ONAFHANKELIJK VAKBLAD VOOR PROFESSIONELE BEVEILIGING
www.securitymanagement.nl
t/ A: EM o r TH p e k s ti an is t r log
Security Management
Security
nummer 6, juni 2011
Olav Beckers (Officier van Justitie Transportcriminaliteit):
‘DOE
ALTIJD AANGIFTE’
Nummer 6, juni 2011
Nationale Cyber Security Strategie: een stap voorwaarts?
Dick Berlijn: ‘Internationale samenwerking vereist’
Compliance: nieuwe uitdaging voor de security manager?
! "
SecurityManagement
®
Onafhankelijk vakblad voor professionele beveiliging Security Management, onafhankelijk vakblad voor professionele beveiliging, is een uitgave van Kluwer BV. Kluwer legt de gegevens van abonnees vast voor de uitvoering van de (abonnements-)overeenkomst. De gegevens kunnen door Kluwer, of zorgvuldig geselecteerde derden, worden gebruikt om u te informeren over relevante producten en diensten. Indien u hier bezwaar tegen heeft, kunt u contact met ons opnemen. Hoofdredacteur Arjen de Kort (adekort@kluwer.nl) Eindredactie Ineke de Graaff Redactieadres Postbus 4 2400 MA Alphen aan den Rijn Telefoon (0172) 46 64 88 Fax (0172) 42 28 04 Uitgever Fréderique Zeemans Marketing Judith Verkerk E-mail: jverkerk@kluwer.nl Advertentieverkoop Liesbeth van den Hoek/Arjen Tuitert Telefoon (0172) 46 64 71 / 46 64 42 E-mail: lvdhoek@kluwer.nl, atuitert@kluwer.nl Abonnementen Vragen over abonnementen kunt u richten aan de Klantenservice, ☎ (0570) 67 33 58, www.kluwer.nl/klantenservice De abonnementsprijs is € 125,- exclusief btw, per jaar. Studenten betalen € 49,- inclusief btw. Prijzen zijn inclusief verzend- en administratiekosten. Losse verkoopprijs € 16,00 per nummer, exclusief btw. Een abonnement kan op elk moment ingaan. Op elk 2e en volgende abonnement krijgt u 25% korting. U ontvangt 10 nummers per jaar. Opzeggen kan schriftelijk tot 3 maanden voor de nieuwe jaargang bij Kluwer bv, Postbus 878, 7400 AW Deventer. Adreswijzigingen (met de oude adresgegevens) doorgeven aan Kluwer bv, afd. Relatiebeheer, Postbus 23, 7400 GA Deventer. Abonnementen in België Wolters Kluwer Belgium (WKB) Motstraat 30, B- 2800 Mechelen Telefoon: 0800-30143 Fax: 0800-17529 E-mail: info@kluwer.be U vindt de algemene voorwaarden van WKB op www.kluwer.be Auteursrecht voorbehouden Niets uit deze uitgave mag zonder voorafgaande schriftelijke toestemming van de uitgever worden openbaar gemaakt of verveelvoudigd. Op iedere inzending van een bijdrage of informatie zijn de Standaardpublicatievoorwaarden van Wolters Kluwer Nederland BV van toepassing, gedeponeerd ter griffie van de arrondissementsrechtbank te Amsterdam, onder nummer 217/1999; een kopie kan kosteloos bij de uitgever worden opgevraagd. Op alle uitgaven van Kluwer zijn de algemene leveringsvoorwaarden van toepassing. Deze kunt u lezen op www.kluwer.nl of opvragen via ☎ (0570) 67 33 58. Partners Axis Communications, EuroPAC Alarmcentrale, G4S Beveiliging bv, Insasco, Securitas, Trigion Opmaak en DTP colorscan bv, Voorhout - www.colorscan.nl Basisvormgeving Verheul Media Supporters, Alphen aan den Rijn Druk: DeltaHage, Den Haag ISSN 1386-0941
www.securitymanagement.nl
2/5
co lum n
De trouwe lezer van deze column weet dat ik als van-huisuit historicus een zwak heb voor historische feiten en data. En volgens mij hebben we er weer een bij: 2 mei 2011. Dit is de officiële datum waarop Osama Bin Laden - de man die met de door hem georkestreerde terreurdaden van ‘9/11’ de security-industrie het afgelopen decennium een enorme boost heeft gegeven - door de Amerikaanse Navy Seals werd gedood. In retrospectief realiseer ik mij dat ik op het moment van zijn verscheiden aan hem heb gedacht. Rond dat tijdstip stond ik mij namelijk op Schiphol in de vertrouwde rij voor de securitycontrole te verbazen (en lichtelijk te ergeren) over hoe het zover heeft kunnen komen dat je als je een weekje naar de zon wilt door een op de entree van een Efteling-attractie gelijkende doolhof wordt geleid, de wachttijd voor de securitycheck langer is dan voor een gemiddelde attractie in dat familiepark, ik mijn flesje water van 20 cent mag inleveren en later een soortgelijk flesje in de taxfreezone voor 3,50 euro mag aanschaffen, en ik middels een doorzichtig plastic zakje aan de beveiligingsmedewerker mijn voorkeur voor een bepaald merk tandpasta mag openbaren. Maatregelen die allemaal het gevolg zijn van de acties van de late Osama en zijn volgelingen. Kort daarna mocht ik deze behandeling nogmaals ondergaan voor een bezoekje aan de Ifsec in Birmingham (UK). Getriggerd door het bericht dat de marechaussee zeer tevreden is over de 1.350 bewakingscamera’s die inmiddels op Schiphol hangen, had ik dit keer de tijd om in de wachtrij te mijmeren over de uitspraak van Sander Flight in de vorige editie van Security Management dat cameratoezicht nauwelijks effectief is. Waarom hangen we onze nationale luchthaven dan toch vol met camera’s? En als die dan toch zo tot tevredenheid stemmen, waarom toveren we Schiphol dan ook nog om tot een verkapte Efteling? Begrijp mij goed, ik ben niet tegen veiligheidscontroles en ook niet tegen het gebruik van camera’s. Immers, er zijn legio voorbeelden van succesvolle cameraprojecten. Neem het in dit nummer aangehaalde Secure Lane: dit project op parkeerplaatsen langs de A2 heeft in een jaar tijd het aantal incidenten van ladingdiefstal daar gereduceerd tot bijna nul. Maar het project staat momenteel wel onder druk als gevolg van problemen rond de financiering. Wordt het daarom niet eens tijd dat we als samenleving een meer realistische kosten-batenanalyse maken als het gaat om securityinvesteringen? Arjen de Kort Hoofdredacteur Security Management, adekort@kluwer.nl Security Management Groep
Security Management nummer 6 juni 2011
3
SecurityManagement Onafhankelijk vakblad voor professionele beveiliging
t hema | transpor t /logistiek
10 ‘Doe altijd aangifte’
De financiële schade als gevolg van transportcriminaliteit liep voor de sector de afgelopen jaren de spuigaten uit. Om deze problematiek centraal aan te pakken, benoemde het College van procureurs-generaal in 2010 Olav Beckers tot Landelijk Coördinerend Officier van Justitie Transportcriminaliteit. Halverwege zijn aanstellingsperiode maakt hij de tussenbalans op. Hij benadrukt de gezamenlijke verantwoordelijkheid die de sector en Justitie hebben als het gaat om preventie en repressie.
26 Nationale Cyber Security Strategie: een stap voorwaarts?
Nederland is nog niet optimaal geoutilleerd om de strijd aan te binden met cybercriminelen. Om daar verandering in te brengen, heeft het ministerie van Veiligheid en Justitie de Nationale Cyber Security Strategie gelanceerd. Ronald Prins (directeur Fox-IT) gaat in op de strategie en op de vraag of het voor onze digitale veiligheid een stap in de goede richting is.
29 Internationale samenwerking vereist
De toenemende afhankelijkheid van internet en ICT maakt de samenleving steeds kwetsbaarder voor misbruik en verstoring. Bovendien vervagen meer en meer de grenzen tussen de traditionele fysieke beveiliging en cyber security. Dick Berlijn geeft aan de hand van de door Deloitte ontwikkelde cyber security roadmap zijn visie op deze ontwikkeling en gaat in op de Nationale Cyber Security Strategie.
4
Security Management nummer 6 juni 2011
®
t hema | transpor t /logistiek
14 ISO 28000: Beveiliging van de logistieke keten
De internationale gemeenschap heeft in de afgelopen jaren niet stilgezeten om de logistieke keten te beveiligen. Zo hebben bijvoorbeeld de activiteiten van ISO inmiddels geleid tot een serie normen. NEN-ISO 28000 biedt een kader voor de invulling van het veiligheidsmanagementsysteem.
17 Meer transporten, minder incidenten
Samsung heeft ambitieuze groeidoelstellingen op de Europese markt. Verstoringen in het distributieproces van de vaak attractieve producten als mobiele telefoons of tablets kunnen daarbij niet worden gebruikt. Security manager Rein de Vries vertelt hoe hij in korte tijd een succesvol securitybeleid voor het traject van ‘fabriek tot eindgebruiker’ heeft gerealiseerd.
21 Continuïteit in logistiek
Informatiesystemen nemen een belangrijke plaats in binnen logistieke processen. Hoe voorkom je dat de logistiek grotendeels of geheel stilvalt? Hoe houd je de ellende in geval van een calamiteit zo beperkt mogelijk? Bedrijfscontinuïteitsmanagement (BCM) moet hierop een adequaat antwoord formuleren.
25 Borging structurele aanpak transportcriminaliteit noodzaak
Gastcolumn van Hélène Minderman, Chair TAPA Taskforce NL en Secretaris Beleid en Deelmarkten TLN.
32 Risico’s bij uitbesteden van manbewaking
En verder 3
colofon
3
column
6
nieuws
43
recherche
45
recht
47
producten
48
contacten en contracten
50
column Colin T.
Veel organisaties maken gebruik van particuliere beveiligingsdiensten. Onduidelijk is echter of bij uitbesteden van dit type dienstverlening de opdrachtgevers een duidelijke afweging maken tussen de beoogde voordelen en de mogelijke risico’s. Jan Winus van Roode heeft hier onderzoek naar gedaan. In dit artikel zijn bevindingen.
36 Compliance: de nieuwe uitdaging voor de security manager?
Nederland kent inmiddels duizenden complianceprofessionals. In hun voortvarendheid lijken zij taken van de security managers over te nemen. Alle Wielenga schetst de ontwikkelingen in de wereld van compliance en geeft antwoord op de vraag of de security manager zich zorgen moet maken.
39 BCM: een zorg voor de omgeving?
Business continuity management (BCM) is niet meer alleen ‘disaster recovery planning’. Wilbert Rodenhuis schetst de ontwikkelingen van BCM in de afgelopen decennia tot wat het nu is: een holistisch managementproces.
Bezoek de Security Management dossiers Op www.securitymanagement.nl staan drie dossiers met informatie – nieuws, achtergrondartikelen, columns – over brandveiligheid, cctv en toegangscontrole. Neem eens een kijkje, alle informatie is gratis toegankelijk!
Coverfoto: Eduard van der Worp
Security Management nummer 6 juni 2011
5
nieuws
Overvalcriminaliteit 20 procent gedaald De overvalcriminaliteit is in de eerste vier maanden van 2011 met 20 procent gedaald ten opzichte van dezelfde periode in 2009. De daling bevestigt dat de verscherpte aanpak van de overvalcriminaliteit werkt. Extra maatregelen moeten ervoor zorgen dat de daling doorzet naar 34 procent minder overvallen. In de eerste vier maanden van 2011 zijn in Nederland 863 overvallen gepleegd, tegen 1.075 overvallen in de eerste vier maanden van 2009. Ten opzichte van 2010 gaat het om een daling van 14 procent in de eerste vier maanden. Door de samenwerking met het bedrijfsleven in de Taskforce Overvalcriminaliteit en de verscherpte aanpak bij politie en justitie is de stijging van het aantal overvallen een halt toegeroepen. Minister Opstelten heeft een aantal maatregelen bekendgemaakt, die ervoor moeten zorgen dat de daling doorzet naar 34 procent ten opzichte van 2009. » Er komt per 1 augustus 2011 een landelijk Officier van Justitie die bij het Openbaar Ministerie de opsporing en vervolging van overvallers gaat versterken. » Alle politieregio’s krijgen vaste overvallenteams. Deze high impact crimeteams zijn al actief in de politieregio’s Haaglanden, Rotterdam
en Midden West-Brabant en zorgen dat het aantal overvallen daalt en laag blijft. » Landelijk wordt het zogeheten drieringenmodel ingevoerd om de pakkans direct na een overval te vergroten. De politie sluit de omgeving van een overval volgens een vast protocol in drie ‘ringen’ af. De eerste ring is de plaats van de overval, waar sporen worden veiliggesteld. In de tweede ring worden vluchtroutes geobserveerd, al dan niet vanuit een helikopter. In de derde ring worden bijvoorbeeld kentekenherkenningssystemen ingezet om daders te traceren. » Het ministerie van Veiligheid en Justitie start samen met de juweliersbranche op een geheime locatie in Nederland een pilot met gpszenders, die verstopt worden in dure sieraden en horloges. Wanneer deze sieraden bij een overval worden buitgemaakt, kan de politie via de gps-zender de overvallers volgen. Verder heeft de minister de regeling ‘Tijdelijke beleidsregels stimulering preventieve maatregelen woning- en bedrijfsovervallen’ met terugwerkende kracht naar 1 januari 2011 met een jaar verlengd. De regeling is zowel bedoeld voor ondernemers als burgers die overvallen zijn. Ze wordt uitgevoerd door het Schadefonds Geweldsmisdrijven.
Securitas wil Niscayah overnemen Securitas heeft een overnamebod uitgebracht op haar voormalige divisie Niscayah. Het Zweedse Securitas heeft hier ZKr 5,8 miljard (645 miljoen euro) in aandelen voor over. De overname is opmerkelijk, omdat Securitas Niscayah nog maar een paar jaar geleden verzelfstandigde. Tussen 2006 en 2008 werden drie divisies door Securitas afgestoten om het bedrijf transparanter te maken en omdat de bedrijven los van elkaar meer waard zouden zijn. Nu zegt Securitas echter dat de inlij-
6
ving van Niscayah gunstig is, omdat zo een kostenbesparing kan worden gerealiseerd. Securitas heeft last van prijsdruk op de markt voor beveiligingsdiensten en hoopt met de overname uitgebreidere diensten met hogere marges te kunnen bieden. Niscayah heeft het bod in beraad genomen. Er is een goede kans dat de transactie doorgaat. Een groep Niscayah-aandeelhouders, goed voor bijna 43 procent aan stemrecht, heeft al steun voor het bod uitgesproken.
Security Management nummer 6 juni 2011
OM wil aanpak misdaad verdubbelen
Politie en justitie willen de komende jaren twee keer zoveel criminele organisaties aanpakken als nu het geval is. ‘De aanpak van misdaadorganisaties moet gerichter en intensiever’, kondigt de baas van het Openbaar Ministerie, Harm Brouwer, aan in het Jaarbericht 2010. ‘Op dit moment wordt door capaciteitsproblemen gemiddeld slechts een vijfde deel van de criminele groeperingen opgespoord en vervolgd die zich bezighouden met drugshandel, witwassen van crimineel geld en mensenhandel’, constateert Brouwer. ‘We gaan met extra inzet ondermijnende criminaliteit als cybercime en misbruik van financiële en handelskanalen aanpakken en het criminele vermogen zo veel mogelijk aanpakken.’ Het zijn forse ambities, meent de topman van het OM. ‘Wij gaan er alles aan doen om die waar te maken, maar dat kan het OM niet alleen. Voorkomen is beter dan genezen. En dat is een zaak waarbij andere overheden, bedrijven en burgers een belangrijke rol spelen’, aldus Brouwer. Hij vindt dat het Openbaar Ministerie zelf ook de samenwerking met de genoemde instanties moet zoeken, onder meer door het vaststellen van gezamenlijke missies.
nieuws
Crisismanagement: orde in de chaos In zijn boek ‘Crisismanagement: orde in de chaos’ beschrijft Hans Slaman vanuit de praktijk hoe crisissituaties binnen organisaties overwonnen kunnen worden. Aan de hand van diverse praktijkvoorbeelden wordt inzicht gegeven in wat er allemaal komt kijken bij het managen van crisissituaties. Thema’s die onder andere aan bod komen, zijn: » de impact van een crisis op mens en organisatie; » hoe om te gaan met de media; » het nut van scenariodenken; » het omgaan met dilemma’s; » het voeren van onderhandelingen; » het sturen en beïnvloeden van het verloop van een crisis; » het managen van ketenpartners zoals autoriteiten, klanten en leveranciers. Slaman is directeur van International Security partners (ISP) en beschikt over meer dan 25 jaar ervaring in het managen van crises op uiteenlopende gebieden, zoals ontvoering, gijzeling, afpersing, (product)chantage en fraude. Hans Slaman, Crisismanagement: orde in de chaos, ISBN 9789024400690, 176 pagina’s, € 22,50, www.boomnelissen.nl
Minder regeldruk met nieuw Bouwbesluit De ministerraad heeft op voorstel van minister Donner (BZK) ingestemd met het concept Bouwbesluit 2012. In het Bouwbesluit 2012 worden verschillende bestaande regels en besluiten samengevoegd. Ook zijn er nieuwe eisen voor brandveiligheid en ventilatie. De samenvoeging resulteert in één nieuw Bouwbesluit met meer samenhang en toegankelijkheid. Tegelijk is het aantal voorschriften verminderd met ruim 30 procent. Het kabinet komt daarmee tegemoet aan de vermindering van de regeldruk. Het Bouwbesluit 2012 stelt eisen aan het (ver)bouwen, het gebruik, de staat en de sloop van gebouwen. Deze eisen waarborgen de minimaal gewenste
kwaliteit en veiligheid. Naast het samengaan van regelgeving zijn er ook nieuwe en aangepaste eisen op onder meer het terrein van brandveiligheid, ventilatie en de verbouwing van leegstaande kantoren. Het concept Bouwbesluit 2012 wordt aan de Tweede en Eerste Kamer voorgelegd en gaat naar verwachting op 1 januari 2012 in.
Misdaad in EU groeit en verandert De georganiseerde misdaad in Europa neemt toe en verandert snel. Dat concludeert de Europese politieorganisatie Europol in een analyse over georganiseerde misdaad. Er ontstaat een nieuw crimineel landschap waarin misdaadorganisaties veel mobieler en flexibeler zijn geworden en in verscheidene gebieden en sectoren opereren. Criminele groepen werken veel meer
samen dan voorheen en zetten hun nationale, etnische en zakelijke verschillen overboord. Die toenemende samenwerking leidt volgens Europol onder meer tot een intensievere ruilhandel, waarin illegale handelswaar, zoals drugs en wapens, worden geruild, in plaats van dat die aan elkaar wordt verkocht. ‘Dat maakt georganiseerde criminele activiteiten minder zichtbaar voor de opsporingsdiensten’, aldus Europol.
Security Management nummer 6 juni 2011
7
nieuws
Beveiligingsincident treft bijna helft werknemers 44 procent van de werknemers heeft het afgelopen jaar te maken gehad met een beveiligingsincident. Dit blijkt uit onderzoek van Securitas naar het veiligheidsgevoel op de werkvloer, gehouden onder ruim 500 respondenten. Ruim vier op de tien werknemers hebben in 2010 te maken gehad met een incident als agressie, inbraak, of bedreiging op het werk. Ruim een kwart van de werknemers in MKB-organisaties vindt het bedrijf waar zij werken kwetsbaar. Bij grotere organisaties (+250 werknemers) is dit zelfs 37 procent.
Werknemers van grote organisaties hebben vaker te maken met incidenten (54 procent) dan werknemers van MKB-organisaties (43 procent). Toch ligt het percentage in beide gevallen erg hoog. Fedor Kwerreveld, commercieel directeur bij Securitas: ‘Werknemers schatten de kwetsbaarheid van organisaties hoog in. Dit is ook niet gek aangezien bijna de helft te maken krijgt met een incident op de werkvloer. Het is van belang dat werkgevers zich bewust zijn van dit gevoel en op belangrijke punten maatregelen nemen om incidenten te voorkomen. Denk hierbij aan clean desk beleid,
controlerondes op openstaande ramen en deuren bij verlaten van het kantoor, preventieve training bij medewerkers zoals “omgaan met agressie”, uitloggen van computers tijdens de lunch en frequent vernieuwen van alarmsysteemcodes.’ Top 5 incidenten 2010: » Agressie: 20 procent » Inbraak met diefstal: 15 procent » Bedreiging: 15 procent » Vandalisme: 13 procent » Misbruik van informatie: 6 procent
Politie overtreedt wet met telecomgegevens De gegevensuitwisseling tussen opsporingsdiensten en telecomaanbieders gebeurt niet volgens weten regelgeving. Dat concludeert het College bescherming persoonsgegevens (CBP) na onderzoek. Zo is volgens de privacywaakhond de beveiliging bij het opvragen van de
telecomgegevens niet op orde. Bovendien zijn er gebreken bij het toekennen van toegang voor de politieambtenaren. Het CBP deed onderzoek bij het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT), het regionale politiekorps Haaglanden en de Dienst Nationale Recherche (DNR) van het
KLPD. De organisatie bestudeerde specifieke gevallen bij het korps Haaglanden en de DNR. Bij Haaglanden kon de politie in vijf van de elf gevallen een informatieverzoek bij een systeem van CIOT niet verantwoorden. Bij DNR betrof het negen van de elf gevallen.
Gewapende beveiliging tegen piraten Beveiligingsbedrijf Schütz & Swart uit Vlaardingen gaat schepen die varen in de Golf van Aden met een gewapende bemanning beschermen tegen piraten. Dat gebeurt onder Britse vlag, omdat de Nederlandse wet bemanning met wapens op schepen niet toestaat.
De redersvereniging dringt er al enige tijd bij het kabinet op aan gewapende particuliere beveiligers aan boord van schepen toe te staan als de inzet van Nederlandse militairen niet
Jeroen Schütz van het beveiligingsbedrijf bouwde zelf een oud vaartuig van de Zweedse marine om tot een patrouilleboot. Die vertrekt naar de wateren waar Somalische piraten regelmatig scheepsbemanningen gijzelen om grote sommen losgeld te ontvangen. De Koninklijke Vereniging van Nederlandse Reders (KVNR) adviseert haar leden niet in zee te gaan met het beveiligingsbedrijf van Schütz, zei een woordvoerder in een reactie. ‘Dit soort wildgroei toont wel de noodzaak aan dat de overheid snel met een wettelijke regeling komt.’
