SECURITY_2010_09 by VMN Media

SecurityManagement

Onafhankelijk vakblad voor professionele beveiliging Security Management, onafhankelijk vakblad voor professionele beveiliging, is een uitgave van Kluwer BV. Kluwer legt de gegevens van abonnees vast voor de uitvoering van de (abonnements-)overeenkomst. De gegevens kunnen door Kluwer, of zorgvuldig geselecteerde derden, worden gebruikt om u te informeren over relevante producten en diensten. Indien u hier bezwaar tegen heeft, kunt u contact met ons opnemen. Redactie Arjen de Kort (hoofdredacteur) E-mail: adekort@kluwer.nl Eindredactie Ineke de Graaff Redactieadres Postbus 4 2400 MA Alphen aan den Rijn Telefoon (0172) 46 64 88 Fax (0172) 42 28 04 Uitgever Fréderique Zeemans Marketing Judith Verkerk E-mail: jverkerk@kluwer.nl Advertentieverkoop Kluwer Postbus 4 2400 MA Alphen aan den Rijn Liesbeth van den Hoek/Arjen Tuitert Telefoon (0172) 46 64 71 / 46 64 42 E-mail: lvdhoek@kluwer.nl, atuitert@kluwer.nl Abonnementen Vragen over abonnementen kunt u richten aan de Klantenservice, ☎ (0570) 67 33 58, www.kluwer.nl/klantenservice De abonnementsprijs is € 120,- exclusief btw, per jaar. Studenten betalen € 49,- inclusief btw. Prijzen zijn inclusief verzenden administratiekosten. Losse verkoopprijs € 16,00 per nummer, exclusief btw. Een abonnement kan op elk moment ingaan. Op elk 2e en volgende abonnement krijgt u 25% korting. U ontvangt 10 nummers per jaar. Opzeggen kan schriftelijk tot 3 maanden voor de nieuwe jaargang bij Kluwer bv, Postbus 878, 7400 AW Deventer. Adreswijzigingen (met de oude adresgegevens) doorgeven aan Kluwer bv, afd. Relatiebeheer, Postbus 23, 7400 GA Deventer. Abonnementen in België Wolters Kluwer Belgium (WKB) Motstraat 30, B- 2800 Mechelen Telefoon: 0800-30143 Fax: 0800-17529 E-mail: info@kluwer.be U vindt de algemene voorwaarden van WKB op www.kluwer.be Auteursrecht voorbehouden Niets uit deze uitgave mag zonder voorafgaande schriftelijke toestemming van de uitgever worden openbaar gemaakt of verveelvoudigd. Op iedere inzending van een bijdrage of informatie zijn de Standaardpublicatievoorwaarden van Wolters Kluwer Nederland BV van toepassing, gedeponeerd ter griffie van de arrondissementsrechtbank te Amsterdam, onder nummer 217/1999; een kopie kan kosteloos bij de uitgever worden opgevraagd. Op alle uitgaven van Kluwer zijn de algemene leveringsvoorwaarden van toepassing. Deze kunt u lezen op www.kluwer.nl of opvragen via ☎ (0570) 67 33 58. Vormgeving Vormgeving: VerheulCommunicatie.com, Alphen aan den Rijn Druk: DeltaHage, Den Haag ISSN 1386-0941

www.securitymanagement.nl

Reuring

co lum n

Deze zomer heb ik mijn vakantie in het westen van Canada doorgebracht. Voor degenen onder u die er nog nooit zijn geweest: ik kan het aanbevelen. Wat een prachtig land! Rust, ruimte, en natuur waaraan de mens nog ondergeschikt is. En wat betreft veiligheid alles prima geregeld. Overstekende elanden? Er wordt niet op een waarschuwingsbordje meer of minder gekeken. Een zwarte beer gesignaleerd? Dan worden de wandelpaden meteen afgezet. Of wat te denken van een ochtendje raften. Wilt u dan eerst even deze verklaring ondertekenen waarmee u aangeeft op de hoogte te zijn van de risico’s die u loopt en dat u ons als organisator niet aansprakelijk kunt stellen ingeval er iets misgaat?! Zo maak je wel duidelijk bij wie de verantwoordelijkheid voor veiligheid ligt. Terug in Nederland blijkt er na drie weken buitenland weinig tot niets te zijn gebeurd. Zo is er nog steeds geen nieuw kabinet. Hoewel, de laatste geluiden zijn dat er een akkoord aan zit te komen. Wat mij betreft wordt het ook wel tijd, want de nieuwtjes drogen een beetje op. En eerlijk is eerlijk, leven in de Haagse brouwerij zorgt altijd voor interessante kopij voor het blad en de website. Gelukkig zorgt een nieuw initiatief in de beveiligingswereld dan weer wel voor wat reuring. Een aantal regionale particuliere beveiligingsbedrijven heeft de handen ineengeslagen en zich verenigd in de Nederlandse Security Alliantie (NSA). Een moedige poging om meer slagkracht te creëren in een markt die door ‘de grote 3’ wordt gedomineerd. Hoewel het primaire doel van de vereniging is om inkoopvoordeel te realiseren voor de leden, steekt initiator Piet Berkers niet onder stoelen of banken dat de NSA mee zal gaan doen bij landelijke tenders, waardoor klanten een alternatief wordt geboden voor de grote landelijk opererende bedrijven. Ten slotte zou ik uw aandacht willen vragen voor de eerste door COT Instituut voor Veiligheids- en Crisismanagement en Security Management georganiseerde Security Management Survey. Met behulp van dit onderzoek willen wij jaarlijks de actuele staat van het security management in Nederland inzichtelijk maken en relevante trends en ontwikkelingen op het gebied van security management identificeren. Belangrijke ‘benchmarkinformatie’ waarmee ook u uw voordeel kunt doen. De resultaten van het onderzoek zullen worden gepubliceerd in Security Management nummer 12 van dit jaar. Deelnemen is van harte aanbevolen en kan via www.securitymanagement.nl. Arjen de Kort Hoofdredacteur Security Management, adekort@kluwer.nl

Security Management nummer 9 september 2010

SECM0910_Colofon Column Ar 3

06-09-2010 13:57:52

SecurityManagement

Onafhankelijk vakblad voor professionele beveiliging

t hema | informatiebeveiliging

10 Belichaming integratie fysieke en IT-security Na een carrière in techniek, commercie en IT maakte Anno Keizer vier jaar geleden de overstap naar de voor hem nieuwe wereld van fysieke beveiliging. Als manager security bij URENCO Nederland heeft hij een brede scope op beveiliging en de risico’s van de onderneming. Portret van een techneut in security management met een persoonlijke drive om informatie uit te wisselen.

t hema | informatiebeveiliging

14 Information Security Officer komt eraan Social media-strategie en digitaal reputatiemanagement zijn in de meeste organisaties nieuwe fenomenen die vragen om securitybeleid, bewustwording en kennis van informatiebeveiliging. De vraag is aan wie binnen het bedrijf de verantwoordelijkheid daarvoor moet worden gegeven. Wellicht is het tijd voor het inzetten van de functie Information Security Officer.

28 Regionale beveiligingsbedrijven slaan handen ineen Beveiligingsbedrijven opereren in een lastige markt. De prijsdruk is enorm en kostenreducties zijn aan de orde van de dag. Om meer slagkracht te creëren, heeft een aantal regionale bedrijven de handen ineengeslagen en een nieuw initiatief gelanceerd: de Nederlandse Security Alliantie (NSA). Initiator Piet Berkers gaat in op de achtergronden en de plannen.

SECM0910_Inhoud 4

Security Management nummer 9 september 2010

06-09-2010 13:57:17

t hema | informatiebeveiliging

18 Beleid als kapstok Dat informatiebeveiliging niet alleen iets is voor ministeries of banken bewijst Koninklijke Zeelandia Groep in Zierikzee. De internationale expansie van de Zeeuwse leverancier van bakkerij-ingrediënten was voor hoofd ICT-beheer Bert de Vos een reden de discussie over het onderwerp aan te zwengelen.

22 Digitale toegang tot het bedrijfsnetwerk Met enige regelmaat hebben medewerkers vragen over hoe ze toegang kunnen krijgen tot het bedrijfsnetwerk. Veel netwerkbeheerders vragen zich daarom nog wel eens af ‘Welke toegang moet er eigenlijk worden gebruikt voor wat ik wil doen?’ In dit artikel de verschillende soorten VPN’s (Virtual Private Networks) die er zijn.

24 Digitale spionage kan iedereen overkomen Spionage is aan de orde van de dag. Ook uw organisatie kan doelwit zijn van aanvallen door nieuwsgierige overheden, concurrerende bedrijven of (georganiseerde) criminelen. Was iedereen zich daar maar van bewust … Een pleidooi voor spionageweerbaarheid.

31 Securitycultuur en security awareness een vergelijkend onderzoek

En verder 3

colofon

column

nieuws

recherche

recht

producten

contacten en contracten

column Colin T.

In de praktijk bestaan uiteenlopende ideeën over security awareness en securitycultuur. Dit roept een aantal vragen op. Wat is security awareness of securitycultuur nu precies en hoe verhouden beide concepten zich tot elkaar? Wat is hun effect op het niveau van beveiliging of veiligheid en kunnen we dit beïnvloeden? Werken security awareness- en securitycultuurproducten eigenlijk wel en hoe weten we dat? Dit artikel beschrijft de achtergrond van beide concepten en legt uit welke basisaannames en theorieën er aan ten grondslag liggen.

34 Beveiligen, maar dan anders Uitbesteden van facilitaire diensten is de normaalste zaak van de wereld. Ook beveiliging wordt hierin vaak meegenomen. Resultaatgericht contract en regiemodel zijn daarbij veelgehoorde begrippen. Wat betekent dit in de praktijk?

37 Security Essen 2010 Van 5 tot en met 8 oktober vindt in het Duitse Essen voor de 19e keer de tweejaarlijkse internationale vakbeurs Security plaats. Een korte vooruitblik.

38 ESF-subsidie voor bedrijven in particuliere beveiliging Sinds 1 augustus 2010 biedt Stichting Opleidingsfonds Beveiligingsbranche (SOBB) bedrijven de mogelijkheid om 40 procent ESF-vergoeding te krijgen op hun out-of-pocket opleidingskosten. Deze subsidie geldt voor verschillende opleidingen, waaronder Beveiliger (MBO 2).

Coverfoto: Marijn van Rijn (NFP Photography)

Security Management nummer 9 september 2010

SECM0910_Inhoud 5

06-09-2010 13:57:25

nieuws

Security Management Survey COT Instituut voor Veiligheids- en Crisismanagement en Security Management organiseren de eerste, jaarlijks terugkerende Security Management Survey. Met behulp van dit onderzoek willen zij vanaf 2010 jaarlijks de actuele staat van het security management in Nederland inzichtelijk maken en

relevante trends en ontwikkelingen op het gebied van security management identificeren. De resultaten van het onderzoek zullen worden gepubliceerd in Security Management nummer 12 van dit jaar. Deelnemen? Zie www.securitymanagement.nl

Netwerk Veiligheid en Innovatie

Deze zomer is het Netwerk voor Veiligheid en Innovatie opgericht, een platform dat vraag en aanbod op het gebied van integrale veiligheid bij elkaar brengt. Informatiebeveiliging, fysieke beveiliging van panden en terreinen, persoonsbeveiliging, rampenbestrijding, terrorismebestrijding, openbare orde en veiligheid: dit zijn allemaal aspecten van integrale veiligheid. Deze aandachtsgebieden zijn onderwerp van voortdurend onderzoek en innovatie.

Vaak is het moeilijk zicht te krijgen op enerzijds de behoeften, en anderzijds de ontwikkelingen op het gebied van integrale veiligheid. Het Netwerk voor Veiligheid en Innovatie wil helpen om betrokken partijen met elkaar in contact te brengen. Het Netwerk is opgericht door de Kamer van Koophandel Den Haag, de Kennisalliantie, de Gemeente Den Haag, LBVD Informatiebeveiligers, de Veiligheidsregio Haaglanden, TNO en PSIC. Meer weten? Netwerk voor Veiligheid en Innovatie, Koningskade 30, 2596 AA Den Haag, info@netwerkvi.nl, www.netwerkvi.nl

Verruiming afluisterverbod Minister Hirsch Ballin (Justitie) wil het verbod verruimen op het afluisteren, aftappen of opnemen van vertrouwelijke gesprekken. Dat blijkt uit het wetsvoorstel ‘Versterking bestrijding computercriminaliteit’ dat hij voor advies naar verschillende instanties heeft gestuurd. Nu is het bijvoorbeeld verboden om stiekem in een woning een gesprek op te nemen, als degene die het gesprek opneemt daar zelf niet aan deelneemt. Straks geldt het verbod ook voor de dader die wél gespreksdeelnemer is en die zonder toestemming opnames heeft gemaakt. Het Nederlands recht komt hiermee op één lijn met bestaande wettelijke regels in Frankrijk en Duitsland. Overigens is het op kenbare wijze opnemen van gesprekken in de publieke ruimte niet strafbaar. Dat verandert niet door het wetsvoorstel. Verder wordt iemand die niet-openbare gegevens zonder toestemming uit een computer overneemt, strafbaar. Ook het helen van computergegevens wordt strafbaar en officieren van Justitie krijgen de bevoegdheid om strafbare informatie van internet te laten verwijderen.

De Europese Commissie heeft een voorstel gepresenteerd dat professioneel grensoverschrijdend transport van eurobiljetten en -munten eenvoudiger moet maken. Het gaat daarbij over vervoer binnen de eurozone.

Foto: G4S cash solutions

Euro makkelijker de grens over

Door grote verschillen tussen de regels voor geldvervoer in verschillende landen van de eurozone, is het lastig om eurobiljetten en -munten over een grens te vervoeren. De commissie stelt daarom voor dezelfde regels te laten gelden voor al het grensoverschrijdend vervoer binnen de eurozone. Het binnenlands vervoer blijft in het voorstel onder de nationale wetgeving vallen. Het Europees parlement en de lidstaten moeten het plan nog goedkeuren.

SECM0910_Nieuws 6

Security Management nummer 9 september 2010

06-09-2010 13:52:27

nieuws

Nieuwe branchevereniging evenementenen horecabeveiliging Een aantal bedrijven op het gebied van evenementenen horecabeveiliging is uit de VBE gestapt en heeft zijn krachten gebundeld in de Vereniging voor Evenementen en Horeca Beveiliging (VEHB). ‘Evenementen- en horecabeveiliging vraagt meer deskundigheid en voorbereiding. Een betere uitwisseling van kennis onder elkaar en met overheden, een betere voorbereiding van evenementen en een betere opleiding van de medewerkers staan voorop’, aldus Peter Theunissen (voorzitter). Leden van de nieuwe branchevereniging zijn: EBM Security, ESQ, Formule Plus International, Security Agency, PPS Security, REPS, Sport and Event Security, The Security Company. Het bestuur bestaat uit: Peter Theunissen (voorzitter), Gerard van Duykeren (secretaris), Dick van den Berg (penningmeester) en Jim van Huizen (bestuurslid). Meer informatie: www.vehb.nl

Vierde call Security Zevende Kaderprogramma

Brandweer Amsterdam-Amstelland erkent BGB De Brandweer Amsterdam-Amstelland erkent het keurmerk Brandveilig Gebruik Bouwwerk (BGB). Het keurmerk past binnen de visie die de brandweer heeft, namelijk meer de verantwoordelijkheid voor de brandveiligheid neerleggen bij de gebouweigenaren. Zodra een pand het keurmerk daadwerkelijk heeft, is dit voor de brandweer een bewijs dat de eigenaar en gebruiker van het pand zijn verantwoordelijkheid ten volle heeft genomen om ervoor te zorgen dat het pand voldoet aan de brandveiligheidseisen.

Meer weten over het keurmerk Brandveilig Gebruik Bouwwerk? Zie Security Management 2009, nummer 10.

Actualiteitenmiddag Op 1 december hebt u de kans om in één middag door een aantal deskundigen te worden bijgepraat over de belangrijkste ontwikkelingen op het gebied van brandveiligheid, cctv en toegangscontrole.

ACTUALITEITENMIDDAG BRANDVEILIGHEID - CAMERATOEZICHT - TOEGANGSCONTROLE WOENSDAG 1 DECEMBER 2010 - 13:00 UUR TOT 17:00 UUR CONFERENTIECENTRUM WOUDSCHOTEN IN ZEIST Security Management organiseert een actualiteitenmiddag. In één middag wordt uw kennis bijgespijkerd over drie belangrijke securityonderwerpen. Door het carrouselprincipe volgt u alle sessies. Tijdens de sessies is er voldoende ruimte voor individuele vragen. De sessies:

BEDRIJVEN EN DE EIGEN VERANTWOORDELIJKHEID VOOR BRANDVEILIGHEID SPREKERS: RICARDO WEEWER EN RENÉ HAGEN

Dit voorjaar presenteerde de brandweer haar nieuwe strategie, waarin wordt gefocust op wat wordt genoemd ‘brandveilig leven’ en waarvan ‘brandveilig ondernemen’ een essentieel onderdeel is. Dit betekent meer eigen verantwoordelijkheid voor brandveiligheid voor organisaties. Vooral het bevorderen van het brandveiligheidsbewustzijn bij bedrijven en hen wijzen op de eigen verantwoordelijkheid als het gaat om brandveiligheid staat hierin centraal. In deze sessie wordt ingegaan op wat dit betekent voor u als security manager/facility manager.

MOGELIJKHEDEN ÉN ONMOGELIJKHEDEN VAN CAMERATOEZICHT SPREKER: SANDER FLIGHT

Hoewel camera’s al tientallen jaren worden gebruikt voor toezicht en bewaking, is het onduidelijk aan welke wetten en regels er eigenlijk moet voldoen als er ergens camera’s ophangen worden. In deze sessie wordt de weten regelgeving uitgelegd. Het is tijd om op een volwassen manier om te gaan met de mogelijkheden én de onmogelijkheden van cameratoezicht.

