Wie keurt jouw vlees? De toegevoegde waarde van een fysieke beveiligingsaudit. Over Thimo Keizer

Transcriptie

1 Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van de gebaande paden en onderzoeken waar de organisatie op een efficiënte en effectieve wijze verbeterd kan worden zonder dat de organisatie daar last van ondervindt. De bedrijfsvoering, de primaire en secundaire processen en de aspecten die voor de continuïteit van de organisatie van belang zijn worden daarbij door mij steeds als uitgangspunt genomen. Op strategisch en tactisch niveau zijn mijn adviezen gebaseerd op de groei in volwassenheid van de organisatie. Mijn ervaring op het gebied van change management, risico management en integrale beveiliging binnen organisaties als het Ministerie van Defensie, de ABN AMRO Bank en KPN Telecom aangevuld met mijn universitaire opleiding Bedrijfswetenschappen en HBO opleiding Marketing Management helpen mij daarbij. Waarom Het is mijn doel om organisaties te helpen om continuïteit te waarborgen door (beveiligings)risico s en kansen zichtbaar en begrijpelijk te maken, zodat de impact op omzet, kosten en imago kan worden beheerst. Hoe Ik ben een strategische en tactische business consultant met een specialisatie in operationeel risicobeheer voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Wat Ik zorg ervoor dat organisaties hun doelen bereiken door Good Governance (goed bestuur) en maturity (volwassenheid) te waarborgen voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Dat doe ik door het ontwikkelen en implementeren van beveiligingsbeleid, door het evalueren en aanpassen van dat beleid en door middel van quick scans en audits van het beleid en de getroffen beveiligingsmaatregelen. Copyright Thimo Keizer, Vlaardingen 2017 Voor meer informatie:

2 Als er wel financial audits, IT audits, operational audits en kwaliteitsaudits worden uitgevoerd. Waarom worden er dan niet (of nauwelijks) goede audits uitgevoerd op het gebied van fysieke beveiliging? Wat mij betreft een interessante vraag want het doel van een audit is het verschaffen van additionele zekerheid. Kijken we naar fysieke beveiliging dan willen we additionele zekerheid of onze aanpak (het proces) en de getroffen beveiligingsmaatregelen in opzet, bestaan en werking wel doelmatig en doeltreffend zijn. We kunnen alleen maar kwalitatief goede fysieke beveiligingsaudits uitvoeren als we de achtergronden van fysieke beveiliging kennen. Voordat we een audit uit kunnen voeren moeten we daarom de volgende vraag beantwoorden: Waarom, waartegen en waarmee beveiligen we eigenlijk? Hieruit kunnen we direct concluderen dat je niet zomaar iets kunt roepen over hoe goed of slecht de beveiliging van een organisatie of specifiek gebouw is. Hoe vaak krijgen beveiligingsspecialisten niet de vraag: zijn we wel goed beveiligd? We kunnen daar geen antwoord op geven als we niet de basis uitgangspunten duidelijk op het vizier hebben. Maar de vraag of het goed is, moet wel beantwoord worden. Daarom ga ik in op hoe additionele zekerheid kan worden gegeven over de mate waarin we goed beveiligd zijn. Maar ik geef ook aan hoe die additionele zekerheid niet kan worden verkregen (mijn persoonlijke mening). 2