8
Security Management nummer 6 juni 2011
haalbaar is. ‘Het gaat dan om gecertificeerde beveiligingsbedrijven met een geweldsmandaat. Dat moet de overheid regelen’, aldus de woordvoerder.
nieuws
Ladingdieven vooral actief in zuidoosten Ladingdieven zijn vooral actief in het zuidoostelijke deel van Nederland. Volgens het Korps landelijke politiediensten (KLPD) zijn Venlo, Eindhoven en Heerlen ‘hotspots’ voor het stelen van ladingen uit vrachtauto’s. Dat blijkt uit cijfers van het KLPD over 2010. In Rotterdam, Eindhoven en Amsterdam werden vorig jaar de meeste vrachtvoertuigen gestolen, met of zonder lading.
tuig waarmee de lading werd getransporteerd. In 2010 werden 286 vrachtauto’s, aanhangers en opleggers zonder lading gestolen. De politie registreerde 266 pogingen tot diefstal. Ladingdieven snijden vaak de zeilen van een of meer vrachtauto’s of aanhangers door om te zien welke lading in het voertuig aanwezig is. Ze hebben het vooral gemunt op computers, geluids- en beeldapparatuur, elektrische apparaten, voedings- en genotmiddelen, kleding, voertuigonderdelen en cosmetica. Criminelen maken vaak gebruik van gestolen vrachtauto’s om de eveneens gestolen lading te transporteren. Meer dan de helft van de ge-
In 2010 ontving de politie 586 aangiftes van diefstal van lading. In 113 gevallen deed de gedupeerde aangifte van diefstal van lading inclusief het voer-
Camera vergroot veiligheid, regelgeving onvoldoende bekend Beveiligingscamera’s zorgen voor meer veiligheid in het openbaar vervoer en verminderen winkeldiefstal. Daartegenover staat dat het merendeel van zowel beveiligingsspecialisten als eindgebruikers onvoldoende verstand heeft van de regelgeving omtrent cameragebruik.
Trucker kan veilige parkeerplek niet vinden Nederland heeft ongeveer 25 beveiligde parkeerplaatsen voor vrachtwagens, maar veel truckers kunnen die niet vinden. Enkele vervoersorganisaties pleiten dan ook voor betere bewegwijzering. Transport en Logistiek Nederland (TLN), verladersorganisatie EVO en Les Routiers willen dat minister Melanie Schultz van Haegen (Infrastructuur) zo snel mogelijk eerder gemaakte afspraken daarover nakomt en actie onderneemt. Parkeerplaatsen zijn vooral beveiligd om ladingdiefstal tegen te gaan. Jaarlijks wordt voor vele miljoenen aan lading gestolen uit vrachtwagens terwijl de chauffeur ligt te slapen of even weg is van zijn truck. Volgens de vervoersorganisatie zijn zeker 23 van de beveiligde parkeerplaatsen moeilijk te vinden, omdat ze niet goed zijn aangegeven. En is in 2009 al het startschot gegeven voor de aanpak van de bewegwijzering maar is er nog niets gebeurd.
Adverteerdersindex
Foto: Peter Passenier
Dat blijkt uit een onderzoek van Axis Communications onder 600 bezoekers van de Nederlandse beveiligingsbeurs SSA en het Belgische equivalent van deze beurs, de Secura. Een kleine 78 procent van de respondenten geeft aan dat camera’s bijdragen aan een veiliger leefomgeving. Een vergelijkbaar percentage ziet hierbij bovendien geen privacy-issues. Wet- en regelgeving, die het gebruik van camera’s in goede banen moet leiden, is bij een groot deel van de respondenten onbekend. Een derde geeft toe zelf niet op de hoogte te zijn. Meer dan de helft van de Nederlandse respondenten denkt dat zelfs cameraeigenaren de wet- en regelgeving niet kennen. Een kleine 27 procent denkt dat meer dan de helft van de eigenaren wel op de hoogte is. De Belgen schatten dit iets positiever in: 39 procent denkt dat alleen een minderheid op de hoogte is, terwijl 42,5 procent
zegt dat minstens de helft van de eigenaren de regels kent. Bijna twee derde van de respondenten is ervan overtuigd dat camera’s het openbaar vervoer veiliger maken. Ongeveer een kwart is van mening dat camera’s enkel een geruststellende werking hebben op de reizigers. Een kleine 11 procent is bang dat camera’s geen verschil maken in de veiligheid in het OV. Een kwart van de ondervraagden gelooft dat camerabeveiliging in winkels geen effect heeft op de veiligheid, terwijl bijna 75 procent denkt dat diefstal is terug te dringen met behulp van camera’s.
stolen voertuigen werd later leeg teruggevonden.
ARAS Security b.v. 51 Axis Communications bv 2 Crossmedia GmbH outsert Messe Kalkar 24 Nedap NV Security Management 13 Soba Security Opleidingen bv bijsluiter Spyke Security bv 35 Trigion 20
Security Management nummer 6 juni 2011
9
t hema | transpor t /logistiek
Landelijk OvJ Transportcriminaliteit Olav Beckers:
‘Doe altijd aangifte’ De financiële schade als gevolg van transportcriminaliteit liep voor de sector de afgelopen jaren de spuigaten uit. Om deze problematiek centraal aan te pakken, benoemde het College van procureurs-generaal in 2010 Olav Beckers tot Landelijk Coördinerend Officier van Justitie Transportcriminaliteit. Halverwege zijn aanstellingsperiode maakt hij de tussenbalans op. Hij benadrukt de gezamenlijke verantwoordelijkheid die de sector en Justitie hebben als het gaat om preventie en repressie. ARJEN DE KORT
‘I
k was vanuit het Openbaar Ministerie parket Den Bosch de afgelopen jaren aanspreekpunt voor het projectteam Ladingdiefstallen van de Bovenregionale Recherche ZuidNederland en portefeuillehouder internationale rechtshulp. Die combinatie was voor mij aanleiding om op de functie van Landelijk Officier te solliciteren.’ Aan het woord is Olav Beckers, sinds 1 mei van het afgelopen jaar Landelijk Coördinerend Officier van Justitie Transportcriminaliteit.
Ben je in deze functie de belangrijkste man in Nederland als het gaat om de aanpak van transportcriminaliteit? ‘Ik denk dat ik wel een belangrijke schakel ben in de aanpak, maar de belangrijkste man wil ik zeker niet zeggen. Het is de verantwoordelijkheid van verschillende partijen, waarvan het OM er één is. Verder heb je de politie als het gaat om criminaliteitsbestrijding en is er een belangrijke rol voor de sector zelf weggelegd als het gaat om preventie.’ Je hebt een uitgebreide functieomschrijving waarin onder andere staat: aansturen van de opsporing, vervolgen van verdachten, overleg voeren met politie, opsporingsdiensten, bestuurlijke organisaties en brancheorganisaties. Wat is het belangrijkste aspect?
10
‘Het OM is primair verantwoordelijk voor de strafrechtelijke handhaving. Opsporen en vervolgen zijn daarin belangrijke componenten. Dat vind ik mijn belangrijkste taak. Maar aan de andere kant – en dat is de boodschap die ik communiceer en waarover ik veel overleg voer met de branche – is er een gezamenlijke verantwoordelijkheid die we in een programmatische aanpak
ook zelf kunnen oplossen. Maar ik moet zeggen dat de samenwerking tot nu toe heel goed verloopt.’ Je bent nu een jaar in functie. Wat trof je bij je start aan? ‘Ik kon op een rijdende trein stappen. Zo was er bijvoorbeeld bij het landelijk parket al een loket Transportcriminaliteit waar de branche met haar proble-
‘De boodschap is dat we een gezamenlijke verantwoordelijkheid hebben’ moeten uitdragen. De minister heeft ook gezegd dat ik moet opereren als centrale functionaris tussen de vier partijen: OM, politie, verzekeraars en de transportbranche. Ik doe dus meer dan alleen handhaven.’ Is het lastig om ook die rol te vervullen? ‘Het is vooral anders. Anders dan dat je met een politieteam een plan maakt om een zaak op te lossen. En het is breder: je krijgt te maken met andere spelers, die andere belangen hebben. Dat is soms lastig. Enerzijds wordt namelijk van je verwacht dat je als OvJ de criminaliteit bestrijdt en hun probleem oplost, anderzijds moet ik hen vertellen dat ze dat probleem voor een gedeelte
Security Management nummer 6 juni 2011
men bij het OM kon aankloppen. En eind 2009 was het tweede Convenant Aanpak Criminaliteit Transportsector afgesloten, waarbij het OM mede was betrokken. Mijn functie kun je zien als de volgende stap in dat proces.’
» Security Management 2010, nummer 3 besteedde o.a. aandacht aan het Projectteam ladingdiefstallen, Secure Lane en het Waarschuwingsregister Logistieke Sector. » Voor een verslag van het TAPA-congres 2010: zie Seurity Management 2010, nummer 12.
Op het TAPA-congres in november 2010 liet je weten dat de branche een eigen verantwoordelijkheid heeft in de aanpak van transportcriminaliteit en noemde je een aantal pijnpunten. Heb je hier commentaar op gekregen? ‘Ik heb er zeker reacties op gekregen. Maar deze punten - transport onder dekzeilen, vrachtwagens die geladen gereed staan voor transport, en screening van personeel - kwamen natuurlijk niet uit de lucht vallen. Ik was toen een halfjaar in functie en in dat halfjaar was hierover regelmatig overleg geweest met de verschillende partijen. Vanaf mijn aanstelling heb ik ook tegen de branchevertegenwoordigers gezegd dat juist het feit dat zij nu een landelijk officier hebben, betekent dat er ook stappen van hen worden verwacht en er resultaten moeten komen op deze punten.’
Foto: Eduard van der Worp
t hema | transpor t /logistiek
We zijn inmiddels een halfjaar verder. Waar staat de branche nu als het om deze punten gaat? ‘Ik verwacht niet dat als ik in november zeg dat ik het slecht vind dat er hoogwaardige elektronica onder dekzeilen wordt vervoerd, er de volgende dag geen trailers met dekzeilen meer over de snelwegen rijden. Het is natuurlijk een proces. Daarin zijn we inmiddels het zogenaamde barrièremodel aan het uitwerken, waarin we de zwakke plekken in de keten benoemen. Op die plekken waar het voor de crimineel makkelijk is om toe te slaan, moeten we barrières opwerpen. De belangrijkste punten die we hebben benoemd, zijn en blijven wat mij betreft het zeilsnijden, het geladen buiten de poort zetten van vrachtwagens, screening van personeel, en het gebruik van beveiligde parkeerplaatsen. Daarover ben ik nu met de brancheorganisaties in gesprek. Vervolgens is het aan hen om het bij hun achterban te laten landen, zodat er daadwerkelijk iets mee gebeurt.’ Op datzelfde congres zei je dat politie en branche tot betere informatie-uitwisseling moesten komen. Zo pleitte je voor meer aangiftebereidheid van de branche. Maar doen politie en justitie wel voldoende in geval van aangifte? ‘Dat is een terechte vraag. Maar we hebben nu eenmaal te maken met een schaarste aan politie. Binnen die
Landelijk Officier van Justitie Transportcriminaliteit Olav Beckers wil in zijn tweede jaar de vruchten plukken van de publiek-private samenwerking.
Security Management nummer 6 juni 2011
» 11
t hema | transpor t /logistiek
schaarste moet je keuzes maken welke zaken je wel of niet oppakt. Politie en justitie hebben de afgelopen jaren wel degelijk stappen gemaakt. Neem het KLPD dat van ladingdiefstallen een speerpunt heeft gemaakt, of het projectteam ladingdiefstallen dat in ZuidNederland opereert. Maar ik vind de kritiek van de branche op dit punt terecht, want de politieregio’s zelf doen in mijn ogen inderdaad weinig aan de aanpak van transportcriminaliteit. Daarin moet verbetering komen en daarom vraag ik aandacht voor de problematiek bij de Hoofdofficieren en de Korpschefs van die regio’s waar het probleem het meest
gifteproces zo toegankelijk maken dat er daadwerkelijk aangifte kan worden gedaan, bijvoorbeeld door internetaangifte mogelijk te maken.’ Je vertelde de branche dat zij het volgende van het OM mocht verwachten: een snel interventieteam, slimmer opsporen, financieel rechercheren. Wat is de status van deze voornemens? ‘Het snelle interventieteam is 1 januari van dit jaar van start gegaan. Dit team kan meteen inspringen op het moment dat er een ladingdiefstal is gepleegd of ingeval we informatie hebben dat een diefstal op stapel staat.
‘We dweilen niet met de kraan open’ speelt. Verder heeft de Bovenregionale Recherche Zuid-Nederland als taak meegekregen om kennis en expertise uit te dragen en te delen met de politieregio’s.’ Zijn er op dit punt verder nog initiatieven van het OM te verwachten? ‘Ook op landelijk niveau willen we tot een betere informatie-uitwisseling komen, zeker richting de private partijen. Tegelijkertijd zullen de private partijen ons meer informatie moeten leveren. Daartoe zal de aangiftebereidheid moeten verbeteren. Nogmaals, de kritiek op dit punt is terecht, maar men moet zich realiseren dat wij veel meer met een aangifte kunnen dan alleen de zaak oplossen. Want hoe meer aangiftes er worden gedaan, des te inzichtelijker de problematiek wordt. Er ontstaat een beter criminaliteitsbeeld, waardoor wij de politiecapaciteit efficiënter kunnen inzetten.’ Je roept ondernemers dus op om altijd aangifte te doen? ‘Een aangifte zegt niet altijd iets over wie het heeft gedaan, maar vaak wel over de gebruikte werkwijze, of over waar het feit heeft plaatsgevonden. We lossen misschien niet de betreffende zaak op, maar als wij zien dat er wekelijks ergens een incident plaatsvindt, kunnen we wel besluiten om onze inzet specifieker op die plek in te zetten. Natuurlijk realiseer ik mij dat het hierbij van twee kanten moet komen: ondernemers zouden dus altijd aangifte moeten doen, en de politie moet het aan-
12
We kunnen daardoor slagkrachtiger optreden. In de ideale situatie kunnen we ook snel de boef pakken en de lading terughalen, waardoor de schade voor de branche wordt beperkt. Over slimmer opsporen kan ik om tactische redenen inhoudelijk niet meer zeggen dan dat we ermee bezig zijn. Maar het betekent dat je nieuwe opsporingsmethodes probeert te ontwikkelen en slimmer omgaat met je intelligence. Wat betreft het financieel rechercheren heeft de Bovenregionale Recherche begin april een convenant gesloten met de Belastingdienst in Zuid-Nederland, waarin het OM participeert. Het betekent dat we vanaf de start van een onderzoek met elkaar om tafel zitten en informatie delen. Daardoor kunnen we de keuze maken of een zaak zich leent voor een strafrechtelijke en/of een fiscale aanpak. Ik zie het als een pilot om tot intensievere samenwerking te komen tussen Belastingdienst en politie, waarbij we door informatie te delen effectiever kunnen ingrijpen.’ Een succesvol project in de aanpak van transportcriminaliteit is Secure Lane gebleken. Reden om het verder uit te rollen? ‘Secure Lane is succesvol op de plekken waar de camera’s staan. Het aantal incidenten is daardoor gedaald tot bijna nul. Wat dat betreft heeft het zijn waarde bewezen. Zeker als je bedenkt dat een aantal op Secure Lane aangesloten parkeerplaatsen voor die tijd in de top 20 van meest onveilige parkeerplaatsen in
Security Management nummer 6 juni 2011
Nederland stond. Probleem alleen is dat de criminaliteit er niet door is afgenomen, maar zich heeft verplaatst.’ Is dit ook niet symptomatisch voor deze problematiek en is er dus sprake van ‘dweilen met de kraan open’? ‘Laat ik duidelijk zijn: ik sta enorm achter Secure Lane als project. Het is succesvol, zowel repressief als preventief. Maar je kunt niet zeggen dat het dé oplossing is om ladingdiefstal tot nul te reduceren. Dan kom ik terug op mijn programmatische aanpak en het barrièremodel. Een van de punten daarin is veilig parkeren. Maar dat is slechts een klein stukje in de grote puzzel van veiligheid en criminaliteitsbestrijding. Al die verschillende stukjes moeten er uiteindelijk voor zorgen dat de transportcriminaliteit als geheel significant gaat dalen. Ik zou dus niet willen zeggen dat we dweilen met de kraan open.’ Je gaat nu je tweede jaar in. Wat zijn je verwachtingen? ‘In mijn eerste jaar heb ik vooral mijn netwerk opgebouwd. Mensen moeten je leren kennen en je moet vertrouwen krijgen. Ik heb een Plan van Aanpak gemaakt met daarin de punten zoals hiervoor besproken. Daarvoor moet je draagvlak creëren en dat is er inmiddels. In mijn tweede jaar wil ik deze punten realiseren en moeten we de vruchten gaan plukken van de publiek-private samenwerking. Want op alle punten snijdt het mes aan twee kanten. Neem de informatie-uitwisseling tussen publieke en private partijen, die heeft een doel in zowel de repressie als in de preventie. Daardoor leer je immers je zwakke plekken nog beter kennen.’ Wat gaat er na 1 januari 2012 met de functie van Landelijke OvJ gebeuren? ‘Het is te prematuur om daarover nu al een uitspraak te doen. Van tevoren is gezegd dat het een projectfunctie is die loopt tot 1 januari 2012. Er zijn bij mijn aanstelling geen afspraken gemaakt over daling van de criminaliteitscijfers of anderszins waarvan continuering afhankelijk zou zijn. Op die manier is er niets geformuleerd. Maar dat wil niet zeggen dat er al een eindbeslissing over genomen is.’ ‹‹
bewezen betrouwbaarheid
Bedrijfswaarden geven weer waar een bedrijf voor staat en in gelooft. Uitstekende kwaliteit en maximale betrouwbaarheid zijn waarden die wij delen met andere hoogstaande bedrijven. Met Nedap AEOS bent u verzekerd van bewezen betrouwbaarheid.
For more information: Nedap Security Management +31 (0)544 471 111, info@nedap-securitymanagement.com, www.nedap-securitymanagement.com
t hema | transpor t /logistiek
ISO 28000
Beveiliging van de logistieke keten De internationale gemeenschap heeft in de afgelopen jaren niet stilgezeten om de logistieke keten te beveiligen. Zo hebben bijvoorbeeld de activiteiten van ISO inmiddels geleid tot een serie normen. NEN-ISO 28000 biedt hierbij een kader voor de invulling van het veiligheidsmanagementsysteem. ARTHUR CARLEBUR *
H
et grootste deel van de wereld is onverbrekelijk met elkaar verbonden door middel van een groot aantal logistieke ketens, waarmee goederen worden vervoerd tussen en in landen en regio’s. De term ‘logistieke keten’ wordt gebruikt om een compleet proces te beschrijven dat tot resultaat heeft dat goederen van het punt van verzending naar het punt van aflevering worden vervoerd. Het omvat het verplaatsen van de goederen, de vervoersgegevens en de bijbehorende processen. Het wordt meer gekenmerkt door een reeks dynamische relaties dan door enkele vaste verbindingen. Hoewel een onderneming gebruikmaakt van een logistiek bedrijf, een
ders kunnen opdrachten uitbesteden aan andere bedrijven en ook scheepvaartmaatschappijen kunnen om verschillende redenen andere reders inschakelen. Verandering van de route is zeker niet ongebruikelijk. Ondanks al de genoemde en andere veranderingen komen de goederen gewoonlijk wel keurig op tijd aan.
Kwetsbaar De internationale logistieke keten is kwetsbaar voor misbruik. De bestrijding van de handel in drugs die begonnen is in de jaren ’60 en ’70 van de vorige eeuw en tot op de dag van vandaag wordt voortgezet, heeft aangetoond dat de smokkel geheel met de tijd is meege-
Werken volgens ISO 28001 betekent vastleggen in hoeverre elke schakel in de keten onder controle is wegtransporteur en een reder, kan niet worden aangenomen dat alle verzendingen van de onderneming naar een bepaalde locatie via dezelfde route of met gebruik van dezelfde logistieke serviceverleners zullen verlopen. Er kan meer dan één logistieke serviceverlener worden ingezet. Wegvervoer-
14
gaan in het gebruik van nieuwe transporttechnieken en -processen. Verschillende douaneautoriteiten hebben met de diepzeereders samengewerkt in de ontwikkeling van programma’s die smokkel moesten verminderen. Deze programma’s hebben de zwakke plekken in de logistieke keten getoond,
Security Management nummer 6 juni 2011
waarvan drugshandelaren gebruik kunnen maken. Deze zwakke plekken bestaan in de meeste gevallen nog steeds en kunnen ook worden gebruikt door organisaties met andere wellicht nog dubieuzere doelstellingen. Diefstal van lading is in vele delen van de wereld een groot probleem. Vervalsing van documenten laat introductie van goederen op de grijze/zwarte markt toe of maakt diefstal mogelijk. In sommige ontwikkelingslanden is het aandeel van de ‘informele economie’ ruim 40 procent van het BNP. Dit aandeel zakt naar 18 procent of minder in landen met een goed beheerde economie. Vervalsing van gegevens geeft de eigenaar van de goederen de mogelijkheid om belastingen te ontduiken, goederen te importeren die niet zijn toegelaten in het desbetreffende land en onderzoek door de douane te vermijden. Vaak is er een bepaalde mate van maatschappelijke acceptatie voor het ontlopen van regels en controles vooral bij goederen die relatief zwaar worden belast zoals tabakswaren, drank en luxe goederen. Deze voorbeelden tonen aan dat methoden om regelgeving te ontlopen veelvuldig voorkomen voor zowel de individuen die enkele euro’s willen besparen als voor degenen die zware misdaden (willen) plegen. Terroristen ma-
t hema | transpor t /logistiek
ken gebruik van smokkelnetwerken om beveiligingsmaatregelen te ontlopen.
Maatregelen De internationale gemeenschap heeft in de afgelopen jaren gelukkig niet stilgezeten om de bedreiging van de wereldhandel het hoofd te bieden. De International Maritime Organization (IMO) heeft de International Ship and Port Facility Security (ISPS) Code gepubliceerd ter verbetering van de beveiliging van schepen en havenfaciliteiten. De World Customs Organization (WCO) heeft regels goedgekeurd die de samenwerking tussen douaneorganisaties moeten verbeteren en het beveiligingsniveau in de industrie moeten
verhogen door de invoering van procedures. Naast deze internationale initiatieven hebben enkele landen nog nationale initiatieven ontplooid die voor de internationale handel van belang zijn. Dit heeft al geleid tot verbeteringen. Minder bekend dan de overheidsmaatregelen zijn de inspanningen die het bedrijfsleven zich heeft getroost om de beveiliging van de logistieke keten te verbeteren. Bij de beveiliging van de keten zijn vele instellingen betrokken zoals producenten van goederen, bedrijven in logistiek management, wegvervoerders, spoorwegen, luchtvaartmaatschappijen, overslagbedrijven, reders, lading en douaneagenten, financiële
diensten en afnemers van de goederen. Deze partijen hebben elk specifieke doelen en wensen die eventueel kunnen conflicteren met die van andere partijen in de logistieke keten. Er bestaat dus behoefte aan een afstemming.