TOEGANGSCONTROLE EN HET NIEUWE WERKEN SPREKER: MAARTEN MIJWAART Veel organisaties zijn bezig om hun organisatie voor te bereiden op Het Nieuwe Werken. Welke impact heeft dit op uw beveiliging? Hoe handhaaft u het beveiligingsniveau? Moet u uw beleid wellicht aanpassen? Hoe zorgt u ervoor dat u als security manager Het Nieuwe Werken ondersteunt zonder te veel beveiligingsrisico’s te nemen? Tijdens deze sessie tonen we u middels praktische

De vierde call voor het thema Security in het Zevende Kaderprogramma van de EU is geopend. Tot 2 december 2010 bestaat de gelegenheid om projectvoorstellen in te dienen. Dit biedt de mogelijkheid om in internationale samenwerkingsverbanden nieuwe technologie en kennis te ontwikkelen voor crisismanagement en de bestrijding van terrorisme en georganiseerde misdaad. Het onderdeel ‘Security and Society’ in dit thema biedt met name kansen voor de sociaal-wetenschappelijke vakgebieden. In totaal is er 221 miljoen euro subsidie beschikbaar. Meer informatie over het werkprogramma en het overzicht van de onderwerpen die dit jaar aan bod komen: http:// www.senternovem.nl/eglsecurity/calls/ security__vierde_call_kp7.asp

voorbeelden hoe een nieuwe manier van beveiligen die nieuwe manier van

Abonnees van Security Mana gement, Facto Magazine en Service Manageme nt ontvangen

regelgeving opfrissen. Daarna stapt hij over naar de praktijk en zal hij laten zien dat het tijd is om op een volwassen manier om te gaan met de mogelijkheden én de onmogelijkheden van cameratoezicht.

KORTING! Ricardo Weewer Steeds meer orgaMeer informatie of inschrijven? (strategisch advinisaties bereiden Ga naar: www.securitymanagement.nl/opleidingen seur/ plv. comzich voor op Het mandant Nieuwe Werken. Brandweer Daarom is het Amsterdam-Amstelland) en René verstandig stil te staan bij de impact Hagen (lector brandpreventie) gaan van deze verandering op beveiliging in in de sessie ‘Bedrijven en de eigen het algemeen en toegangscontrole in verantwoordelijkheid voor brandveihet bijzonder. ligheid’ in op de nieuwe strategie van Hoe zorgt u ervoor dat u als security de brandweer en wat deze voor u als manager Het Nieuwe Werken ondersecurity manager betekent. steunt zonder onverantwoorde beveiligingsrisico’s te nemen? Maarten Hoewel camera’s al tientallen jaren Mijwaart (marktgroepleider bij worden gebruikt voor toezicht en beNedap) laat middels praktische voorwaking, is het vaak nog onduidelijk beelden zien hoe een nieuwe manier aan welke wetten en regels je eigenvan beveiligen deze nieuwe manier lijk moet voldoen als je ergens camevan werken kan ondersteunen. ra’s ophangt. Meer informatie: Sander Flight (partner bij onderzoekswww.securitymanagement.nl/ en adviesbureau DSP-groep) zal daaropleidingen om eerst uw kennis over weten werken kan ondersteunen.

25644-1_Flyer SM actualiteitencongres_new.indd 1

02-09-10 14:53

Security Management nummer 9 september 2010

SECM0910_Nieuws 7

06-09-2010 13:52:35

nieuws

Norm voor Particuliere Alarmcentrale Particuliere Alarmcentrales binnen Nederland moeten voldoen aan strenge eisen om operationeel te kunnen functioneren. In het kader van de Europese samenwerking is er nu een norm gepubliceerd die de minimale eisen beschrijft voor de locatie en de constructie van de Particuliere Alarmcentrale (PAC): NEN-EN 50518 deel 1. Deze Europese norm is van toepassing op instellingen waar de ontvangst, verwerking en controle plaatsvinden van (alarm)signalen die gegenereerd worden door alarmsystemen. Doorgaans als een geïntegreerd onderdeel van het totale veiligheids- en beveili-

gingsproces. De eisen gelden voor toepassingen waarbij vanuit de risicolocaties, op afstand meerdere systemen melden naar één of meerdere PAC’s. De norm geldt eveneens voor andere toepassingen, waarbij alarmen voor verwerking en evaluatie vanuit één complex worden doorgemeld naar een centraal punt. Alle PAC’s of alle monitoring- en alarmontvangstcentrale(s) die informatie van bovengenoemde alarmsystemen ontvangen, verwerken en beoordelen, moeten voldoen aan de minimale eisen van deel 1 van deze norm. Deel 2 technische eisen en deel 3 procedurele eisen zijn in ontwikkeling.

Nieuwe site Veiligezorg Deze zomer is de nieuwe internetsite www.veiligezorg.nl voor werkgevers en medewerkers in ziekenhuizen online gegaan. De site biedt voortaan de medewerkers van alle ziekenhuizen gratis toegang tot agressie-aanpakken en praktische handreikingen. Steeds meer ziekenhuizen werken aan een veiligheidsbeleid om verbale en fysieke agressie-incidenten te voorkomen of te hanteren. De internetsite is een initiatief van het Kenniscentrum Veiligezorg van de Stichting Arbeidsmarkt Ziekenhuizen (StAZ) en het CAOP uit Den Haag.

Brandpreventieweken 2010 De Brandpreventieweken 2010 vinden plaats van 1 - 31 oktober. Thema van de campagne dit jaar is ‘Wat doe jij bij brand?’

Senaat stemt in met Voetbalwet Burgemeesters krijgen dit voetbalseizoen meer middelen om rellen rond voetbalwedstrijden voor te zijn. Een meerderheid in de Eerste Kamer heeft ingestemd met de zogeheten Voetbalwet, die vandalisme en ernstige overlast bij allerlei evenementen moet tegengaan. De nieuwe wet is per 1 september van kracht en geeft burgemeesters extra bevoegdheden om preventief in te grijpen. Zij mogen een gebiedsverbod, een samenscholingsverbod, een meldplicht en een contactverbod opleggen. De Raad van Korpschefs is ingenomen met de Voetbalwet. De wet gaat welis-

SECM0910_Nieuws 8

waar lang niet zo ver als die in GrootBrittannië, maar de politiebazen verwachten een positief effect op de bestrijding van relschoppers bij voetbalwedstrijden en andere grootschalige evenementen. ‘De wet gaat ons absoluut helpen bij de aanpak van voetbalgeweld en ernstige overlast’, aldus een woordvoerder van de raad. De raad waarschuwt niettemin voor al te hooggespannen verwachtingen. Ook moet nog nader onderzocht worden wat er ‘in de uitvoeringspraktijk’ op de politie afkomt, omdat de handhaving van de wet nogal wat voeten in de aarde heeft.

In de campagne worden mensen gewezen op het feit dat brand ook hen kan overkomen en dat ze daar nu over na moeten denken. De brandweerkorpsen richten zich op deze onderwerpen: 1. Maak uw huis brandveilig: gericht op brandveiligheidsbewustzijn. 2. Plaats rookmelders: gericht op het plaatsen én onderhouden. 3. Weet wat u doet bij brand: gericht op vluchten. 4. Ontruimingsoefening in de zorg: gericht op ziekenhuizen en verzorgingshuizen Meer informatie: www.brandpreventieweek.nl www.watdoejijbijbrand.nl

Security Management nummer 9 september 2010

06-09-2010 13:52:39

nieuws

Grotere schade door winkeldiefstal De schade door winkeldiefstallen is vorig jaar met 5 procent gestegen naar 325 miljoen euro. Dat stelt Detailhandel Nederland in het Nationaal Onderzoek Winkelcriminaliteit. Ook hield de politie meer winkeldieven aan. In 2008 waren dat er nog 30.000, een jaar later 31.000. Detailhandel Nederland vindt dat de boetes voor volwassenen die voor het eerst betrapt worden wegens diefstal, te laag zijn. ‘De boete voor winkeldief-

stallen is een schijntje. Alleen al de aanhouding van de winkeldief kost de samenleving veel meer dan die 250 euro’, aldus Sander van Golberdinge, secretaris winkelcriminaliteit. Naast winkeldiefstal hebben ondernemers ook te maken met onder meer fraude, inbraken, vernielingen en overvallen. De totale schade daarvan zou volgens de belangenbehartiger van winkeliers in 2009 740 miljoen euro bedragen.

Een security management systeem in 7 stappen

Zie ook Security Management 2010, nummer 7/8, thema Retail.

Meer werknemers detailhandel frauderen Winkeliers hebben het afgelopen jaar ruim 400 voormalige werknemers ingevoerd in het Waarschuwingsregister voor fraude, tegen iets meer dan 250 in 2008. Dat blijkt uit het jaarverslag van de Stichting Fraude Aanpak Detailhandel (FAD).

Foto: G4S cash solutions

Volgens een woordvoerder van de FAD wordt er daadwerkelijk meer gefraudeerd en is de stijging niet toe te schrijven aan een toegenomen populariteit van het register. ‘We schatten de schade door fraude het afgelopen jaar voor de hele detailhandel op 180 miljoen euro.’ Het jaar ervoor was het 170 miljoen euro. Er is sprake van fraude wanneer een werknemer uit is op financieel gewin ten koste van de

baas. Het gebruik van het register, om te kijken of sollicitanten bonafide zijn, nam het afgelopen jaar ook toe. Maar dat hield geen gelijke tred met de toename van het aantal deelnemende winkeliers. ‘Mogelijk houdt dat verband met de daling van het aantal vacatures als gevolg van de economische crisis’, aldus de FAD. ‘Afgelopen jaar zijn ongeveer 16 procent meer sollicitanten gescreend.’ In 2009 viel 20 procent van de werknemers in de detailhandel onder de werkingssfeer van het register, in 2008 was dat nog 15 procent. Het aantal werknemers dat daardoor het risico loopt in het register te belanden, nam toe van 90.000 tot 130.000.

Arjen Appelman heeft een opvolger geschreven voor zijn succesvolle boek ‘Integrale Beveiliging in de Zorgsector’. Zijn nieuwe boek ‘Integrale beveiliging - Een security management systeem in 7 stappen’ is breder, algemener en meer verdiepend. Bovendien heeft hij zijn ervaringen van de afgelopen vijf jaar met het werken volgens deze systematiek erin verwerkt. drs. ing. Arjen N. Appelman CPP RSE, Integrale beveiliging - Een security management systeem in 7 stappen, Kluwer, Alphen aan den Rijn, ISBN 9789013075274, prijs: 37 euro. Bestellen: www.securitymanagement.nl/ shop, www.kluwer.nl

Adverteerdersindex Axis Communications bv Bavak Beveiligingsgroep bv Bosch Security Systems bv Delft Toptech Dry Battery Sales NV G4S Beveiliging bv Nedap N.V. Security Management Safety-Lux Nederland bv Securitas bv SOBA Security Opleidingen Spyke Security bv Trigion

Security Management nummer 9 september 2010

SECM0910_Nieuws 9

51 30 2 36 46 39 16 44 13 20 20 52

06-09-2010 13:52:41

t hema | informatiebeveiliging

Anno Keizer, manager security URENCO:

Belichaming integratie Na een carrière in techniek, commercie en IT maakte Anno Keizer vier jaar geleden de overstap naar de voor hem nieuwe wereld van fysieke beveiliging. Als manager security bij URENCO Nederland heeft hij een brede blik op beveiliging en de risico’s van de onderneming. Anders dan de perceptie van de buitenwereld liggen die niet zozeer op het fysieke, maar veeleer op het IT-vlak én zijn er dreigingen van binnenuit. Portret van een techneut in security management met een persoonlijke drive om informatie uit te wisselen. ARJEN DE KORT

ls na een grondige securitycheck het hek achter ons sluit en we over het zonovergoten terrein van uraniumverrijker URENCO in Almelo naar de bezoekersruimte lopen, overvalt Anno Keizer mij enigszins met de vraag hoe ik over kernenergie denk. Opgegroeid met de grote demonstraties tegen kernenergie in de jaren zeventig en tachtig van de vorige eeuw moet ik bekennen dat ik nog steeds een enigszins kritische kijk hierop heb. Keizer reageert met herkenning en vertelt dat dit een van de redenen is waarom URENCO de laatste jaren transparanter is geworden naar de buitenwereld en daarmee meer communiceert. Zelf houdt hij zich van jongs af aan al bezig

met het energievraagstuk, blijkt bij aanvang van het interview.

Carrière ‘Al tijdens mijn studie Techniek & Maatschappij aan de TU Eindhoven verbaasde ik mij erover dat allerlei nieuwe technologieën niet aansloegen in de markt. Daarop heb ik mijn studieprogramma toegespitst op de vraagstelling hoe de marktpenetratie van nieuwe technologieën en nieuwe energiebronnen kon worden verbeterd. Na mijn afstuderen ben ik als energietechneut gestart bij het GEB Rotterdam. Daar heb ik onder andere meegewerkt aan de voorbereiding van de aanleg van de stadsverwarming. Vervolgens heb ik

Kerngegevens Bedrijf:

URENCO Nederland, onderdeel van de internationale URENCO Group, met vestigingen in Nederland, Duitsland, Verenigd Koninkrijk en de Verenigde Staten. Activiteit: Nucleaire onderneming voor het verrijken van uranium voor kerncentrales. Dat gebeurt met de unieke ultracentrifugetechnologie. Klanten: Elektriciteitsbedrijven met kerncentrales wereldwijd. Met een marktaandeel van zo’n 25 procent is de URENCO Group één van de grootste aanbieders van lichtverrijkt uranium. Locatie: Almelo, waar ongeveer 260 mensen werken. Afdeling: Security, bestaande uit Manager Security, IT-Security Manager, Guardforcemanager, Plant Security Officer. Daarnaast worden er 35 particuliere beveiligers ingehuurd.

de overstap gemaakt naar de IT-afdeling en ben ik er ook nog controller geweest. Toen ik na een aantal jaren terugkeek op mijn GEB-loopbaan, was mijn conclusie dat een terugkeer naar de techniek niet aan de orde was. Om mijn horizon te verbreden wilde ik liever mijn commerciële potentie exploreren en ben ik als account manager bij EDS gaan werken. Dat heb ik met veel plezier gedaan, maar ik ontdekte dat ik de commercie niet leuk vond. Wel kwam ik tot het inzicht dat alles wat je doet met kopen en verkopen te maken heeft. Als ik nu bijvoorbeeld draagvlak wil creëren voor mijn securitybeleid, ben ik ook aan het verkopen. Daarom ben ik blij dat ik mij die skills eigen heb gemaakt. Maar ik heb vervolgens bewust voor de inhoud gekozen. Op dat moment kwam URENCO in beeld waar ik kon beginnen als IT-manager.’

Manager security ‘In die functie heb ik een drietal afdelingen geïntegreerd en kreeg ik nadrukkelijk te maken met IT-security. Nadat deze klus was afgerond, heb ik een paar jaar in URENCO’s primaire business gewerkt op de afdeling Projects, Acceptance and Commissioning totdat in 2006 de functie van manager security vacant kwam. Hoewel in de functieeisen fysieke beveiliging centraal stond en ondanks het feit dat ik geen fysieke

Security Management nummer 9 september 2010

SECM0910_Anno Keizer 10

06-09-2010 13:51:54

t hema | informatiebeveiliging

fysieke en IT-security

Anno Keizer: ‘We moeten als bedrijf openheid betrachten over wat we aan security doen. En dan niet alleen over wat we zelf doen en welke maatstaven we onszelf opleggen, maar ook communiceren dat we te maken hebben met regelgeving.’ security-achtergrond had, heb ik er toch op gesolliciteerd. Naar mijn bescheiden mening moest er iemand met IT-kennis op deze positie komen, omdat IT-security voor een bedrijf als URENCO minstens zo belangrijk is als fysieke beveiliging. Zeker als je naar de

risico’s van dit bedrijf kijkt, die meer op het IT- dan op het fysieke vlak liggen. En zonder daarmee te zeggen dat IT-security tot mijn aanstelling te weinig aandacht kreeg, was er feitelijk wel sprake van overschatting van het belang van fysieke beveiliging. Dat kwam

CV Anno Keizer Studie 1988: Afgestudeerd TU Eindhoven, opleiding TEMA (nu Technische Bedrijfskunde) Carrière 1988 – 1989: GEB Rotterdam, Engineer bij het Projectbureau Gas en Stadsverwarming 1989 – 1991: GEB Rotterdam, Controller Divisie Gas & Stadsverwarming 1991 – 1993: Eneco, businessunit Rotterdam Centrum, Hoofd Financiële administratie 1993 – 1995: Eneco, SAP projectmanager 1995 – 1998: EDS, Account Manager 1998 – 2004: URENCO, IT Manager 2004 – 2006: URENCO, Department Projects, Acceptance and Commissioning 2006 – heden: URENCO, Manager Security

doordat er onvoldoende vanuit risico’s werd gedacht. Vaak worden in Nederland nucleaire installaties qua risico’s op één hoop geveegd. Maar in internationale nucleaire beveiligingsregels wordt onderscheid gemaakt in drie risicocategorieën, afhankelijk van het soort nucleair materiaal dat aanwezig is. Daarbij valt bijvoorbeeld plutonium in de hoogste categorie I. Ons product – licht verrijkt uranium – valt in categorie III. En onze grondstof – uranium – kent een nog lager risico en valt zelfs buiten deze driedeling.’

IT versus fysiek ‘Wat mij na mijn overstap allereerst opviel, was dat fysieke beveiliging een kleine, ons-kent-ons wereld is. De ITwereld is anders: die is groter in aantallen mensen en partijen, en bovendien veel internationaler. Vakinhoudelijk ontdekte ik dat aan de

Security Management nummer 9 september 2010

SECM0910_Anno Keizer 11

06-09-2010 13:51:54

t hema | informatiebeveiliging

Security Management volgens Anno Keizer ‘Het eerste wat mij bij security management te binnen schiet is “mensen”. Het vak heeft heel veel met mensen te maken: het zijn mensen die met de techniek omgaan, het zijn mensen die - bewust of onbewust - incidenten mogelijk maken, het zijn mensen die fouten maken waardoor je als bedrijf kwetsbaar bent, en het zijn mensen die daar gebruik van maken. Maar heel veel van mijn werk heeft ook te maken met het overtuigen van mensen. Natuurlijk stellen we regels en als het nodig is krijgen mensen een tik op de vingers. Maar dat is slechts 5 procent van mijn werk. Die andere 95 procent bestaat eruit ervoor te zorgen dat mensen – variërend van schoonmaker tot directeur - innerlijk gedreven zijn om securitybewust te opereren.’

fysieke kant methodes worden gebruikt, waarvan ik het vreemd vind dat de ITwereld die niet heeft. Denk bijvoorbeeld aan de tijdlijnanalyses. En in fysieke beveiliging houdt men zich veel meer bezig met variaties in dreigingen. Dat ontbreekt aan de IT-kant, waar vaak van dezelfde soort dreiging wordt uitgegaan. Wat dat betreft is IT-security minder volwassen dan fysieke beveiliging. Daarentegen is in IT het risicodenken weer meer ontwikkeld en wordt er ook meer gekeken wat het voor de business betekent als je bepaalde securitymaatregelen treft. Je zou kunnen zeggen dat ITsecurity meer bezig is met de vraag hoe de business kan worden ondersteund, daar waar fysieke security wat mij betreft nog wel eens de fout maakt te zeg-

focus eerst op fysieke beveiliging lag, zag ik security vooral als een combinatie van fysieke en IT-security. Daarom heb ik om te beginnen een IT-security manager aangenomen. Daarnaast is er een Guardforce-manager die verantwoordelijk is voor de fysieke beveiliging en de aansturing van de 35 particuliere beveiligers die we inhuren. Ik kwam echter al vrij snel tot het inzicht dat er nog een derde belangrijk aandachtsgebied is als je over security praat. Naast fysieke security die zich richt op de externe dreiging en IT-security die zich richt op de cyber threats, onderscheid ik organisatorische security die zich richt op misschien wel ons grootste risico: de interne dreiging, de “insider”.

