces maar een secundair proces dat de primaire en de andere secundaire processen zo goed mogelijk moet ondersteunen en niet andersom. De doelmatigheid en de doeltreffendheid van de primaire en secundaire processen staat voorop. Dat betekent dus ook een zo doelmatig en doeltreffend mogelijk beveiligingsproces. Beveiliging is een lijnverantwoordelijkheid Beveiliging is een lijnverantwoordelijkheid. Ook zo n duidelijke zin die iedereen wel op zijn vizier heeft maar die in de praktijk toch tot de nodige onduidelijkheden leidt. Als beveiliging een lijnverantwoordelijkheid is dan betekent dit dat we altijd de business nodig hebben om te bepalen welke risico s zij als onacceptabel zien. Zij zijn immers verantwoordelijk voor de resultaten van de primaire en secundaire processen die zij uitvoeren. Wij kunnen ze (of sterker nog: wij moeten ze) wel helpen om de risico s inzichtelijk te krijgen maar kunnen de hoogte van dat risico op hun processen niet goed inschatten. Wij zijn dus niet verantwoordelijk voor de onacceptabele risico s (dat is de business ) maar wel voor we mate waarin we beveiligingsadviezen voorstellen (de kwaliteit van ons advies) en de mate waarin de mix van beveiligingsmaatregelen die we voorstellen juist werkt en volledig is waarbij we rekening moeten houden met onderbeveiliging en overbeveiliging. Onderbeveiliging betekent dat we simpelweg te weinig aan beveiliging doen om de onacceptabele risico s voldoende af te dekken. Het mag dan lekker goedkoop zijn maar levert onherroepelijk risico s op voor de primaire en secundaire processen, de omzet, kosten, het imago en misschien zelfs wel voor de continuïteit van de organisatie. 3
Overbeveiliging betekent juist dat er teveel beveiligingsmaatregelen worden getroffen. Dit is niet alleen erg kostbaar maar levert juist ook risico s op. Enerzijds omdat het voor de medewerkers moeilijk (lees: inefficiënt en ineffectief) wordt de primaire en secundaire processen goed uit te voeren maar anderzijds omdat iedere beveiligingsmaatregel die we treffen op zich ook weer tot nieuwe risico s kan leiden. Risico management is ook een lijnverantwoordelijkheid Tot nu toe hebben we ons vooral gericht op beveiliging. Maar in de zin van een oorzaakgevolg-relatie is beveiliging een gevolg en niet een oorzaak (het risico is immers de oorzaak). Om onze toegevoegde waarde zo goed mogelijk waar te kunnen maken moeten we nog een stap terug zetten: Risico management en dan met name de risico strategie. In zijn algemeenheid kunnen we uit gaan van 4 strategieën nadat we een risico hebben vastgesteld: 1. Vermijden (als de kans en de impact hoog zijn) 2. Verminderen (als de kans hoog maar de impact laag is) 3. Overdragen (als de kans laag maar de impact hoog is) 4. Accepteren (als de kans en de impact laag zijn) Niet alleen beveiliging is een lijnverantwoordelijkheid maar ook risico management is een lijnverantwoordelijkheid. Alleen de business kan bepalen welke strategie voor dat risico het best passend is waarbij ze rekening houden met hoe kritisch het proces is voor de organisatie. Daarbij moet de business rekening houden met het risicogedrag van de organisatie als geheel maar juist ook het risicogedrag voor dat specifieke proces (het risicogedrag van een proces kan afwijken van het risicogedrag van de organisatie als geheel): Risicomijdend Risiconeutraal Risicodragend Maar processen zijn containerbegrippen waarop we niet zomaar beveiligingsmaatregelen kunnen treffen. Nee, er is nog een relatie te leggen. Namelijk die van de personen, de informatie en het materieel dat de processen mogelijk maken. Dat zijn de aspecten waarop we beveiligingsmaatregelen van toepassing kunnen verklaren. Er moet dus nog een relatie gelegd worden tussen de processen en de personen, informatie en het materieel dat die processen mogelijk maken. Op basis daarvan kunnen wij een juiste set aan maatregelen voorstellen om de gebouwen waarin die processen zich afspelen, de personen die de processen uitvoeren, de informatie die nodig is voor die processen en het materieel dat aan die processen bijdraagt te kunnen beschermen. Dat beschermen doen we tegen onacceptabele risico s en met de juiste set aan organisatorische, bouwkundige, elektronische maatregelen die we aanvullen met reactie en waarbij we rekening houden met preventie, detectie, repressie en correctie. 4
Waarom, waartegen en waarmee De vragen die we ons moeten stellen is waarom, waartegen en waarmee kunnen we zo optimaal mogelijk beveiligen. Optimaal staat hierbij dus niet voor zoveel mogelijk beveiligingsmaatregelen maar voor een juiste set aan maatregelen die is afgestemd op de kritische waarde van de bedrijfsprocessen. Waarom: we beveiligen om discontinuïteit als gevolg van onacceptabele risico s die van invloed kunnen zijn op de primaire en secundaire bedrijfsprocessen te voorkomen waarbij we rekening houden met de kosten-batenverhouding tussen de gevolgen van het risico, de kritische waarde van de processen en de kosten om dat risico beheersbaar te maken. Waartegen: we kijken naar de realistische bedreigingen en de business bepaald welke risico s onacceptabel zijn door de juiste risico management strategie toe te passen (vermijden, verminderen, overdragen, accepteren) rekening houdend met het risicogedrag (mijdend, neutraal, dragend) zodat wij ons kunnen focussen op de juiste fase van een incident (preventie, detectie, repressie, correctie). Waarmee: met dat in ons achterhoofd stellen we de juiste mix aan organisatorische, bouwkundige, elektronische maatregelen voor die we aanvullen met reactie (alarmopvolging). De strekking van dit verhaal Voorkomen is niet altijd beter dan genezen. Stop met het nemen van beveiligingsmaatregelen (genezen) en start met het beheersen van onacceptabele risico s. Doe dat door te kijken naar hoe kritisch een primair of secundair proces is. Door de relatie te leggen tussen de processen en de personen, informatie en het materieel die nodig zijn om deze processen te kunnen realiseren. Breng op basis daarvan de realistische bedreigingen in kaart waarna de business bepaald hoe acceptabel dat risico is en welke strategie ze bereid zijn om te volgen binnen het risicogedrag dat passend is voor dat proces. Dat is voor ons het vertrek punt om de juiste set aan organisatorische, bouwkundige, elektronische maatregelen aangevuld met reactie (alarmopvolging) voor te kunnen stellen waarbij we kijken naar de mate waarin de maatregelen bijdragen aan preventie, detectie, repressie en correctie. We zijn dus naast inhoudelijk expert op het gebied van fysieke beveiliging ook nog eens procesbegeleider. En hoewel dat niet altijd even gemakkelijk is, is dit wel de toegevoegde waarde die we moeten leveren. 5