Internationale beveiliging Met betrekking tot de beveiliging van de logistieke keten kunnen de partijen die daarbij betrokken zijn in hoofdlijnen in drie groepen worden verdeeld. Dit zijn de overheden, de eigenaren van de goederen en de logistieke dienstverleners. De (toekomstige) eigenaar van de goederen stelt de voorwaarden vast waar-
Document,
Titel
NEN-ISO 20858
Scheepsbouw en maritieme techniek - Beoordeling van de beveiliging van maritieme haveninstallaties
NEN-ISO 28000
Specificatie voor veiligheidsmanagementsystemen voor de logistieke keten
NEN-ISO 28001
Veiligheidsmanagementsystemen voor de logistieke keten - Effectieve maatregelen - Ter beveiliging van de logistieke keten, beoordeling en plannen - Eisen en richtlijnen
ISO/PAS 28002
Veiligheidsmanagementsystemen voor de logistieke keten - Ontwikkeling van herstellingsvermogen in de toeleveringsketen - Eisen van richtlijnen voor gebruik
NEN-ISO 28003
Veiligheidsmanagementsystemen voor de logistieke keten - Eisen voor instellingen van audits en certificatie van veiligheidsmanagementsystemen van de logistieke keten
NEN-ISO 28004
Veiligheidsmanagementsystemen voor de logistieke keten - Richtlijnen voor de implementatie van ISO 28000
NEN-ISO 28005-2
Veiligheidsbeheersystemen voor de toeleveringsketen - Electronic port clearance (EPC) - Deel 2: Kerngegevens elementen
Security Management nummer 6 juni 2011
» 15
t hema | transpor t /logistiek
aan de dienstverleners moeten voldoen. Deze partij heeft uiteraard belang bij optimale transportcondities in combinatie met lage kosten. Onregelmatigheden in de levertijden en vermindering van de kwaliteit van de goederen dienen te worden vermeden.
niek - Beoordeling van de beveiliging van maritieme haveninstallaties en ontwikkeling beveiligingsplan te publiceren. De activiteiten van ISO hebben inmiddels geleid tot de serie normen genoemd in de tabel op pagina 15.
De dienstverleners kunnen grote internationaal opererende ondernemingen zijn. De dienstverleners worden geregeld geconfronteerd met eisen van de klant die tot hogere kosten gaan leiden, terwijl deze extra kosten niet (volledig) in het tarief kunnen worden doorberekend.
NEN-ISO 28000 biedt hierbij een kader voor de invulling van het veiligheidsmanagementsysteem. Een mogelijke invulling van dit kader is gegeven in NEN-ISO 28001 dat de industrie ondersteuning biedt bij het voldoen aan de eisen van de WCO. De douaneautoriteiten kunnen ISO 28001 gebruiken om vast te stellen aan wie een AEO-status (Authorized Economic Operator) toegekend kan worden. ISO 28001 biedt de mogelijkheid tot audits door een derde onafhankelijke partij. Wanneer hiervan gebruik is gemaakt, kunnen douaneautoriteiten volstaan met een controle daarop in plaats van een volledige beoordeling van het beveiligingsniveau.
De eigenaren van de goederen en de dienstverleners delen de zorgen over eisen van de overheden die een belemmering in de handel kunnen opwerpen.
Snelle realisatie ISO-documenten ISO is bekend vanwege de gepubliceerde normen die door de belanghebbenden in onderling overleg zijn opgesteld. Dit proces dat door ISO wordt begeleid, verloopt via nationale normalisatie-instituten zoals NEN. Deze instituten benoemen de experts in de werkgroepen en bepalen de stem en het commentaar dat op normontwerpen wordt ingediend. Bij verschillende normen is de ontwikkelingstijd behoorlijk lang geweest. Er zijn echter mogelijkheden om snel tot een resultaat te komen. Nadat de ISPS Code door IMO was aangenomen, bleek er behoefte te bestaan aan een uniforme en toepasbare interpretatie van de Code. In deze behoefte is voorzien door de ISO/PAS 20858 Scheepsbouw en maritieme tech-
ISO 28000
Bij de ontwikkeling van ISO 28001 is de eerste insteek geweest dat de norm een aanvulling diende te zijn op het door de WCO opgestelde kader. ISO 28001 geeft aan hoe de industrie op een praktische wijze denkt invulling te kunnen geven aan eisen die door de WCO worden gesteld. Bij de ontwikkelaars was duidelijk dat de logistieke keten een grote dynamiek kent en dat daarom gekozen moest worden voor een beheer van het proces.
Beveiligde keten Bedrijven die een logistieke keten beheren, zullen elke schakel in de keten moeten beoordelen op hun beveiliging. Door het opleggen van eisen daarom-
Samenvatting » De term ‘logistieke keten’ wordt gebruikt om een compleet proces te beschrijven dat tot resultaat heeft dat goederen van het punt van verzending naar het punt van aflevering worden vervoerd. » De internationale logistieke keten is kwetsbaar voor misbruik. Zo is diefstal van lading in vele delen van de wereld een groot probleem. » Zowel overheden als het bedrijfsleven hebben zich de afgelopen jaren inspanningen getroost om de beveiliging van de logistieke keten te verbeteren. » Zo hebben de activiteiten van ISO geleid tot een serie normen, waarbij NEN-ISO 28000 een kader biedt voor de invulling van het veiligheidsmanagementsysteem.
16
Security Management nummer 6 juni 2011
trent aan de partners in de keten of extra maatregelen bij de ontvangst van goederen van partners die nog niet voldoen aan de eisen, kan de beveiliging van de logistieke keten toch op een voldoende hoog niveau komen. Organisaties die werken volgens ISO 28001, moeten vastleggen in hoeverre zij elke schakel in de keten onder controle hebben. Hierdoor wordt het mogelijk voor logistieke managers om uitgebreide netwerken op te zetten van beveiligde ketens. Deze informatie is weer van belang bij het toekennen van de AEO-status. ISO 28001 houdt ook rekening met werk dat is uitgevoerd in het kader van andere beveiligingsinitiatieven zoals ISPS en nationale programma’s. De norm stelt geen specifieke eisen met betrekking tot de te gebruiken technische middelen. Het wordt aan de gebruiker van de norm overgelaten hoe de vastgestelde kwetsbaarheden worden aangepakt. ISO 28001 is gebaseerd op de principes van risicoanalyse en eist een ontwikkeling en invoering van een proces dat: » zwakke plekken in de beveiliging vaststelt; » een proces van verbetering en tegenmaatregelen ontwikkelt; » een beveiligingsplan ontwikkelt; » het effect van de beveiligingsprocessen evalueert. Alhoewel er geen exact proces is voorgeschreven, kan ondersteuning worden gevonden bij de opzet van beveiligingsprogramma’s in de andere normen uit de 28000-serie.
Meer informatie Wilt u meer weten, heeft u suggesties of wilt u lid worden van de Nederlandse normcommissie Maatschappelijke Veiligheid, neem dan contact op met het aanspreekpunt Maatschappelijke Veiligheid: Marcel Spit, telefoon 0152690107 of stuur een e-mail naar chemistry@nen.nl. ‹‹ * ir. Arthur F.C. Carlebur is senior consultant bij NEN Machinebouw & Transport te Delft
t hema | transpor t /logistiek
Rein de Vries (Samsung): succesvol securitybeleid
Meer transporten, minder incidenten Het Koreaanse Samsung heeft ambitieuze groeidoelstellingen op de Europese markt. Verstoringen in het distributieproces van de vaak attractieve producten als mobiele telefoons of tablets kunnen daarbij niet worden gebruikt. In dit portret vertelt security manager Rein de Vries hoe hij in korte tijd een succesvol securitybeleid voor het gehele traject van ‘fabriek tot eindgebruiker’ heeft gerealiseerd. ARJEN DE KORT
N
a een carrière als politieman en een commerciële functie in de securitytechniek, maakte Rein de Vries in 2005 de overstap naar de logistieke sector. ‘Ik was er achter gekomen dat dit vak veel mooier is dan het aan de buitenkant lijkt. Je hebt het namelijk niet alleen over techniek, maar ook over oplossingen. Daarom wilde ik de organisatorische kant op. Die kans kreeg ik bij DHL, waar ik als security manager verantwoordelijk werd voor de warehousing.’ In die hoedanigheid voerde hij regelmatig overleg met een van zijn belangrijke klanten, de logistieke directie van Samsung. Toen die het in 2007 tijd vond om het toenemende aantal transportdiefstallen en het navenant stijgende schadebedrag daadkrachtig aan te
pakken, werd De Vries benaderd voor de functie van security manager Europe Samsung Electronics. Tot op de dag van vandaag is hij blij op dit aanbod te zijn ingegaan. Het betrof namelijk een nieuwe functie, waarin hij zijn ervaring en ideeën volop kwijt kon en kan.
Gehele supply chain De security manager Europe is verantwoordelijk voor de beveiliging van de gehele supply chain, waartoe zowel het transport als de distributiecentra, en zelfs de fabrieken gedeeltelijk behoren. ‘Met het laden van de vrachtwagens bij de fabrieken begint namelijk al de supply chain, en dus ook mijn verantwoordelijkheid.’ Hoe die verantwoordelijkheid verder in het traject van ‘fabriek tot eindgebrui-
Kerngegevens Bedrijf Portfolio Ambitie
Afdeling Aantal locaties
: Samsung. : consumentenelektronica, o.a. mobiele telefoons, tablets, tv’s, witgoedproducten. : tot 2020 groeien van 25 naar 100 miljard dollar sales in Europa door meer omzet op bestaande productportfolio, en door ontwikkeling van nieuwe productgroepen. : Security Management Europe; 1 security manager, 1 assistent security manager, 1 security officer. : 20 (fabrieken en distributiecentra).
ker’ loopt, wordt duidelijk als De Vries schetst hoe de interne processen zijn ingericht. ‘Ik werk bij de logistieke divisie, Samsung Electronics Europe Logistics. Die koopt de producten van onze eigen fabrieken en levert ze af bij onze verkoopeenheden in de verschillende Europese landen, die ze vervolgens verkopen aan de elektronicahandel. In deze keten zijn wij als Logistics dus eigenaar van de goederen. Dat betekent dat wij ze vervoeren, verzekeren, de contracten met de transporteurs opstellen, enzovoort.’
Beleid In de jaren daarvoor was de verantwoordelijkheid vooral bij de ingehuurde transporteurs belegd, waardoor er bij Samsung zelf weinig securitykennis was en er feitelijk geen serieus securitybeleid was geformuleerd. Daardoor kon De Vries dit vanaf zijn start helemaal zelf vorm geven. Hij begon met een risico-inventarisatie en keek naar de schadetrends. Daaruit bleek dat transportcriminaliteit het merendeel van de incidenten opleverde en dus het grootste risico was. ‘De vrachtwagens zijn onderweg of op parkeerplaatsen een relatief eenvoudige prooi voor criminelen. Bovendien werken onze producten zoals mobiele telefoons, tablets en tv’s als een
Security Management nummer 6 juni 2011
17
»
t hema | transpor t /logistiek
Rein de Vries CPO is zowel optimistisch als realistisch, als het gaat om de logistieke sector en over transportcriminaliteit: ‘Ik denk dat het wel goed komt, maar ik probeer vooral aan te geven hoe moeilijk de problematiek in elkaar steekt.’ magneet op die criminelen’, stelt De Vries nuchter vast. Na de risico-inventarisatie kwamen de formulieren, de analyses, de auditprogramma’s, en ten slotte een securityhandboek. ‘Daarin heb ik het complete beleid beschreven en zijn alle transport security requirements verwoord. Dit heb ik met mijn direct leidinggevende, de president van Samsung Europe, bespro-
een situatie is gecreëerd die we onder controle hebben.’ Beveiligen van het transport is echter iets totaal anders en een stuk lastiger, zo blijkt uit zijn relaas. Dat begint al met het feit dat een vrachtwagen in beweging is, dat het vervoer om economische en logistieke redenen vaak in zeildoektrailers gebeurt, en waarbij het bovendien een onzekere factor is als de
‘Er wordt geen beslissing genomen zonder security’ ken. Op basis hiervan hebben we vastgesteld waar we naartoe willen – de directie heeft zelfs een ambitie van nul incidenten – en hoe we dat gaan doen.’
Implementatie Vervolgens startte de implementatie van het beleid. Daarin maakt De Vries onderscheid tussen de beveiliging van de distributiecentra en van de transporten. ‘Een warehouse is een vast object, waarbij sprake is van een concentratie van waarde. Daarop hebben we het uienprincipe met verschillende beveiligingsschillen toegepast, waarmee
18
chauffeur een belangrijke rol speelt. Om hierop grip te krijgen zijn er talloze maatregelen te nemen, waarvan De Vries er inmiddels al veel heeft doorgevoerd. Zo heeft hij verplicht gesteld dat alle voertuigen die voor Samsung rijden van gps zijn voorzien. ‘Tracking & tracing is voor ons heel belangrijk. Dan weet de chauffeur dat we hem kunnen volgen. Geschat wordt dat in bijna 80 procent van de grote incidenten de chauffeurs een rol spelen. Nogmaals, het betreft een schatting, bewijzen is moeilijker.’ Tevens wordt er tegenwoordig, afhan-
Security Management nummer 6 juni 2011
kelijk van de waarde van de te vervoeren lading, een keuze gemaakt tussen vervoer onder zeildoek, met gesloten trailers, met beveiligde trailers, of trailers met een gewapend escorte. En ten slotte vindt er een strenge identiteitscontrole van de chauffeur plaats.
Chauffeur Die chauffeur speelt in de aanpak van De Vries een centrale en cruciale rol. Hij legt uit waarom: ‘Je moet je bedenken dat een lading vaak bestaat uit attractieve goederen, met soms een waarde van enkele miljoenen euro’s. Die wagens worden gereden door een chauffeur die misschien per maand een bedrag verdient dat gelijkstaat aan de waarde van één item uit die lading. Vandaar dat wij zo focussen op die persoonlijke factor van de chauffeur, want deze man heeft een enorme invloed op de transportsecurity.’ Dat die chauffeur desalniettemin de verantwoordelijkheid is van het door Samsung gecontracteerde transportbedrijf, is voor De Vries geen probleem. ‘Zo’n forwarder sluit met ons het contract af en moet zijn controleprocessen op orde hebben zoals die door mij daarin worden voorgeschreven. Feitelijk be-
t hema | transpor t /logistiek
paal ik dus hoe hij met zijn wagens of met zijn subcontractors moet omgaan en hoe hij bijvoorbeeld zijn chauffeurs moet screenen.’ Samsung is ook nauw betrokken bij de uitrol van het nieuwe DIDb databasesysteem, waarbij de chauffeurs onafhankelijk van de forwarders worden gescreend en geregistreerd. ‘Al onze locaties zijn met check terminals met elkaar verbonden, zodat onmiddellijk kan worden ingegrepen als een chauffeur zijn “witte status” heeft verloren’, licht De Vries de werking van de database toe. ‘Het is tevens tot onderdeel van onze requirements gemaakt. Overigens willen wij daarmee absoluut niet zeggen of de chauffeur crimineel is of niet, maar we laden gewoon niet!’
Succes Dat het door De Vries in de afgelopen vier jaar ontwikkelde en geïmplementeerde beleid succesvol is, kan aan de hand van een aantal cijfers worden geillustreerd. Zo is in deze periode het aantal transporten gestegen van 15.000 naar 60.000 per jaar, maar daalde het aantal incidenten en is de loss ratio teruggebracht van 0,20 naar 0,02 procent van de verkoopwaarde van de producten. Maar wellicht illustreert de volgende uitspraak van De Vries dit succes nog wel beter: ‘Vier jaar geleden werd er door de directie niet stilgestaan bij security. Op dit moment wordt er geen beslissing genomen zonder dat security wordt geraadpleegd.’
Budget Met het toegenomen belang én het bewezen succes van security lijkt zijn antwoord op de vraag naar het beschikbare budget daarmee in schril contrast te staan. De Vries geeft namelijk te kennen niet echt een securitybudget te hebben. ‘We hebben het zo georganiseerd dat het benodigde budget uit verschillende potjes komt.’ Die potjes blijken met name te vinden in het logistieke budget dat tijdens het jaarlijkse tendertraject van uitbesteding van de transportcontracten wordt aangesproken. Daarin zijn de security requirements verwerkt waaraan de transporteurs moeten voldoen, willen ze in aanmerking komen voor een contract. En als de transporteur moet investeren om aan die eisen te voldoen, is Sam-
sung bereid de extra kosten uit het logistieke budget te betalen. Met de opmerking dat hierdoor de securitykosten voor Samsung waarschijnlijk minimaal zijn, is De Vries het niet eens. ‘Ik spreek liever over optimaal. Kijk, wij moeten optimaal werken, willen we de beste producten tegen de scherpste prijzen in de markt zetten. De marges daarbij zijn krap, dus dat komt tevens terug in de kosten voor het transport. Ook ik probeer daarom met
alleen maar toenemen, omdat er de komende jaren steeds meer in Oost-Europa zal worden geproduceerd. Niet alleen door Samsung, ook door andere bedrijven. En al die goederen zullen vervoerd moeten worden.’ Volgens De Vries roept dit om internationale afspraken. Zo zou hij heel graag een Europees plan willen zien over veilige routes, beveiligde parkeerplaatsen, chauffeursscreening, informatie-uitwisseling over hotspots en incidenten,
‘Transportcriminaliteit stopt niet bij de grens’ minimale middelen er het maximale uit te halen. Het moeilijke daarbij is dat ik mijn security-eisen bij de transporteur geïmplementeerd moet krijgen, want ik ben uiteindelijk wel verantwoordelijk. Dat betekent dat ik met mijn auditprogramma telkens moet controleren of bijvoorbeeld de voorgeschreven gps wel in de vrachtwagen zit.’
Europa-breed De Vries is niet alleen binnen Samsung een gedreven security manager, ook daarbuiten toont hij zich betrokken bij de aanpak van transportcriminaliteit. Zo is hij actief binnen TAPA en was hij een van de oprichters van European Logistics Security Managers Against Crime (Elsmac). Zijn drive is om de problematiek niet alleen in Nederland, maar Europa-breed op de agenda te krijgen en te houden, want zoals hij opmerkt: ‘Transportcriminaliteit stopt niet bij de grens.’ Over de stappen die er de afgelopen jaren in Nederland op dit terrein zijn gezet, toont hij zich tevreden. Het Convenant aanpak criminaliteit transportsector en de landelijk coördinerend Officier van Justitie zijn wat hem betreft mooie voorbeelden die aantonen dat de problematiek hier serieus wordt genomen. ‘Ik zou willen dat dergelijke initiatieven ook op Europees niveau opgepakt zouden worden.’
Internationale afspraken Er moet wat dat betreft wel iets gebeuren, omdat in zijn optiek de transportcriminaliteit de komende jaren sterk zal groeien in Europa. ‘Transport zal
enzovoort. Een belangrijke rol ziet hij daarbij weggelegd voor TAPA. ‘We hadden onlangs een TAPA-congres in Genève met een meer politiek karakter. Daar zijn op dit vlak een aantal stappen gezet. Maar ik realiseer mij dat dit een traject van langere adem is.’ Op de opmerking dat hij wat somber klinkt, reageert De Vries realistisch: ‘Ik kan stoer praten over mijn beleid en dat het goed in elkaar steekt, maar ik denk dat we als sector tot nu toe ook nog wel veel geluk hebben gehad. Als de criminele bendes zich serieus op ons gaan focussen, dan hebben we een nog groter probleem.’ Op de vraag of het nog wel goed komt met de logistieke sector, klinkt wel enig optimisme door: ‘Ik denk dat het op zich wel goed komt, maar ik probeer vooral aan te geven hoe moeilijk de problematiek in elkaar steekt.’
Vertrouwen Datzelfde realisme en optimisme klinken door als De Vries vertelt over zijn rol in de door Samsung uitgestippelde strategie richting 2020. ‘Allereerst wil ik de komende jaren het beleid dat ik heb opgezet continueren. Dat blijkt goed te werken. De volgende stap is de beveiliging organiseren voor de nieuwe productgroepen die Samsung gaat ontwikkelen, zoals farma, ledverlichting en medische producten. Dat betekent nog meer locaties, nog meer transportbewegingen, met nog hogere waarden per transport. Het wordt een zware klus, maar ik heb er vertrouwen in want we zijn op tijd begonnen met een goed securitybeleid.’ ‹‹
Security Management nummer 6 juni 2011
19
Hier worden de juiste beveiligingsmaatregelen getroffen Beveiligingsmaatregelen? Waar dan? Iedereen die wil kan de inhoud van deze container toch zo meenemen? Dat klopt. In zekere zin. Maar deze container is leeg. En een container zonder inhoud vormt geen risico en is niet aantrekkelijk voor criminelen. Waarom zou je er dan state of the art beveiligingsmaatregelen op loslaten? Die kun je beter inzetten bij objecten die daar wel om vragen. Trigion zoekt altijd naar de juiste balans tussen beveiligingsniveau en -risico. Trigion is het grootste beveiligingsbedrijf van Nederland. We kunnen bogen op een ervaring van 100 jaar. Zoeken proactief naar nieuwe oplossingen om mensen en eigendommen nog beter en efficiĂŤnter te beschermen. Onze opdrachtgevers waarderen dat. Dat blijkt niet alleen uit onze klanttevredenheidsonderzoeken maar ook uit onze langdurige contracten. Omdat we doen wat er van ons wordt verwacht. En eigenlijk altijd net iets meer dan dat. Wilt u weten wat Trigion voor uw organisatie kan betekenen? Kijk voor meer informatie op www.trigion.nl of bel (010) 298 11 33. Wij zijn u graag van dienst. Trigion. Toongevend in veiligheid
De juiste mensen op de juiste plek
t hema | transpor t /logistiek
ContinuĂŻteit in logistiek Informatiesystemen nemen een belangrijke plaats in binnen logistieke processen, want zonder deze systemen staat bijna alles stil. De vraag is nu: in hoeverre begin je niets bij een calamiteit? Hoe erg is dat? Wat doe je eraan? Hoe voorkom je dat de logistiek grotendeels of geheel stilvalt? Hoe houd je de ellende zo beperkt mogelijk als ondanks alle preventieve maatregelen toch een calamiteit plaatsvindt? BedrijfscontinuĂŻteitsmanagement moet hier een adequaat antwoord op formuleren. REIN DE VRIES *
B
ehoud van positie en groei staan bij veel organisaties hoog in het vaandel. De ultieme gebeurtenis die bedrijfscontinuĂŻteitsmanagement (BCM) tracht te voorkomen, is het tegenovergestelde: een forse inkrimping
van de organisatie of faillissement, welke vrijwel altijd zijn terug te voeren op een plotselinge en ingrijpende gebeurtenis die een of meer bedrijfsprocessen ernstig verstoort of zelfs geheel stillegt (zie figuur).