‘Naast fysieke security en IT-security onderscheid ik ook organisatorische security’ gen dat iets vanwege security-eisen niet kan. Daardoor wordt fysieke beveiliging soms als lastig ervaren en kom je in een hoek waar je niet moet zitten. Je moet juist een goede band hebben met de business. Belangrijk is dat als er een incident heeft plaatsgevonden, je dat als security ter ore komt. En dat hoor je alleen maar van de mensen als zij weten dat je er als security bent om de business te helpen. Je moet als security-afdeling voorkomen dat je mensen afschrikt en daardoor het volgende incident niet meer te horen krijgt.’

Interne dreiging ‘Na mijn start heb ik de security-afdeling anders ingericht. Daar waar de

Bij organisatorische security moet je denken aan het rubriceren en classificeren van informatie. Wat is staatsgeheim? Welke zaken willen we om commerciële redenen beschermen? Maar ook screening van nieuwe medewerkers valt hieronder. Dat was en is wel goed geregeld, want alle medewerkers worden sowieso door de AIVD gescreend. Maar daar bovenop doen we zelf nog iets extra, omdat de AIVD alleen naar het risico voor de staatsveiligheid kijkt, niet naar commerciële risico’s die voor ons ook belangrijk zijn. Je zou kunnen zeggen dat de securityafdeling met alles wat ze doet vooral verantwoordelijk is voor de bescherming van het imago van de business.

Imagoschade kun je oplopen doordat er bijvoorbeeld een terrorist over het hek klimt, of doordat Alberto Stegeman binnenkomt. Op al die zaken moet je zijn voorbereid en een proportioneel antwoord hebben. Daarbij moet je je realiseren dat door incidenten die feitelijk geen enkel risico opleveren – bijvoorbeeld dat activisten over het hek komen en leuzen op de fabriek schilderen, maar waarbij er geen staatsgeheimen of uranium verdwijnen - bij de buitenwereld het idee kan ontstaan dat je hier zo maar binnenloopt. Het is dus belangrijk dat het imago van URENCO geen deuk oploopt. Daarom moeten we als bedrijf openheid betrachten over wat we aan security doen. En dan niet alleen over wat we zelf doen en welke maatstaven we onszelf opleggen, maar ook communiceren dat we te maken hebben met regelgeving van het ministerie van VROM, van Euratom, van de IAEA, enzovoort.’

Informatie delen ‘Ik denk dan ook dat het in het belang van de nucleaire industrie in het algemeen en van URENCO in het bijzonder is dat we laten zien security belangrijk te vinden. Daarom dragen we onze security-expertise ook internationaal uit en is informatiedeling wat mij betreft een vereiste. Natuurlijk ligt dat op securitygebied gevoelig, want bij een security-incident heeft er toch meestal iemand gefaald. Maar ik vind toch dat je dat moet doen. Daarom ben ik bijvoorbeeld actief in ISAC-Nucleair (Information Sharing and Assessment Centre), waarin de IT-securitymensen van nucleaire bedrijven in Nederland bij elkaar komen samen met mensen van de High Tech Crime Unit van de KLPD, AIVD, Govcert en NICC om informatie over incidenten en best practices met elkaar uit te wisselen en het beveiligingsniveau verder omhoog te brengen. Tevens ben ik in een vergevorderd stadium om samen met IAEA, WINS en VROM een internationale workshop op te zetten over Nucleaire Security for CEO’s and Senior Policy Makers om ook mensen op dit strategische niveau bewust te maken van wat nucleaire security is, waarom ze belangrijk is, en last but not least wat hun verantwoordelijk‹‹ heid in dat vakgebied is.’

Security Management nummer 9 september 2010

SECM0910_Anno Keizer 12

06-09-2010 13:51:58

A[dd_ib[_Z[h _d X[l[_b_]_d]

: WYj_[l[ X[l[_b_]_d]ifWhjd[h Edp[ fei_j_[ lWd a[dd_ib[_Z[h l[hjWWbj p_Y^ _d ^[j X[]h_`f[d lWd Z[ abWdj [d Z[ if[Y_ƀ[a[ X[^e[\j[d [d m[di[d$ C[j edp[ [nf[hj_i[ [d [hlWh_d] cWWaj I[Ykh_jWi fheWYj_[l[ [d _dZ_l_Zk[b[ X[l[_b_]_d]i # WdW boi[i$ Leeh abWdj[d p_`d m_` ef XWi_i lWd l[h jhekm[d [d a[dd_ik_jm_ii[b_d] Z WYj_[l[ X[l[_b_]_d]i fWhjd[h$ ?dl[ij[h[d _d c[di[d [d j[Y^d_[a ?d X[l[_b_]_d] _i Z[ YecX_dWj_[ lWd k_jij[a[dZ ef ][b[_Z[ c[di[d [d ^ee]mWWhZ_][ j[Y^debe]_[

Z[ [ii[dj_[$ :WWhec _dl[ij[[hj I[Ykh_jWi Yedj_dk _d efb[_Z_d] [d jhW_d_d] lWd c[Z[m[ha[hi ec ^kd a[dd_i kf#je#ZWj[ j[ ^ekZ[d$ :WWhdWWij X[iY^_aa[d m[ el[h Z[ d_[kmij[ j[Y^debe]_iY^[ efbeii_d][d$ Eea edp[ edW\^Wda[b_`a[ WbWhcY[djhWb[ I[Ykh_jWi 7b[hj I[hl_Y[i _i Yecfb[[j _d][h_Y^j leeh Wbb[ ]Wd]XWh[ j[Y^d_[a[d" mWWhedZ[h l_Z[eZ_[dij# l[hb[d_d]" ?F [d jhWYa_d] jhWY_d]$ 7bb[i _d dWkm[ iWc[d m[ha_d] c[j km b[l[hWdY_[h e\ _dijWbbWj[kh$ Pe X[fWb[d m[ Z[ ijWdZWWhZ[d _d Z[ X[l[_b_]_d]i# _dZkijh_[$

I[Ykh_jWi _i a[dd_ib[_Z[h ef ^[j ][X_[Z lWd X[l[_b_]_d]$ :eeh ^[j b[l[h[d lWd i[]c[dj][h_Y^j[ X[l[_b_]_d]iefbeii_d][d h[Wb_i[[hj I[Ykh_jWi ]he[_ [d m_dij][l[dZ^[_Z _d c[[h ZWd *& bWdZ[d _d DeehZ#7c[h_aW" Pk_Z#7c[h_aW" ;khefW" 7p_ " 7\h_aW [d ^[j C_ZZ[d#Eeij[d$ ?d Wbb[ i[]c[dj[d cWa[d edp[ (*&$&&& c[Z[m[ha[hi ^[j l[hiY^_b$ LWd be]_ij_[a" ^Wl[di [d ef[dXWWh l[hle[h jej XWda[d" p_[a[d^k_p[d [d _dZkijh_ b[ Yecfb[n[d$ Edi Ze[b Wbi WYj_[l[ X[l[_b_]_d]ifWhjd[h0 (*%- [[d l[_b_][ m[ha# [d b[[\ec][l_d] leeh c[di[d [d eh]Wd_iWj_[i$

mmm$i[Ykh_jWi$db mmm$Wb[hj#i[hl_Y[i$db

SECM0910_Anno Keizer 13

06-09-2010 13:52:00

t hema | informatiebeveiliging

Information Security Officer komt eraan Hoewel reputatieschade door ondernemers als het grootste bedrijfsrisico wordt aangemerkt, blijkt uit onderzoek dat 58 procent van alle bedrijven niet goed is voorbereid op online imagoschade. Met de opkomst van social media worden goede naam en faam echter steeds kwetsbaarder. Het is daarom zaak het internet goed in de gaten te houden en actief in te spelen op online berichten over uw bedrijf. Wat zijn de mogelijkheden om de risico’s te beperken? WILFRED VAN ROIJ EN DICK KOSTER *

p een druilerige zondagmiddag zit u thuis wat achter de pc te googelen. Als u de naam van uw bedrijf intypt, ontdekt u dat er aan de opsomming van websites waarop uw bedrijf wordt genoemd kennelijk een nieuwe, voor u nog onbekende is toegevoegd. Maar ach, hoe meer publiciteit op het world wide web, hoe beter dat is voor de naamsbekendheid. U wordt nieuwsgierig, klikt door … en staart verbijsterd naar het scherm. U gelooft uw ogen niet als u leest wat er over u en over uw bedrijf wordt geschreven. Na de eerste ontzetting komt de prangende vraag: wie zit hierachter? Na nog wat googelen wordt het u duidelijk: dit kan niemand anders zijn dan die man van de afdeling financiën die onlangs op staande voet buiten de deur is gezet na geconstateerde fraude. Wég is uw vredige zondagmiddag, maar erger nog: weg is de vanzelfsprekendheid van de goede reputatie die uw bedrijf met veel inspanningen heeft opgebouwd.

Hoe sociaal zijn social media? Het wereldwijde web heeft het voor iedereen mogelijk gemaakt zonder enige beperking gedachten en meningen te uiten. Dit kan via zogenoemde social media zoals weblogs, forums, beoordelingssites en sociale netwerksites. Zo geeft internet een krachtige stem aan consumenten, bloggers en forumdeel-

nemers maar ook aan gebruikers van zogenaamde web 2.0 applicaties zoals Hyves, Facebook en Twitter. Zonder enige verantwoording kan in principe elke wereldburger over alles en iedereen een al dan niet genuanceerde mening geven. Het is allang niet meer de vraag of u hierin mee wilt gaan, want ook zonder u wordt er op internet wel over u gesproken. Of over uw bedrijf, of over uw werkgever, of over uw product, of over zoveel meer. De opkomst van de social media maakt goede naam en faam steeds kwetsbaarder. Want dat er wereldwijd heel wat digitaal gescholden, belasterd en be-

gen voor negatieve publiciteit en klantverlies.

Surveillance Hoewel reputatieschade door ondernemers als het grootste bedrijfsrisico wordt aangemerkt, blijkt uit onderzoek dat 58 procent van alle bedrijven niet goed is voorbereid op online imagoschade (Aon’s 2009 Global Risk Management Survey). Het is dus zaak het internet goed in de gaten te houden en actief in te spelen op online berichten. De logische vraag is dan: wat zijn de mogelijkheden om de risico’s te beperken?

58 procent van alle bedrijven is niet goed voorbereid op online imagoschade schuldigd wordt, is alom bekend. Internet kan reputaties maken, maar zeker ook breken. De ervaring leert dat dit laatste veel voorkomt en de nachtmerrie is van menigeen. De digitale schandpaal kan hoog zijn: één filmpje op YouTube kan al leiden tot aanzienlijke schade. Zo erg hóeft het natuurlijk niet te zijn. Ook ‘gewoon’ onjuiste informatie over een bedrijf of een product kan al zor-

Het monitoren van internet en een gedegen onderzoek op internet zijn de eerste stappen om invloed uit te oefenen op de virtuele identiteit van een bedrijf of persoon. Wil je controle houden over je merk en bedrijfsnaam, dan zal nagedacht moeten worden over een Early Warning System (EWS). Bij dit systeem worden diverse softwareproducten gebruikt om 24 uur per dag op het internet berichtensites, forums,

Security Management nummer 9 september 2010

SECM0910_Inform Sec Off 14

06-09-2010 13:51:25

t hema | informatiebeveiliging

blogs en sociale media op bepaalde namen en termen automatisch te controleren. Kortom: een dag-en-nachtsurveillance op internet. Door het internet te monitoren, risico’s te onderkennen en trends te bekijken weet het bedrijf wanneer de ‘digitale code rood’ nabij is. Door direct op een correcte manier te reageren op commentaar en negatieve berichtgeving kan het bedrijf ervoor zorgen dat de eigen reputatie hoog wordt gehouden en consumenten, klanten en relaties het bedrijf (blijven) zien als een betrokken en meedenkend bedrijf. Een voorbeeld: dierenactivisten maakten op een website bekend dat ze een protestactie hadden gepland bij de opening van een nieuw bedrijfspand. Door het EWS-alarm kwam hierover een melding binnen. Het bedrijf trof daar-

op extra veiligheidsmaatregelen en kon de verantwoordelijke autoriteiten vroegtijdig in kennis stellen.

Bedrijfsgeheimen Ook eigen werknemers kunnen door hun online uitlatingen – bewust, maar vaak ook onbewust - schade toebrengen aan de goede naam van het bedrijf waarvoor zij werken en zelfs bedrijfsgeheimen onthullen. Want weet u wie er binnen uw organisatie twittert? En zijn uw medewerkers zich ervan bewust dat wat er geschreven wordt op sociale netwerken in potentie niet alleen van invloed kan zijn op hun eigen reputatie, maar ook op die van de organisatie of het bedrijf? Het EWS-systeem zal ongetwijfeld de veroorzaker van imagoschade opsporen, maar zoveel mogelijk voorkomen is nog altijd beter dan

genezen. Want staat een bericht eenmaal op internet, dan kost ontgoogelen veel inspanning, tijd en dus geld. Ook richting uw medewerkers zal er dus het een en ander moeten gebeuren. Het trainen van het eigen personeel op het gebied van internetbewustwording (awareness) in combinatie met een gedragscode voor sociale media kan veel 2.0-problemen voorkomen.

Information Security Officer Social media-strategie en digitaal reputatiemanagement zijn in de meeste organisaties relatief nieuwe fenomenen die vragen om securitybeleid, bewustwording en kennis van informatiebeveiliging. De vraag is aan wie binnen het bedrijf de verantwoordelijkheid daarvoor moet worden gegeven: de IT-medewerker, de afdeling communicatie, de

Security Management nummer 9 september 2010

SECM0910_Inform Sec Off 15

06-09-2010 13:51:26

when security matters Als de beveiliging van uw bedrijf er toe doet, is alleen een levenslange beveiligingsoplossing met onbeperkte mogelijkheden en een uitstekende return on investment goed genoeg. Als u voor Nedap AEOS kiest is dat precies wat u krijgt! Met AEOS loopt u altijd voor op de steeds veranderende eisen op het gebied van beveiliging.

Bezoek Nedap op Security Essen 2010 Hal 3, stand 61 2

For more information: Nedap Security Management +31 (0)544 471 111, info@nedap-securitymanagement.com, www.nedap-securitymanagement.com

SECM0910_Inform Sec Off 16 Naamloos-1 1

06-09-2010 02-09-2010 13:51:29 14:34:17

4:34:17

t hema | informatiebeveiliging

security manager of de afdeling sales? Wellicht is het in Nederland tijd voor het inzetten van de functie Information Security Officer: een medewerker die binnen het bedrijf of de organisatie het digitaal reputatiemanagement voert en daarbij ook verantwoordelijk is voor het opzetten, invoeren en monitoren van het beveiligingsbeleid en het ontstaan van een professionele internet en security awareness. De invloed van de nieuwe media op de informatievoorziening is inmiddels letterlijk grenzeloos groot. De functie en het taakveld van de Information Security Officer in Nederland staan echter nog altijd in de kinderschoenen. Tijd voor een (proactieve) damage control en een goede opleiding.

Het monitoren van internet en het zoeken naar bruikbare gegevens in openbare bronnen op het internet en die ook nog kundig verifiëren is een vak op zich dat kennis en training vergt. Als u het beheer van (een deel van) uw strategie uitbesteedt, zorg er dan wel voor dat u dat bij betrouwbare professionals doet die kunnen bogen op voldoende deskundigheid en ervaring. Want u moet er toch niet aan denken dat u op een druilerige zondagmiddag na wat googelen ontdekt dat degene die

Zelf doen of uitbesteden? Voordat u begint met digitaal reputatiemanagement, is het van belang te weten wat er online al is geschreven over uw bedrijf of uw medewerkers. U kunt natuurlijk zelf een internet securitystrategie uitrollen en beheren, maar bij veel bedrijven komt het er in de praktijk door gebrek aan tijd of kennis vaak niet van.

u moet behoeden voor digitale imagoschade, zelf niet al te positief ‘opduikt’ ‹‹ op internet. * Wilfred van Roij is projectleider Digitale opsporing en internet awareness bij Com-Connect (Digital Forensic Services) in Horst. Dick Koster is directeur van het Politie Vormingscentrum (SPV) in Vaassen. Com-Connect en SPV verzorgen samen opleidingen en trainingen op het gebied van informatiebeveiliging, digitaal rechercheren en internet awareness.

Samenvatting » Social media-strategie en digitaal reputatiemanagement zijn in de meeste organisaties relatief nieuwe fenomenen die vragen om securitybeleid, bewustwording en kennis van informatiebeveiliging. » De vraag is aan wie binnen het bedrijf de verantwoordelijkheid daarvoor moet worden gegeven: de IT-medewerker, de afdeling communicatie, de security manager of de afdeling sales? » Wellicht is het tijd voor het inzetten van de functie Information Security Officer: een medewerker die binnen het bedrijf of de organisatie het digitaal reputatiemanagement voert en daarbij ook verantwoordelijk is voor het opzetten, invoeren en monitoren van het beveiligingsbeleid en het ontstaan van een professionele internet en security awareness.

over

(Advertentie)

Het Nieuwe Werken congres

CONGRES

WINST VOOR MENS EN ORGANISATIE Shift

Ctrl

Home

DINSDAG 16 NOVEMBER 2010 Congres- en Vergadercentrum Domus Medica, Utrecht. Het Nieuwe Werken is meer dan hot! Steeds meer organisaties passen het toe of oriënteren zich op de mogelijkheden, omdat zij zien dat Het Nieuwe Werken zowel voor de medewerkers als voor de organisatie tal van voordelen biedt. Diverse sprekers uit wetenschap, onderwijs, bedrijfsleven en overheid delen hun ervaringen en geven hun visie op het actuele thema tijdens het congres ‘Over Het Nieuwe Werken: winst voor mens en organisatie’. Met o.a. de volgende sprekers: Prof. Wessel Ganzevoort, Bas van de Haterd en Huib Koeleman.

