fysieke beveiliging onder controle Fysieke beveiliging Lean & Agile www.fysiekebeveiliging.nl Thimo Keizer
Fysieke beveiliging Lean & Agile 2016 www.fysiekebeveiliging.nl Thimo Keizer Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand of openbaar gemaakt worden in enige vorm of op enige wijze, hetzij elektronisch, mechanisch of door fotokopieën, opname, of op enige andere manier, zonder voorafgaande schriftelijke toestemming van de auteur. i
Wat betekenen Lean & Agile voor fysieke beveiliging? INHOUDSOPGAVE 1. Wat verstaan wij onder fysieke beveiliging? 2. Wat is Lean? 3. Wat is Agile? 4. Kortom 5. Lean en Agile inzetten voor fysieke beveiliging 6. Hoe ziet het beveiligingsproces eruit? 7. Wat is de uitdaging? 8. Vergeet de Deming-cyclus niet 9. Wat betekenen Lean & Agile voor fysieke beveiliging? Een tweetal buzzwords welke we de afgelopen jaren veel tegenkomen binnen organisaties zijn toch wel Lean en Agile. Maar dergelijke buzzwords hebben geen echte betekenis omdat ze zonder verdere beschrijving niet duidelijk maken wat ze precies inhouden. Kijken we wat Wikipedia over het begrip buzzwords te zeggen heeft dan komen we uit op de volgende kenmerken die een woord geschikt maken om een 'buzzwoord' te worden: Het gaat om een nieuwe uitvinding, methodiek, of trend. Het is niet één specifiek product, zoals "breedbeeld-tv", maar het gaat om iets wat heel breed toepasbaar is, bijvoorbeeld plug and play. Velen verwachten dat het een groot succes wordt. Buzzwoorden kunnen zich voordoen in allerlei vakgebieden, maar de meeste hebben betrekking op: technische producten, zoals computers en mobiele telefoons, managementmethodes. Omdat Lean en Agile hier aan voldoen gaan we in dit Ebook op zoek naar de betekenis en toepassing van de buzzwords Lean en Agile voor fysieke beveiliging. 2
1. Wat verstaan wij onder fysieke beveiliging? Voordat we dieper in de buzzwords duiken moeten we eerst duidelijk maken wat we, in het kader van dit Ebook, verstaan onder fysieke beveiliging. Er zijn natuurlijk vele definities te geven maar voor dit Ebook maken we gebruik van de volgende: Fysieke beveiliging is de juiste mix van organisatorische, bouwkundige én elektronische maatregelen aangevuld met reactie ter preventie, detectie, repressie en correctie van fysieke bedreigingen gericht op mensen, informatie en bezittingen waarmee een bijdrage geleverd wordt aan de continuïteit van de processen van de organisatie. 2. Wat is Lean? Lean manufacturing of lean production, beter bekend als lean, is een managementfilosofie in het vakgebied van operations management die gericht is om maximale waarde voor de klant te realiseren met zo min mogelijk verspilling. Door verspillingen te elimineren gaan de operationele kosten omlaag, wat in het algemeen leidt tot een verbetering van het bedrijfsresultaat. De principes van lean manufacturing zijn afkomstig van de Japanse autofabrikant Toyota, waar men zich via Joseph Juran en William Edwards Deming ging richten op kwaliteitsplanning, - verbetering en -beheersing. Volgens Toyota is hun productiesysteem gebaseerd op het elimineren van drie nadelige gevolgen die in een proces kunnen optreden, namelijk: Muri ("overbelasting"), Muda ("werk zonder toegevoegde waarde") en Mura ("variatie"), waardoor knelpunten / problemen in het proces duidelijk worden. 3. Wat is Agile? Het begrip Agile komt van oorsprong uit de kant van de softwareontwikkeling en het woord betekent letterlijk: behendig, lenig. Agile is de tegenhanger van de zogenaamde waterval-methode die vooral als bureaucratisch, traag en bekrompen wordt ervaren en die de creativiteit en effectiviteit van ontwikkelaars zou belemmeren. Er zijn vele manieren waarop Agile kan worden toegepast. De bekendste daarvan zijn toch wel SCRUM en DevOps. Door het toepassen van Agile proberen organisaties de risico's te verminderen door software te ontwikkelen in korte overzichtelijke perioden (timeboxes), die 'iteraties' genoemd worden. Elke iteratie is als het ware een miniatuurproject op zichzelf, en omvat alle noodzakelijke taken: planning, analyse, ontwerp, testen en documentatie. Het is de bedoeling om na iedere iteratie iets bruikbaars op te leveren. 3