BCM moet zich op de eerste plaats richten op het voorkomen en bestrijden van ernstige ontwrichting van bedrijfsprocessen. Indirect zal BCM zich richten op de onderliggende oorzaken en daarmee op de belangrijkere bedrijfsmiddelen.
$# " ! %"$ # " " #!" ## " " #& " " #$ & "#$ "$ $'" $ #$ $
$ % & & "! $
( #
! & $
% #$ $ & " # & " $! # $ " # & # ' " #
#
" # & $ # & " % $
# ! & "
" $ !
!
( & " # & ( $
( ) * #
"# " ! ## $ ! % $ #$
Âť
Figuur. Causaliteit calamiteit en continuĂŻteit.
Security Management nummer 6 juni 2011
21
t hema | transpor t /logistiek
Buffers Bedrijfsprocessen - ook logistieke processen - zijn afhankelijk van bedrijfsmiddelen zoals gebouwen, machines, informatiesystemen, medewerkers et cetera. Als middelen niet in de vereiste mate voorhanden zijn, stokt het proces. Voorts bepaalt de manier waarop het proces specifiek is ingericht hoe kritisch middelen zijn. Je kunt daarbij spreken van de robuustheid van het proces: naarmate een proces robuuster is, is het beter bestand tegen uitval van specifieke middelen en zijn de middelen zelf minder kritisch. Een voorbeeld is het aanhouden van buffers. Als het proces voorziet in het aanhouden van voorraden, kan de afhankelijkheid van productiesystemen kleiner zijn, al naargelang de grootte van de voorraad. Maar ook: als in het logistieke proces bij langdurige stroomuitval duimendraaiende medewerkers het logistieke systeem vervangen, kan het proces actief blijven zonder dat investeringen nodig zijn, zoals een mogelijk kostbare noodstroomvoorziening.
Omstandigheden De kunst is om onder gegeven vaste omstandigheden - de kaders - een balans te vinden tussen de inrichting van het proces en middelen (beide variabel), zodanig dat de continuïteit van productie en levering optimaal gewaar-
levering zijn het gevolg. Dit maakt zowel het productie- als het uitleveringsproces kritischer, de afhankelijkheid van productie- en logistieke middelen kritischer en daarmee de beschikbaarheidseis hoger.
Beschikbaarheidseisen Voorbeelden van andere omgevingsfactoren die een stempel drukken, zijn het concurrentieniveau, de verkoopbaarheid van goederen en de inschikkelijkheid van de markt. Als de concurrentie groot is, maken kwaliteit, prijs en service het verschil, is logistiek een middel om te concurreren, zal de druk op het logistieke proces groot zijn en zullen de beschikbaarheidseisen hoog zijn. Als het om waar gaat die kan bederven, is de druk op het logistieke proces groot om op het juiste tijdstip de juiste hoeveelheid op de juiste plaats te leveren en is tevens een hoge beschikbaarheidseis voor ondersteunende informatiesystemen van kracht. Als de afnemer in zekere mate afhankelijk is en het product toch wel koopt, is het logistieke proces wellicht minder kritisch en de claim die dit proces op middelen legt ook. Gegeven de omgevingsfactoren en de grenzen aan procesmogelijkheden, zullen op enig moment in het belang van de bedrijfscontinuïteit eisen aan de beschikbaarheid van middelen moeten worden gesteld. En als het specifiek om informatie gaat, moeten ook concrete
Bedrijfscontinuïteit blijft primair een kopzorg van de business borgd is. Bij een dergelijk optimalisatievraagstuk speelt voortdurend de vraag: als bepaalde middelen haperen of uitvallen, is het dan toch niet mogelijk om het proces op alternatieve wijze voort te zetten? De specifieke omstandigheden zijn hierbij bepalend voor het optimum. In Nederland is ruimte bijvoorbeeld schaars. Het aanhouden van voorraden is daardoor duur. Het beleid zal zijn om een zo klein mogelijke voorraad aan te houden. ‘Just In Time’ productie en uit-
22
eisen worden gesteld aan het waarborgen van de integriteit en exclusiviteit (vertrouwelijkheid) van belangrijke informatie. Het is aan te raden om dit impliciet te doen via een standaard classificatiesysteem, zodat de organisatie ten aanzien van dit soort bedrijfseisen geheel op één lijn zit (zie kader).
Plus-minmethode In veel organisaties zit ‘de business’ niet in de ‘driving seat’ voor wat betreft het classificeren van informatie-
Security Management nummer 6 juni 2011
systemen en het stellen van continuïteitseisen. De business gaat er vaak van uit dat ‘ICT’ zijn mannetje staat en alles op orde heeft op dit gebied. Immers, ICT weet als geen ander hoe je zorgt voor robuuste systemen die tegen een stootje kunnen en door blijven draaien, hoe je deze systemen beschermt tegen dreigingen als stroomuitval, brand, oververhitting et cetera. Menige ICT-afdeling krijgt de bal terug als bij de business wordt aangeklopt om eisen helder te krijgen: ‘Daar hebben we jullie toch voor?’ Vaak zit er voor de ICT-afdeling niets anders op dan eerst zelf aan de slag te gaan. De plus-minmethode hieronder leent zich daar prima voor. Ze geeft inzicht in de punten waarop de organisatie ten aanzien van continuïteit tekortschiet en op welke punten de organisatie het prima voor elkaar heeft. Of zelfs te goed presteert en geld kan besparen door er minder maatregelen op na te houden. De methode komt in het kort neer op de volgende stappen. Classificeer en selecteer Classificeer alle informatiesystemen en belangrijke ICT-componenten en -services zoals de internetaansluiting, LAN, storage, et cetera. Wees kritisch en selecteer alleen systemen met het label ‘vitaal’ ten aanzien van beschikbaarheid, integriteit en/of exclusiviteit. Het resultaat is een lijst van vitale toepassingen en ICT-componenten. Selecteer dreigingen Selecteer uit een dreigingencatalogus alleen die dreigingen die serieuze calamiteiten kunnen veroorzaken en ook echt voorstelbaar zijn. Wees kritisch. Maak onderscheid tussen reguliere operationele beschikbaarheidsproblemen die via de reguliere beheerprocessen op te lossen zijn en echte continuïteitsproblemen ten gevolge van calamiteiten. Het resultaat van deze stap is een lijst met voorstelbare, relevante dreigingen. Actieplan Ga voor elke dreiging na: » Als het vandaag zou gebeuren, wat
t hema | transpor t /logistiek
zou je dan direct en de komende dagen gaan doen? Hoe snel zou je de vitale informatiesystemen weer voldoende beschikbaar kunnen maken? » Is de calamiteit te behappen via de reguliere beheerprocessen? » Zijn er alternatieve manieren om de
getroffen bedrijfsprocessen toch voldoende productief te laten zijn? Hoelang kun je ze volhouden? » Welke acties zijn nodig waarvoor op dit moment (nog) niets is ingeregeld? » Kan worden volstaan met niets doen en het (rest)risico te nemen?
Classificatiesysteem De mate waarin de waarborging van Beschikbaarheid, Integriteit en Exclusiviteit/Vertrouwelijkheid belangrijk is voor informatiesystemen en/of gegevensverzamelingen, is op de volgende wijze te duiden. Behoud van Beschikbaarheid (B) In hoeverre is verlies van beschikbaarheid desastreus? Ofwel: in hoeverre is beschikbaarheid belangrijk? 0. Beperkt belangrijk (prettig) Uitval is (in enige mate) te dulden; het zorgt wel voor enige overlast en extra kosten. 1. Belangrijk (nodig) Uitval van het systeem en/of het niet beschikbaar zijn van informatie zorgt voor aanzienlijk productieverlies, het in enige mate niet kunnen nakomen van verplichtingen, overlast en extra kosten. 2. Vitaal Het systeem/de informatie is onmisbaar. Uitval resulteert in het grotendeels of geheel stilvallen van (werk)proces(sen) en daardoor zeer beperkte tot geen productie, met directe, ernstige gevolgen voor het kunnen nakomen van verplichtingen. Behoud van Integriteit (I) In hoeverre is verlies van integriteit van informatie of het niet correct functioneren van het informatiesysteem desastreus? Omgekeerd: hoe belangrijk is (het waarborgen van) integriteit? 0. Beperkt belangrijk (prettig) Integriteit is niet van grote invloed; het niet geheel foutloos zijn c.q. functioneren zorgt voor enige overlast. 1. Belangrijk (nodig) Integriteit is belangrijk. Verlies hiervan zorgt voor ongemak, extra kosten en het in enige mate niet kunnen nakomen van verplichtingen. 2. Vitaal Correct zijn c.q. functioneren is vitaal. Afwijking resulteert in het grotendeels of geheel stilvallen van (werk)proces(sen) en daardoor zeer beperkte tot geen productie, met directe, ernstige gevolgen voor het kunnen nakomen van verplichtingen. Behoud van Exclusiviteit (E) In hoeverre is het desastreus als je niet zelf exclusief over de informatie of het informatiesysteem beschikt? Ofwel: hoe belangrijk is behoud van exclusiviteit? 0. Beperkt belangrijk (prettig) Onbevoegde toegang tot de informatie of het informatiesysteem is niet rampzalig. Openbaring heeft geen vervelende gevolgen. 1. Belangrijk (nodig) Onbevoegde toegang tot de informatie of het informatiesysteem is pijnlijk. Het bekend worden van gegevens, werkwijzen et cetera heeft nadelige gevolgen. 2. Vitaal Onbevoegde toegang tot de informatie of het informatiesysteem is rampzalig. Het aan onbevoegden bekend worden van gegevens, werkwijzen et cetera en/of het niet voor 100 procent eigenaar zijn van het systeem, doordat het systeem is gecompromitteerd, is desastreus.
» Ligt het vraagstuk binnen het domein van de ICT-afdeling? Of is het een vraagstuk voor de business, zoals staking door personeel? Deze exercitie resulteert in inzicht in: » reeds getroffen preventieve maatregelen; » een behandelmethode per type calamiteit; » vraagtekens (veelal blijkt in de praktijk een aantal zaken niet bekend te zijn); » verbeterpunten en » restrisico’s. De resultaten lenen zich voor een eerste tactisch ICT-continuïteitsplan. Evalueer Evalueer de behandelmethoden uit de vorige stap. Zet de resultaten beschouwend en nuchter af tegen de huidige situatie. Welke verbeterpunten zijn geidentificeerd? Moeten we meer doen ter preventie? Moeten we beter voorbereid zijn en meer preventieve, detectieve en repressieve maatregelen treffen? Zo ja, welke? Of kunnen we het laten zoals het is? Of kunnen we zelfs met minder maatregelen toe? Vraag jezelf per beschouwde calamiteit af: » Vind je de wijze waarop je je er uit zou redden goed genoeg? » Zo ja, is geld te besparen door de lat wat lager te leggen? » Zo nee, wat zou beter c.q. anders moeten? Wat zou dat gaan kosten? (grove raming) Een van de resultaten van deze stap is een opsomming van verbeterpunten die de ICT-afdeling nodig acht met een grove indicatie van kosten. Ga in gesprek met ‘de business’ Ga een gesprek aan met de bestuurders, budgethouders en/of proceseigenaren. Confronteer ze met uitkomsten. Vertel welke ‘ICT-continuïteit’ je wel/ niet zonder extra maatregelen bij machte bent te realiseren. Laat de business vanuit zijn gezichtsveld oordelen of hij dit goed genoeg vindt. Vertel welke noodzakelijke verbeterpunten je zelf geïdentificeerd hebt. Laat de business een uitspraak doen welke verbetering hij nodig acht. Resultaat:
Security Management nummer 6 juni 2011
23
»
t hema | transpor t /logistiek
een lijst met door de organisatie noodzakelijk geachte verbeterpunten. Werk uit en implementeer Pak elke verbeterpunt op als een project. Kijk of er alternatieve oplossingen zijn en welke kosten deze met zich meebrengen.
ICT-kant. Want het is aan de business om zich om de andere zaken te bekommeren die minstens even belangrijk zijn voor de continuïteit van bedrijfsprocessen. Immers, bedrijfscontinuïteit blijft primair een kopzorg van de business en niet van ICT.
Logistieke processen behoren tot de scope van bedrijfscontinuïteit Laat de business een keuze maken en implementeer de geselecteerde oplossingen. De dialoog met de business zorgt ervoor dat na het doorlopen van de stappen alle neuzen dezelfde kant op staan: iedereen heeft dezelfde verwachting hoe de organisatie zich wapent tegen calamiteiten. Althans wat betreft de
Conclusie Bedrijfscontinuïteit is een lastig vraagstuk. Veel organisaties hebben geen pasklaar antwoord. Logistieke processen behoren zeer zeker tot de scope, met name vanwege de directe merkbaarheid van het niet-nakomen van verplichtingen jegens andere
partijen en de omvang van de schade die al snel het gevolg is. Binnen de organisatie is voor bedrijfscontinuïteit geen probleemhouder aan te wijzen. Als de ICT-afdeling bemerkt dat zij toch als probleemhouder wordt gezien, kan zij via de plus-minmethode zichtbaar maken wat het actuele continuïteitsniveau van de ICT-voorzieningen is en de dialoog met de business aangaan om te komen tot het werkelijk vereiste niveau. ‹‹ * Rein de Vries is directeur en medeeigenaar van LBVD Consultancy en adviseert opdrachtgevers met betrekking tot de onderwerpen bedrijfscontinuïteit en informatiebeveiliging. Zijn focus ligt daarbij met name op statusonderzoek en het komen tot een praktische maar toch doeltreffende invulling.
(advertentie)
Wunderland Kalkar Griether Str. 110-120 D-47546 Kalkar www.messekalkar.de
Vakbeurs voor security 15 & 16 November 2011 • All-in beursarrangementen • Grensoverschrijdende vakbezoekers • Volledige catering op de beursvloer • Onbeperkte relatiekaarten voor uw klanten • Geen parkeerkosten • Familiaire ambiance Beursorganisatie: Ralf Arntzen ralf.arntzen@messekalkar.de Telefoon: +49(0)2824/910-151 Fax: +49(0)2824/910-144
24
Security Management nummer 6 juni 2011
Openingstijden: 15 en 16 november van 11.00-19.00 uur
gastcolumn
Borging structurele aanpak transportcriminaliteit noodzaak De groeiende criminaliteit - ladingdiefstallen, vandalisme en geweld jegens chauffeurs - gericht tegen de transport- en logistieke sector in Nederland is en blijft zeer verontrustend. In totaal leveren ladingdiefstallen het bedrijfsleven jaarlijks een kostenpost van naar schatting minimaal 350 miljoen euro op. Deze cijfers vormen echter ‘het topje van de ijsberg’. Naast de toename in gerapporteerde incidenten, bestaat er tevens een groot ‘dark number’ van nietgedane aangiften. Dieven hebben het vooral gemunt op elektronica, waarvoor Nederland zowel afzetmarkt als doorvoerland is. Maar ook andere diefstalgevoelige goederen zoals kleding, parfum, vlees en metalen zijn vaak doelwit van ladingdieven. Er is hierbij ook in toenemende mate sprake van georganiseerde criminaliteit. De afgelopen jaren is deze problematiek door druk van brancheorganisaties als TLN, EVO, TAPA en verzekeraar TVM steeds nadrukkelijker op de politieke agenda komen te staan. Dit resulteerde onder andere in een aantal succesvolle projecten, zoals Secure Lane – een proactief systeem van intelligent cameratoezicht op parkeerplaatsen langs de A2 op het traject Rotterdam-Venlo –, de inzet door het KLPD van de lokvrachtauto, en het ladingdiefstallenteam van de Bovenregionale Recherche ZuidNederland. Ondanks deze successen bestaat er nog steeds grote zorg met betrekking tot de aantallen incidenten. De indruk bestaat zelfs dat het aantal incidenten juist niet is gedaald, integendeel. Het is daarom essentieel dat de overheid een hoge prioriteit blijft toekennen aan de opsporing en vervolging van criminaliteit in de transport- en logistieke sector. Mede omdat veel logistieke bedrijven de beveiliging van eigen panden en terreinen de laatste jaren effectief hebben aangepakt, waardoor de criminaliteit zich meer en meer naar de openbare ruimte verplaatst. Eind 2009 werden wat dat betreft door toenmalig Justitieminister Hirsch Ballin belangrijke toezeggingen gedaan: de
aanstelling van een coördinerend landelijk Officier van Justitie, de voortzetting van het Projectteam Transportcriminaliteit van de Bovenregionale Recherche Zuid-Nederland (BRZN), en daarnaast de instelling van een Snel Interventie Team (SIT) voor korte onderzoeken. Wij constateren dat deze voorgenomen stappen van de toenmalige minister met een vertraging van gemiddeld een jaar zijn gestart. Tegelijkertijd is er destijds bepaald dat de maatregelen een looptijd zouden hebben tot eind 2011. Door deze vertraging dreigen de in gang gezette activiteiten onvoldoende voldragen te zijn als zij eind 2011 daadwerkelijk ten einde mochten komen. Daarom zou ik de volgende concrete aanbevelingen willen doen: » continuering van zowel de landelijk Officier van Justitie Transportcriminaliteit als de ladingdiefstallenteams na 2011, mede in het licht van de vertraging zoals eerder aangegeven; » borging van kennis en kunde, zoals opgebouwd door het ladingdiefstallenteam en het SIT, mede gezien de komst van de nationale politie en de veranderingen ten aanzien van de bovenregionale recherche.
Het is essentieel dat de overheid hoge prioriteit blijft toekennen aan opsporing en vervolging
De instelling van permanente politieteams gericht op ladingdiefstallen - vooruitlopend op een nationale politie - kan zorgen voor een goede borging van specialistische kennis over en aanpak van transportcriminaliteit binnen de politie. Het KLPD dient hierbij een coördinerende rol te blijven vervullen. Voor een structurele aanpak van transportcriminaliteit is tevens noodzakelijk dat de kennis over de problematiek breder bekend is bij de Officieren van Justitie. In de praktijk blijkt namelijk dat deze kennis bij de meeste officieren ontbreekt, wat zorgt voor onnodige vertraging tijdens rechercheonderzoeken. mr. Hélène Minderman Chair TAPA Taskforce NL en Secretaris Beleid en Deelmarkten TLN
Security Management nummer 6 juni 2011
25
informatiebeveiliging
Nationale Cyber Security Strategie
Polderen tegen cybercrime Stuxnet, Wikileaks, een gigantisch botnet en een kinderpornonetwerk. Stuk voor stuk drukken ze ons met de neus op hetzelfde feit: Nederland is nog niet optimaal geoutilleerd om de strijd aan te binden met cybercriminelen. Om daar verandering in te brengen, heeft het ministerie van Veiligheid en Justitie eind februari de Nationale Cyber Security Strategie gelanceerd. Wat houdt die strategie in en is het voor onze digitale veiligheid een stap in de goede richting? RONALD PRINS *
D
e Nationale Cyber Security Strategie moet Nederland weerbaarder maken tegen nieuwe risico’s van de digitale samenleving. Onze buurlanden hadden zo’n strategie al langer. Mogen we daaruit concluderen dat we ons tot nu toe dan niet konden beschermen tegen cyber-
onderzoeken en aan te pakken. Dat is effectief gebleken, maar het is niet voldoende om de digitale veiligheid in de toekomst te waarborgen. Daarnaast is er gebrek aan regie. Vanuit hun traditionele blikveld hebben een aantal ministeries en andere organisaties zoals I&V en NCTb al hun ei-
Kenmerk van de Nederlandse strategie is een integrale aanpak door publieke en private partijen criminelen? Nee, dat denk ik niet. De incidenten met Wikileaks en Stuxnet laten echter zien dat serieuze verstoringen mogelijk zijn en dat Nederland alle zeilen moet bijzetten om aanvallen via internet de baas te blijven. De bescherming die we tot nu toe hadden, was in elk geval onvoldoende. Daarvoor kan ik drie redenen aanwijzen.
gen verantwoordelijkheid genomen. Dat heeft geresulteerd in diverse partijen die zowel op tactisch als operationeel niveau hun eigen gang lijken te gaan.
Onvoldoende bescherming De belangrijkste reden is dat we in Nederland te weinig structurele operationele slagkracht hebben. Bij elk incident kruipen experts van publieke en private partijen bij elkaar om het probleem te
26
Security Management nummer 6 juni 2011
Tot slot ontbreekt Situational Awareness. We weten niet goed met wat voor soort digitale aanvallen we te maken hebben. Ook hebben we weinig idee van de potentiële hacking- en verstoringsmogelijkheden van onze huidige vijanden.
Internationale initiatieven Cybersecurity is voor vrijwel elk land relevant. Het is dan ook niet verbazingwekkend dat bijvoorbeeld de Verenigde Staten en het Verenigd Koninkrijk al langer een beveiligingsstrategie hebben. Een aantal incidenten in de Verenigde Staten heeft president Obama heel snel na zijn aantreden doen besluiten om alle overheidsinitiatieven op dit gebied in kaart te brengen. Zo werd er ingebroken in een defensienetwerk via een usb-stick en werden sleeperbots gevon-
Bestaande organisaties betrokken bij cybersecurity » » » » » » »
Ministerie van Defensie – DEFCert Militaire Inlichtingen- en Veiligheidsdienst – ? Ministerie van Binnenlandse Zaken en Koninkrijksrelaties – GOVCERT.NL Ministerie van Veiligheid en Justitie – KLPD/THTC, BDE’s, OM, ZM, NCTb Algemene Inlichtingen- en Veiligheidsdienst – NBV + ? Ministerie van Economie, Landbouw en Innovatie – TNO/CPNI.nl Private partijen – Fox-IT en diverse andere
informatiebeveiliging
leiding en regie en herijking van onderzoek en ontwikkelingsprogramma’s. Ondanks de financiële crisis heeft de Amerikaanse overheid veel geld vrijgemaakt voor de aanpak van cybercrime. Voor het fiscale jaar 2011 bedraagt dit budget 3,6 miljard dollar.
UK: speciale veiligheidsdienst
Ronald Prins is van mening dat Nederland alle zeilen bij moet zetten om aanvallen via internet de baas te blijven. den in het elektriciteitsnetwerk. De belangrijkste maatregel van Obama was de benoeming van een Cyber Czar, gepositioneerd in het Witte Huis. Deze functionaris geeft een gezicht aan cybersecurity en garandeert dat het onderwerp hoog op de agenda blijft staan.