Meer informatie en inschrijven? Kijk op www.overhetnieuwewerken.nl/congres

SECM0910_Inform Sec Off 17

06-09-2010 13:51:30

t hema | informatiebeveiliging

Informatiebeveiliging bij Zeelandia

Beleid als kapstok Dat informatiebeveiliging niet alleen iets is voor ministeries of banken, bewijst Koninklijke Zeelandia Groep in Zierikzee. De internationale expansie van de Zeeuwse leverancier van bakkerij-ingrediënten was voor hoofd ICT-beheer Bert de Vos een reden om de discussie over het onderwerp aan te zwengelen. In dit interview schetst hij de daaropvolgende zoektocht naar een kapstok voor de tot dan gehanteerde veelheid aan ad-hocmaatregelen. ARJEN DE KORT

ert de Vos is het prototype van de nuchtere Zeeuw, die prima past in een bedrijf dat hij zelf karakteriseert als een productiebedrijf waar hard wordt gewerkt én men elkaar vertrouwt. Desalniettemin staat het onderwerp informatiebeveiliging sinds enkele jaren op de agenda, iets waarvoor het hoofd ICT-beheer verantwoordelijk is. Een concrete aanleiding hiervoor was er overigens niet. ‘Het had vooral te maken met het aapje op mijn schouder’, vertelt De Vos. ‘Zolang alles

beveiliging aan te zwengelen om mensen in de organisatie in ieder geval bewust te maken van het feit dat niet alleen de afdeling ICT in deze een verantwoordelijkheid heeft, maar dat een deel daarvan ook bij henzelf ligt. ‘Daarom is het van belang dat zij weten welke risico’s er op dit terrein spelen.’

Corporate rol Toen De Vos in 2000 bij Zeelandia begon, zag de wereld er nog heel anders uit. Er dook slechts af en toe een

‘De ontwikkeling van de organisatie heeft ertoe bijgedragen dat informatiebeveiliging voor ons belangrijker is geworden’ goed gaat hoor je niemand, maar zodra het mis gaat komen ze bij mij.’ Reden voor hem de discussie rond informatie-

computervirus op en het belang van buitenlandse organisatieonderdelen was veel minder groot. Inmiddels

Kerngegevens Bedrijf: Plaats: Werknemers: Kernactiviteit:

Koninklijke Zeelandia Groep bv Zierikzee (hoofdkantoor); 25 dochterbedrijven wereldwijd 500 in Nederland, 1.400 wereldwijd ontwikkelen, produceren, verkopen en distribueren van bakkerijingrediënten.

volstaat een simpele virusscanner niet meer om alle bedreigingen te weerstaan. Bovendien heeft de directie bepaald dat Zeelandia meer wil zijn dan de som der delen, wat betekent dat er op verschillende terreinen initiatieven zijn genomen om kennis te delen en er meer zaken vanuit een centrale, corporate rol worden aangepakt, onder andere vanuit het perspectief van riskmanagement. ‘Doordat we nauwer zijn gaan samenwerken met onze buitenlandse vestigingen wordt er ook meer informatie gedeeld, en dus nemen de risico’s toe. Die ontwikkeling van de organisatie heeft er mede toe bijgedragen dat informatiebeveiliging voor ons de afgelopen jaren belangrijker is geworden.’

Van ad hoc naar structureel Begin 2007 werd de aftrap gedaan van het project om tot een structureel IBbeleid te komen. De Vos verwoordt zijn gevoel uit die tijd in een mooie beeldspraak: ‘We hadden verschillende knaapjes in de vorm van ad-hocmaatregelen, maar wat ontbrak was een kapstok om ze op te hangen. Op zich deden we het niet slecht, maar het was niet structureel. Ik vond dat we die kapstok moesten zoeken in een beleid, waarin is vastgelegd waarom we aan informatiebeveiliging doen en op basis waarvan we maatregelen nemen.’

Security Management nummer 9 september 2010

SECM0910_Beleid als kapsto 18

06-09-2010 13:50:59

t hema | informatiebeveiliging

Om dit proces te begeleiden en de voortgang te bewaken werd besloten om er een adviseur bij te betrekken. ‘We zochten een partij die vaker met dat bijltje had gehakt en ons kon helpen om dat proces te doorlopen. Maar we zochten geen partij die dat proces vóór ons zou doen. Nee, ze moest ons bij de hand nemen. Dat is belangrijk, want het is toch je eigen probleem; dat kun je niet uitbesteden. Je moet het zelf doen, het moet uit jezelf komen.’ In zijn zoektocht kwam De Vos uit bij LBVD. ‘Deze specialist op het terrein van informatiebeveiliging bleek inderdaad de partij die ons bij de hand kon nemen en ook paste bij de cultuur van Zeelandia: pragmatisch, zakelijk, en geen dikke boekwerken.’

Strategische doelstellingen Om organisaties aan een structureel beleid te helpen, hanteert LBVD het

zogenaamde Verbeterplan Informatiebeveiliging. De Vos schetst in een paar zinnen de essentie van deze aanpak, die ook bij Zeelandia werd toegepast. ‘Allereerst wordt vastgesteld wat je bestaande situatie is. Vervolgens bepaal je hoe je ervoor zou willen staan. Dan maak je een gap-analyse van zaken die je mist. Op basis van deze analyse worden projecten gedefinieerd en ga je een verbetertraject in om tot de gewenste situatie te komen.’ Omdat informatiebeveiliging een breed begrip is, bestond het risico dat het project te omvangrijk zou worden. ‘Daarom hebben we het in eerste instantie beperkt tot informatie die gerelateerd was aan geautomatiseerde informatievoorziening. Daarbij hebben we de kennis en informatie die in de hoofden van de mensen zit - een voor Zeelandia wel degelijk belangrijk aspect

- bewust buiten de scope van het project gelaten.’

Dwarsdoorsnede Nadat aanpak en scope duidelijk waren, werd een begin gemaakt om de bestaande situatie vast te stellen. Daartoe werd met een dwarsdoorsnede van de organisatie over informatiebeveiliging gesproken, variërend van directie tot middenmanagement en vertegenwoordigers van de werkvloer. ‘Vooral betrokkenheid en bewustwording van de hoofddirectie zijn in deze fase enorm belangrijk, zowel als sponsor, als partij die het moet uitdragen’, stelt het hoofd ICT-beheer. ‘Want het moet voor iedereen duidelijk zijn dat informatiebeveiliging niet iets is van Bert de Vos, maar van Zeelandia.’ Dit resulteerde in de formulering van vier strategische doelstellingen, waar-

Bert de Vos (hoofd ICT-beheer Zeelandia)over de implementatie van het IB-beleid: ‘De volgende stap is dat we de papieren structuur ombuigen naar een daadwerkelijk functionerende structuur, waarbij we het beleid bij iedereen in de organisatie tussen de oren krijgen.’

Security Management nummer 9 september 2010

SECM0910_Beleid als kapsto 19

06-09-2010 13:50:59

Visie

veiligheid Spyke Security biedt u een volledige anti- inbraakgarantie. En mocht er toch een insluiper ontsnappen aan ons beveiligingssysteem, dan vergoeden wij het bedrag dat u kwijt bent aan eigen risico! Benieuwd naar de andere voordelen van onze werkwijze? Neem contact op met René den Dekker via tel. 072 - 5414082 of surf naar www.spykesecurity.nl

■ Innovatieve en ﬂexibel beveiligingsconcept ■ Totaalconcept: van ontwerp tot realisatie ■ Op basis van operationele lease, dus géén investering ■ Preventieve en proactieve cameraservice ■ Tijdelijke en permanente camerabeveiliging ■ Live uitlezen van beelden in onze Toezichtcentrale ■ Directe en gerichte opvolging ■ Voor collectieve of individuele beveiliging in samenwerking met Parkmanagement Hoorn ■ Beveiliging bedrijven-terreinen ■ Bouwplaatsbeveiliging ■ Geschikt voor bedrijven, particulieren, overheden en andere instanties.

Smaragdweg 3 ■ 1812 RJ Alkmaar ■ T +31 (0)72-5414082 ■ F +31 (0)72-5414083 ■ E info@spykesecurity.nl ■ www.spykesecurity.nl

SOBA Security Opleidingen Al 20 jaar staat SOBA aan de top in opleidingen voor beveiliging en brandveiligheid!

JUBILEUMACTIES Cursus MSM met gratis iPod nano Start cursus maandag 4 oktober 2010

Cursus MST met gratis camerarecorderpen Start cursus dinsdag 2 november 2010

Cursus Vernieuwde NEN 2535 Van € 239,00 voor € 169,00 Start op diverse data en plaatsen; zowel avond- als dagcursussen

CURSUSOVERZICHT SOBA SOBA Security Opleidingen biedt u de volgende opleidingen aan op het gebied van beveiliging en brandveiligheid: • • • • • • • • • • • •

Installatiedeskundige BMI Onderhoudsdeskundige BMI Projecteringsdeskundige BMI Beheerder Brandmeldinstallaties Monteur Beveiligingssystemen Technicus Beveiligingssystemen Adviseur Beveiligingssystemen Middelbaar Security Techniek Middelbaar Security Management Basisveiligheid VCA VCA VOL Training Overvalpreventie

Kijk voor alle aanbiedingen op onze website!

IDB ODB PDB BBI MBV TBV ABV MST MSM

TOP

EUM JUBIL E ACTI

%HWHU RSJHOHLG DDQ KHW ZHUN Mercurion 28 – 6903 PZ Zevenaar – Tel.: 0316-34 11 10 – E-mail: info@soba.nl

SECM0910_Beleid als kapsto 20

Meld u nu aan via onze website! www.soba.nl

06-09-2010 13:51:03

t hema | informatiebeveiliging

mee impliciet de belangrijkste risico’s werden benoemd: » Zeelandia voldoet aan alle relevante weten regelgeving. » De unieke kennis – ‘onze recepten, onze R&D, onze business’- die Zeelandia onderscheidt van concurrenten, dient te worden bewaakt. » Verstoring of uitval van de informatievoorziening mag niet leiden tot hinderlijke situaties voor de bedrijfsvoering van klanten - ‘De continuïteit van onze productielijnen en het logistieke proces is heel belangrijk.’ » Voorkomen dat niet-publieke informatie van/over klanten/leveranciers in handen komt van personen/partijen waarvan Zeelandia dat niet wenst.

Van papier naar werkelijkheid ‘We hebben het nu op papier georganiseerd. Er is een structuur opgezet, waarbij de financieel directeur eindverantwoordelijk is. Maar de volgende stap is dat we die papieren structuur ombui-

De Vos gaande dit veranderingsproces steeds vaker dat hij een pettenprobleem heeft. ‘Als hoofd-ICT beheer moet ik namelijk ook mezelf controleren. Ik weet als verantwoordelijke voor informatiebeveiliging dat ik bepaalde maatregelen moet nemen, maar ik realiseer mij ook dat de mensen die daaraan invulling moeten geven druk zijn met andere zaken. Dat is iets waarmee ik worstel.’ Daarmee zegt De Vos feitelijk dat ICTbeheer en informatiebeveiliging steeds lastiger te combineren zijn. Volgens hem zal Zeelandia op termijn dan ook een keuze moeten maken over de invulling van de functie. ‘Maar dat is inherent aan de ontwikkeling die is ingezet, waarbij we het internationale aspect niet moeten vergeten. Want dit IB-beleid is 1 op 1 toepasbaar op de dochterondernemingen in andere landen en zal wereldwijd worden uitgerold. We weten nog niet precies wat onze rol als ICT-beheer daarbij zal worden: adviserend en ondersteunend, of

welke branche we actief zijn: wij zijn op aarde om te produceren voor bakkers en er worden aan ons vanuit wetgeving minder stringente eisen gesteld. Maar anderzijds, als je kijkt hoe wij er als productiebedrijf in vergelijking met collega’s tegenover staan dan lopen we weer voorop.’

Emotioneel Vooruitkijkend naar de weg die Zeelandia de komende tijd nog heeft af te leggen en zijn eigen rol daarin, ziet De Vos het als zijn grootste uitdaging om informatiebeveiliging niet alleen rationeel tussen de oren te krijgen maar ook emotioneel. ‘Ernaar handelen, uitdragen, initiëren, dat is nodig. Dat is iets wat door de hele organisatie zou moeten doordringen. Je moet van bewustwording naar bewustzijn komen, daar ‹‹ draait het om.’

‘Van bewustwording naar bewustzijn, daar draait het om’ gen naar een daadwerkelijk functionerende structuur, waarbij we het beleid bij iedereen in de organisatie tussen de oren krijgen’, schetst het hoofd ICTbeheer de huidige stand van zaken. Daarbij zal gebruik worden gemaakt van risicoanalyses, met als belangrijkste doelen proceseigenaren bewust te maken van de risico’s die ze in hun proces lopen en dat zij zich bewust worden dat zij zelf verantwoordelijk zijn om die risico’s af te dichten. De Vos: ‘Proceseigenaren moeten gaan inzien dat zij zelf verantwoordelijk zijn voor IB, dat het gaat om hun gegevens, om hun informatie. En dat als er straks iets mis gaat, zij niet meer naar ICT kunnen wijzen. Natuurlijk, het is een gezamenlijke verantwoordelijkheid die we daarin hebben, maar de eindverantwoordelijkheid ligt bij de proceseigenaar.’

Pettenprobleem Doordat informatiebeveiliging is ondergebracht bij ICT-beheer, bespeurt

controlerend. De keuze die daarin zal worden gemaakt, is bepalend of ik straks nog twee petten zal hebben of dat er één pet overblijft.’

Kinderschoenen De nuchtere en vooral realistische Zeeuw komt weer in De Vos naar boven als hem wordt gevraagd informatiebeveiliging binnen Zeelandia een cijfer te geven. ‘Ergens tussen een 6 en een 7. We hebben in de afgelopen jaren een aantal stappen gezet en ik denk dat we op de goede weg zijn. Maar ik weet ook dat we nog wel even te gaan hebben.’ Toch is enige nuance van dit cijfer wat De Vos betreft op zijn plaats, omdat het beeld in zijn ogen mede wordt bepaald waartegen je het afzet. ‘Ik wil benadrukken dat we als Zeelandia relatief gezien nog in de kinderschoenen staan als het om informatiebeveiliging gaat. Zeker als je het vergelijkt met ministeries en banken. Maar bedenk daarbij wat voor soort bedrijf we zijn en in

Security Management nummer 9 september 2010

SECM0910_Beleid als kapsto 21

06-09-2010 13:51:05

t hema | informatiebeveiliging

Digitale toegang tot het Met enige regelmaat hebben medewerkers vragen over hoe ze toegang kunnen krijgen tot het bedrijfsnetwerk. Vaak is er door het bos van de verschillende softwareoplossingen ook niet meer te zien welke manieren er zijn om die toegang te krijgen. Dit artikel probeert een licht te werpen op de verschillende soorten VPN’s (Virtual Private Networks). JAN FOLKERT BETHLEHEM *

igitale toegang beschrijft manieren om toegang te krijgen van de ene computer tot een andere. Strikt gezien zou toegang via een seriële kabel of een netwerkkabel al kunnen worden gezien als digitale toegang. In dit artikel gaat het echter over manieren om toegang te krijgen vanaf een thuiscomputer naar een andere computer ergens op het internet. Dit kan een computer zijn van een kennis waarmee je samen een spel wilt spelen, maar in het kader van dit artikel betreft het met name een server in het bedrijfsnetwerk waarop bestanden staan die je nodig hebt.

VPN Een VPN (Virtueel Particulier Netwerk of Virtueel Privénetwerk, Engels: Virtual Private Network) is een goedkope manier om een Wide Area Network (WAN) uit te bouwen met behoud van vertrouwelijkheid over een bestaande verbinding. Deze dienst maakt gebruik van een reeds bestaand netwerk, doorgaans het internet, om informatiedeling tussen geografisch afgescheiden netwerken mogelijk te maken. Het lijkt dan alsof er voor deze informatiedeling een dedicated netwerk voorzien is, terwijl er fysiek van een bestaand netwerk gebruik wordt gemaakt (Bron: Wikipedia).

Typen Er zijn meerdere typen VPN om toegang te krijgen tot andere computers. Zo zijn er klassieke VPN’s, zero-configuration VPN’s, zogenaamde thuis-

werkplekken, ‘directe verbindingen’ en portforwards. Klassieke VPN’s Klassieke VPN’s zijn VPN-netwerken zoals die veelal door bedrijven worden gebruikt. Je neemt een server, installeert en configureert daar VPN-software op, en geeft aan de medewerkers een stukje extra software mee dat op het systeem thuis moet worden geïnstalleerd. Dit stukje software zet dan een virtueel netwerk op, waarmee de gebruiker toegang kan krijgen tot de servers. Voorbeeld hiervan is de software van Cisco, OpenVPN en Microsoft. Zero-configuration VPN’s Zero-configuration VPN’s zijn vergelijkbaar met normale VPN’s, in zoverre dat zij ook een virtueel netwerk opzetten naar andere systemen. Het grootste verschil met klassieke VPN’s is dat iedereen clients gebruikt en de server wordt beheerd door de maker van de zero-configuration VPN software. De beheerder regelt vervolgens alle configuraties en zorgt ervoor dat iedereen het juiste virtuele netwerk heeft. Voorbeeld hiervan is de software van LogMeIn, TeamViewer en N2N. TeamViewer heeft, in tegenstelling tot de andere twee, de mogelijkheid om remote desktop toegang te geven tot de pc. Thuiswerkplekken Thuiswerkplekken borduren vaak voort op de oude remote desktop omgevingen, waarbij met een stukje software een virtuele desktop op een server kan

worden verkregen. Het grote verschil is dat vaak in plaats van een extra stuk software alleen een webbrowser nodig is en dat de gebruikers naar een website moeten gaan, daar inloggen en dan een desktop in hun webbrowser krijgen. Voorbeelden hiervan zijn Citrix XenApp, NoMachine NX en OpenNX. NoMachine NX en OpenNX hebben eigen software nodig, maar Citrix heeft alleen een webbrowser met Java nodig. Directe verbindingen en port forwards Directe verbindingen en port forwards zijn de simpelste manieren om toegang te krijgen tot informatie op het werk. Zij zijn echter vaak ook het meest gelimiteerd en het lastigst te beveiligen. Er kan alleen toegang worden verkregen tot een poort op een server. Een website, al dan niet achter een firewall, is hiervan een voorbeeld. Het verschil tussen een directe verbinding en een port forward is dat bij een directe verbinding bezoekers met de machine zelf verbinden. Port forwarding wordt gebruikt als een server achter een router staat en de gebruiker feitelijk verbinding maakt met de router of firewall. De router stuurt dan het verkeer van de gebruiker door naar de server en het verkeer van de server terug naar de gebruiker.