3 We doen het er wel even bij Als er al gekeken wordt naar hoe goed de fysieke beveiliging is (want veel organisaties implementeren wel fysieke beveiliging maar evalueren dat niet) dan wordt er binnen de organisatie een medewerker gezocht die zich een oordeel moet vormen over de fysieke beveiliging. Dit kan bijvoorbeeld een medewerker van Facility Management, een Operational Risk Officer, een beleidsmaker of een kwaliteitsmedewerker zijn. Het wordt een taak die een medewerker er wel even bij kan doen. Dat kan best een eerste oplossing zijn maar de vraag is of dit de beste oplossing is. Hoeveel kennis heeft deze medewerker van fysieke beveiliging? En is die kennis dan vooral procesmatig of juist op de beveiligingsmaatregelen gericht? Hoeveel ervaring heeft deze medewerker met het uitvoeren van audits? Hoe is het risico gedrag van de medewerker ten opzichte van het risico gedrag van de organisatie (risico mijdend, risico dragend of risico neutraal)? And last but not least: hoeveel James Bond films heeft deze medewerker gezien? Want dit hangt samen met hoe realistisch de risico s en de maatregelen zijn die worden gerapporteerd. Een aantal vragen waar we over na moeten denken voordat we een interne medewerker belasten met een extra taak welke ook nog eens een specialistische taak is. Het doel van de audit is het krijgen van additionele zekerheid en het is de vraag of dat doel wordt bereikt als we zomaar iemand belasten met deze taak. Waarom beveiligen we eigenlijk? Laten we wat dieper ingaan op de vraag waarom we eigenlijk beveiligen. Eén van de uitgangspunten voor fysieke beveiliging is dat we de aspecten: Personen, Informatie en Materieel moeten beschermen tegen onacceptabele bedreigingen. Deze aspecten zorgen er immers voor dat de primaire en secundaire processen van de organisatie uitgevoerd kunnen worden. Deze primaire en secundaire processen zorgen op hun beurt weer voor de omzet, kosten en het imago van de organisatie. Dit totaal zorgt voor continuïteit van de organisatie en dat is nu net het hoogste doel van iedere organisatie. We moeten dus niet uitgaan van de beveiligingsmaatregelen maar van de risico s voor de processen van de organisatie en dat is al een hele kunst op zich. Willen we weten of een organisatie goed (genoeg) beveiligd is dan kunnen we die vraag alleen maar beantwoorden als we weten waarom we beveiligen. We vragen het een informatiebeveiligingsspecialist Een interne medewerker kunnen we dus niet zomaar vragen om de fysieke beveiliging aan een audit te onderwerpen. Het vergt immers nogal wat kennis en ervaring om een goed oordeel te kunnen geven. Veel organisaties hebben focus op informatiebeveiliging en zijn daarom voorzien van informatiebeveiligingsspecialisten (intern of extern) die verantwoordelijk zijn voor de informatiebeveiliging binnen de organisatie. Door middel van IT-audits wordt de informatiebeveiliging geaudit, dus informatiebeveiligingsspecialisten hebben ervaring met het audit proces. Zo n specialist kan dan toch ook een audit uitvoeren naar de fysieke beveiliging? Dat is immers ook een hoofdstuk van de Code voor Informatiebeveiliging. Probleem opgelost, zou je denken. 3

4 Niets is minder waar. De scope van de Code voor Informatiebeveiliging en daarmee de scope van veel informatiebeveiligingsspecialisten is het beschermen van de informatie van de organisatie. En natuurlijk is informatie binnen een organisatie van groot belang. Maar eerder hebben we al gezien dat we ook de personen en het materieel moeten beschermen om de werking van de primaire en secundaire processen zeker te stellen. Je kunt een slager wel vragen wat het lekkerste brood is, maar dan krijg je al snel zijn persoonlijke mening en de vraag is wat je met die mening kunt. Laten we een specialist op het gebied van informatiebeveiliging de fysieke beveiliging van de organisatie auditen dan lopen we het risico dat we vooral beveiligingsmaatregelen treffen om de informatie te beschermen op basis van informatiebeveiligingsrisico s (virus, hacking, DDoS, inbraak in een datacenter, etc.) en dat de bescherming van personen en materieel onderbelicht blijft. Dit is overigens geen waardeoordeel maar een gevolg van het feit dat ze informatiebeveiligingsspecialist zijn (schoenmaker blijft bij je leest). Je moet zeker IT-audits uit laten voeren waarbij gekeken wordt naar de informatiebeveiligingsrisico s maar het doel van de fysieke beveiligingsaudit is het krijgen van additionele zekerheid over de fysieke beveiliging en het is de vraag of dat doel voldoende wordt bereikt als we een informatiebeveiligingsspecialist vragen om de audit uit te voeren. Waartegen beveiligen we eigenlijk? Laten we wat dieper ingaan op de vraag waartegen we eigenlijk beveiligen. Zodra we weten welke primaire en secundaire processen kritisch zijn en door welke aspecten (personen, informatie, materieel) die mogelijk worden gemaakt moeten we bedenken waartegen we die aspecten willen beschermen. We moeten daarbij kijken hoe realistisch de bedreiging is en hoe groot de kans dat het risico ons treft. Een terroristische aanslag kan best een realistische bedreiging zijn maar de kans dat die aanslag op jouw organisatie is gericht hoeft daarmee nog niet hoog te zijn. Hierbij moeten we ook nog goed kijken naar de oorzaak-gevolg en doel-middel relatie. Een inbraak is een bedreiging (middel) met een ander doel, bijvoorbeeld diefstal. De oorzaak is in dit geval een inbraak maar het gevolg is de diefstal. Bij het treffen van beveiligingsmaatregelen moeten we rekening houden met oorzaak-gevolg en doel-middel. Afhankelijk van de kosten van een maatregel moeten we ons richten op het wegnemen van de oorzaken (inbraak) door bijvoorbeeld inbraakdetectie, compartimentering en alarmopvolging. Lukt het ons niet om de oorzaak weg te nemen dan kunnen we kijken welke maatregelen mogelijk zijn om de gevolgen te beperken (bijvoorbeeld een verzekering om het gestolen goed vergoed te krijgen). Bekende bedreigingen waar we bij fysieke beveiliging zoal naar kijken zijn (zonder volledig te willen zijn) vandalisme, demonstraties, sabotage, diefstal, inbraak/ ongeautoriseerde toegang, bedreiging en agressie, overval, gijzeling, ontvoering, brand(stichting), bom(melding), ram- of plofkraak, infiltratie en spionage, fraude, afpersing en interne criminaliteit. 4