VS: focus op defensie en spionage De Amerikaanse cyberstrategie beschermt de nationale veiligheid en moet er zo voor zorgen dat het land blijft functioneren. Daarom is het beleid vooral gericht op digitale dreigingen in het defensie- en spionageveld, en minder op vormen van cybercriminaliteit waar vooral burgers en bedrijven last van hebben. Het beveiligingsbeleid van Washington werkt in hoofdlijnen drie doelen uit:
» Het realiseren van een eerste verdedigingslinie tegen de huidige dreigingen. Denk daarbij aan het continu monitoren van alle overheidsnetwerken. Later moeten daar ook kritische private partijen op aansluiten. Bovendien krijgen de Amerikanen een responsmogelijkheid: verdedigen door aan te vallen. » Het opbouwen van een volledige verdedigingsomgeving. Een goede verdediging is alleen mogelijk door continu te analyseren waar de dreiging vandaan komt en waar de interesse van de vijand ligt. Dit wordt ook wel contra-inlichtingen genoemd. Dat Amerika dit serieus neemt, blijkt uit het feit dat zelfs apparatuur uit het buitenland wordt gewantrouwd. » Investeren in de toekomst. Meer op-
Het Verenigd Koninkrijk volgt Amerika in haar grootschalige aanpak. Naast de dreiging van andere staten en terroristen zien de Engelsen ook cybercrime als risico. Voor dat laatste gebied volgt later nog een specifieke strategie. De Nationale Recherche, de Serious Organised Crime Agency, draagt hiervoor de verantwoordelijkheid. Het belangrijkste initiatief van het Verenigd Koninkrijk is het inrichten van een multi-agency Cyber Security Operations Centre (CSOC). Deze operationele unit wordt ondergebracht bij de afluisterdienst GCHQ en heeft drie heldere taken: » Verschaffen van situational awareness. Dit doet de unit onder andere door het internet in het Verenigd Koninkrijk permanent te monitoren. » Analyseren van trends en dreigingsinschattingen maken. Zo brengt CSOC de mogelijkheden van eventuele aanvallers in kaart. » Het technisch reageren bij een digitale aanval. Behalve het beschermen van netwerken van de staat zelf, waarschuwt het CSOC via de Engelse veiligheidsdienst MI5 zelfs vitale bedrijven op het moment dat het CSOC vaststelt dat mogelijke spionage-incidenten plaatsvinden. Het hele project wordt strategisch aangestuurd door de Office of Cyber Security (OCS) dat een plaatsje krijgt in the Cabinet Office, dus net als in de Verenigde Staten dicht bij de Prime Minister. Hoeveel geld de Engelsen hebben vrijgemaakt voor cybersecurity, is niet precies bekend. In ieder geval heeft het ministerie van Defensie ondanks alle bezuinigingen voor de komende vier jaar meer dan 500 miljoen Pond beschikbaar gesteld.
Nederland: zes actiepunten De basis van de Nederlandse strategie ligt in Kamervragen over de defensiebe-
Security Management nummer 6 juni 2011
27
»
informatiebeveiliging
groting eind 2008. De Kamer verbaasde zich erover dat nergens in de begroting een post was opgenomen voor de digitale veiligheid van Nederland, terwijl in veel omliggende landen dat wel gebeurde. De strategie die ‘Den Haag’ vervolgens ontwikkelde, kent zes actielijnen: 1. Integrale aanpak door publieke en private partijen. 2. Adequate en actuele dreigings- en risicoanalyses. 3. Versterken van de weerbaarheid tegen ICT-verstoring en cyberaanvallen. 4. Versterking responscapaciteit om ICT-verstoringen en cyberaanvallen te pareren. 5. Intensivering opsporing en vervolging van cybercrime. 6. Stimuleren onderzoek en onderwijs. De eerste hoofdlijn onderscheidt ons meteen van het buitenland: een integrale aanpak door publieke en private partijen. Ook in cyberspace gaan we samen polderen.
Twee nieuwe organisaties Net als het Verenigd Koninkrijk krijgt Nederland twee nieuwe organisaties. Als eerste komt er een Cyber Security Raad, waarin vertegenwoordigers van publieke en private partijen de beveiligingsprioriteiten bepalen. Ten tweede komt er een Nationaal Cyber Security Centrum (NCSC). Het wordt een kennis- en expertisecentrum dat ondersteunt bij het aanpakken van incidenten. De dan opgeschaalde organisatie GOVCERT.NL gaat deel uitmaken van
marktpartijen die nauw samenwerken met het NCSC. Op dit moment monitort GOVCERT.NL al de netwerken van een aantal overheidsdeelnemers om incidenten in een vroeg stadium te ontdekken.
Impuls huidige diensten Verder beschrijft de strategie dat de AIVD, MIVD en Defensie hun eigen verantwoordelijkheden houden en zelfstandig zullen optreden. Hoe Defensie haar kennis beschikbaar kan stellen voor haar civiele taak, wordt nog onderzocht. Defensie krijgt in elk geval een eigen cybercentrum met daarin onder meer een Opleidings- en trainingscentrum (OTC). Net als de rest van de maatschappij is Defensie afhankelijk geworden van digitale systemen. Daarom wordt zelfs fors geïnvesteerd in offensieve capaciteiten om te voorkomen dat ons eigen leger niet kan optreden door digitale aanvallen. Daarnaast wordt het Programma Aanpak Cybercrime (PAC) versterkt. En het succesvolle Team High Tech Crime van het KLPD gaat uitbreiden naar zeventig mensen in 2014. Ze moeten minstens twintig zaken per jaar oplossen.
Nederlandse aanpak is afwijkend Vergelijken we de Nederlandse cyberstrategie met die van onder andere de Verenigde Staten en het Verenigd Koninkrijk, dan vallen drie dingen op: » De samenwerking tussen publieke en private partijen is een belangrijk onderdeel van onze strategie. Positief hieraan is dat de kennis en initiatieven van het bedrijfsleven niet
We hebben weinig idee van de potentiële verstoringsmogelijkheden van onze huidige vijanden het centrum. Het NCSC treedt ook op bij digitale incidenten die de maatschappij kunnen ontwrichten. Dat doet het samen met cyberexperts van publieke en private organisaties. Of het NCSC ook diensten gaat bieden aan vitale sectoren zoals energiebedrijven en banken is nog onzeker. Misschien ligt daar wel een mooie taak voor
28
Security Management nummer 6 juni 2011
verloren gaan. Een risico is dat de Nederlandse overheid geen duidelijke en sterke regie zal voeren. Terwijl het belang en de aard van de problematiek nadrukkelijk om die regie vragen. Een ander risico is dat overleggen en compromissen een snelle besluitvorming bemoeilijken en onze slagkracht verminderen.
» Defensie en de inlichtingendiensten AIVD en MIVD blijven zelfstandig opereren. Vooral als het gaat om situational awareness werpt dit direct de cruciale vraag op hoe de organisaties voor structurele kennisdeling gaan zorgen. Immers, het Nationaal Cyber Security Centrum (OCSC) zal voor een goede dreigingsanalyse in grote mate van deze kennis afhankelijk zijn. Ook bestaat natuurlijk de kans dat mogelijke synergievoordelen niet worden benut. » De concrete acties voor intensivering van de opsporing. Nu al is bekend dat succesvolle initiatieven voor bestrijding van cybercrime meer geld en menskracht krijgen. Dat is hoe dan ook een goede stap, want hoe strategisch we het probleem van cybersecurity ook benaderen, het succes hangt af van bevlogen professionals en hun initiatieven. Die geven we hiermee de ruimte en dat is een goede zaak.
Overheid moet kennis bundelen In onze analyse van de huidige Nederlandse situatie onderkenden we drie belangrijke aandachtspunten. Namelijk een gebrek aan structurele operationele slagkracht, regie en situational awareness. Het is nog geen uitgemaakte zaak dat de huidige cyberstrategie hier een adequaat antwoord op biedt. De crux is de rol van de overheid, zoals ook al blijkt uit de door haar gekozen titel voor deze strategie: ‘Slagkracht door samenwerking’. Binnen de Nederlandse aanpak van cyberdreigingen blijven verantwoordelijkheden verspreid. Als de overheid er desondanks in slaagt kennis te bundelen, en leiding en richting te geven aan de verschillende initiatieven, dan kunnen we voldoende slagkracht opbouwen. De nieuwe strategie is dan een goede eerste stap op weg naar een blijvend cyberveilig Nederland. ‹‹ * Ronald Prins, directeur Fox-IT, prins@ fox-it.com, @cryptoron
securit y
Dick Berlijn over cyber security
Internationale samenwerking vereist De toenemende afhankelijkheid van internet en ICT maakt de samenleving en het bedrijfsleven steeds kwetsbaarder voor misbruik en verstoring. Bovendien vervagen meer en meer de grenzen tussen de traditionele fysieke beveiliging en cyber security. Dick Berlijn geeft aan de hand van de door Deloitte ontwikkelde cyber security roadmap zijn visie op deze ontwikkeling en gaat in op de Nationale Cyber Security Strategie. ARJEN DE KORT
V
oormalig Commandant der Strijdkrachten Dick Berlijn is sinds 2009 senior board advisor bij Deloitte. Het is zoals hij zelf zegt een brede functie, waarin hij meedenkt op de gebieden internationale samenwerking, strategie en leiderschap en zowel in- als extern adviseert over public security & safety in het algemeen en cyber security in het bijzonder.
Vanwaar uw interesse als oud-militair voor cyber security? ‘Ik ben mij in mijn tijd bij Defensie erg bewust geworden van wat er allemaal
gebruik van, waardoor we onze samenleving heel sophisticated hebben gemaakt. Maar dat brengt tegelijkertijd kwetsbaarheden met zich mee en dan komen we op cyber security.’ Wat is cyber security? ‘We leven in een zeer complexe, digitale omgeving die haar bijzondere kwetsbaarheden kent, waarvan we ons bewust moeten zijn. Dreigingen, spionage en fraude zijn zaken die, als we ze niet op een bepaalde manier tegemoet treden, het functioneren van onze samenleving bijzonder bemoeilijken. Als cy-
‘Alles wat stabiel leek, is opeens niet meer zo stabiel’ van belang is om een samenleving goed te laten functioneren. Veiligheid is daarvoor cruciaal. In Nederland zien we veiligheid als iets vanzelfsprekends, maar eigenlijk is dat soms helemaal niet zo. Die veiligheid wordt namelijk uitgedaagd. Waar onze wereld vroeger overzichtelijk was, zien we dat deze tegenwoordig enorm complex is. Het internet heeft onze wereld dicht bij elkaar gebracht, alles om ons heen maakt er
slechts in de zin hadden. Maar je ziet dat de effecten die een tegenstander wil bereiken tegenwoordig op een veel slimmere manier zijn te realiseren. Dan praat je over de cyberwereld, waarin een tegenstander niet meer met hele tankdivisies hoeft op te trekken, maar vanaf een aantal pc’s low cost ervoor kan zorgen dat een land niet meer functioneert. Waarin we wel onderscheid moeten maken in de beweegredenen van die mensen. We hebben nu te maken met criminelen die het doen uit winstbejag, maar het kan ook een concurrent zijn die achter de geheimen van je organisatie wil komen, en soms gaat het om terroristische activiteiten.’ Gaat het uiteindelijk toch ook niet net als in het verleden vooral om nationale veiligheid en economische belangen? ‘Dat is juist. Dat was toen belangrijk en dat is het nog steeds. Alleen gebeurt het nu met andere middelen.’
bercriminelen onze samenleving lam willen leggen, dan krijg je al heel snel ontwrichtende effecten. Alles wat stabiel leek, is dan opeens niet meer zo stabiel.’ Ziet u verschillen tussen de traditionele dreigingen en de huidige cyberdreiging? ‘Militaire dreigingen in het verleden speelden in het fysieke domein en hadden te maken met landen die iets
Is de cyberdreiging momenteel groter dan de traditionele dreigingen? ‘Ik denk dat deze vraag op zich minder relevant is. Belangrijker is dat beide soorten dreiging aanwezig zijn en je zult ze beide onder ogen moeten zien. In bepaalde delen van de wereld is er
Security Management nummer 6 juni 2011
29
»
securit y
nog steeds sprake van een meer fysieke, militaire dreiging, terwijl we in onze moderne wereld op een gigantische manier afhankelijk zijn geworden van internet. Doordat de bad guys daar gebruik van kunnen maken, zie je dat we als samenleving bijzonder kwetsbaar zijn op cybergebied.’ Zijn we ons in Nederland voldoende bewust van deze nieuwe dreigingen en risico’s? ‘Het heeft wel lang geduurd, maar we worden ons steeds meer bewust van de kwetsbaarheden. Je ziet ook dat de verschillende actoren er nu op reageren. Ik geloof dan ook dat bij zowel de overheid als het bedrijfsleven de awareness op dit gebied toeneemt. Maar daarmee zijn we er nog niet.’ Deloitte heeft een cyber security roadmap ontwikkeld. Waarom? ‘Onze ervaring was dat we op congressen en symposia over het onderwerp niks nieuws hoorden. De conclusie was toen snel getrokken dat we allemaal kennelijk wel weten wat we moeten doen om een veilige cyberomgeving te creëren, maar dat we slecht in staat zijn om van words naar action te gaan. We hebben toen gezegd: laten we eens veronderstellen dat we in 2020 met zijn allen een veilige digitale omgeving hebben gecreëerd. Vanuit die veronderstelling zijn we terug gaan redeneren en konden we de onderwerpen identificeren die geregeld zouden moeten worden om daar te komen. Vervolgens konden we aangeven wie daarin initiatieven zouden moeten nemen en hebben we alle stakeholders in beeld gebracht: niet alleen individuen die zich bewust zijn hoe ze zich in een cyberomgeving moeten gedragen, maar ook de overheid die bepaalde normen afspreekt. Zo zijn we tot de roadmap gekomen.’ Waar staan jullie nu met de roadmap? ‘Wij vinden niet dat Deloitte een verantwoordelijkheid heeft om de roadmap uit te rollen. Het is vooral een aanzet voor een proactieve aanpak door zowel overheid als bedrijfsleven. Wat we willen is de problematiek onder de aandacht brengen van de betrokken partijen. Maar willen we ooit tot een veilige cyberomgeving komen, dan zul-
30
Dick Berlijn (senior board advisor bij Deloitte): ‘Willen we ooit tot een veilige cyberomgeving komen, dan zullen we niet alleen in Nederland allemaal onze verantwoordelijkheid moeten nemen. We zullen dat ook op een internationale schaal moeten doen.’
len we niet alleen in Nederland allemaal onze verantwoordelijkheid moeten nemen. We zullen dat ook op een internationale schaal moeten doen. Je ziet dat verschillende landen al initiatieven nemen. Maar mijn stelling is dat je dit gecoördineerd en op basis van een gedeelde cyber security-visie moet doen, anders kom je nog steeds niet in die veilige omgeving. Als we het in Nederland voor elkaar krijgen qua wetgeving, standaarden voor apparatuur en dergelijke, maar in een ander land gebeurt dat niet, dan is het ook hier nog steeds niet veilig. Dat moeten we goed onder ogen zien. Het internationale aspect is dus zeer belangrijk. Dan heb je het over de EU, de NAVO, de G20 en de VN. Ook in die fora moet het op de agenda komen. Het besef moet gaan landen dat we het als internationale gemeenschap gecoordineerd en in overeenstemming met elkaar moeten gaan doen.’
Security Management nummer 6 juni 2011
Wat vindt u in dat kader van de in februari door het kabinet gepresenteerde Nationale Cyber Security Strategie (NCSS)? ‘We zijn er vanuit Deloitte samen met een aantal andere partijen bij betrokken geweest en hebben meegedacht over waaraan zo’n strategie zou moeten voldoen. Wat er in staat vind ik goed en dat moet ook allemaal gebeuren. Het goede is dat je als land je expertise bij elkaar brengt, het feit dat je onderkent dat je publiek en privaat van elkaar afhankelijk bent, en dat er een Cyber Security Raad en een Nationaal Cyber Security Centrum komen. Maar ook al doe je al die dingen die in de NCSS staan, dan nog is mijn stelling: als dat het enige is, komen we nog niet in die cyber secure environment.’ Waarom niet? ‘Omdat we in de global village leven en het dus een wereldomvattend probleem is. In de NCSS staat een korte passage
securit y
over internationale samenwerking, maar die gaat meer over de uitwisseling van operationele gegevens. Maar wat wij als Deloitte zeggen is dat er nog een ander internationaal aspect aan zit, namelijk dat je het op een global scale eens moet worden over de stappen die er gezet moeten worden. Ook andere landen moeten de stappen gaan zetten die wij nu nationaal zetten. Dat internationale aspect wordt in de NCSS wat onderbelicht en daarover vind ik er te weinig in terug van wat wij hierover in de roadmap uiteenzetten. Als we van ideeën naar activiteit willen komen, als we echt een cyber secure environment willen creëren, dan voldoet het niet om het alleen op ons eilandje Nederland te regelen. We moeten het daarom per definitie in de hele grote wereld met elkaar regelen.’ Het kabinet schrijft dat deze activiteiten ‘binnen bestaande begrotingen zullen worden opgevangen’. Maar kan dat wel, wil je deze problematiek serieus oppakken? ‘Dat het binnen bestaande budgetten moet gebeuren, betekent niet dat er
geen geld aan wordt besteed. Kijk naar het defensiebudget waar enorm wordt gekort, maar tegelijkertijd maakt de minister geld vrij voor cyber security. Dat gaat ten koste van andere zaken, maar er is dus wel geld voor. Bovendien laat niet alles zich met geld oplossen. Daarmee bedoel ik dat we wel voor miljoenen euro’s aan high tech spullen naar binnen kunnen brengen, maar dat wil niet zeggen dat daarmee een veiliger omgeving wordt gecreëerd. Misschien moeten we wel beginnen met awareness-trainingen. Ik denk dat er op dit moment namelijk meer effect te behalen is als mensen zich bewust zijn van wat ze doen op het internet. Ik maak graag de vergelijking met de fysieke wereld: we zijn een waterrijk land en sturen onze kinderen al op jonge leeftijd naar zwemles en kiezen er niet voor om langs elk water hekken neer te zetten. Zo’n technische oplossing is namelijk kostbaar en biedt geen enkele garantie dat het veiliger wordt. Nee, we kiezen voor zwemles. Als ik naar de cyberomgeving kijk, zou ik
willen zeggen: zorg dat mensen zich van de gevaren bewust zijn. Daarmee begint het.’
Kans Aan het einde van het interview toont Berlijn zich nog even de board advisor en geeft hij ongevraagd een advies ter overweging. ‘Wat ik positief vind, is dat de community die zich bezighoudt met de cyberproblematiek – zowel de overheid als de private sector – elkaar steeds beter leert kennen. Ik denk dat we daardoor in Nederland veel ervaring hebben. We zouden er dan ook eens over moeten nadenken hoe we die unieke samenwerking kunnen gebruiken om voor Nederland een bijzondere positie te claimen op het gebied van de ontwikkeling van ideeën, of het testen van systemen. We zouden er een kans van moeten maken en er een positief effect van uit moeten laten gaan.’ ‹‹
(advertentie)
Als ik een andere baan zoek wil ik alleen de allernieuwste vacatures zien
www.jobnews.nl
Security Management nummer 6 juni 2011
31
securit y
Wat vindt de opdrachtgever?
Risico’s bij uitbesteden van manbewaking Veel organisaties maken gebruik van particuliere beveiligingsdiensten. Onduidelijk is echter of bij het uitbesteden van dit type dienstverlening de opdrachtgevers een duidelijke afweging maken tussen de beoogde voordelen van uitbesteden en de mogelijke risico’s die hieraan verbonden zijn. Is bij de afweging nagedacht over mogelijke risico’s? En wat zijn deze risico’s? Deze vragen stonden centraal in een onderzoek van Jan Winus van Roode. In dit artikel zijn belangrijkste bevindingen. JAN WINUS VAN ROODE *
B
ij het uitbesteden van beveiligingsactiviteiten gaat het vaak om meer dan de uitbesteding van een facilitair proces. Voor veel organisaties is beveiliging direct ondersteunend aan het primaire bedrijfsproces en heeft beveiliging een directe impact op het risicoprofiel van een organisatie. Het niet goed uitvoeren van beveiligingsdienstverlening kan dan ook negatieve gevolgen hebben op dat primaire proces. De opdrachtgever heeft er daarom baat bij te kunnen vertrouwen op een goede uitvoering van de dienstverlening door de leverancier.
Omzetsamenstelling beveiligingsbranche Luchthavenbeveiliging 18%
Meldkamer/ Alarmcentrale 5%
Mobiele Surveillance 13%
Objectbeveiliging 65%
Markt voor manbewaking De Vereniging van Particuliere Beveiligingsorganisaties laat jaarlijks een onderzoek uitvoeren naar de markt van particuliere beveiliging. Volgens dit onderzoek bedroeg de marktomvang in 2009 zo’n 1,44 miljard euro en waren er ruim 30.000 beveiligingsprofessionals werkzaam. Van de totale omzet van de beveiligingsbranche is 65 procent - zo’n 936 miljoen euro - afkomstig van objectbeveiliging. Organisaties in Nederland geven dus jaarlijks bijna 1 miljard euro uit aan manbewaking. Met recht kan worden gesteld dat uit-
32
Basis: Alle vestigingen Bron: Heliview Research 1 Juni 2010
Figuur 1. Omzetsamenstelling van de beveiligingsbranche in 2010. besteden van deze beveiligingsactiviteit op grote schaal plaatsvindt.
Agents & principles De Agent-Principle-theorie vormt een goede basis om de verhouding tussen opdrachtgever (principle) en opdrachtnemer (agent) beter inzichtelijk te maken. De theorie is erop gericht om twee
Security Management nummer 6 juni 2011
problemen op te lossen die zich kunnen voordoen in uitbestedingsrelaties. Het eerste probleem ontstaat wanneer (a) de wensen of doelstellingen van de principle en agent met elkaar in conflict zijn, en (b) het moeilijk of kostbaar is voor de principle om na te gaan wat de agent precies uitvoert. Het lastige hierbij is dat de principle niet kan
securit y
Literatuuronderzoek
Kwalitatieve Modellering
Toetsing bij expertpanel
Kwantitatieve Modellering
aanname dat deze bedrijfstak zeer professioneel is georganiseerd en dat in deze uitbestedingstrajecten heel serieus wordt nagedacht over mogelijke risico’s voor de opdrachtgever. Uitbesteden van ICT-diensten betreft veelal de dienstverlening rond vitale delen van de IT-infrastructuur, waarvan het goed functioneren zeer kritisch is voor de opdrachtgever. Uit de literatuur over dit onderwerp is een lijst met 29 mogelijke voordelen (benefits) en 48 mogelijke dreigingen (threats) geïnventariseerd.
Conclusies en Aanbevelingen
Figuur 2. Opzet van het onderzoek. verifiëren of de agent zich naar behoren gedraagt. Het tweede probleem betreft risico’s delen. Dat ontstaat als beide partijen een andere houding hebben ten aanzien van risico’s, waardoor de principle en de agent wellicht een voorkeur hebben voor verschillende acties. Te denken valt bijvoorbeeld aan de inzet van onvoldoende opgeleid personeel: er is een beveiliger aanwezig, maar in geval van een incident is de kans groter dat door een gebrek aan kennis niet juist wordt gehandeld. De leverancier heeft zijn risico (leverplicht) dan wel afgedekt, maar introduceert bij de opdrachtgever een nieuw risico.