Wanneer welke VPN? De vraag is vervolgens wanneer welk type VPN wordt gebruikt. Maar eigenlijk is daar een relatief eenvoudig antwoord op te geven: » Klassieke VPN’s gebruik je als je

Security Management nummer 9 september 2010

SECM0910_Digitale toegang 22

06-09-2010 13:50:34

t hema | informatiebeveiliging

bedrijfsnetwerk meerdere gebruikers toegang wilt geven tot het gehele netwerk en het systeem van de gebruiker volledig te vertrouwen is. » Zero-configuration VPN’s gebruik je alleen tussen computers waarbij security geen hoge prioriteit heeft en snel en makkelijk een virtueel netwerk moet worden opgezet, zoals bijvoorbeeld voor computerspelletjes. » Thuiswerkplekken gebruik je als je meerdere gebruikers toegang wilt geven tot het gehele netwerk en alle daarop draaiende programma’s, maar geen vertrouwen hebt in de computers van de gebruikers. » Directe verbindingen en port forwards gebruik je als je een dienst open wilt zetten voor iedereen op het internet.

Voor- en nadelen Iedere techniek heeft natuurlijk vooren nadelen. Zo ook de VPN’s. Klassieke VPN’s zijn zeer veilig als de computers van de gebruikers dat ook zijn. Als een van de computers echter besmet is met een virus, kan die computer ook andere computers met virussen besmetten. Bij klassieke VPN’s worden bij voorkeur ‘dichtgetimmerde’ pc’s van de organisatie zelf gebruikt, die niet door de gebruiker kunnen worden gewijzigd. Privé-pc’s zijn uit den boze. Zero-configuration VPN’s zijn ideaal voor het snel koppelen van twee of meer computers. Echter, het is vaak een klein aantal en de veiligheid van de verschillende computers is meestal niet bekend. Ook is er die derde partij, die de servers beheert. Daarvan bestaat geen 100 procent zekerheid dat zij het verkeer tussen de verschillende computers niet kan onderscheppen en afluisteren. Voor bijvoorbeeld TeamViewer is het niet verplicht om beheerrechten te hebben op de machine waarop de software draait. Hierdoor is het mogelijk dat gebruikers op het werk de software draaien en vanaf thuis toegang krijgen

tot de pc op het werk zonder tussenkomst van de beheerders van het netwerk. Blokkeren van zero-configuration firewalls is sowieso lastig: vaak worden HTTP-poorten gebruikt om naar buiten te verbinden met de centrale servers en moet in de firewall op IP-basis geblokkeerd worden, als de IP-adressen al te achterhalen zijn. Thuiswerkplekken zijn veel veiliger dan de klassieke VPN’s. Gebruikers kunnen alleen wat de beheerders toestaan en verder eigenlijk niet al te veel. Informatie komt niet op de thuis-pc terecht. Het nadeel is echter dat iedere gebruiker een eigen virtuele pc heeft, waardoor iedere verbonden gebruiker resources op de gedeelde server gebruikt. Een server kan vaak niet meer dan een tiental gebruikers aan voordat de gebruikers gaan klagen dat het werken wel heel erg traag wordt. Videobewerking en andere multimediale toepassingen zijn dikwijls ook niet te gebruiken.

Directe verbindingen en portforwards zijn het eenvoudigst op te zetten. Er hoeft alleen een server ingericht te worden en eventueel moet een poort op de firewall worden opengezet. Echter, doordat iedereen (dus ook hackers) vanaf het internet toegang kan krijgen tot (bijvoorbeeld) de website, moet de website heel goed programmatisch worden beveiligd. Dit kan worden gedaan door gebruikersnamen en wachtwoorden te gebruiken. De software mag echter geen bugs hebben die kunnen worden misbruikt (hackers zijn continu op zoek naar nieuwe servers die zij kunnen inzetten voor hun ‹‹ eigen doeleinden). * Jan Folkert Bethlehem is adviseur bij LBVD Informatiebeveiligers en betrokken bij projecten op het gebied van informatiebeveiliging met een uiteenlopend karakter, waaronder Penetratietests en MysteryGuest-acties.

Samenvatting » Klassieke VPN’s zijn ideaal voor bedrijven die zeker weten dat de verbindende pc’s veilig zijn. » Zero-configuration VPN’s zijn ideaal voor low- en no-security omgevingen, zoals privécomputers. » Thuiswerkplekken zijn ideaal voor bedrijven die geen vertrouwen hebben in de pc’s van de medewerkers en niet willen dat gegevens op deze pc’s terechtkomen. » Directe verbindingen zijn gemakkelijk voor beheerders, mits de software veilig en up-to-date is.

Security Management nummer 9 september 2010

SECM0910_Digitale toegang 23

06-09-2010 13:50:35

t hema | informatiebeveiliging

Digitale spionage kan iedereen overkomen

Steek je kop niet in het zand Spionage is aan de orde van de dag. Overal om ons heen: op nationaal, economisch en bedrijfsniveau. Ook úw organisatie kan het doelwit zijn van aanvallen door nieuwsgierige overheden, concurrerende bedrijven of (georganiseerde) criminelen. Was iedereen zich daar maar van bewust. Een pleidooi voor spionageweerbaarheid. JEROEN HERLAAR *

igitale spionage is een vorm van cybercrime. Door middel van hacking in netwerken zoeken spionnen waardevolle informatie. Dit gebeurt continu. Niemand hangt het aan de grote klok, maar er zijn inlichtingendiensten die toegeven dat ze op economisch vlak actief zijn. Ook zijn er voorbeelden bekend van politiek geladen spionage, zoals het

GhostNet in 2009. De Verenigde Staten hebben zelfs al een speciale generaal voor CyberWar aangesteld voor het coördineren van de digitale beveiliging. Zoals gezegd: het gebeurt. De middelen zijn er, en de motieven en de kansen ook. Steek uw kop dus niet in het zand: u bent misschien ook een interessant doelwit voor spionage.

Assessment Spionageweerbaarheid Hoe weerbaar is uw organisatie tegen gerichte, digitale spionage? Dit kunt u testen met een Assessment Spionageweerbaarheid. Hierbij wordt uw organisatie blootgesteld aan een reeks van realistische aanvallen die typisch zijn voor spionagescenario’s. De aanval bestaat uit een krachtige combinatie van OSINT, HUMINT en CYBERINT. » OSINT: Openbronnenonderzoek en achterhalen organisatiestructuren, namen van contactpersonen, e-mailadressen, IP-adressen, telefoonnummers en dergelijke. » HUMINT: Door social-engineeringtechnieken vergaren van informatie. Sturen van ‘lokmails’ naar e-mailadressen, ‘droppen’ van gemanipuleerde usb-sticks of onder valse voorwendselen medewerkers opbellen en achterhalen van informatie zoals gebruikersnamen of zelfs wachtwoorden. » CYBERINT: Op basis van de verkregen informatie wordt een passende digitale aanval uitgevoerd. Daarbij wordt gebruikgemaakt van een breed arsenaal aan technieken, zoals webserver hacking, e-mail phishing, malware, war driving, war dialing et cetera. Aan het einde van het Assessment Spionageweerbaarheid hebt u een helder beeld in hoeverre uw organisatie is te compromitteren en gevoelige informatie bereikbaar is voor externen. Ook weet u hoe effectief uw technische en organisatorische beveiligingsmaatregelen zijn. Met deze bevindingen kunt u direct verbeterstappen nemen, onderbouwde managementrapportages opstellen en intern awareness creëren.

GhostNet: digitale spionage In 2009 bleek dat het spionagenetwerk GhostNet honderden ambassades, ministeries en internationale instellingen hackte. Dat gebeurde via gerichte e-mails met geïnfecteerde Word- en pdf-bestanden. GhostNet kopieerde documenten van geïnfecteerde computers en luisterde gesprekken af via webcams en microfoons. Het spionagenetwerk werd aangestuurd door computers die bijna allemaal leidden naar China. De operatie kwam aan het licht toen medewerkers van de Dalai Lama ontdekten dat e-mails waren uitgelekt.

Gelegenheid maakt de spion In onze drang om snel, transparant en overal samen te werken, koppelen we allerlei netwerken en informatiebronnen aan elkaar. Met uw Blackberry wilt u toch 24/7 paraat staan? Met deze continue bereikbaarheid creëren organisaties risico’s in hun IT-infrastructuren. Hoe meer koppelingen, hoe zwakker de veiligheid. Complexity creates low hanging fruit. Daarnaast zijn er allerlei geavanceerde technieken en producten breder inzetbaar geworden. Dat zie je terug bij de cybercrime rond online

Security Management nummer 9 september 2010

SECM0910_Digitale spionage 24

06-09-2010 13:50:01

t hema | informatiebeveiliging

banking. Wie kwaad wil, kan gewoon rondshoppen en zijn spionagespullen kopen. Er bestaat al een dynamische handel in deze business. Omdat alle componenten voor digitale spionage vrij verkrijgbaar zijn en je ook geen grote studiebol hoeft te zijn om ermee aan de slag te gaan, wordt spionage zo gemakkelijker en aantrekkelijker. Zeker wanneer er veel geld mee gemoeid is, want bij spionage kunnen grote belangen spelen.

Spionage in vier stappen Digitale spionage kent vier fasen: verleiding, besmetting, diefstal en opwaardering. Het proces begint met de verleiding van iemand uit een organisatie tot een eenvoudige actie. Denk aan het bekijken van een toegezonden of gevonden usb-stick. Of het verzenden van een e-mail met zogenaamde relevante informatie, waardoor de ontvanger een besmette link of bijlage opent. Velen

Handig, zo’n gratis usb-stick? Een topmanager bezoekt een conferentie over beveiliging. Bij een van de stands krijgt hij een gratis usb-stick. De volgende dag gebruikt hij die stick op zijn werkplek. De stick bevat malware en zijn computer raakt besmet.

zullen zeggen dat zij nooit ‘zoiets stoms zouden doen’. Maar ruikt u onheil als u drie weken na een congresbezoek een e-mail krijgt van - kennelijk - de orga-

bestuurbaar voor een externe. Deze besmettingen blijven onder de ‘virusradar’ en worden niet gedetecteerd of tegengehouden door beveiligingssyste-

Digitale spionage wordt meestal bij toeval ontdekt nisatie? De boodschap: een digitale spion steekt veel tijd en energie in een verrassende verleiding.

Ongezien besmet Is een netwerk onvoldoende beveiligd of is iemand eenmaal met succes verleid, dan vindt de besmetting plaats. In deze fase wordt een pc onderdeel van een Botnet en daarmee ongemerkt

men. U ontdekt ze vaak alleen bij toeval of bij een gespecialiseerd onderzoek. Omdat dit indringen en besmetten op grote schaal gebeurt - volgens de TU Delft is 1 op de 20 pc’s besmet - is eigenlijk elke organisatie doelwit en heeft infiltratie al plaatsgevonden. De volgende stappen zijn logisch. Er vindt ongemerkt diefstal plaats van informatie, documenten, kennis, gelui-

Direct of indirect doelwit van aanvallen Bent u wel of niet interessant voor digitale spionage? Veel organisaties denken dat hun bedrijfsinformatie niet zo gewild is. Toch wordt u ‘gezocht’. U bent dan een target of opportunity. Uw informatie is niet expliciet interessant voor aanvallers, maar uw systemen zijn kwetsbaar voor bepaalde aanvalsscenario’s. Het doel van aanvallers is vaak om resources zoals bandbreedte, storagecapaciteit en proxies te verkrijgen. Dit ter ondersteuning van criminele activiteiten zoals spam, uitwisseling van strafbare content, of aanvallen richting targets of choice. Organisaties zijn targets of choice wanneer ze worden aangevallen door mensen die expliciet interesse hebben in hun informatie of resources.

Security Management nummer 9 september 2010

SECM0910_Digitale spionage 25

06-09-2010 13:50:01

Dit is niet om over naar huis te schrijven

Incompany trainingen: schrijven op het werk Laat u inspireren door onze tekstprofessionals, leer door te doen en klim met plezier in je pen bij iedere volgende schrijfopdracht.

www.janssekoekkoek.nl

Jansse en Koekkoek bv is onderdeel van

SECM0910_Digitale spionage 26

Haal(t) meer uit uw mensen

06-09-2010 13:50:08

t hema | informatiebeveiliging

Blackberry even laten liggen Een hoge rijksambtenaar op dienstreis gaat in zijn hotel een hapje eten. Hij besluit zijn Blackberry even achter te laten in zijn hotelkamer. Een week later worden computers van het ministerie gehackt. Het is zeer aannemelijk dat onbekenden zijn hotelkamer zijn binnengegaan en gegevens van zijn Blackberry hebben gehaald.

interessant genoeg is. Al snel bent u een target of opportunity (zie kader Direct of indirect doelwit van aanvallen, pag. 25). En niet voor niets ontdekken we tijdens assessments altijd ongepaste activiteiten op het netwerk. Samengevat: alle organisaties zijn doelwit van ‹‹ aanvallen. den, beelden en dergelijke. Tot slot vindt opwaardering plaats: de spion dringt verder het netwerk binnen en besmet andere computers en servers. De aanvaller wil immers niet afhankelijk zijn van één geheime ingang.

Toevallig ontdekt, altijd lek Digitale spionage en pogingen daartoe worden meestal bij toeval ontdekt. Wanneer wij een Assessment spionageweerbaarheid (zie kader pag. 24) uitvoeren, lukt het altijd om het netwerk van

conclusie dat ‘de mens’, onbedoeld, de oorzaak is. Door naïef e-mailgedrag of het aanpassen van systeeminstellingen die het werk makkelijker lijken te maken maar wel voor een zwakkere informatiebeveiliging zorgen. Tal van organisatie zijn gevoelig voor spionage: ministeries, researchinstituten, hightechproducenten, grote internationals. Maar ook andere bedrijven lopen eerder risico dan gedacht. Het is ook zuur om als organisatie te constateren dat je niet zo veilig bent als je

Complexity creates low hanging fruit een organisatie binnen te dringen. Bovendien traceren onze specialisten tijdens het monitoren van een netwerk altijd ongepaste activiteiten: malware, vreemde downloads, verbindingen met privécomputers et ceterea. Vaak is de

Elektronische nieuwsservice Veel ambtenaren zijn geabonneerd op een nieuwsservice van de Europese Unie. Een aanvaller stuurt hen een e-mail met een geïnfecteerde bijlage. De mail lijkt afkomstig van de EUnieuwsservice. Dus zonder argwaan openen de ontvangers de bijlage.

denkt en miljoenen investeert in een falende beveiliging. Op je netwerken vertrouwen is goed, maar wees niet naïef. Wees bewust van de gevaren die er nu al dagelijks zijn. En denk niet dat uw organisatie niet

De voorbeelden in de kaders zijn overgenomen uit brochures van de AIVD. Deze kunt u downloaden op de website www. aivd.nl/actueel/AIVD-publicaties. * Jeroen Herlaar is manager Managed Security Monitoring bij Fox-IT

Hardwerkende student In 2005 is in Frankrijk een Chinese studente opgepakt, die stage liep in de auto-industrie. Het viel haar collega’s op dat ze vaak langer dan nodig achter computers zat. Bij controle bleek haar laptop meer informatie te bevatten dan volgens de bedrijfsvoorschriften gedownload had mogen worden. Bij haar thuis werden drie computers en twee harde schijven gevonden met geheime gegevens over auto’s.

Samenvatting » Digitale spionage is een vorm van cybercrime. » Digitale spionage kent vier fasen: verleiding, besmetting, diefstal en opwaardering.

» Digitale spionage en pogingen daartoe worden meestal bij toeval ontdekt. » Vaak is de conclusie dat ‘de mens’, onbedoeld, de oorzaak is. » In de praktijk blijkt dat alle organisaties doelwit zijn van aanvallen.

Security Management nummer 9 september 2010

SECM0910_Digitale spionage 27

06-09-2010 13:50:13

securit y

Regionale beveiligingsbe ineen Beveiligingsbedrijven opereren in een lastige markt. De prijsdruk is enorm en kostenreducties zijn aan de orde van de dag. Om meer slagkracht te creëren, heeft een aantal regionale bedrijven de handen ineengeslagen en een nieuw initiatief gelanceerd: de Nederlandse Security Alliantie (NSA). ARJEN DE KORT

e particuliere beveiligingsmarkt wordt al enkele jaren gedomineerd door drie grote, landelijke spelers, die in omzet gezamenlijk zo’n driekwart van de markt in handen hebben (2009: ongeveer 900 miljoen euro op een totaalomzet van de branche van 1,43 miljard euro). Na deze top 3 - Trigion, G4S en Securitas – valt

(Kandidaat)leden NSA » » » » » » » » » » » » » »

ANVD, Dordrecht ATN, Nieuw-Vennep Bex Beveiliging, Rijswijk Deko-Alarm, Den Helder EBN Veiligheidsdienst, Breda Fair Groep, Lelystad e.a. Gooiland Beveiliging, Eemnes Intergarde, Maastricht ISA, Amsterdam I-Sec Nederland, Schiphol MPL, Barneveld Protecteye, De Meern e.a. Safened, Helmond e.a. Schaaf Beveiliging, Leeuwarden

er een gat van 200 miljoen euro naar de middenmoot (omzetonderzoek Security Management 2010, nummer 7-8), die wordt gevormd door een aantal middelgrote bedrijven die vooral regionaal actief zijn. Ten slotte is er nog het stuwmeer aan kleine, vooral lokaal opererende beveiligingsbedrijven. In een markt waar de prijsdruk enorm is, hebben al deze bedrijven het lastig. Margedruk en kostenreducties zijn dan ook veelgehoorde begrippen in deze tijd, waarmee de grote spelers in de praktijk iets makkelijker kunnen omgaan dan de kleinere. Om die laatste in deze lastige markt meer slagkracht te geven is er een nieuw initiatief gelanceerd: de Nederlandse Security Alliantie (NSA).

Doelstellingen NSA is een netwerk van twaalf tot veertien regionale spelers, met een gezamenlijke omzet van zo’n 100 miljoen euro. Zij vormen een samenwerkingsverband met als juridische vorm de Coöperatieve Vereniging, waardoor de

Kerngegevens Organisatie: Rechtsvorm: Directeur: Bestuur:

Website:

SECM0910_NSA 28

Nederlandse Security Alliantie Coöperatieve Vereniging Piet Berkers Bestaat uit voorzitter, penningmeester en secretaris en wordt tijdens de oprichtingsvergadering op 17 september gekozen. www.nlsa.nl

aangesloten bedrijven volstrekt onafhankelijk blijven. De doelstellingen van de vereniging zijn: » het bundelen van inkoop om hiermee schaalvoordeel te behalen; » commerciële samenwerking om ook als kleinere spelers in aanmerking te komen voor (landelijke) tenders; » samenwerking in de breedste zin, met een focus op techniek en innovatie.