5 We vragen het wel aan onze leverancier Ok, als we het niet aan een interne medewerker of een informatiebeveiligingsspecialist kunnen vragen dan vragen we het toch aan onze leverancier (van inbraakinstallaties of camerasystemen). Zij hebben verstand van fysieke beveiligingsmaatregelen en kunnen adviseren over de maatregelen die getroffen moeten worden om goed beveiligd te zijn, toch? Dat zij verstand van beveiligingsmaatregelen hebben kunnen we zeker niet ontkennen. Maar zij leveren vooral bouwkundige en elektronische beveiligingsmaatregelen. Kijken we naar fysieke beveiliging dan is dat de mix van organisatorische, bouwkundige en elektronische maatregelen (OBE-mix) die we aan moeten vullen met reactie (alarmopvolging). Alleen bouwkundige en elektronische maatregelen leveren niet de juiste mix op. De vraag is daarnaast of de leverancier ook weet wat de risico strategie van de organisatie is. Weten zij waarom we waartegen met wat willen beveiligen? Hebben zij hetzelfde doel voor ogen? Het is tegenwoordig heel modern om leveranciers partners te noemen. Maar gaat dit ook op in een situatie waarbij de kosten voor de één (de klant) de omzet van de ander (leverancier) is. De slechte leveranciers (en die heeft jouw organisatie gelukkig niet) zullen een overkill aan maatregelen voorstellen (= omzet). Als de organisatie over onvoldoende kennis beschikt op het gebied van fysieke beveiliging en een leverancier speelt daar handig op in door vooral vanuit angstperspectief te verkopen dan komt dat de organisatie duur te staan. Maar zelfs de goede leveranciers, die echt willen partneren (en dat zijn gelukkig de meesten), zitten in een lastig pakket. Enerzijds wordt hen gevraagd mee te denken om een zo doelmatig en doeltreffend mogelijke oplossing voor te stellen op basis van een lange termijn relatie terwijl zij anderzijds afgerekend worden op de hoogte van de offerte en ondoordachte KPI s (en daardoor zelfs mogelijk boetes aan de broek krijgen). Je moet zeker je leveranciers betrekken bij het selecteren van de juiste mix aan maatregelen maar niet voordat je zelf functioneel weet wat je wilt (waarom, wat, waarmee). Het doel van de fysieke beveiligingsaudit is het krijgen van additionele zekerheid over de fysieke beveiliging en het is de vraag of dat doel wordt bereikt als we een leverancier vragen welke maatregelen we nodig hebben terwijl we het zelf niet weten. Waarmee? Laten we wat dieper ingaan op de vraag waarmee we eigenlijk beveiligen. Inmiddels weten we welke aspecten (personen, informatie, materieel) we waartegen willen beveiligen. De volgende stap is het bepalen van de juiste mix van organisatorische, bouwkundige en elektronische preventieve, detectieve, repressieve en correctieve maatregelen die aangevuld worden met alarmopvolging (ja, je mag deze zin best nog een keer lezen). Deze mix aan maatregelen zorgt voor de nodige kosten. De kosten moeten we inzichtelijk krijgen omdat we geen briefje van 10 met een kluis van moeten willen beveiligen. Moeten we prioriteiten stellen dan moeten we de meest kritische processen beschermen door de meest kritische personen, informatie en materieel te beveiligen. Hierbij zien we dat bouwkundige en elektronische maatregelen best effectief kunnen zijn (mits ze aangevuld worden met de juiste organisatorische maatregelen en alarmopvolging) maar dat juist deze 5