Opzet onderzoek Voor dit onderzoek is de invalshoek gekozen van de opdrachtgever. Welk beeld heeft de uitbestedende partij van de risico’s die mogelijk aan het uitbesteden van manbewaking zijn verbonden? Wanneer deze risico’s bekend zijn, is het tevens interessant te onderzoeken hoe organisaties vinden dat zij hiermee om moeten gaan. Aan de hand van de volgende aanpak is dit nader onderzocht: 1. Literatuuronderzoek. Een onderzoek naar de benefits en threats die een rol
‘Goed dat iets “eigen” is, maar soms heb je het gevoel dat het té “eigen” is geworden. Te gezellig met elkaar. Alles komt te veel uit hetzelfde nest. In zulke gevallen heeft uitbesteding het voordeel om als breekijzer te kunnen fungeren. Is eigenlijk een betere transparantie.’
spelen bij het uitbesteden van diensten. 2. Kwalitatieve modellering. De gevonden benefits en threats indelen in de volgende clusters: strategisch, operationeel, financieel, compliance en security. 3. Toetsing bij expertpanel. Aan de hand van een interview de resultaten toetsen bij een security- of riskmanager van een zestal grote organisaties. 4. Kwantitatieve modellering. Resultaten
Toetsing Vervolgens zijn zes security-/riskmanagers van grote organisaties, uit verschillende branches, in Nederland geïnterviewd over dit onderwerp. Hoewel alle security managers aangeven dat beveiliging belangrijk wordt gevonden binnen de eigen organisatie, geldt tegelijkertijd dat deze organisaties beveiliging niet tot hun core business rekenen. Als voornaamste reden voor uitbesteden van manbewaking noemen de geïnterviewden dan ook beter kunnen focussen op de eigen core business en ontzorgen van
Kostenbesparingen die organisaties met uitbesteding hopen te realiseren, kunnen tegenvallen van de interviews met behulp van een online vragenlijst toetsen bij een grotere groep respondenten binnen dezelfde organisaties. Aan de hand van alle resultaten uit de verschillende fasen kunnen conclusies worden getrokken en aanbevelingen worden gedaan. Literatuuronderzoek Het onderzoek startte met een zoektocht naar wetenschappelijke literatuur over de uitbesteding van manbewaking. Daaruit bleek dat over dit onderwerp in de wetenschappelijke databases geen literatuur beschikbaar is; op zich is dat al een opvallende constatering. Daarop is gekozen om het onderwerp te benaderen vanuit een andere invalshoek, namelijk de uitbesteding van ICT-diensten. Argument hiervoor is de
de eigen organisatie. Met name dit laatste punt, de operationele voordelen, wordt door hen belangrijk gevonden. Vervolgens is deze personen de lijst met voordelen en dreigingen voorgelegd, die in de vorige stap is verzameld. Gevraagd naar mogelijke risico’s van uitbesteden van manbewaking geven zij bijna allemaal aan dat zij de dreiging voor en de kwetsbaarheid van de organisatie het grootst vinden rondom informatiebeveiliging. Het betreft de uitbesteding van fysieke beveiliging, maar de inzet van extern personeel verhoogt dus mogelijk de kwetsbaarheid voor fraude rondom informatiebeveiliging. Kwantitatieve modellering Tijdens de interviews werd duidelijk dat manbewaking een onderwerp is, dat binnen deze organisaties een veel grotere reikwijdte heeft dan beveiliging
Security Management nummer 6 juni 2011
33
»
securit y
alleen. Onder andere afdelingen op het gebied van facilitair, inkoop, ICT en controlling zijn direct of indirect betrokken bij de inhuur van manbewaking. Om de bevindingen uit de interviews te toetsen is binnen dezelfde organisaties een online vragenlijst uitgezet onder representanten van de hiervoor genoemde afdelingen. De vragenlijst had betrekking op de beoogde voordelen van uitbesteden, de risico’s die hierbij mogelijk een rol spelen, en de voorkeur voor het soort maatregelen om deze risico’s beheersbaar te maken. De meest genoemde threats tijdens de interviews zijn verwerkt in een tiental scenario’s. Wanneer risico namelijk wordt gedefinieerd als kans x effect, dan wordt respondenten gevraagd naar een mogelijke uitkomst. Vanwege de twee elementen ‘onzekerheid’ en ‘toekomst’ is daarom
dures worden niet volgens afspraak uitgevoerd wat leidt tot een incident met persoonlijk letsel.
Resultaten Uit het onderzoek is gebleken dat opdrachtgevers vinden dat uitbesteden van manbewaking: » als belangrijkste beoogde voordeel heeft dat hiermee kostenbesparingen gerealiseerd kunnen worden; » geen grote risico’s met zich meebrengt; » organisatorische maatregelen nemen is de beste manier om risico’s te beperken. Dit lijken op het eerste gezicht misschien ‘open deuren’. Echter, bij het nauwkeuriger bekijken van de respons valt een aantal zaken op. Ondanks het feit dat opdrachtgevers kostenbesparin-
Het streven naar operationele voordelen kan nieuwe risico’s opleveren gekozen om respondenten te ondervragen aan de hand van scenario’s, een beproefde methode om percepties van onzekerheden te verzamelen. Onderstaande twee scenario’s zijn voorbeelden die in de vragenlijst zijn gebruikt: Een beveiligingsmedewerker ontdekt de inloggegevens van een van uw medewerkers en verschaft zich hiermee toegang tot uw netwerk. Hierdoor krijgt hij inzicht in vertrouwelijke bedrijfs- of persoonsinformatie. Deze informatie wordt vervolgens doorgespeeld aan derden (concurrenten, media etc.). Dit incident wordt bekend in de media. Het verloop bij de leverancier blijft hoog, waardoor er constant nieuwe en soms onervaren beveiligers aanwezig zijn. Dit wreekt zich tijdens een calamiteit: proce-
‘Veel leveranciers hebben geen identiteit meer. Dit geldt niet alleen voor beveiliging, maar ook voor bijvoorbeeld architecten, ingenieursbureaus et cetera. Alles draait om schaalgrootte. Dat is niet goed.’
34
gen zien als het belangrijkste beoogde voordeel bij het uitbesteden van manbewaking, geven diezelfde respondenten tegelijkertijd aan dat dit niet hetgeen is wat zij als beste hebben gerealiseerd. Meer flexibiliteit en ontzorgen van de eigen organisatie scoren hier hoger. De kostenbesparingen die organisaties met uitbesteding van manbewaking hopen te realiseren, kunnen in de praktijk dus tegenvallen. Respondenten vinden de risico’s van het uitbesteden van manbewaking beperkt. Slechts vier scenario’s scoren een risico ‘medium’, de overige scenario’s scoren een risico ‘laag’. De risico’s die relatief hoger scoren, liggen voornamelijk op het gebied van informatiebeveiliging. Het streven naar operationele voordelen kan dus nieuwe risico’s opleveren, bijvoorbeeld op het gebied van informatiebeveiliging. Wanneer gekozen kan worden tussen organisatorische, technische en mensgerichte maatregelen om de risico’s te beheersen, geven respondenten aan dat het nemen van organisatorische maatregelen een duidelijke voorkeur geniet. Vastleggen en aanscherpen van procedures, een betere screening van
Security Management nummer 6 juni 2011
externen en het in eigen beheer houden van kritische functies worden door respondenten als voorbeelden van organisatorische maatregelen genoemd. Dat dit volgens respondenten niet of onvoldoende gebeurt, doet de vraag rijzen of dit type risico’s wel integraal wordt aangepakt.
Tot slot Uitbesteden van manbewaking wordt vaak gevoed door de wens om operationele voordelen voor een organisatie te behalen. Of deze beoogde voordelen ook daadwerkelijk worden gerealiseerd, is beslist geen zekerheid. Tegelijkertijd kan dit nieuwe risico’s opleveren op andere gebieden, bijvoorbeeld informatiebeveiliging. Van de meeste risico’s geven organisaties aan dat deze het best beheerst kunnen worden door organisatorische maatregelen te nemen. Dat dit vaak (nog) niet gebeurt, zou kunnen betekenen dat er onvoldoende een afweging wordt gemaakt tussen voordelen en risico’s, of dat een integrale aanpak van risico’s ontbreekt. Dit onderzoek is opgezet vanuit het perspectief van de opdrachtgever en biedt een eerste inzicht in de motieven en risico’s die vanuit dit perspectief zijn verbonden aan het uitbesteden van manbewaking. Het is zeker interessant om hierin ook het perspectief van de leverancier te betrekken. Wat zijn zijn risico’s in deze tak van dienstverlening? En welke invloed hebben schaalgrootte en de steeds verdere uitbreiding van het dienstenpakket op risico’s? Ondanks het feit dat uitbesteden van manbewaking gemeengoed is, zijn de hieraan gekoppelde risico’s minder bekend. Het inzetten van manbewaking is in essentie een maatregel om beveiligingsrisico’s beter te beheersen. Echter, het risico van de maatregel zelf is dus niet altijd even duidelijk. ‹‹ * Jan Winus van Roode is werkzaam bij Nsecure. Dit artikel is gebaseerd op zijn onderzoek dat is uitgevoerd als afsluitende opdracht voor de Master of Security Science & Management van Delft TopTech (www.nsecure.nl, jwvroode@nsecure.nl)
Visie
veiligheid Spyke Security biedt u een volledige anti- inbraakgarantie. En mocht er toch een insluiper ontsnappen aan ons beveiligingssysteem, dan vergoeden wij het bedrag dat u kwijt bent aan eigen risico! Benieuwd naar de andere voordelen van onze werkwijze? Neem contact op met René den Dekker via tel. 072 - 5414082 of surf naar www.spykesecurity.nl
Toezichtcentrale
O
Innovatieve en flexibel beveiligingsconcept
O
Bouwplaats
Bedrijventerrein
Zorg
Virtueel portier
Totaalconcept: van ontwerp tot realisatie
O
Op
basis van operationele lease, dus géén investering O Preventieve en proactieve cameraservice O
Tijdelijke en permanente camerabeveiliging
trale O
O
Directe en gerichte opvolging
O
O
Live uitlezen van beelden in onze Toezichtcen-
Beveiliging bedrijventerreinen
O
Bouwplaatsbeveiliging
Geschikt voor bedrijven, particulieren, overheden en andere instanties.
voor meer info: www.spykesecurity.nl Smaragdweg 3 O 1812 RJ Alkmaar O T +31 (0)72-5414082 O E info@spykesecurity.nl
compliance
Compliance: de nieuwe security manager? In de financiële sector werken circa 3.500 complianceprofessionals en een paar honderd professionals vervullen deze post in andere sectoren. In hun grote voortvarendheid lijken de compliance officers taken van hun collegae security managers over te nemen. Alle Wielenga schetst in dit artikel de ontwikkelingen in de wereld van compliance en geeft antwoord op de vraag of de security manager zich zorgen moet maken. ALLE WIELENGA *
T
wintig jaar geleden deed in het Nederlandse bedrijfsleven de compliancefunctie haar intrede. Enkele bankbestuurders zagen het nut en de noodzaak om in hun organisatie mede uit het oogpunt van integriteitshandhaving de compliancefunctie te ontwikkelen, teneinde tot een adequate interne handhaving van wet- en regelgeving te komen. De drie grootbanken stelden een compliance officer aan. Nadat andere financiële instellingen het voorbeeld hadden gevolgd, zagen ook de toezichthouders het belang van een goede compliance in. De compliancefunctie werd wettelijk verankerd, waardoor de opmars niet meer te stuiten was. Inmiddels werken in de financiële sector circa 3.500 complianceprofessionals en vervullen een paar honderd professionals deze post in andere sectoren. In hun grote voortvarendheid lijken de compliance officers taken van hun collegae security managers over te nemen, maar de realiteit is
Wat is compliance? De Nederlandsche Bank (DNB) paste haar oorspronkelijke visie over compliance in 2001 aan en vertaalde deze naar een praktischer definitie: ‘De naleving van wet- en regelgeving, alsmede het werken volgens de normen en regels die een instelling zelf heeft opgesteld.’
36
anders. Moet de security manager zich toch zorgen maken? Allerminst! Een schets van de ontwikkelingen in de wereld van compliance.
Zelfregulering In 1990 was sprake van een voorzichtige ontwikkeling van de compliancefunctie bij de drie grootbanken. De toezichthouders, de koepelorganisatie Nederlandse Vereniging van Banken (NVB) en deze banken zagen de moge-
Als profitorganisaties waren bankiers en verzekeraars niet toegerust op het omgaan met ethische vraagstukken en zochten ze een aanspreekpunt binnen de organisatie. In de praktijk van toen bleek dat de compliance officer een uitstekende keuze was.
Wet- en regelgeving Vanaf 1999 werd de compliancefunctie in de toezichtwetgeving verankerd en verplicht gesteld voor alle financiële
De security manager en de compliance officer hebben elkaar gevonden lijkheid om op basis van zelfregulering de functie gestalte te geven. Hun taak was het interne toezicht op de naleving van de regels betreffende privébeleggingen door medewerkers en bestuurders. De pioniers in dit nieuwe vak ontwikkelden zich binnen hun organisatie vaak van de interne toezichthouder tot sparring partner van het topkader op het terrein van integriteit. Juist die doelgroep had (en heeft) een hoog risicoprofiel op het terrein van koersgevoelige informatie en andere compliancerisico’s. Naast de handel met voorkennis kreeg de financiële sector te maken met een scala aan ethisch getinte onderwerpen, waarmee de compliance officer vervolgens werd belast.
Security Management nummer 6 juni 2011
ondernemingen. Daarmee groeide in enkele jaren de beroepsgroep van enkele tientallen naar de vele duizenden compliance officers van nu. Gestaag ontwikkelde zich rondom deze functie een industrie variërend van gecertificeerde opleidingen en verschillende vakbladen tot een Vereniging van Compliance Officers (VCO). Ook grote accountantskantoren, detacheerders en automatiseerders zagen brood in het product compliance; een ware bedrijfstak ontstond. De financiële toezichthouders, De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) onderkenden het nut en de noodzaak van de compliance officer volledig en anticipeerden daarop
compliance
uitdaging voor de bij de ontwikkeling van wet- en regelgeving voor de financiële sector. Na de terreuraanslagen in september 2001 was de toon gezet en spuwden de toezichthouders een brei aan regelgeving over de sector uit. In het retrospectief kan worden gesteld dat kennelijk onder de noemer van terreurbestrijding veel regels konden worden doorgevoerd die onder normale omstandigheden slechts moeizaam of niet het licht hadden gezien. Vanuit de regeldrift van de toezichthouders en gedragen door het succes van de compliancefunctie kreeg de compliance officer er tal van taken en beleidsterreinen bij. Waar in de tien jaar van haar bestaan de functie zich met name in de effectendienstverlening ontplooide, werd deze na 2001 verbreed naar andere terreinen zoals de bestrijding van witwassen. Bovendien kreeg juist de bestrijding van witwassen een bredere dimensie door de aandacht op terrorismefinanciering en de naleving van nationale en internationale sanctieregels. Na de terreuraanslagen werden juist deze regels aangescherpt en moesten alle instellingen een groot pakket maatregelen uitvoeren. Het neveneffect was dat in veel gevallen de compliance officer het beleidsterrein betrad waar tot dan de afdeling Veiligheidszaken of het Security Department actief was.
Definitie compliancerisico De Vereniging van Compliance Officers (VCO) heeft in haar Beroepscompetentieprofiel het compliancerisico als volgt gedefinieerd: ‘Het risico van wettelijke of regulatieve sancties en van materieel, financieel of reputatieverlies dat een onder toezicht staande financiële instelling kan lopen als gevolg van het onvermogen om gedragsregels na te leven die van toepassing zijn op haar activiteiten.’
Integere bedrijfsvoering De ontwikkeling werd voortgezet en in 2003 zetten de toezichthouders op grond van het Besluit integere bedrijfsvoering kredietinstellingen en verzekeraars een forse stap naar operational risk management. De Nederlandsche Bank (DNB) definieerde integere bedrijfsvoering als ‘Een zodanige bedrijfsvoering dat naleving van normen, zoals in wet- en regelgeving alsmede in eigen interne richtlijnen vastgelegd, maximaal in de bedrijfsprocessen geborgd is.’ Het leek op het lijf geschreven van de compliance officer. Met de wettelijke inkadering van integere bedrijfsvoering en de verfijning van regels heeft DNB een uitwerking gegeven met welke integriteitsrisico’s een financiële instelling te maken kan hebben: » fraude en witwassen, » fiscaliteit, » voorwetenschap,
» terrorismefinanciering, » benadeling van cliënten. Op basis van dit besluit en de onderliggende regelgeving werden banken en verzekeraars verplicht op de volgende terreinen beleid te ontwikkelen en adequate maatregelen te nemen: » het beheersen van integriteitsrisico’s; » het omgaan met cliënten en meer specifiek het voorkomen van belangenverstrengeling; » het aangaan van cliëntrelaties (‘customer due diligence’); » het omgaan met informatie; » het omgaan met incidenten; » het omgaan met functionarissen in integriteitsgevoelige functies. De waarborgen voor een integere bedrijfsvoering zijn vooral verankerd in de administratieve organisatie en interne controle (waarin functiescheidin-
Security Management nummer 6 juni 2011
37
»
compliance
gen, de verdeling van taken, verantwoordelijkheden en bevoegdheden zijn opgenomen) van een instelling. Daarmee betrad de compliance officer volgens velen het terrein van de security manager, de operational risk manager, de internal auditor en juridische zaken. De soep werd echter niet zo heet gegeten als ze werd opgediend. In de meeste organisaties trad de compliance officer als coördinator op en gaf deze samen met zijn collega’s van audit, security en operational risk uitvoering aan de ontwikkeling van beleid en daarop betrekking hebbende maatregelen. Bovendien werden met de inwerkingtreding van de Wet op het financieel toezicht de aanvankelijk als rule based gepresenteerde regels getransformeerd naar risk based. Dit betekende dat de organisatie op basis van een risicoanalyse zelf de mate van beleid en maatregelen kon bepalen op basis van onder meer het risicoprofiel dat men had opgesteld. De interdisciplinaire aanpak van deze regels zou een voorwaarde moeten zijn in het welslagen van de missie. Immers, de beheersing van integriteitsrisico’s in de dagelijkse bedrijfsvoering omvat de bewustwording, de bevordering en de handhaving van integer handelen binnen alle lagen van de organisatie waarbij dus verschillende disciplines betrokken zijn.
Compliance in veel sectoren Anno 2011 is compliance geen unicum meer voor alleen de financiële sector. Ook andere sectoren hebben – al dan niet op basis van wetgeving - een compliance-organisatie ontwikkeld.
Voorbeelden zijn de farmaceutische industrie, energiesector, lucht- en ruimtevaart, petrochemie, bouwnijverheid en transport. Ook beursondernemingen en internationaal georiënteerde bedrijven investeren in compliance. De argumenten voor deze sectoren kunnen verschillen, maar grosso modo is men tot invoering van compliance gekomen door: » verplichtingen die vanuit andere jurisdicties op de Nederlandse entiteiten van de organisatie worden gelegd, bijvoorbeeld op basis van Amerikaanse wet- en regelgeving; » de confrontatie met non-compliance; » te anticiperen op de komst van wetgeving, die een sector verplicht om maatregelen te treffen in het kader van compliance en integriteit. Met name het internationaal georiënteerde bedrijfsleven heeft te maken met
Security & Compliance De security manager en de compliance officer hebben elkaar gevonden. Soms in een functionele lijn, maar steeds meer als collega’s in één Operational Risk Department. Bij veel kleine en
Verschillende security managers hebben hun takenpakket met compliance verbreed bestaande en nieuwe regels zoals de US Embargo Rules en de Foreign Corrupt Practices Act. Bestuurders van Nederlandse bedrijven zijn zich nauwelijks bewust van de risico’s die hun organisatie en zij zelf als verantwoordelijke bestuurder kunnen lopen bij non-compliance. In een situatie van non-compliance blijken buitenlandse toezicht-
Samenvatting » Rond 1990 deed in het Nederlandse bedrijfsleven de compliancefunctie haar intrede. » Vanaf 1999 werd de compliancefunctie in de toezichtwetgeving verankerd en verplicht gesteld voor alle financiële ondernemingen. » De waarborgen voor een integere bedrijfsvoering zijn vooral verankerd in de administratieve organisatie en interne controle van een instelling. Daarmee betrad de compliance officer volgens velen het terrein van onder anderen de security manager. » De security manager en de compliance officer hebben elkaar inmiddels gevonden. Soms in een functionele lijn, maar steeds meer als collega’s in één Operational Risk Department. » Bij veel kleine en middelgrote organisaties in de financiële sector zijn compliance en security inmiddels al samengesmolten tot één afdeling. De beide taakgebieden zien elkaar niet als concurrent maar zijn complementair aan elkaar.
38
houders of opsporingsdiensten weinig begrip te hebben voor bedrijven die niet beschikken over een complianceorganisatie of een weldoordacht complianceprogramma. Indien in de Verenigde Staten een organisatie in geval van non-compliance kan aantonen te beschikken over complianceregels, dan kan men op basis van de US Federal Sentencing Guidelines strafvervolging voorkomen of in aanmerking komen voor strafvermindering. Dat geldt overigens ook voor Nederlandse bedrijven die in de Verenigde Staten verdacht worden van een overtreding van de Amerikaanse wet- en regelgeving. Die wetgeving heeft een vergaande extraterritoriale werking.
Security Management nummer 6 juni 2011
middelgrote organisaties in de financiële sector zijn compliance en security inmiddels al samengesmolten tot één afdeling. De beide taakgebieden zien elkaar niet als concurrent maar zijn complementair aan elkaar. Compliance veelal vanuit een juridische of audithoek en security vanuit een operationele invalshoek. Samen sterk dus. Daar waar onvoldoende voedingsbodem is voor het opzetten van een aparte compliancefunctie kan het opzetten van compliancetaken voor de security manager een wenselijke ontwikkeling zijn. Bovendien hebben veel security managers – evenals internal auditors – affiniteit met het onderwerp. Er zijn inmiddels verschillende security managers die hun takenpakket met compliance hebben verbreed of een opleiding tot Certified Compliance Professional hebben gevolgd. Klaar voor de toekomst met nieuwe uitdagingen. ‹‹ * Alle Wielenga is oprichter van het Nederlands Compliance Instituut en thans adviseur van de directie
risicomanagement
BCM: een zorg voor de omgeving? Business continuity management (BCM) is allang niet meer alleen ‘disaster recovery planning’. In dit artikel een schets van de ontwikkelingen van BCM in de afgelopen decennia tot wat het nu is: een holistisch managementproces. Maar inmiddels is er ook sprake van verwevenheid van de onderneming met de omgeving. WILBERT RODENHUIS *
D
oor de jaren heen is de scope van Business Continuity Management (BCM) veranderd. In een omschrijving van PriceWaterhouseCoopers (1992) wordt BCM gelijkgesteld aan ‘disaster recovery planning’. Waar het bij BCM dan om gaat, is het identificeren en beschermen van kritische bedrijfsprocessen en grondstoffen die noodzakelijk zijn om een acceptabel niveau van de bedrijfsvoering in stand te houden in tijden van bedrijfsuitval (bijvoorbeeld door brand, ramp enz.).