Prima zaak Gevraagd naar een reactie op de oprichting van de NSA laat Carlo Cahn (secretaris) namens de VPB weten het op zich een prima zaak te vinden. ‘De NSA is een marktpartij en geen brancheorganisatie. Als de NSA zich toelegt op het gezamenlijk inschrijven voor tenders, dan is dat een verbreding van de concurrentie en dat juichen we als VPB alleen maar toe.’ Ook wat betreft de primaire doelstelling van de NSA - gezamenlijke inkoop – stelt de VPB zich positief op, maar tegelijkertijd spreekt Cahn daarbij zijn twijfels uit. ‘Als VPB hebben we de ervaring dat dit in de praktijk erg lastig te realiseren is. Zo is het ons wel gelukt met een aantal collectieve verzekeringen. Maar bijvoorbeeld voor telefonie en uniformering niet, ondanks dat wij toch een aantal grote partijen vertegenwoordigen.’

Security Management nummer 9 september 2010

06-09-2010 13:49:38

securit y

drijven slaan handen NSA wil op deze manier een tegenwicht vormen tegen de grote, landelijke beveiligingsbedrijven.

Back-office NSA heeft een eigen back-office van waaruit de genoemde doelstellingen

worden gecoördineerd en ondersteund. Daarnaast verzorgt ze een aantal zaken waarmee de eerdergenoemde slagkracht van de aangesloten bedrijven daadwerkelijk moet worden vergroot. Te denken valt aan juridisch, economisch en HRM advies. Ook is NSA aan-

spreekpunt voor stakeholders als de VPB. Tevens kent de vereniging een eigen interne gedragscode en zal zij zich nadrukkelijk richten op verhoging en borging van de kwaliteit van dienstverlening van de leden.

NSA: alternatief voor de top 3 Als voormalig bestuurder van Falck Security is Piet Berkers (foto) geen onbekende in de beveiligingswereld. Sinds kort is hij hierin weer actief en heeft hij een aantal manbeveiligingsbedrijven verenigd in de Nederlandse Security Alliantie. Een schets van de achtergronden en de plannen. ‘Het idee van een inkoop-CV is niet nieuw en zie je in veel branches. Partijen proberen op deze manier inkoopvolume te creëren en kosten te beheersen. Zelf loop ik al een paar jaar met dit idee rond voor de manbeveiligingswereld. Inmiddels heb ik een eigen bedrijf van waaruit ik allerlei initiatieven ontplooi, waarvan dit er een is. Het huidige klimaat voor het idee is gunstig. Factoren die hierbij een rol spelen, zijn het oligopolie van de grote 3 PBO’s, de voor bedrijven toegenomen margedruk en kostenstijgingen, en het feit dat het voor kleinere spelers lastig is zich te kwalificeren voor landelijke tenders.’ Waren er ook signalen uit de markt? ‘Niet concreet of anders dan de noodzaak tot kostenreducties en de problemen met grote inschrijvingen. Maar het is een markt die niet meer groeit en waarin kleinere bedrijven ervaren dat landelijke klanten vaak alleen zaken willen doen met bedrijven met een bepaalde omzet. De keuze voor die klant is daardoor beperkt tot de grote 3. En als men ontevreden is over de een, kan men nog maar kiezen uit twee. Het idee is om met NSA een aantal sterke regionale spelers te bundelen en die landelijke klanten zo een alternatief te bieden. Maar dat is níet ons kortetermijndoel.’ Wat is dat dan wel? ‘We willen allereerst inkoopvoordelen realiseren voor onze leden. Ik heb tegen alle leden gezegd dat wat ze per jaar aan contributie betalen – 0,15 procent van hun omzet – ze via het inkoopvoordeel terug moeten kunnen krijgen. Dan moet je denken aan voordelen op auto’s, uniformering, telecom, energie, bouwen van websites, softwarelicenties, enzovoort. Voor de iets langere termijn is het doel commerciële samenwerking, waarbij we met NSA willen inschrijven op grote landelijke tenders.’ Hoe kun je dat vorm geven? ‘ Dat hangt van de tender af. Maar je ziet nu ook al dat klanten

vragen om samenwerkingsverbanden. We willen landelijke klanten laten zien dat zij daarbij niet langer de keuze hebben uit drie bedrijven, maar dat er ook een vierde partij is. Weliswaar niet één bedrijf, maar een vereniging bestaande uit veertien bedrijven. Maar wel bedrijven die bij hen “om de hoek” erg sterk zijn. Voor de leden biedt NSA een infrastructuur, waardoor zij een gezamenlijke aanbieding kunnen doen.’ Waarin wil NSA zich onderscheiden van de top 3? ‘Ik spreek met groot respect over de grote 3, maar het verschil met de kleinere bedrijven is sowieso dat die een plattere organisatie hebben met vaak de directeur/eigenaar aan het roer. Als er een klacht is over de dienstverlening, pakt hij die nog zelf op. Bovendien zijn ze geworteld in het gebied waar ze werken en hebben ze een sterke lokale aanwezigheid.’

Security Management nummer 9 september 2010

SECM0910_NSA 29

06-09-2010 13:49:38

securit y

Een ander doel is samenwerking in techniek en innovatie. Kun je een voorbeeld geven? ‘De markt vergroent en de overheid besteedt meer en meer duurzaam aan. NSA wil daarop inspelen en de meest duurzame partij in de markt worden. Ik zie bij verschillende leden al initiatieven op dat terrein, bijvoorbeeld het gebruik van elektrische auto’s. Dat kun je als NSA ook sneller oppakken dan als bedrijf alleen.’ Hoe kijkt de VPB tegen dit initiatief aan? ‘Dat weet ik niet. Maar ik heb het wel informeel gemeld en zij zijn dus op de hoogte van deze ontwikkeling. Bovendien zijn VPBleden en VPB-bestuursleden betrokken bij NSA. Ik ga binnenkort ook met de VPB praten, want we hebben natuurlijk een gezamenlijk belang en dat is de branche vooruithelpen. Maar ik wil benadrukken dat wij geen branchevereniging zijn.’ Hoe staat de top 3 er tegenover? ‘Ik kan mij voorstellen dat zij het niet echt leuk vinden, want door de inkoopvoordelen zullen voor onze leden de kosten dalen. En commercieel gezien gaan we ons op hun markt begeven. Maar met een knipoog zeg ik: ook de grote 3 kunnen lid worden van NSA en ze zijn hierbij uitgenodigd.’ Denk je dat de NMA dit als een machtsconcentratie zal zien? ‘Wij zijn een inkoop-CV en dat mag. De grote 3 doen samen ruim

900 miljoen euro aan omzet. Ik denk dan ook niet dat de NMA een relatief losse coöperatie van 100 miljoen euro als nieuwe machtsconcentratie zal zien. En misschien wordt het wel positief opgevat: NSA als tegenwicht van de grote 3.’ Fundament Afsluitend zet Berkers de zaken nog eens nuchter op een rijtje: ‘Onze leden moeten het gevoel krijgen dat zij door de inkoopvoordelen hun inleg terugkrijgen en daarnaast commercieel op

‘Ik wil benadrukken dat de NSA geen branchevereniging is’ plekken komen waar zij anders niet konden komen. Dat is in een nutshell wat we gaan doen. Maar NSA moet de eerste tijd vooral werken aan het fundament van de vereniging. De leden zijn onafhankelijke bedrijven, maar als lid van NSA moeten ze zich wel aan bepaalde afspraken houden en proberen de onderlinge concurrentie te beperken. Ik ben bezig de leden daarvan te overtuigen en van het feit dat we dit voor meerdere jaren moeten doen, ‹‹ willen we er de vruchten van plukken.’

(Advertentie)

M E TA A L D E T E C T I E

S P E E D G AT E S

Bavak en beveiliging: geruststellend om mee te werken

X - R AY

Het realiseren van veiligheid vereist steeds meer een integrale aanpak waarbij flexibiliteit van groot belang is. Bavak Beveiligingsgroep BV heeft de kennis, de mensen, de producten èn de ervaring in huis om u optimale beveiligingstechnieken te bieden.

BOUWKUNDIGE BEVEILIGING

ELEKTRONISCHE BEVEILIGING

Bavak Beveiligingsgroep BV is een internationaal werkende organisatie en heeft meer dan 40 jaar ervaring met het leveren, installeren en onderhouden van beveiligingssystemen. Bavak kent 7 productlijnen: • • • • • • •

Parkeer- en toegangstechniek Bouwkundige beveiliging Elektronische beveiliging Explosieven detectiesystemen Service & onderhoud Opleiding & training Verhuur

Voor levering, installatie en onderhoud van technische beveiliging conform Borg, TAPA of ISPS: Bavak Beveiligingsgroep BV is uw partner.

7762-01

BAVAK BEVEILIGINGSGROEP BV Postbus 334, 2200 AH Noordwijk • Zwarteweg 19, 2201 AA Noordwijk Tel.: (071) 403 55 44 • Fax: (071) 403 55 83 E-mail: info@bavaksec.nl • www.bavaksec.com

SECM0910_NSA 30

06-09-2010 13:49:40

securit y

Securitycultuur en security awareness

Een vergelijkend warenonderzoek Zelfs de beste en duurste beveiligingsmaatregelen kunnen volstrekt nutteloos worden omdat gebruikers er verkeerd mee omgaan. Dit is het veelgebruikte argument bij de stelling dat ‘de mens de zwakste schakel is in een beveiligingssysteem’. Of, zoals securitydeskundige Martin Smith stelt: ‘Too often, technical solutions are prescribed for people problems. No lock in the world is worth a jot if the users pass round keys to anyone.’ SEBASTIAAN BARLAGEN EN ROLAND BRON *

n de vorige editie van Security Management zijn in diverse bijdragen verschillende aspecten van security awareness en securitycultuur te herkennen. Zo vertelde Laura van Es van CoolCat Fashion over de bewustwording rond interne fraude. Preventiecoach Jacob Wagenaar, werkzaam voor VMB / Zeeman, vertelde dat alert personeel op alle fronten een belangrijk aspect is van securitybeleid. De wetenschappers van TNO besteedden aandacht aan het herkennen van afwijkend gedrag. En Colin T. ging in zijn column in op de mythe van beveiligingsbewustzijn en het veranderen van cultuur. De hedendaagse oplossingen voor geconstateerde beveiligingsproblemen heten security awareness en securitycultuur. De gedachte is dat pas als uw organisatie er genoeg en/of het goede van heeft, kunt u er van op aan dat uw beveiligingsmaatregelen optimaal functioneren. Er zijn tegenwoordig dan ook tal van aanbieders waar u een traject naar meer security awareness of een betere securitycultuur kunt ‘kopen’. Het gevaar is dat dergelijke trajecten worden gestart zonder dat duidelijk is wat het beoogde doel is of dat de juiste

randvoorwaarden in de organisatie aanwezig zijn. Dergelijke trajecten moeten het goed gerichte sluitstuk van een integrale aanpak zijn, niet het begin. In de praktijk valt op dat er sterk uiteenlopende ideeën bestaan over security awareness en securitycultuur. Dit roept een aantal vragen op. Wat is security awareness of securitycultuur nu precies en hoe verhouden beide concepten zich tot elkaar? Wat is hun effect op het niveau van beveiliging of

awareness-programma of cultuurtraject in zijn werk gaat. Wat je hiervan kunt verwachten, maar vooral ook wat niet. Tot slot geven we enkele praktische handvatten om zelf de eerste stappen te zetten richting het optimaliseren van de samenhang tussen beveiligingsmaatregelen en gebruikers.

Achtergrond Security awareness is een concept dat voortkomt uit de ICT-ontwikkelingen aan het begin van de jaren tachtig van

De invloed van security awareness en securitycultuur op het beveiligingsniveau gaat over meerdere schakels veiligheid en kunnen we dit beïnvloeden? Werken security awareness- en securitycultuurproducten eigenlijk wel en hoe weten we dat? Dit artikel beschrijft kort de achtergrond van beide concepten en legt vervolgens uit welke basisaannames en theorieën er aan ten grondslag liggen. Vervolgens wordt bekeken hoe een

de vorige eeuw, de periode dat er voor het eerst vertrouwelijke informatie werd opgeslagen en verspreid via de voorlopers van het internet. ICT-specialisten kwamen toen snel tot de conclusie dat een veilig informatiesysteem vereist dat de gebruikers van deze systemen hier op een zorgvuldige en correcte manier mee omgaan. Met andere woorden: je kunt een computernetwerk

Security Management nummer 9 september 2010

SECM0910_Securitycultuur 31

06-09-2010 13:49:15

securit y

Stappen cultuurverandertraject of awarenessprogramma 1. Stel vast wat het doel is van het cultuurveranderings- of awarenessprogramma 2. Maak het huidige en het gewenste beveiligingsniveau zichtbaar a. Maak een risicoanalyse b. Verzamel incidentregistraties c. Beoordeel de effectiviteit van de maatregelen 3. Analyseer de impact van de gebruikers op de effectiviteit van de maatregelen 4. Maak een keuze: een awarenessprogramma, een cultuurprogramma of allebei a. Awarenessprogramma als gebruikers een kennistekort hebben b. Cultuurprogramma als niet de juiste afwegingen tussen veiligheid en andere belangen worden gemaakt 5. Borg de uitvoering van het programma op langere termijn a. Leren door herhaling b. Instructie nieuwe medewerkers

nog zo goed beveiligen, de gebruiker kan bijna al deze inspanningen nutteloos maken. Een van de eerste keren dat we de term ‘security awareness’ tegenkomen is dan ook in de Amerikaanse Computer Security Act van 1987: ‘One of the fundamental purposes of H.R. 145 is improved computer security awareness and use of accepted computer security practice by all persons involved in management, use, or operation of federal computer systems that contain sensitive

information.’ Sindsdien is het concept verbreed naar andere vormen van security, ook buiten het ICT-domein. De term ‘securitycultuur’ wordt gebruikt om een eigenschap van een groep mensen te beschrijven. Hierdoor is ze van toepassing op landen, gemeenschappen, steden én organisaties. In dit artikel gaat het uitsluitend over deze eigenschap op het niveau van een organisatie. Het concept securitycultuur komt vanaf het eind van de jaren negentig op, aanzienlijk later dan security awareness. Opmerkelijk is het feit dat dit concept ook wel met ICT te maken heeft, maar zijn populariteit te danken heeft aan de gezondheidszorg. In het begin wordt de term vooral gebruikt om aan te geven hoe (mensen binnen) zorginstellingen omgaan met vertrouwelijke patiëntgegevens.

Het mysterie ontrafeld Wat is nu precies security awareness en securitycultuur en wat zijn de gangbare theorieën over hun invloed op het niveau van beveiliging/veiligheid? Securitycultuur Een (goede) securitycultuur zorgt ervoor dat medewerkers voldoende belang hechten aan de risico’s en maatregelen. In de praktijk is er niet één definitie van securitycultuur maar worden er verschillende betekenissen naast elkaar gehanteerd. Twee belangrijke kenmerken hierbij zijn: » het gebruik van een breed of eng cultuurbegrip; » de invulling van het securityconcept

in relatie tot andere cultuurvarianten zoals veiligheidscultuur of organisatiecultuur. Binnen de organisatietheorie heeft de term cultuur betrekking op onder andere attitudes, normen en waarden, overtuigingen, symbolen en rituelen. Bij symbolen en rituelen gaat het dan vooral om de bijzondere betekenis die mensen hieraan toekennen. Wanneer bepaalde gedragingen ook tot cultuur worden gerekend, spreken we van een breed cultuurbegrip. Dit komt vooral tot uitdrukking in de uitspraak: ‘Zo doen wij de dingen hier nu eenmaal.’ Hiernaast zien we verschillen in de invulling van het securityconcept ten opzichte van bijvoorbeeld organisatiecultuur en veiligheidscultuur. De gangbare opvatting hierbij is dat de securitycultuur een deelverzameling is van de veiligheidscultuur van een organisatie. Op haar beurt is de veiligheidscultuur dan weer ingebed in de bredere organisatiecultuur. Het komt echter ook voor dat de securitycultuur wordt gezien als een uitbreiding op de veiligheidscultuur of zelfs de bredere organisatiecultuur. Een gangbare omschrijving van securitycultuur is: de gedeelde attitudes, normen en waarden, overtuigingen, symbolen en rituelen binnen een organisatie ten aanzien van security. Security awareness Security awareness is nodig zodat medewerkers zich bewust zijn van de risico’s en maatregelen. Security awareness wordt op een aantal fundamenteel verschillende manieren gebruikt: » om een bepaald(e) bewustzijn, alertheid en opmerkzaamheid te duiden. Cruciaal hierbij is dat het gaat om een vorm van waarnemen: zien of voelen waneer er iets niet in de haak is; » in het verlengde hiervan: om het handelen van mensen aan te duiden wanneer zij het gevoel hebben dat er iets niet klopt. Trekt iemand dan aan de bel of wuift hij het weg met het idee ‘Het zal wel niets zijn’? » kijkend naar iemands kennis, inzicht en risico-inschatting: de notie dat mensen zich in meerdere of mindere mate bewust zijn van bepaalde risico’s en de getroffen maatregelen en weten hoe zij moeten handelen in uiteenlo-

Security Management nummer 9 september 2010

SECM0910_Securitycultuur 32

06-09-2010 13:49:15

securit y

pende situaties. Dit is vervolgens van belang voor hun risico-inschatting en de beslissingen die zij nemen.