6 maatregelen ook de hoogste investering vergen. De organisatorische maatregelen zijn daarbij dan juist weer goedkoper maar lastiger omdat het hier kennis, houding en gedrag van de personen die de procedures uitvoeren vergt. Pas op voor onder- en overbeveiliging Na het lezen van bovenstaande ben je wellicht tot de conclusie gekomen dat het kiezen van de juiste mix aan beveiligingsmaatregelen toch niet zo eenvoudig is als het in eerste instantie misschien lijkt. Als het selecteren van de juiste mix aan maatregelen al zo lastig is, hoe lastig is het dan wel niet om additionele zekerheid te krijgen (audit) of de beveiliging doelmatig en doeltreffend is? En wat mij betreft trek je dan ook de juiste conclusies. Het is tijd om de omslag te maken van een vooral op een bonte verzameling fysieke beveiligingsmaatregelen gebaseerde aanpak (een rule based benadering) naar een op realistische bedreigingen gebaseerde aanpak (een risk based benadering). Dit zorgt er niet alleen voor dat de onacceptabele bedreigingen voldoende worden gemitigeerd maar zorgt, zeker op langere termijn, ook voor een manier van beveiligen die op kosten-baten is gebaseerd. Maar gelukkig is fysieke beveiliging nu ook weer niet een exacte wetenschap waardoor we een bandbreedte hebben waarin we keuzes kunnen maken. Keuzes op het gebied van risico s en keuzes op het gebied van maatregelen. Blijven we binnen die bandbreedte dan doen we het goed (genoeg). Waar we vooral voor moeten waken is onder- en overbeveiliging. Onderbeveiliging betekent dat we simpelweg te weinig aan beveiliging doen om de onacceptabele risico s voldoende af te dekken. Het mag dan lekker goedkoop zijn maar levert onherroepelijk risico s op voor de primaire en secundaire processen, de omzet, kosten, het imago en misschien zelfs wel voor de continuïteit van de organisatie. Overbeveiliging betekent juist dat er teveel beveiligingsmaatregelen worden getroffen. Dit is niet alleen erg kostbaar maar levert juist ook risico s op. Enerzijds omdat het voor de medewerkers moeilijk (lees: inefficiënt en ineffectief) wordt de primaire en secundaire processen goed uit te voeren maar anderzijds omdat iedere beveiligingsmaatregel die we treffen op zich ook weer tot nieuwe risico s kan leiden. 6

7 Weer terug naar de vraag Voordat deze tekst wel erg lang wordt (want er is nog zoveel meer te vertellen) keren we terug naar de vraag: zijn we wel goed beveiligd? Die vraag kunnen we alleen beantwoorden door additionele zekerheid te krijgen over de deelvragen: Waarom, waartegen en waarmee beveiligen we eigenlijk? De toegevoegde waarde van een fysieke beveiligingsaudit is het leveren van deze additionele zekerheid. Willen we weten of we goed beveiligd zijn dan zullen we ons in opzet, bestaan en werking een oordeel moeten vormen over hoe doelmatig en doeltreffend zowel het proces is als ook hoe goed de concrete beveiligingsmaatregelen op een locatie getroffen zijn. En dat is bepaald geen sinecure. 7