Tot BCM wordt ook de organisatie van preparatie en training voor dergelijke noodsituaties gerekend. In de BCMliteratuur kunnen we in de naoorlogse jaren een toenemende professionalisering constateren. Grofweg is vooral in de jaren 60 tot 80 van de vorige eeuw de ontwikkeling van steeds geavanceerdere methodieken zoals contingency analysis en contingency planning waar te nemen. Een belangrijke stimulus werd gevormd door de toenemende afhankelijkheid van informatiesystemen.
Onvermijdelijk Het is dan ook niet verwonderlijk wanneer u bij uw speurtocht naar BCM vooral veel verwijzingen zult vinden naar toepassingen op IT-gebied. Dit neemt uiteraard niet weg dat deze methodieken ook hun toepassing vinden bij andere facilitaire zaken. Het idee hierachter is simpel: zorg ervoor
dat de essentiële infrastructuur van de onderneming zo snel mogelijk weer overeind staat, zodat de mensen aan de slag kunnen. Wetenschappelijk onderzoek naar de oorzaken van calamiteiten toont echter aan dat in veel gevallen de oorzaak
het gaat er om de organisatie als geheel veerkrachtig (‘resilient’) te maken, zodat zij bestand is tegen calamiteiten. Dit betekent niet alleen aandacht voor infrastructuur, maar aandacht voor het socio-technisch systeem als geheel. Een tweede toevoeging is de toegenomen aandacht voor crisismanagement,
Non-compliance zal uiteindelijk de bestaansvoorwaarden ondermijnen en het verloop van een calamiteit niet eenduidig toe te schrijven zijn aan het voorkomen van een enkele oorzaak. Perrow’s Normal Accident Theory (1984) bijvoorbeeld beschrijft het voorkomen van ongevallen en catastrofes vanuit het perspectief van het systeem en maakt duidelijk dat deze bij sommige systemen als ‘normaal’, dat wil zeggen als onvermijdelijk, moeten worden opgevat.
Veerkrachtig De jaren 90 tot heden laten een verdere verbreding in de scope van BCM zien. Belangrijkste toevoegingen zijn op de eerste plaats de aandacht voor de inrichting van de organisatie en de daarbij behorende organisatiecultuur. Het gaat er dan al lang niet meer om in staat te zijn data en infrastructuur zo snel mogelijk te herstellen. Integendeel,
waarbij de vraag is hoe om te gaan met een catastrofe of naderend onheil. Centrale onderwerpen hierbij zijn: » Hoe kunnen we (een naderende) catastrofe herkennen? » Hoe verzamelen, selecteren, delen we informatie naar betrokken actoren binnen de onderneming, naar hulpverleners, overheden en het publiek? En uiteraard ook de thema’s leiderschap en besluitvorming in tijden van crisis. » En wellicht op langere termijn het belangrijkste: op welke manier kunnen we van catastrofes leren? De verbreding van de scope komt wellicht het meest tot uitdrukking in de omschrijving van Elliott, Schwartz en Herbane in 2010: ‘BCM is an holistic management process
Security Management nummer 6 juni 2011
39
»
risicomanagement
te omgeving: omwonenden en de reddingswerkers. Gevolgen zullen ook merkbaar worden voor het milieu. De directe economische schade voor de onderneming valt in het niet bij de indirecte gevolgen voor de economie en energievoorziening voor Japan en indirecte gevolgen voor internationale markten en (energie)prijzen. De reputatieschade gaat in dit geval veel verder dan die voor de onderneming zelf, maar strekt zich uit tot de mondiale nucleaire sector. Mede onder druk van publieke opinie en verkiezingen worden bestaande nucleaire installaties overal ter wereld onderzocht en worden nieuwe investeringsbeslissingen uitgesteld. De ramp met de Fukushima-kerncentrales is een recent voorbeeld ter illustratie van het belang van zorg voor de omgeving. that identifies potential impacts that threaten an organisation and provides a framework for building resilience and the capability for effective response that safeguards the interests of its key stakeholders, reputation, brand and value creating activities.’
BCM en bedrijfsomgeving In voorgaande omschrijving komt expliciet de zorg voor de bedrijfsomgeving in beeld. Het gaat niet alleen om directe belangen van de onderneming,
neming als de schade aan het productieproces en de voorraden. Maar er is meer te zeggen over de omgeving. In toenemende mate kunnen wij constateren dat van ondernemingen wordt verwacht dat zij zorgdragen voor hun omgeving. Dit komt onder andere tot uitdrukking in de wet- en regelgeving en in bredere zin door de toepassing van het voorzorgprincipe (bijvoorbeeld de Rio Declaratie/toepassing van het voorzorgprincipe binnen
Lopen wij niet het gevaar ons veilig te wanen? maar om de bescherming van de belangen van key stakeholders, reputatie en merken. Met name mogelijke reputatie- en merkschade blijken in de praktijk van minstens even grote zorg voor het voortbestaan van de onder-
n
overh ede
ars
ng
r
ve
financiers maatschappij
SAXION
Stakeholders in de bedrijfsomgeving.
40
Hier volgen drie recente voorbeelden ter illustratie van het belang van zorg voor de omgeving.
ek era
ge
concurrenten pe n
rz
cultuur
an oe
millieu
flict
den
organisatie b el
natuur
afnemers
con
toeleveranciers
nen wo om
stakeholders en bedrijfsomgeving deelhouders aan markt
de EU). Non-compliance zal uiteindelijk de bestaansvoorwaarden van de organisatie ondermijnen. Tot de key stakeholders uit de omgeving behoren dan niet alleen toeleveranciers, afnemers en aandeelhouders. Maar ook bijvoorbeeld omwonenden, overheden, belangengroepen, financiers en verzekeraars.
Fukushima De ongevallen bij de Fukushima kerncentrales hebben niet alleen effecten voor de zwaarst getroffenen in de direc-
Security Management nummer 6 juni 2011
Chemie-Pack De recente brand bij Chemie-Pack in Moerdijk is van een veel geringere omvang. Onderzoek zal duidelijk moeten maken in hoeverre de onderneming zich heeft gehouden aan verplichte voorzorgsmaatregelen voor de opslag van gevaarlijke stoffen, dan wel of bestaande regelgeving voldoende is. Dan nog strekt de discussie zich uit naar de verantwoordelijkheid van de overheid. Is er sprake geweest van voldoende toezicht en handhaving door de autoriteiten? Een apart vraagstuk bij overheidsregulering is dat van de publieke verantwoordelijkheid: in de media en het publieke debat verschuift de focus al snel van verantwoordelijkheid van de onderneming naar verantwoordelijkheid van de overheid. In dit geval was het de overheid die als eerste overging tot schadebetaling aan omliggende tuinders, mede ingegeven door het feit dat de overheid uit voorzorg de consumptie van groenten uit het omliggende gebied verboden had. Maar ook omdat werd verwacht dat de schade voor de omgeving niet door ChemiePack kan worden gedragen. Vitale infrastructuur Een derde voorbeeld dat ik wil noemen, is dat van de sectoren die behoren tot de vitale infrastructuur. Deze sectoren zijn essentieel voor de samenleving als geheel. Jaarlijks worden daarom door de overheid nationale risicoanalyses gemaakt en probeert men niet alleen middels regelgeving, maar ook middels
risicomanagement
convenanten BCM- en securitymaatregelen te nemen. Naast de aloude zorg voor onze waterkeringen, behoren ook andere sectoren tot deze infrastructuur. Opvallend in dit verband is de positie van de financiele sector, belangrijke aandacht hierbij is de continuïteit van het betalingsverkeer. In de risicoanalyses werd de bijna ineenstorting van onze financiële sector als gevolg van een kredietcrisis helaas niet in het scenario meegenomen. Hiertoe worden nu wel regelmatig stresstesten gedaan. Wat voorgaande voorbeelden duidelijk maken is dat de zorg voor bedrijfscontinuïteit zich niet beperkt tot een snelle wederopbouw van de infrastructuur van de onderneming. De verwevenheid van de onderneming op vele fronten met de omgeving zorgt ervoor dat de omgevingsverantwoordelijkheid in het geval van een catastrofe centraal dient te staan.
BCM: een zorg voor de omgeving? Volgens Andrew Hiles, auteur van het Definitive Handbook of Business Continuity Management (2007), groeit de ‘BCM business’ jaarlijks met 25 procent. Als oorzaken noemt Hiles: » toenemende afhankelijkheid van informatietechnologie; » toenemende complexiteit van productieprocessen en onderlinge afhankelijkheden van bedrijven; » ontwikkeling van global markets; » toename van just-in-time leveranties; » toename van branding; » het feit dat in toenemende mate afnemers van producten en halffabrikaten in deze situatie waarborgen eisen voor een stabiele toevoer qua omvang en specificaties en BCM-certificatie zien als normaal onderdeel van kwaliteitsmanagement. Er zijn ook andere oorzaken aan te wijzen. In een onderzoeksbundel onder redactie van de sociologen Baker & Simon (2007) komt naar voren dat verzekeraars in toenemende mate niet alleen voor risicofinanciering zorgen,
maar dat zij ook bijdragen aan verandering in gedrag, onder andere door verzekeringsvoorwaarden. Ook dragen zij bij tot veranderingen in opvattingen over het nemen van verantwoordelijkheid. Verscillende andere sociologen (o.a. Beck, Giddens, Bernstein, Wildavsky en Douglas) gaven al eerder verklaringen voor de toegenomen aandacht voor de omgang met (technologische) risico’s in onze ‘reflexieve samenleving’ en de ontwikkeling van de ‘Who is to blame game’ als risico’s werkelijkheid worden.
Keerzijde De vraag is of de groei van BCM en bijbehorende systemen van normeringen, audits en accreditaties voldoende zijn om bestaande en mogelijk toekomstige (onzekere) risico’s te voorkomen. Lopen wij niet het gevaar te veel aandacht te schenken aan de tools van BCM? Wordt het voldoen aan deze systemen niet te veel gebruikt ter justificatie van onze activiteiten en om ons in te dekken tegen mogelijke toekomstige schadeclaims? Michel Power heeft in zijn boek Organized Uncertainty, designing a world of risk management (2007) naar mijn overtuiging terecht gewezen op de keerzijde van dit soort systemen. In zijn beeld gaat het al lang niet meer om een zinvolle reflectie op risico’s van ons handelen, maar om de creatie van een risicowereld, een risicotaal met eigen risicomanagementsystemen en risico-experts.
Slotvraag
andere woorden onze interesse niet te veel verschoven naar vastgelegde procedures die op een vastgelegde (gecertificeerde) manier zijn beschreven? Denken we niet te snel dat we veilig zijn als er een certificaat is verleend? In mijn optiek moet worden gezocht naar een hernieuwde balans. Waarbij we ons tevens met minstens evenveel inzet blijven richten op het leren van ervaringen en het ontdekken van nieuwe veilige en duurzame manieren waarop wij onze productieprocessen inrichten en grondstoffen kunnen inzetten. Dit betekent blijvende inzet, onder andere vanuit engineering, life-sciences, informatietechnologie en organisatiepsychologie. Dit betekent ook de ontwikkeling van early-warning-systemen bij toepassing van nieuwe technologieen, waarvan we op dit moment de risico’s nog niet kennen. En zelfs dan, wanneer we alles uit de kast hebben gehaald om de veiligheid van de onderneming en de omgeving te waarborgen, zullen risico’s blijven bestaan. ‹‹ * drs. W.K.F. Rodenhuis is verbonden aan het Saxion Kenniscentrum Leefomgeving en werkzaam als lector Risicobeheersing, www.saxion.nl/leefomgeving. Dit artikel is een samenvatting van de presentatie die de auteur heeft gegeven op de gezamenlijke Universiteitendag van de Nederlandse Vereniging voor Risicoanalyse en Bedrijfscontinuïteit en het Genootschap voor Risicomanagement. Deventer 7 april 2011
De slotvraag is voor mij: lopen wij niet het gevaar ons veilig te wanen? Is met
Samenvatting » Door de jaren heen is de scope van Business Continuity Management verbreed. » De zorg voor de bedrijfsomgeving wordt steeds belangrijker. Het gaat niet alleen om directe belangen van de onderneming, maar om de bescherming van de belangen van key stakeholders, reputatie en merken. » Dit komt onder andere tot uitdrukking in de wet- en regelgeving en in bredere zin door de toepassing van het voorzorgprincipe. Non-compliance zal uiteindelijk de bestaansvoorwaarden van de organisatie ondermijnen. » De vraag bij dit alles is: denken we niet te snel dat we veilig zijn als er een certificaat is verleend?
Security Management nummer 6 juni 2011
41
beur s
Ifsec 2011: camera’s domineren Van 16 – 19 mei vond in Birmingham de 38ste editie plaats van de jaarlijkse International Fire and Security Exhibition and Conference (Ifsec). Meer dan 700 exposanten vanuit de hele wereld toonden hun nieuwste producten. Opvallend: het aantal aanbieders van camera’s wordt wel erg dominant. ARJEN DE KORT
M
et een aanbod van ruim 700 exposanten, verdeeld over de thema’s cctv, toegangscontrole, antiterrorisme & fysieke security, inbraakalarmering, geïntegreerde security/IP & netwerkoplossingen, en security-oplossingen, zijn de vooruitzichten voor een bezoek aan de 38ste editie van de International Fire and Security Exhibition and Conference (Ifsec) in het Engelse Birmingham goed. En het moet gezegd, wie zijn ronde door de immense hallen van het National Exhibition Centre (NEC) doet, wordt niet teleurgesteld en kan zich te goed doen aan de vele laatste snufjes op securitygebied. Menig exposant heeft weer fors uitgepakt, waarbij de stands van Norbain, Panasonic en vooral Samsung er uitspringen. Ook het internationale karakter van de beurs wordt dan weer duidelijk met de vele vertegenwoordigers én bezoekers uit Azië (China, Taiwan, Zuid-Korea), Scandinavië en Oost-Europa.
42
Trends Een kritische blik leert echter dat er ook partijen zijn die met een zuinig(er) oog naar de ingekochte vierkante meters hebben gekeken. En niet onbelangrijk, dat het voorgeschotelde brede aanbod op de keper beschouwd toch wat minder gevarieerd is dan verwacht. In de praktijk is het aantal aanbieders van camera’s inmiddels toch wel erg dominant geworden. Op zich misschien begrijpelijk, kijkend naar de ontwikkelingen op cctv-gebied: niet alleen het vertrouwen dat overheden, bedrijven en burgers hebben in de inzet van camera’s bij de bestrijding van criminaliteit en daarmee de groeiende maatschappelijke acceptatie van cameratoezicht, maar ook de mogelijkheid om camera’s breder in te zetten dan alleen voor beveiligingsdoeleinden zijn daar debet aan. Opvallendste trends: high definition (HD) wordt door vrijwel elke leverancier aangeboden en thermische camera’s worden steeds beter en daardoor
Security Management nummer 6 juni 2011
aantrekkelijker om in te zetten voor beveiliging.
Essen of Birmingham Afsluitend zou ik voorzichtig willen concluderen dat voor de securityprofessional de Security Essen inmiddels interessanter is dan de Ifsec, want gevarieerder en completer qua aanbod. Ik krijg de indruk dat zowel Nederlandse bezoekers als exposanten dit ook in de gaten hebben. ‹‹
recherche
Wie is de baas? Een computergroothandel heeft de security organisatorisch goed op orde en er is sprake van een hoge security awareness. Desondanks verdwijnen er uit het centrale magazijn ineens zes dure laptops. Reden voor een onderzoek. RENÉ TERWEY *
E
en computergroothandel met een centraal magazijn heeft de security goed georganiseerd. Er is in een groot deel van het pand camerabewaking en elke dag vindt er een uitgebreide uitgangscontrole plaats. Verder wordt de voorraad wekelijks geteld, is alle apparatuur voorzien van barcodes en wordt er gebruikgemaakt van een geautomatiseerd locatiesysteem. Er zijn per dag twee leidinggevenden
Speeddome In het onderzoek wordt besloten tot de volgende aanpak. In het voorraadsysteem is voor de dure typen van het betreffende merk een vaste locatie opgegeven in een gangpad. Eerst wordt er gedacht aan het plaatsen van een verborgen camera. Om de totale oppervlakte van het gangpad in beeld te brengen, moeten er echter minstens acht camera’s worden geplaatst en bo-
De leidinggevende heeft bekend en is op staande voet ontslagen aanwezig. Zij sturen circa twintig medewerkers aan om het orderpickproces in goede banen te leiden. Het orderpicken gaat geheel geautomatiseerd: medewerkers zien op een beeldscherm naar welke locatie in het magazijn zij moeten gaan om een bepaald product te pakken, vervolgens scannen zij de barcode van het product en geeft de computer aan of dit het juiste product is.
Laptops verdwijnen Door de verschillende securitymaatregelen, voornoemde werkwijze, en de hoge security awareness kan worden gesteld dat de groothandel zijn zaakjes goed heeft geregeld. Telverschillen per week komen wel eens voor, maar zijn vrijwel altijd verklaarbaar. Toch gebeurt het op een bepaald moment dat er in een periode van vijf weken zes dure laptops van het merk Compaq worden vermist. Daarop besluit de directie dat het tijd wordt voor een onderzoek.
vendien is er geen stroomvoorziening. Daarom wordt gekozen voor een nieuwe techniek: een speeddome camera met een groot zoombereik. Op een afstand van circa 80 meter van de laptops wordt deze camera naast een luchtbehandelingsunit aan het plafond op 12 meter hoog gemonteerd. Een belangrijke eigenschap van deze camera is de autotracking functie. Deze zorgt ervoor dat zodra er beweging plaatsvindt binnen het beeld de camera hierop inzoomt en de persoon blijft volgen tot het moment dat deze buiten het bereik van de camera komt.
Opgelost … De beelden worden na enige tijd geanalyseerd en vergeleken met de pickopdrachten van de medewerkers. Het blijkt dat een medewerker een laptop uit het schap heeft gehaald, waarvoor geen opdracht in het systeem stond. Daarmee lijkt de zaak opgelost … De opdrachtgever geeft echter aan dat
de betreffende 23-jarige jongeman een beetje labiel, maar wel een harde werker - niet in staat wordt geacht om dit zelfstandig te doen. Verder is het volgens de opdrachtgever onmogelijk dat hij met een laptop het pand heeft kunnen verlaten.
‘Spoedje’ Desondanks wordt besloten om de jongeman te confronteren met het feit dat hij een laptop heeft gepakt waarvoor geen pickopdracht was verstrekt. In het gesprek geeft hij aan nooit artikelen uit het schap te halen zonder daarvoor een opdracht te hebben ontvangen. Geconfronteerd met de feiten is zijn reactie: ‘Oh die … Daar heb ik wel een opdracht voor gehad. Echter, niet van de computer maar van mijn baas!’ Wat blijkt? Zijn leidinggevende gaf hem af en toe opdracht om een ‘spoedje’ tussendoor te doen. Vervolgens moest hij deze laptop in het rek met de defecte artikelen leggen. Omdat de twee leidinggevenden aan het einde van de dag het pand afsluiten en een ronde om en door het pand maken, was er altijd een moment waarop de bewuste leidinggevende even alleen was en de gelegenheid had om de laptop in zijn fietstas te doen. De jongeman werkt nog steeds in het magazijn; de leidinggevende heeft bekend en is op staande voet ontslagen. Zo wordt weer eens duidelijk hoe een gezagsverhouding kan worden misbruikt door ‘de baas’. ‹‹ * René Terwey is directeur van VMB security & solutions te Almere (www.vmbrecherche.nl)
Security Management nummer 6 juni 2011
43
over
Het Nieuwe Werken
108&34&.*/"34 -&*%*/((&7&/ ""/ %& /*&68& 8&3,&34 )3 "-4 ""/+"(&3 7003 )&5 /*&68& 8&3,&/ 4IJGU
$USM
)PNF
1SBLUJTDIF UJQT WPPS MFJEJOHHFWFOEFO FO )3 NBOBHFST
/JFVX )/8 JFEFSFFO QSBBU FS PWFS %PPS NFEFXFSLFST FFO MBQUPQ TNBSU QIPOF FO IFFM WFFM WFSUSPVXFO UF HFWFO CFOU V FS FDIUFS OPH OJFU (SPUF WFSBOEFSQSPHSBNNB T LVOOFO XFSLFO NBBS FS JT FFO FGGFDUJFWFSF NBOJFS 8JMU V XFUFO XFMLF DPODSFUF UJQT NPHFMJKLIFEFO FO WPPSBM IBOEWBUUFO FS CFTDIJLCBBS [JKO WPPS VX PSHBOJTBUJF PN QSBHNBUJTDI BBO EF TMBH UF HBBO NFU MFJEJOHHFWFO BBO )/8 %BO [JKO EF[F TFNJOBST WPPS V
%0/%&3%"( +6/* #$/ $BQFMMF BBO EFO *+TTFM
%0/%&3%"( +6/* #$/ 6USFDIU
XXX PIOX OM QPXFSTFNJOBS
recht
Man veroordeeld voor oplichten transportbedrijf Een man doet zich voor als (medewerker van) een transportbedrijf en drukt daarmee 2.250 laptops met een waarde van ruim één miljoen US dollar achterover. De rechtbank acht de feiten bewezen en veroordeelt de man tot een gevangenisstraf van 42 maanden. ROB POORT *
E
en Eindhovens bedrijf biedt via Teleroute - een website voor vrachtuitwisseling - een lading van 2.250 Lenovo-laptops met een waarde van ruim één miljoen US dollar aan voor transport. De opdracht wordt gegund aan DHL Freight uit Roermond. De aanbieder heeft ter controle voor de gunning van het transport een fax ontvangen van DHL. Die fax blijkt achteraf te zijn verstuurd vanuit een Texacotankstation, ook uit Roermond. Een dag later wordt de lading laptops in Eindhoven opgehaald door een vrachtwagencombinatie. De portier noteert het kenteken van de trekker. De lading moet worden afgeleverd in Duitsland, maar komt daar nooit aan.