Security awareness ‘weten’

Theorie De basisgedachte achter het effect van securitycultuur en security awareness is dat zij bepalend zijn voor het gedrag en/of de beslissingen van mensen in relatie tot beveiliging en veiligheid. Bijvoorbeeld de medewerker die het gevoel heeft dat er iets niet klopt maar dit niet meldt of geen actie onderneemt. Of de directeur die zegt dat hij security belangrijk vindt maar bij budgetafwegingen telkens de voorkeur geeft aan andere zaken. Of de medewerkers die zich structureel niet aan procedures en instructies houden. De redenering is dat deze mensen zich op een bepaalde manier gedragen vanwege wat zij van security vinden (cultuur) óf wat zij hiervan weten (awareness). De manier waarop zij handelen, is vervolgens van invloed op de effectiviteit van securitymaatregelen wat weer van invloed is op het beveiligings- en veiligheidsniveau van de organisatie. Hoe deze redenering er grafisch uitziet, is te zien in de afbeelding. Deze weergave maakt meteen duidelijk dat maatregelen die op zichzelf al ineffectief zijn door voldoende awareness of goede cultuur, nooit effectief kunnen worden. Bewustzijn en cultuur beïnvloeden het gedrag en de beslissingen van gebruikers en zijn daarmee randvoorwaardelijk voor effectieve maatregelen. Op basis van deze grafische weergave kunnen verschillende onderdelen uit een cultuurverandertraject of awarenessprogramma worden beschreven. Allereerst is het essentieel om te realiseren dat het doel van elk cultuurverandertraject of awarenessprogramma is het beveiligingsniveau te verhogen. Stap één is daarom ook inzichtelijk maken wat het huidige én het gewenste beveiligingsniveau zijn. Hiervoor zijn verschillende instrumenten beschikbaar zoals risicoanalyses en incidentregistraties. Ervan uitgaande dat de beveiliging niet van het gewenste niveau is, kan er worden gekeken naar de effectiviteit van de getroffen maatregelen. Hieruit kan blijken dat de maatregelen

Gedrag en beslissingen van medewerkers

Effectiviteit van security maatregelen

Beveiligingsniveau

Security cultuur ‘vinden’

wel effectief zijn maar dat het simpelweg niet de juiste maatregelen zijn. Bij deze fase gaat het vooral om de interactie tussen gebruikers en maatregelen en de impact hiervan op hun effectiviteit. Als blijkt dat de maatregelen beduidend minder effectief zijn vanwege het gedrag van gebruikers, dan kan een awarenessprogramma en/of cultuurtraject een meerwaarde hebben. Hierbij is het echter van belang om te weten welke maatregel verminderd effectief is en welk gedrag hier de oorzaak van is. Vervolgens is het zaak om te achterhalen waarom gebruikers zich op deze manier gedragen. Gedragen zij zich zo omdat zij zaken niet ‘zien’, onvoldoende kennis en inzicht hebben of niet weten hoe zij moeten handelen? In dat geval zou een awarenessprogramma dat deze oorzaak adresseert, een goede oplossing kunnen zijn. Gaat het echter vooral om de afwegingen die worden gemaakt en kennen mensen andere zaken meer prioriteit toe, dan kan een cultuurverandering een bijdrage leveren.

Conclusie Het voorgaande maakt duidelijk dat de invloed van security awareness en securitycultuur op het beveiligingsniveau over meerdere schakels gaat. Deze indi-

recte relatie zorgt ervoor dat cultuuren awareness-interventies erg complex zijn. Om het gewenste effect te bereiken zijn een zeer grondige probleemanalyse en robuuste monitoring nodig. Het is dan ook zeer de vraag hoe effectief awarenessprogramma’s en cultuurveranderingen zijn waarbij een veelheid aan risico’s en maatregelen tegelijkertijd worden geadresseerd. Een zeer specifieke interventie gericht op (een) bepaalde (set) gedragingen en maatregelen heeft vaak een grotere kans van slagen. Hier komt vervolgens nog bij dat medewerkers komen en gaan en mensen ‘leren’ door herhaling. Hierdoor moeten steeds nieuwe mensen worden geïnstrueerd, maar ook herhaaldelijk over een langere periode. Cultuurverandertrajecten en security awarenessprogramma’s zijn daarom complex, wisselend effectief en vergen een lange adem en bijbehorend budget. Denk daarom goed na voordat u eraan begint en wees kritisch over ‘standaard’ ‹‹ oplossingen voor uw problemen. * Sebastiaan Barlagen en Roland Bron zijn respectievelijk adviseur en managing senior bij het COT Instituut voor Veiligheids- en Crisismanagement in Den Haag

Samenvatting » In de praktijk valt op dat er uiteenlopende ideeën bestaan over security awareness en securitycultuur.

» Securitycultuur is de gedeelde attitudes, normen en waarden, overtuigingen, symbolen en rituelen binnen een organisatie ten aanzien van security.

» Security awareness is nodig zodat medewerkers zich bewust zijn van de risico’s en maatregelen.

» Cultuurverandertrajecten en security awarenessprogramma’s zijn complex, wisselend effectief en vergen een lange adem en bijbehorend budget.

Security Management nummer 9 september 2010

SECM0910_Securitycultuur 33

06-09-2010 13:49:17

securit y

Bedreiging of kans?

Beveiligen, maar dan anders Uitbesteden van facilitaire diensten is de normaalste zaak van de wereld. Ook het beveiligingscontract wordt hierin vaak meegenomen. Beveiligingsbedrijven spelen hierop in en breiden hun producten- en dienstenportfolio steeds meer uit. Resultaatgericht contract en regiemodel zijn daarbij veelgehoorde begrippen. Wat betekent dit in de praktijk? ARJEN DE KORT

ls (interim) facility manager van CB Richard Ellis (CBRE) beheerde Anthony van Zijl de facilitaire contracten van het Amerikaanse bedrijf NCR, waaronder het beveiligingscontract van het logistieke centrum in Maastricht van waaruit de Europese vestigingen worden bevoorraad. Zo’n twee jaar geleden kreeg hij de opdracht om op dit contract een aanzienlijke bezuiniging te realiseren. Het betrof een traditioneel contract met beveiligingsbedrijf Securitas, waarin voor 24/7 manbeveiliging werd ingekocht. Daarnaast lag er voor de technische beveiligingsinstallaties, zoals het camera- en het toegangscontrolesys-

teem, een contract met een andere leverancier. Om de beoogde bezuinigingen te realiseren had CBRE bepaalde ideeën alvorens de vraag bij verschillende beveiligingsorganisaties werd neergelegd. ‘Op zich was het een eenvoudig verhaal. Wat betreft de manbewaking wilden wij kijken of het met meer dan de helft minder zou kunnen, en in het onderhoudscontract van de technische installaties was onzes inziens ook een forse bezuiniging te realiseren.’

Hoe kan het anders? De vraag kwam op het bordje terecht van Michel Smits, security project ma-

Kerngegevens CB Richard Ellis: vastgoedadviesbedrijf, dat tevens het facilitair management verzorgt voor multinationals. Securitas: de nummer 3 beveiligingsorganisatie in Nederland. Biedt met Total Solutions - alle beveiligingstaken in één hand, inclusief het beheer en de inzet van mensen en bewakingstechnologie - een totaaloplossing voor het uitbesteden van beveiliging. Opdracht: realiseren van een substantiële bezuiniging op het beveiligingscontract (manbeveiliging + techniek). Oplossing: het totale beveiligingscontract is ondergebracht bij één beveiligingsorganisatie, waardoor een combinatie van manbeveiliging en technische oplossingen mogelijk werd. Resultaat: gerealiseerde bezuiniging van 40 procent.

SECM0910_Beveiligen 34

nager bij Securitas. ‘Zo’n vraag is precies wat we willen’, aldus een enthousiaste Smits. ‘Het is mooi als een klant aangeeft een beveiligd object te hebben en ons de vraag stelt hoe het anders zou kunnen. We vragen hem dan naar zijn drijfveer. In dit geval was het duidelijk dat er moest worden bezuinigd, maar wel binnen een aantal randvoorwaarden: de operatie moest kunnen doorgaan en de kwaliteit van de dienstverlening mocht niet minder.’ Smits schetst het traject dat vervolgens wordt doorlopen en dat begint met een volledige securityscan van het object. Aan de hand van de resultaten daarvan worden met de klant de risico’s besproken en afgewogen welke wel of niet aanvaardbaar zijn. In het logistieke centrum in Maastricht kwam als knelpunt naar voren dat ondanks de te realiseren bezuiniging op de aanwezige beveiliging het voor de klant van groot belang was dat het pand toch 24 uur per dag toegankelijk zou zijn voor bijvoorbeeld het afhandelen van spoedbestellingen, of voor medewerkers van de afdeling ICT. In de oude situatie met 24/7 beveiliging was dit geen enkel probleem en konden personen die het pand betraden worden gemonitord. In het nieuwe contract moest dit risico worden ondervangen.

Security Management nummer 9 september 2010

06-09-2010 13:48:04

securit y

“koop je tijd” en blijf je flexibel.’ CBRE kon zich vinden in deze oplossing, die bovendien nog een ander voordeel bood. ‘Deze operatie gaf ons de kans om het totale beveiligingscontract bij één partij onder te brengen’, aldus Van Zijl. Dat resulteerde op 1 september 2009 in een door CBRE en Securitas ondertekend nieuw contract dat niet alleen manbeveiliging, maar ook de levering en het onderhoud van het camera- en het toegangscontrolesysteem omvat. Hiermee wordt het verlies in manuren ten dele gecompenseerd, erkent Smits. ‘We hebben in manbeveiliging inderdaad behoorlijk ingeleverd, maar een belangrijk deel daarvan wordt weer goedgemaakt doordat we in dit contract nu ook de techniek, de meldkamer en de mobiele surveillance leveren.’

Langdurige relatie Anthony van Zijl kreeg namens CBRE de opdracht om fors te bezuinigen op het beveiligingscontract.

Slimme combinaties Smits doet de totstandkoming en de bijzonderheden van het nieuwe contract verder uit de doeken en vertelt met welke slimme combinaties van beschikbare beveiligingsdiensten hij tot voor de klant acceptabele oplossingen kwam. ‘Nadat we de risico’s in kaart hadden gebracht, hebben we ook naar de aanwezige technische systemen gekeken. Wat betreft status en onderhoud viel daarin een behoorlijke slag te maken. Ten slotte hebben we ook het 24/7 karakter van het bedrijf tegen het licht gehouden. Met die elementen in gedachten zijn we gaan kijken hoe we de gevraagde kostenreductie konden realiseren en tegelijkertijd de tevredenheid over de dienstverlening minimaal konden handhaven.’ Zijn uiteindelijke voorstel betrof een combinatie van manbeveiliging op de uren dat de meeste mensen in het pand aanwezig zijn en inzet van techniek op de minder drukke uren. In de praktijk betekende dit dat de aanwezigheid van beveiligers in de nachtelijke uren en in het weekend werd geschrapt. ‘In het geval van bijvoorbeeld inbraakdetectie kunnen we immers vanuit de alarmcentrale op afstand inkijken of kunnen we een surveillance-

auto aansturen. Een andere mogelijkheid is dat het pand voor bepaalde mensen 24 uur toegankelijk is mits er volgens afgesproken procedures wordt gewerkt. Met dit soort oplossingen

Is dit nu een resultaatgericht contract, waarover in de facilitaire markt en door beveiligingsbedrijven volop wordt gesproken? ‘Wij noemen dit een combined contract’, aldus Smits. ‘Daarin worden combinaties gemaakt van de verschillende door ons aangeboden beveiligingsoplossingen en kijken we naar

Michel Smits zocht de oplossing in slimme combinaties van beveiligingsdiensten.

Security Management nummer 9 september 2010

SECM0910_Beveiligen 35

06-09-2010 13:48:05

securit y

organisatorische en procedurele maatregelen in de organisatie van de klant. Verder maken we geen dagrapporten meer, maar leveren we maandrapportages waarin we incidenten melden en aangeven hoe we ze hebben opgelost. Wat mij betreft heb je het dan over een prestatiegericht contract.â&#x20AC;&#x2122; Dergelijke contracten wijken nogal af

het nieuwe camera- en toegangscontrolesysteem gefinancierd. In ruil daarvoor willen we commitment van klanten in de vorm van langduriger contracten. Contracten voor een of twee jaar, waarbij prijs het enige criterium is, passen daar niet bij.â&#x20AC;&#x2122; Maar dat de markt er nog niet in alle gevallen klaar voor is, weet ook Smits.

â&#x20AC;&#x2DC;We willen commitment van klanten in de vorm van langduriger contractenâ&#x20AC;&#x2122; van wat gangbaar is in de beveiligingsbranche en moeten daarom aan een belangrijke voorwaarde voldoen: ze moeten voor een langere periode worden afgesloten. Smits legt uit waarom: â&#x20AC;&#x2DC;Niet alleen durven wij te snijden in onze mensen, maar wij moeten ook investeren. Zo hebben wij in Maastricht

â&#x20AC;&#x2DC;Bedrijven die toekomstgericht werken, staan er voor open. Andere moet je echter uitleggen dat beveiligen ook anders kan. Vooral bij grotere bedrijven met een eigen security-afdeling en security manager is dat lastig. Die hebben hun eigen ideeĂŤn over beveiliging en kunnen ons als een bedreiging erva-

ren. Je probeert dan te laten zien dat je samen kunt optrekken en elkaar kunt ondersteunen. Zij zouden het dus als een kans moeten zien om hun beveiligingsproces efficiĂŤnter in te richten.â&#x20AC;&#x2122;

Klant - leverancier Hoewel in het nieuwe, vijfjarige contract veel verantwoordelijkheid bij de beveiligingsorganisatie wordt neergelegd, is de stap naar een echte regierol volgens Van Zijl er nog een te ver. â&#x20AC;&#x2DC;Dat wilde CBRE nog niet. Wij wilden zelf eindverantwoordelijk blijven.â&#x20AC;&#x2122; Maar dat er inmiddels geen sprake meer is van een traditionele klantleverancierrelatie, daarover zijn beide heren het meer dan eens. â&#x20AC;&#x2DC;Doordat het een langdurig contract betreft, wordt de betrokkenheid een stuk groter en heb je meer begrip voor elkaarâ&#x20AC;&#x2122;, aldus Smits, die instemmend knikt bij de afsluitende opmerking van Van Zijl dat beiden daardoor bereid zijn in zoâ&#x20AC;&#x2122;n reâ&#x20AC;šâ&#x20AC;š latie te investeren.

(Advertentie)

Lhe[]Xe[aaehj_d] X_` WWdc[bZ[d leeh ' del[cX[h (&'&

?i i[Ykh_jo IY_[dY[5

-ASTERĂ&#x;OFĂ&#x;3ECURITYĂ&#x;3CIENCEĂ&#x; Ă&#x;-ANAGEMENT 7IEĂ&#x;ALĂ&#x;ENIGEĂ&#x;TIJDĂ&#x;WERKZAAMĂ&#x;ISĂ&#x;OPĂ&#x;HETĂ&#x;GEBIEDĂ&#x;VANĂ&#x;3ECURITY Ă&#x; WEETĂ&#x;DATĂ&#x;OPTIMALEĂ&#x;BEVEILIGINGĂ&#x;ENĂ&#x;VEILIGHEIDĂ&#x;PASĂ&#x;TOTĂ&#x;STANDĂ&#x;Ă&#x; KUNNENĂ&#x;KOMEN Ă&#x;WANNEERĂ&#x;ZIJĂ&#x;OPĂ&#x;STRATEGISCHĂ&#x;NIVEAUĂ&#x;GOEDĂ&#x;Ă&#x; WORDENĂ&#x;GEMANAGED Ă&#x;$ELFTĂ&#x;4OP4ECHÂ´SĂ&#x;-ASTERĂ&#x;OFĂ&#x;3ECURITYĂ&#x;Ă&#x; 3CIENCEĂ&#x; Ă&#x;-ANAGEMENTĂ&#x;BIEDTĂ&#x;EENĂ&#x;INTEGRALEĂ&#x;BENADERINGĂ&#x;Ă&#x; VANĂ&#x;SECURITYĂ&#x;MANAGEMENT $EĂ&#x;OPLEIDINGĂ&#x;COMBINEERTĂ&#x;EENĂ&#x;WETENSCHAPPELIJKEĂ&#x;BENADERINGĂ&#x; VANĂ&#x;HETĂ&#x;WERKVELDĂ&#x;METĂ&#x;SECURITYĂ&#x;OPLOSSINGSCONCEPTENĂ&#x;ENĂ&#x;Ă&#x; MANAGEMENT Ă&#x;(IERDOORĂ&#x;KUNTĂ&#x;UĂ&#x;UWĂ&#x;KENNISĂ&#x;OPĂ&#x;EENĂ&#x;HOGERĂ&#x;NIVEAUĂ&#x; BRENGENĂ&#x;ENĂ&#x;UWĂ&#x;CARRInREMOGELIJKHEDENĂ&#x;VERGROTEN $EĂ&#x;EERSTVOLGENDEĂ&#x;OPLEIDINGĂ&#x;STARTĂ&#x;JUNIĂ&#x; Ă&#x;)NDIENĂ&#x;UĂ&#x;ZICHĂ&#x;VOORĂ&#x; Ă&#x;NOVEMBERĂ&#x; Ă&#x;AANMELDTĂ&#x;ONTVANGTĂ&#x;UĂ&#x;EENĂ&#x;AANTREKKELIJKEĂ&#x; VROEGBOEKKORTING 6OORĂ&#x;MEERĂ&#x;INFORMATIEĂ&#x;BELĂ&#x;6ERAĂ&#x;"ALLEDUX Ă&#x; Ă&#x; Ă&#x; Ă&#x; Ă&#x; OFĂ&#x;KIJKĂ&#x;OPĂ&#x;WWW DELFT TOPTECH NL SECURITY

SECM0910_Beveiligen 36

06-09-2010 13:48:12

beur s

Security Essen 2010 Van 5 tot en met 8 oktober vindt in het Duitse Essen voor de 19e keer de tweejaarlijkse internationale vakbeurs Security plaats. Een korte vooruitblik. ARJEN DE KORT

e Security in Essen is toonaangevend op het gebied van beveiligings- en veiligheidsproducten. De beurs is zeer populair, zowel onder exposanten als bezoekers. De cijfers uit 2008 illustreren dit: met zo’n 40.850 vakbezoekers en meer dan 1.100 exposanten uit 42 landen is dit een belangrijk trefpunt voor de wereldwijde beveiligingsbranche. De organisatie verwacht deze aantallen ook deze editie weer te behalen, zeker ook omdat de meeste marktleiders op het gebied van criminaliteits- en brandbestrijding weer aanwezig zullen zijn en zij een groot aantal technische innovaties en nieuwe securityconcepten zullen tonen.

Brandveiligheid Tijdens de 2008-editie was er voor het eerst een speciale hal ingeruimd voor bedrijven en instellingen die zich met alle aspecten van brandveiligheid bezighouden. Dit concept sloeg aan en heeft erin geresulteerd dat er tijdens de komende editie nog meer ruimte (+ 50 procent) zal worden ingeruimd voor alles wat met brandveiligheid en brandpreventie te maken heeft.

Security services Speciale aandacht is er dit keer voor de servicesector onder de titel Protection, Security and Service. Onder anderen vertegenwoordigers van particuliere

» Beurs: » Tijd:

beveiligingsorganisaties en gelden waardetransportbedrijven zullen hier hun diensten presenteren en laten zien hoe zij hun mensen opleiden. IT-bedrijven zullen oplossingen demonstreren die speciaal voor deze sector zijn ontwikkeld.

IT-security Tijdens de vorige editie van Security Essen was er al ruime aandacht voor IT-security. Dit jaar is dat niet anders, omdat IT-beveiliging steeds meer wordt geïntegreerd in het complete corporate securityconcept en dus verantwoordelijken voor de bedrijfsveiligheid bezighoudt. Er zullen verschillende voordrachten, live-demonstraties en discussies over IT-security worden georganiseerd.