Aan het eind van de iteratie wordt het product getoond, getest en het product en proces beoordeeld. Hierdoor wordt het risico beperkt en weet men snel of men op de goede weg zit. Doordat men het product ziet wordt het allemaal concreter en komen er nieuwe ideeën. Aansluitend wordt er dan naar de prioriteiten gekeken en bepaald wat er de volgende iteratie (release) gedaan wordt. 4. Kortom Mooie begrippen en nog mooiere volzinnen (met dank aan Wikipedia want daaruit zijn de voorgaande twee paragrafen grotendeels overgenomen). Maar als we het kort samenvatten dan komen we op het volgende: Lean: maximale waarde voor de klant realiseren met zo min mogelijk verspilling waarmee de operationele kosten omlaag gaan en wat leidt tot een verbetering van het bedrijfsresultaat Agile: een iteratieve manier van werken waarmee organisaties proberen de risico s te verminderen door na iedere iteratie een werkend product op te leveren Lean heeft met name toegevoegde waarde als de volumes hoog zijn en we zoveel mogelijk gestandaardiseerd willen werken om verspilling te voorkomen door fouten te elimineren. Agile voegt het meest toe als de volumes laag zijn en we flexibiliteit in willen bouwen in het ontwikkelproces. 5. Lean en Agile inzetten voor fysieke beveiliging Allemaal leuk en aardig natuurlijk, maar hoe kunnen we Lean en Agile nu inzetten binnen fysieke beveiliging? Hoewel de mogelijkheden legio zijn willen we eerst nog opmerken dat het vooral middelen zijn en geen doelen. We moeten Lean en Agile dan ook niet als doel inzetten maar als middel om een ander doel te bereiken. 4
Lean kunnen we bijvoorbeeld goed inzetten om risico analyses voor al onze gebouwen uit te voeren. Als we voor veel gebouwen risico analyses uit moeten voeren dan kunnen we de methode van risico analyse standaardiseren om te voorkomen dat iedere analist daar zijn eigen invulling aan geeft. Hiermee voorkomen we fouten in het proces die kunnen leiden tot het onnodig implementeren van maatregelen (die niet nodig zijn). Maatregelen op hun beurt leiden weer tot Muri (overbelasting: teveel maatregelen waardoor het werken bemoeilijkt wordt), Muda (maatregelen die geen risico afdekken en dus geen toegevoegde waarde hebben) en Mura (variatie: gebrek aan eenduidigheid door soms maatregelen wel en voor andere locaties niet te nemen). Kijken we naar Agile dan zouden we de methodes daarvan goed in kunnen zetten om de beleidsontwikkeling op het gebied van fysieke beveiliging vorm te geven. Zo hoeven we niet het totale beleid in een keer op te leveren (de waterval-methode) maar kunnen we na iedere iteratie een hoofdstuk van dat beleid opleveren waarmee de organisatie direct aan de slag kan. 6. Hoe ziet het beveiligingsproces eruit? Koppelen we Lean en Agile aan het fysieke beveiligingsproces dan kunnen we kortweg concluderen dat voor alles wat we voor de organisatie als geheel ontwikkelen de principes van Agile toe kunnen passen. Voor die processtappen die we per gebouw uit moeten voeren kunnen we juist de Lean principes goed toepassen. 7. Wat is de uitdaging? Fysieke beveiliging wordt nu nog vaak niet bekeken in het licht van Lean en Agile. Willen we de aansluiting met de ontwikkelingen binnen de organisatie niet verliezen dan zullen we ons de methodes eigen moeten maken. We hoeven geen Lean of Agile expert te worden (want daar zijn anderen veel beter in en wij zijn expert op het gebied van fysieke beveiliging) maar we moeten wel begrijpen wat beide methodes inhouden en op welke wijze we die in kunnen zetten om fysieke beveiliging op een hoger plan te brengen. 5
8. Vergeet de Deming-cyclus niet Of we nu kiezen voor Lean, Agile of een combinatie van beide, wat we in geen geval mogen vergeten is dat er ook op het gebied van fysieke beveiliging cyclisch gewerkt moet worden. Fysieke beveiliging is niet een eenmalige activiteit maar een proces dat continu verbeterd moet worden en dat onderdeel uitmaakt van kwaliteitsmanagement binnen de organisatie. Dus of het product dat we opleveren nu tot stand is gekomen op basis van Lean of Agile, in alle gevallen passen we de Demingcyclus toe zodat we groeien naar een steeds betere aanpak van fysieke beveiliging waarmee we de onacceptabele risico s steeds beter afdekken en waarbij we de kosten voor de beveiligingsmaatregelen afwegen tegen de baten (van het niet lopen van risico s). 9. Wat betekenen Lean & Agile voor fysieke beveiliging? Zowel Lean als Agile kunnen veel voor organisaties betekenen, ook op het gebied van fysieke beveiliging. Als we de principes omarmen en op de juiste wijze inzetten dan draagt dat bij aan de verankering van fysieke beveiliging binnen de organisatie. Daarbij moeten we vooraf per activiteit bepalen welke principes het meeste toevoegen voor die activiteit. Soms is dat Lean (bij reperterende activiteiten) soms is dat Agile (als we op een iteratieve wijze willen werken). In beide gevallen moeten we duidelijk voor ogen houden dat het middelen zijn en geen doelen op zich en dat in beide gevallen cyclisch gewerkt moet worden door de principes van de Deming-cyclus toe te voegen. 6
Meer informatie Meer informatie? Voor meer informatie over het inzetten van Lean en Agile op het gebied van fysieke beveiliging kijk op: www.fysiekebeveiliging.nl of neem direct contact met ons op via info@fysiekebeveiliging.nl en we vertellen graag meer over de aanpak. vii