Vordering Openbaar Ministerie Machielse wordt ten laste gelegd dat hij via de internetsite Teleroute meer dan 2.000 laptops heeft ontvreemd en zich via faxen heeft voorgedaan als medewerker van DHL Freight, een bonafide transportbedrijf. Hij heeft valsheid in geschrifte gepleegd - het op de fax vermelde briefhoofd en de bedrijfsgegevens waren vervalst - en een vrachtwagen voorzien van valse kentekenplaten. Verder wordt hij ook nog vervolgd wegens overtreding van de Wet Wapens en Munitie en voor overtreding van de Opiumwet.
Standpunt verdediging De raadsman vordert vrijspraak, omdat niet kan worden bewezen dat Machielse overal bij was betrokken. De chauf-
De lading moest worden afgeleverd in Duitsland, maar kwam daar nooit aan Uit camerabeelden blijkt dat het ging om een witte trekker met oplegger, voorzien van een internetadres. Onderzoek wijst uit dat ene Machielse rond die dagen een opleggercombinatie heeft gehuurd en dat voor de tachograaf ook zijn chauffeurspas is gebruikt. Op zijn computer thuis wordt een Word-bestand aangetroffen met daarin het briefhoofd van het transportbedrijf. Daarin staat niet het werkelijke faxnummer, maar het nummer van het Texaco-tankstation. Machielse en twee medeverdachten worden vervolgd.
feur van de vrachtwagen die de laptops ophaalde, heeft zich gelegitimeerd als iemand anders. Machielse was niet de chauffeur van de vrachtwagen. Sterker nog, de politie heeft Machielse omstreeks het moment dat de laptops werden opgehaald in zijn auto aangetroffen. Dat hij telefonisch contact had met de andere verdachten wil niet zeggen dat er sprake is van samenwerking.
Bewezen De rechtbank overweegt dat Machielse een trekker met oplegger heeft gehuurd die voldoet aan het signalement van de vrachtwagencombinatie die is gebruikt
bij de oplichting. De portier heeft het kenteken genoteerd en in de computer van Machielse is een bestand aangetroffen, waarin naast het vervalste briefhoofd van het transportbedrijf ook het vervalste kenteken stond. Daarmee acht de rechtbank bewezen dat deze door Machielse gehuurde vrachtwagencombinatie in januari 2010 de lading laptops heeft opgehaald. Dat Machielse niet weet hoe deze belastende bestanden op zijn computer zijn gekomen en dat iemand die op bezoek is geweest dit moet hebben gedaan, acht de rechtbank ongeloofwaardig. Verder is Machielse op het moment van het ophalen van de laptops door de politie aangetroffen in een auto op een parkeerterrein tegenover de aanbieder. Daaruit blijkt dat hij niet de chauffeur van de vrachtwagen was en hij het feit niet alleen gepleegd heeft. Daarom acht de rechtbank wettig en overtuigend bewezen dat Machielse de oplichting met een of meer anderen heeft gepleegd. De rechtbank veroordeelt hem conform de eis van de officier van justitie tot een gevangenisstraf van 42 maanden, met aftrek van voorarrest. ‹‹ Noot De twee medeverdachten zijn vrijgesproken wegens gebrek aan bewijs! Rechtbank ‘s-Hertogenbosch, 15 november 2010, LJN: BO3806; LJNBO3692 & LJN BO3695 * mr. ing. R.O.B. Poort is jurist en veiligheidskundige (www.bureaupoort.nl)
Security Management nummer 6 juni 2011
45
produc ten -/dienstenregister Beveiliging en toegangscontrole
Beveiliging en toegangscontrole
CCTV
Handlampen
Toegangscontrolesystemen
Nedap N.V. Security Management Postbus 103 7140 AC Groenlo (T) 0544 471 666 (F) 0544 464 255 (I) www.nedap-securitymanagement.com
Deursloten
!
!
✠Graag ontvang ik meer informatie over de plaatsingsmogelijkheden in het Producten-/ dienstenregister van Security Management.
Organisatie Naam
M/V
Ingevulde coupon kunt u sturen naar:
Postbus Postcode Plaats
U kunt ook bellen: (0172) 46 64 71 of mailen: bumalphen@kluwer.nl
Tel. E-mail
46
Kluwer t.a.v. Liesbeth van den Hoek Postbus 4 2400 MA Alphen aan den Rijn
Security Management nummer 6 juni 2011
Mail uw informatie (met jpg-foto) voor deze rubriek naar adekort@kluwer.nl
Domecamera met ingebouwde IR-leds Samsung heeft de SCV2081R geïntroduceerd, een high-performance, compacte, vandalismebestendige domecamera met ingebouwde IR-leds, waarmee ‘s nachts 600 hogeresolutie-tv-beelden kunnen worden opgenomen.
De camera is geschikt voor uiteenlopende in- en externe toepassingen, zoals in kantoren, winkels, scholen en ziekenhuizen, en is effectief in veeleisende omgevingen met wisse-
lende weersomstandigheden, sabotage of fysieke aanvallen. Een belangrijke functie is HLC-technologie (Highlight Compensation), waarmee overbelichte gebieden, zoals koplampen van een auto, in een beeld kunnen worden aangeduid en geneutraliseerd. De SCV-2081R maakt ook gebruik van Super Dynamic Range, een progressieof achtergrondverlichtingcompensatie die automatisch details in donkere gebieden verbetert op het gehele beeld, zodat in de schaduw verborgen objecten zichtbaar worden.
Liftcontroller voor toegangscontrole
De SSA-PE1202 biedt toegangscontrole voor maximaal 384 verdiepingen. Medewerkers, bewoners of geautoriseerde bezoekers kunnen een toegangscontrolekaart, of een vingerafdruk- of rfid-lezer gebruiken om toegang te verkrijgen tot een specifieke verdieping van een gebouw. Er kunnen maximaal 50.000 gebruikers worden geregistreerd voor het ge-
bruik van vier lezerapparaten in elke lift, terwijl niet-vluchtig geheugen, met een capaciteit van 20.000 voor de gebeurtenisbuffer, informatie over gebruikers en een tijdschema kan opslaan in het geval van een stroomstoring. De SSA-PE1202 kan ook worden geprogrammeerd om toegang per verdieping of per gebruiker te beperken, afhankelijk van het tijdstip en de geprogrammeerde automatische activering/deactivering van liftknoppen.
Ecoline IP-cameras
Brandwerende matten
Geutebruck lanceert een nieuwe serie Ecoline IP-camera’s met de introductie van drie camera’s die kunnen worden geïntegreerd in haar video security system.
De Coral-collectie van Forbo is een lijn van schoonloopsystemen die vuil opnemen en ligt bij deuren/entrees die ook vaak fungeren als uitgang bij brand. Coral is daarom nu ook verkrijgbaar met een brandveilige latexrug, die voldoet aan klasse BFLs1. Deze uitvoering heet Coral FR en is verkrijgbaar voor de gehele collectie die bestaat uit Classic, Brush Activ, Duo en Luxe. De Coral FR mat is getest volgens de geldende Europese brandnorm EN13501-1.
Met de SSA-PE1202 heeft Samsung een liftcontroller toegevoegd aan de oplossingen voor haar toegangscontrole.
De camera’s hebben progressive scan, zijn Onvif compliant en hebben optioneel PoE. De EcoFD-2310 is een fixed dome camera met IR-leds en een varifocale lens voor dag-nachttoepassing. De EcoFD-2410 is een vandaalbestendige, 1.3 megapixel EcoFD-2410 fixed dome camera met IR-leds en een geïntegreerde varifocale lens. De EcoBC1110 is een hybride 1.3 megapixel IPboxcamera met een ½” cmos-beeldsensor en een maximum van 24 bps.
producten
Miniatuur dag/nacht PTZ-dome Honeywell heeft een miniatuur True Day/Night PTZ-domecamera toegevoegd aan de Performance-serie. De HDTX PTZ-dome heeft dezelfde eigenschappen en hetzelfde formaat als een mini-domecamera met vaste lens, maar biedt daarnaast de functionaliteit en veelzijdigheid van een PTZ-dome.
De HDTX is een onopvallende eenheid die geschikt is voor plaatsen waar een grotere dome onpraktisch is. Het kleine formaat blijft vrijwel onopgemerkt in verschillende bewakingstoepassingen voor binnen, waardoor deze camera ideaal is voor winkels of andere omstandigheden waarin toezicht moet worden gehouden op klanten en bezoekers. Door de lens met 10X optische zoom en een resolutie van 470 TVL biedt de camera een uitstekende beeldkwaliteit, zelfs bij weinig licht. De camera maakt gebruik van één enkele verbindingskabel die rechtstreeks in de dome wordt geleid.
Calamiteitenzuil Nsecure heeft een zogenaamde calamiteitenzuil gelanceerd.
De zuil biedt ondersteuning bij de ontruiming als zich calamiteiten voordoen. Het scherm van de zuil toont een plattegrond van het pand of terrein met: » locatie van alle verzamelplaatszuilen; » grafische weergave van de locatie van de calamiteit; » directe spreek- en luisterverbinding via camera/intercom; » lichtsignaal voor weergave veilige/ onveilige situatie; » windrichting in pijl en graden en windsnelheid in m/sec; » bepaling van vluchtroute. De zuil is eenvoudig in gebruik. Handmatig kunnen gegevens worden toegevoegd en weergegeven, waardoor dynamische informatie beschikbaar komt. Diverse uitbreidingsopties, zoals specifieke rapportages, weersverwachtingen en nieuwsberichten, zijn mogelijk.
Security Management nummer 6 juni 2011
47
contacten en contracten
Mail uw informatie (met jpg-foto) voor deze rubriek naar adekort@kluwer.nl
Nieuwe businesspartner Nedap Nedap heeft haar positie in de Duitse markt versterkt met een nieuwe businesspartner: nTp, de nedap Technology partner voor security management GmbH. nTp is opgericht door voormalige managers van primion Technology AG, die beschikken over aanzienlijke
markt- en technologie know-how. Jürgen Schneider, een van de oprichters, is tevens voorzitter van de vakvereniging van fabrikanten en installateurs van geïntegreerde netwerktechniek (Bundesverband der Hersteller und Errichter, BHE).
Komen product manager Healthcare Met ingang van 12 mei is Jean-Marc Komen benoemd tot product manager Healthcare bij Securitas. In deze functie verzorgt
hij de verdere ontwikkeling van specifieke beveiligingsoplossingen voor het zorgsegment. Komen werkt sinds 1 juni 2004 bij Securitas als respectievelijk sales adviseur en sales manager. Deze laatste functie blijft hij uitvoeren.
Geslaagden ISM 31 ISM 31 is op 15 en 29 april jongstleden afgesloten met het examen. Vijftien deelnemers zijn geslaagd, te weten: R.A. Groenewegen (Flora Holland Aalsmeer), M.W.A. Kemkens (provincie Gelderland), J. Kerremans (Nedstaal B.V.), F. Kiepe (G4S Cash Solutions), K. Mulder (NIFP), M. van Leeuwen (G4S Cash Solutions), J. Peters (Hollander Techniek), P.A. de Rooij (Secustore.nl), I.D. Schenk (Universiteit Utrecht), E.R. Staar (Unilever), J. Takens (ministerie van Veiligheid & Justitie), G.A.M. Wibier (Shell International), C. Willemsen (Flora Holland Aalsmeer), P. Willemse (ministerie van Veiligheid & Justitie), E.S. ten Wolde (KLPD Dienst Waterpolitie).
ASR Nederland kiest voor Facilicom Financieel dienstverlener ASR Nederland besteedt haar facilitaire dienstverlening sinds 1 mei uit aan Facilicom Facility Solutions (FFS).
FFS wordt verantwoordelijk voor de schoonmaakactiviteiten, catering en beveiliging op de drie kantoorlocaties van ASR Nederland in Utrecht en Amersfoort. Het betreft een contract
Ruijter naar Signum Interfocus
voor onbepaalde tijd. FFS gaat niet alleen de eerder vermelde facilitaire diensten aanbieden, maar ook aanvullende servicediensten en de facilitaire coördinatie van het geheel. Zo staat een coffeecorner gedurende de gehele dag ter beschikking van medewerkers en klanten, en kan er onder meer gebruik worden gemaakt van een stomerij- en vermaakservice.
Van der Kluit in MT D&B
Keurmerk Brandveilig Gebouw voor woonzorgcomplex In opdracht van Facility Portal heeft Dijkoraad Viavesta een woonzorgcomplex aan de Barbeelsingel te Hoogvliet gecertificeerd met het Keurmerk Brandveilig Gebouw volgens de Regeling Brandveilig Gebruik Bouwwerken. Het pand voldoet hiermee aantoonbaar aan de geldende brandveiligheidseisen.
Per 1 april is Ide Ruijter begonnen als consultant bij Signum Interfocus Riskmanagement. In deze rol adviseert hij klanten rond integriteitsrisico’s, geeft hij fraudepreventieve trainingen en doet hij aanstellingsonderzoeken. Hiervoor was Ruijter werkzaam bij Vitae. Jelle van der Kluit is aangesteld als manager strategy & concepts bij de facilitaire dienstverlener D&B The Facility Group. Voorheen was Van der Kluit werkzaam bij organisatieadviesbureau Twynstra Gudde als facility management consultant en onderzoeker/ medeauteur van het jaarlijkse TG/FMN Facility Management marktonderzoek. Binnen D&B versterkt Van der Kluit het managementteam. Hij is verantwoordelijk voor het domein strategie, concepten en innovaties.
48
De cursusgroep aan het begin van de cursus in februari jongstleden.
Security Management nummer 6 juni 2011
Anja Cox (begeleiding Pameijer Barbeelsingel) en Joop van Dorp (Cliëntenraad) onthullen het Keurmerk Brandveilig Gebouw.
Mail uw informatie (met jpg-foto) voor deze rubriek naar adekort@kluwer.nl
Samenwerking Aras Security en Assa Abloy Op 3 mei is een samenwerkingsovereenkomst getekend tussen Aras Security en Assa Abloy Nederland bv voor de lijnen AA en SA binnen A-Lox, de onlangs geintroduceerde elektronische slotenlijn van Aras Security. De onbekabelde, zowel realtime rfid (AA) als offline (SA) deurcomponenten worden door Aras op de beveiligingsmarkt aangeboden.
contacten en contracten
BORG Certificaat voor Brink’s Alarmcentrale (rechts op de foto) overhandigde het document aan Ran Ancho, algemeen directeur van Brink’s Nederland.
Stichting Nationaal Centrum voor Preventie (NCP) heeft bepaald dat Brink’s Alarmcentrale voldoet aan de eisen die aan BORG-certificering worden gesteld.
Op basis hiervan heeft het ministerie van Justitie de vergunning voor het in stand houden van de Brink’s Alarmcentrale verleend. Op 28 april vond de officiële uitreiking van het certificaat op de Brink’s vestiging in Best plaats. Voormalig manager Certificeringen van NCP Henk in ‘t Veld
FM-overeenkomst Falck en ISS Falck Nederland en ISS Integrated Facility Services hebben een FMovereenkomst getekend.
Marc Lamboo (sales manager Assa Abloy) en Paul Stuffertz (productmanager Aras) (staand, v.l.n.r.), Robert Faber (directeur Aras) en Bas Kuppens (senior account manager Assa Abloy) (zittend, v.l.n.r.) bij de ondertekening van de samenwerkingsovereenkomst.
Floriade 2012 kiest voor Securitas De Floriade en Securitas gaan een samenwerking aan voor de beveiliging van de Wereld Tuinbouw Expo Floriade 2012.
Het samenwerkingscontract is getekend door Fedor Kwerreveld, commercieel directeur Securitas en Paul Beck, algemeen directeur van de Floriade. Floriade 2012 is het grootste evenement dat in 2012 in Nederland georganiseerd wordt. Van 5 april t/m 7 oktober 2012 verwacht de Floriade gemiddeld 20.000 bezoekers per dag. Zowel tijdens de opbouw van de Floriade als tijdens de tentoonstelling zelf zal Securitas het terrein en de bezoekers en exposanten beveiligen. De activiteiten richten zich voornamelijk op het coördineren van bezoekersstromen, toegangscontrole, parkeerbeheer, ontvangst en vip-begeleiding, surveillances en alarmopvolging.
ISS gaat de facilitaire diensten leveren voor Falck Nutec in Nederland. Het contract heeft een initiële looptijd tot 1 februari 2015. De overeenkomst betreft een full scope outsourcing, waarbij de partijen zich in eerste instantie zullen richten op het facility management en de uitvoering van de schoonmaak en de catering. De overige diensten zullen na verloop van tijd worden toegevoegd.
Ben van der Veer (FM manager ISS), Tijs van Lieshout (algemeen directeur Falck Nederland), John de Rooy (directeur ISS Integrated Facility Services), Edwin Klok (manager sales support ISS) en Anthony Leckie (directeur Shared Service Centre Falck Nederland) (v.l.n.r.).
Nsecure wint Essent Award
Jaarlijks reikt Essent Facility Service de Facilitator Of The Year Award uit aan een leverancier/partner die zich op
meerdere fronten weet te onderscheiden. Eind 2010 diende Nsecure/G4S samen met negentien andere leveranciers van Essent een business case in. Als één van de genomineerden mocht Nsecure/G4S onlangs haar business case presenteren tijdens een leveranciersevenement. Daar stemde zowel de professionele jury als het publiek in de zaal voor Nsecure/G4S.
Keurmerk Evenementenbeveiliging voor Trigion Trigion heeft het Keurmerk Evenementenbeveiliging van de Vereniging van Particuliere Beveiligingsorganisaties (VPB) ontvangen. Het Keurmerk Evenementenbeveiliging is een initiatief van de VPB en is tot stand gekomen in samenwerking met vertegenwoordigers van de Vereniging van Beveiligingsorganisaties voor Evenementen (VBE) en de Vereniging voor Evenementen en Horeca beveiliging (VEHB).
Security Management nummer 6 juni 2011
49
co lu m n
Grenzeloos gedoe
O
nze onderneming internationaliseert weer in hoog tempo. Na jaren van crisis en bestendiging neemt het aantal overnames rap toe. In de tijd dat ik deze functie nu bekleed, heb ik het aantal landen waarin wij actief zijn zeker zien verdubbelen. Vooral opkomende economieën zoals Brazilië blijken erg in trek. Zijn waar het geld is – of in de toekomst komt – wijst nog steeds in de richting van het koopmanskompas. Voor het verwezenlijken van onze groeistrategie en het verstevigen van onze concurrentiepositie is mondialisering onontbeerlijk. Maar de internationalisering van onze bedrijfsactiviteiten heeft onbedoeld ook donkere kanten. Als je het mij vraagt, leidt dit fenomeen zelfs tot een grenzeloos securityvraagstuk. Groter, veelzijdiger en bovendien vaak veel minder grijpbaar dan we denken. 'Hoe wereldomvattender onze activiteiten, des te beperkter de span van de securitycontrol', is een stelling die ik goed aandurf. Zeker in een tijd waarin een lokaal integriteits- of security-incident mondiale impact kan hebben: wereldwijde slechte pers en dalende aandeelhouderswaarde. Ik heb op deze plek al eerder stilgestaan bij de kwestie van de veiligheid van personeel over de grenzen ('expat security'). Toen gaf ik aan dat security voor wat betreft reizen en verblijven in het buitenland op z'n best een slotafweging is – als het al zover komt. Nog maar al te vaak ontbreekt het organisaties aan maatregelen als een basaal overzicht van welke medewerkers zich waar bevinden of een basic veiligheidsinstructie. Ik doelde destijds vooral op de meer exotische 'lokale' risico's: van externe aard, zoals gewelddadige conflicten of ontvoeringen. Het vraagstuk dat ik hier aankaart, heeft vooral betrekking op interne bedrijfsrisico's als gevolg van internationalisering. Dit type risico's – nauw verweven met internationale groei en overnames – is vaak latent. Het succes van de acquisitie voor 'de business' overstijgt de aandacht voor de mogelijk negatieve gevolgen van de overname. Toch kent u net als ik ongetwijfeld voorbeelden van waar dit toe kan leiden. Maatschap-
pelijk onverantwoord ondernemen, het betalen van 'vergoedingen voor onvoorziene omstandigheden' (lees: smeergeld), het onderhouden van te nauwe banden met 'foute' regimes of personen, ongewenste verwevenheid met plaatselijke criminele netwerken, et cetera. Internationale groei en overnames vergroten de kans op schending van ethische principes, bedrijfswaarden en -codes. Of leiden uiteindelijk zelfs tot het overtreden van het plaatselijke en/ of internationale recht. Dat terwijl het waarborgen van de bedrijfsintegriteit én security in het overnameproces vaak een afwezig belang is. Maar hoe peuteren we dit aan het verstand van direct betrokkenen en eindverantwoordelijken? Recent ben ik gestart met een pilot om het bewustzijn van risico's gelieerd aan internationalisering te vergroten. Als onderdeel hiervan voert mijn afdeling momenteel voor een aanstaande overname een omvattende risicoanalyse uit. We kijken daarbij naar risicovolle aspecten verbonden aan het 'vestigingsklimaat' en van het over te nemen bedrijf in het bijzonder. Zo maken wij duidelijk welke risico's er volgens ons aan de overname zijn verbonden en in hoeverre wij deze 'te behandelen' achten. De metafoor van waaruit we de pilot uitvoeren, is die van security als immuunsysteem. Zolang het werkt, werkt het lichaam prima. Wanneer het zelfs maar gedeeltelijk uitvalt, heeft het hele lichaam een probleem. Dat principe moet bij het realiseren van onze internationale groei scherper en scherper op het netvlies komen te staan. Toekomstbestendige groei volgt dan vanzelf.
Colin T. is security manager bij een Nederlandse multinational. Aan de hand van de weerbarstige securitypraktijk van alledag geeft hij maandelijks zijn kijk op veiligheid.
Security Management nummer 6 juni 2011
50
De distributie manager
Hét high security management systeem voor distributiecentra. Een distributiecentrum is niet zomaar een gebouw. De eisen die
verhouding is NOX technisch én financieel zowel voor grote als
u stelt aan beveiliging zijn vanzelfsprekend veel hoger dan die
voor kleinere centra zeer geschikt. De bediening via een uniek
van uw collega in een kantoorgebouw. NOX Systems is vanuit
touchscreen maakt NOX tot een van de meest gebruiksvriende-
die eisen ontwikkeld. Het is een high security management
lijke systemen in de markt. Bovendien werkt het systeem zeer
systeem dat u een complete integratie biedt van inbraakdetec-
snel door de communicatie via de standaard aanwezige TCP/IP-
tie, toegangscontrole, videobewaking en klimaatbeheersing.
chip. Wilt u meer weten over dé voorwaarde voor waarde? Bel
Door de modulaire opbouw en de zeer gunstige prijs/kwaliteit
dan ARAS Security op 0416 - 320042 of kijk op www.aras.nl.
Dé voorwaarde voor waarde. NOX Systems is een product van ARAS
HIGH SECURITY MANAGEMENT