Symposium Nieuw dit jaar is het Essen Security Innovation Symposium, waar van 4 – 6 oktober security-onderzoek en -praktijk centraal zullen staan, met de focus op de securitybehoeften van de publieke en private sectoren. Op 5 ok-

Security Essen 2010 dinsdag 5 oktober tot en met vrijdag 8 oktober; dagelijks van 9.00 – 18.00 uur, vrijdag tot 16.00 uur. » Meer informatie: www.security essen.de

tober zal het thema European Challenges in Civil Security op de agenda staan. De volgende dag zal in het teken staan van informatieuitwisseling over het EU FP 7 security-onderzoeksprogramma.

Security Innovatie Award Na het succes in 2008, toen zeventig bedrijven een gooi deden naar de eerste Innovatie Awards, zullen dit jaar wederom prijzen worden uitgereikt in de categorieën Technology & Products en Services & Marketing.

Holland Paviljoen In opdracht van NL EVD Internationaal (Agentschap NL) wordt er wederom een gemeenschappelijke Nederlandse stand georganiseerd. Dit Holland Paviljoen is te vinden in hal 2, omvat circa 280 m2 en biedt plaats aan twintig Nederlandse bedrijven. Ten opzichte van 2008 is dit een verdubbeling van het aantal deelnemers. De deelnemers zijn: ADI Global Distribution, Ankerslot, ASB-Security, Automatic Signal Rijsenhout, Impro Technologies Europe, Beveco Gebouwautomatisering, EAL Apeldoorn, EasySecure, Excell Security, FlexPosure, Fortress Staffing Services, Frank Godee Consultancy, Kusters Engineering, Mactwin Security International, Mobeye, Oribi Software, Prohold Special Security, Sellox, Syren, Topguard. ‹‹

Security Management nummer 9 september 2010

SECM0910_Security Essen 37

06-09-2010 13:44:25

securit y

ESF-subsidie voor bedrijven in beveiliging Sinds 1 augustus biedt Stichting Opleidingsfonds Beveiligingsbranche bedrijven de mogelijkheid om 40 procent ESF-vergoeding te krijgen op hun out-of-pocket opleidingskosten. Deze subsidie geldt voor verschillende opleidingen, waaronder Beveiliger (MBO 2). MIRJAM VAN DER MOLEN *

et aanvragen van subsidie start met het inschrijven op www.particulierebeveiliging. com/esf, een webportal waar opleiders hun opleidingen aanbieden waarop de subsidieregeling van toepassing is. Deze opleidingen vallen binnen de door Stichting Opleidingsfonds Beveiligingsbranche (SOBB) vastgestelde clusters: Beveiliger (MBO 2), Coördinator Beveiliging (MBO 3), Opleidingen Havenbeveiliger, Opleidingen Beveiliging Luchthavens, VCA, VCA VOL. SOBB heeft de vermelde opleidingen getoetst. Met de deelnemende opleiders zijn afspraken gemaakt over het aanleveren van een deel van de verplichte ESFdocumentatie. Hierdoor neemt de administratieve last voor de werkgever af.

Aanbodgericht ‘SOBB is al jaren actief met ESF-trajecten. Nieuw is dit zogenoemde aanbodgerichte subsidietraject waar niet langer de voorwaarde van een minimale omvang – zo’n 50.000 euro – van toe-

SECM0910_ESF 38

passing is. Dit maakt de regeling ook aantrekkelijk voor kleine(re) en middelgrote bedrijven om hier hun voordeel mee te doen. De administratieve last proberen we zoveel mogelijk te beperken door te werken met het webportal en een stappenplan van aanvraag tot uitkering. Na onder andere de kleinmetaal, de ICT-branche, de groothandel en het beroepsgoederenvervoer stapt de particuliere beveiliging in dit gesubsidieerde scholingstraject’, aldus SOBBvoorzitter Tom Uittenbogaard (foto).

Hoe werkt het? Het bedrijf dient zich eerst via het webportal te registreren. Via e-mail wordt een wachtwoord verstrekt om in te loggen. Bedrijven kunnen deelnemers (werknemers) aanmelden voor een opleiding. De werkgever koopt vervolgens, buiten het webportal om, de opleiding in bij de gewenste opleider. Na bevestiging van de aanmelding start het subsidietraject. Bedrijf en opleider sturen daarna administratieve documenten naar het projectbureau ESF van SOBB. Als deze documenten juist zijn, neemt SOBB ze op in een ESF-declaratie aan het Agentschap Sociale Zaken en Werkgelegenheid. SOBB heeft op basis van marktonderzoek de zogenaamde marktconforme prijs voor de opleidingen vastgesteld en keert via het ESF maximaal 40 procent uit over de opleidingskosten per deelnemer, tot een maximaal bedrag gebaseerd op de marktconforme prijs van de opleiding. Per deelname betaalt de werkgever 40 euro administratiekosten. Doet een werknemer twee keer mee, dan betaalt de werkge-

ver ook twee keer de deelnamekosten. Rekenvoorbeeld: u koopt een opleiding in. Op basis van marktonderzoek is vastgesteld dat de marktconforme prijs 500 euro is. Maar de prijs die wordt gevraagd voor de opleiding, kan ook boven of beneden dit bedrag liggen. SOBB keert via het ESF maximaal 40 procent uit over uw directe kosten en brengt de deelnamekosten hierover in mindering: Opleidingskosten: € 500,Subsidie (40%): € 200,Deelnamekosten: € 40,U ontvangt: € 160,De opleidingskosten hebben betrekking op de periode 1 augustus 2010 - 31 juli 2011. Mocht een opleiding over de einddatum heengaan, dan wordt alleen subsidie verstrekt over het deel dat in de subsidieperiode valt.

Voor wie? Werknemers van beveiligingsbedrijven die een opleiding volgen van maximaal MBO niveau 4, kunnen in aanmerking komen voor een bijdrage vanuit het ESF. Voorwaarde voor deelname is dat het beveiligingsbedrijf afdraagt aan SOBB en een ND-, PAC- of GWTvergunning heeft. Bedrijven in de BDsector (bedrijfsbeveiligingsdiensten) ‹‹ kunnen dus niet deelnemen. Meer informatie: www.particulierebeveiliging.com/esf. Contact: opleiden@particulierebeveiliging. com * Mirjam van der Molen is projectmanager SOBB

Security Management nummer 9 september 2010

06-09-2010 13:44:01

Naa

G4S Hospitality Services Een warm welkom bij de ontvangst in een organisatie lijkt zo vanzelfsprekend. Maar wanneer was u voor het laatst aangenaam verrast bij een bezoek aan ĂŠĂŠn van uw relaties? De hartelijke hospitality professionals van G4S zorgen ervoor dat uw gasten een bezoek aan uw organisatie niet snel vergeten door een meer dan warm ontvangst. Een ontvangst die indruk maakt, omdat onze receptionisten nĂŠt dat stapje meer zetten en oprecht plezier in hun werk hebben. G4S heeft hospitality meetbaar gemaakt door middel van haar Hospitality Experience Model waarin de verschillende belevingsmomenten centraal staan die een bezoeker ervaart - van het telefonisch contact tot en met het vertrek na een bezoek aan uw organisatie. Evenals uw kernwaarden, omgeving en processen. Bij G4S werken hospitality professionals met een security awareness training die van nature hulpvaardig, betrokken en hartelijk zijn. Daarnaast zijn ze opgeleid om uw medewerkers en bezoekers de best mogelijke ervaring te laten beleven die aansluit op uw gastvrijheidsbeleid. Besteed uw receptiediensten uit aan G4S en u bent verzekerd van de ultieme gastbeleving: een verrassend gevoel van welkom.

Voor meer informatie kijkt u op www.g4s.nl

Naamloos-1 1 39 SECM0910_ESF

02-09-2010 13:44:06 14:34:04 06-09-2010

recherche

Waarom een camera? Steeds meer bedrijven maken gebruik van cameratoezicht. De met de camera’s opgenomen beelden kunnen in onderzoeken een ideaal hulpmiddel zijn, mits hierover van tevoren goed is nagedacht. In een rechercheonderzoek waarbij een kluis uit een pand was weggehaald, was bij de aanschaf van het camerasysteem duidelijk geen antwoord gegeven op de vraag: Waarom een camera? RENÉ TERWEY *

it een bedrijfspand verdwijnt tijdens de nachtelijke uren de kluis, inclusief inhoud. Reden voor de directie om een recherchebureau in de arm te nemen en een onderzoek te laten uitvoeren. De rechercheurs beginnen met een standaardanalyse, waarbij de volgende vragen de revue passeren. Zijn er camerabeelden? Wat zijn de schakeltijden van het alarm? Wie zijn er binnen geweest volgens de toegangscontrole? Wat zijn de roosters van medewerkers? Wie is er als laatste weggegaan?

Camerabeelden De vraag of er camerabeelden zijn, kon met ‘Ja’ worden beantwoord. Bij het bekijken van de beelden van de betreffende avond en nacht viel de rechercheurs een aantal zaken op: » De op de achterdeur gerichte camera werkte in het geheel niet. » De camera op het buitenterrein was onscherp en gaf zoveel overzicht, dat details absoluut niet waarneembaar waren. » In de centrale hal hing een goed werkende en goed afgestelde camera. Na analyse van de beelden bleek echter dat de dader(s) tijdens het wegnemen van de kluis niet in de centrale hal was/waren geweest. » Op de etage waar de kluis was weggenomen, hing een camera. De gang was circa 80 meter lang, met halverwege de lift. Om 22.58 uur is er beweging op de gang te zien. De afstand tot de lift was echter zo groot dat alleen te zien was dat er twee mensen liepen. Kleding of andere ui-

SECM0910_Recherche 40

terlijke kenmerken waren absoluut niet te zien. » Na het bestuderen van de beelden van de buitencamera bleek er sprake van een ‘dode hoek’. Het was mogelijk om met een voertuig bij de achterdeur te komen, zonder dat dit door de camera was waar te nemen. Ondanks de aanwezigheid van een aantal camera’s en de beschikbaarheid van – zij het een beperkte hoeveelheid – beelden, konden de rechercheurs er feitelijk weinig mee. Zo werd er bijvoorbeeld gebruikgemaakt van een digitale harddiskrecorder, maar deze was ingesteld op een zeer laag aantal plaatjes per seconde. De facility manager had hiervoor een ‘logische’ verklaring: ‘Dan kan er lekker veel op en kunnen we een paar weken terugkijken …’

Toegangscontrole Om het onderzoek toch vruchtbaar te laten zijn, werd vervolgens besloten het toegangscontrolesysteem te analyseren. Maar helaas, dit was al niet veel beter geregeld dan het camerasysteem. Zo bleken alle 120 afgegeven elektronische sleutels niet op naam geregistreerd en had iedereen toegang tot elke deur van en in het pand.

Beveiliger Al met al leverden de mooie beveiligingssystemen van de opdrachtgever niet veel op. Het onderzoek kon echter toch succesvol worden afgerond, met dank aan de camerabeelden van het schuin tegenover het betreffende pand gevestigde benzinestation. Daarop was

te zien dat een witte bestelbus, samen met de auto van een beveiligingsbedrijf, de ‘dode hoek’ in reed richting achterdeur. Deze hoek bleek in dit geval dus niet helemaal dood. De beveiliger had zich goed voorbereid. Hij wist exact wat er te zien was op de camerabeelden en sloot het pand netjes af om 23.10 uur. Tijdens zijn brand- en sluitronde was hem niets opgevallen … De beveiliger is naar aanleiding van het onderzoek aangehouden door de poli‹‹ tie. * René Terwey is directeur van VMB security & solutions te Almere (www.vmbrecherche.nl)

Waarom? Steeds vaker blijkt dat bedrijven een enorme investering in een beveiligingssysteem hebben gedaan, maar vooraf geen antwoord hebben gegeven op een essentiële vraag: Waarom schaf ik een systeem aan en welk risico dek ik hiermee af? Voor camerasystemen gelden drie belangrijke zaken: » Wat wil ik zien? » Wil ik iets herkennen (persoon of kenteken)? » Of wil ik een overzicht? Kijk na installatie ook altijd naar de kwaliteit van het opgenomen beeld, niet naar de live beelden. En laat het systeem tevens in het donker afregelen. Een mooi plaatje overdag zegt niets over de beeldkwaliteit ’s nachts.

Security Management nummer 9 september 2010

06-09-2010 13:55:42

recht

Poging tot doodslag op beveiliger Een jongeman maakt amok in een discotheek, bedreigt een beveiligingsmedewerker en krijgt een locatieverbod. Nadat hij is vertrokken komt hij na enige tijd terug, valt een beveiliger aan met een scherp voorwerp en rijdt met een auto in op een collega-beveiliger. Dat de beveiliger bij de aanval niet dodelijk gewond is geraakt, acht de rechtbank een gelukkig toeval. Maar de jongeman mag wel drie jaar gaan zitten. ROB POORT * Een 21-jarige jongeman is eind augustus 2009 met drie vrienden in een Brabantse discotheek. Hij raakt betrokken bij een ruzie en wordt door een beveiliger in een aparte ruimte gezet. Daar heeft hij de beveiliger verbaal ernstig bedreigd. Hij krijgt een locatieverbod en wordt uit de disco gezet. Hij en zijn vrienden verlaten de discotheek en rijden met de auto weg. Even later komen ze terug en de jongeman stapt op de beveiliger van het parkeerterrein af. Die sommeert de man om het terrein te verlaten en pakt hem vast. De agressieve discoganger haalt dan met zijn hand uit naar de hals van de bewaker. De kraag van diens overhemd wordt over een lengte van 10 cm losgesneden

zich op het parkeerterrein bevond. Die heeft gezegd dat hij het terrein moest verlaten en hem vervolgens vastgepakt om weg te duwen. Daarop heeft de jongeman uitgehaald naar de hals van de beveiliger, met als gevolg een losgesneden kraag en een halswond. Twee vrienden hebben verklaard dat de jongeman bij terugkeer in de auto heeft gezegd: ’Ik heb hem goed teruggepakt’. De rechtbank leidt hieruit af dat de jongen een scherp voorwerp in zijn hand moet hebben gehad. Door daarmee met kracht een handbeweging naar de hals van het slachtoffer te maken, heeft hij welbewust de kans aanvaard dat een slagaderlijke bloeding zou ontstaan met dodelijke afloop.

De agressieve discoganger haalt met zijn hand uit naar de hals van de bewaker en in zijn hals ontstaat een (oppervlakkige) snee van 15 cm lengte. Het wegrijden gebeurt met spinnende wielen, waarbij op een andere beveiliger wordt ingereden. Die kan net op tijd wegspringen. Het Openbaar Ministerie gaat over tot vervolging.

Halswond Over de verwonding in de hals stelt de rechtbank dat de vrienden, na met de auto te zijn weggereden, weer naar de discotheek zijn teruggekeerd. Vervolgens is de jongeman uitgestapt en naar de beveiligingsmedewerker gelopen die

Dat geen slagader is geraakt, is puur toeval. Niet bewezen is dat dit met voorbedachten rade is gedaan. Maar de rechtbank acht de poging tot doodslag wel bewezen.

Doodslag Over de poging tot doodslag of zware mishandeling van de beveiliger op het parkeerterrein door het wegscheuren met de auto is de rechtbank van oordeel dat de verklaringen van de drie vrienden elkaar tegenspreken. Daarom kan niet eenduidig worden vastgesteld wie de bestuurder van de auto was. Ook staat niet vast dat de bestuurder

zodanig in de richting van het slachtoffer is gereden dat welbewust de aanmerkelijke kans werd aanvaard dat het slachtoffer daarbij dodelijk of zwaar lichamelijk letsel zou oplopen. De rechtbank komt daarom voor dit feit tot vrijspraak.

Bewezen Uit getuigenverklaringen blijkt dat de jongeman toen hij in de aparte ruimte was geplaatst, de beveiliger heeft bedreigd door onder andere te zeggen: ‘Mijn broer heeft ook in de beveiliging gewerkt. Ik kom wel met hem en wat familie hiernaartoe om de zaak kort en klein te slaan en ik schiet jou door je hoofd en als we aankomen zul je janken als een klein kind’ en ‘Als ik dadelijk buiten ben, dan pak ik jou en rijg ik jou er wel aan en jouw collega’s’. De rechtbank acht daarmee bedreiging bewezen en legt voor de poging tot doodslag en bedreiging met enig misdrijf tegen het leven gericht een gevangenisstraf op van drie jaar met aftrek van voorarrest. Ook moet een schadevergoeding worden betaald aan de bedreigde beveiliger. Noot Er is in deze zaak een scheermes gevonden en in beslag genomen. Maar dat ‹‹ was ‘natuurlijk’ van niemand. Rechtbank ‘s-Hertogenbosch, 26 juli 2010, LJN BN2143 * mr. ing. R.O.B. Poort is jurist en veiligheidskundige (www.bureaupoort.nl)

Security Management nummer 9 september 2010

SECM0910_Recht 41

06-09-2010 13:56:15

BEDRIJVEN EN DE EIGEN VERANTWOORDELIJKHEID VOOR BRANDVEILIGHEID

SPREKERS: RICARDO WEEWER EN RENÉ HAGEN Dit voorjaar presenteerde de brandweer haar nieuwe strategie, waarin wordt gefocust op wat wordt genoemd ‘brandveilig leven’ en waarvan ‘brandveilig ondernemen’ een essentieel onderdeel is. Dit betekent meer eigen verantwoordelijkheid voor brandveiligheid voor organisaties. Kernbegrippen die tijdens de sessie aan bod komen zijn onder andere: risicobenadering, zelfredzaamheid, effectieve regelgeving en accepteren van restrisico’s.

MOGELIJKHEDEN ÉN ONMOGELIJKHEDEN VAN CAMERATOEZICHT

SPREKER: SANDER FLIGHT Hoewel camera’s al tientallen jaren worden gebruikt voor toezicht en bewaking, is het onduidelijk aan welke wetten en regels er eigenlijk moet worden voldaan als er ergens camera’s opgehangen worden. In deze sessie wordt de kennis over weten regelgeving opgefrist, zowel in theorie als praktijk.

TOEGANGSCONTROLE EN HET NIEUWE WERKEN

SPREKER: MAARTEN MIJWAART Veel organisaties zijn bezig om hun organisatie voor te bereiden op Het Nieuwe Werken. Het is dan verstandig om stil te staan bij de impact van deze verandering op uw beveiliging in het algemeen en uw toegangscontrole in het bijzonder. Hoe zorgt u ervoor dat in die nieuwe werkomgeving uw beveiligingsniveau gehandhaafd blijft? Moet u uw beleid wellicht aanpassen? In deze sessie leert u als security manager Het Nieuwe Werken te ondersteunen zonder dat u onverantwoorde beveiligingsrisico’s neemt.

Abonnees van Security Manag ement, Facto Magazin e en Service Manag ement ontvangen

KORTING!

Meer informatie of inschrijven? Ga naar www.securitymanagement.nl/opleidingen

25644-1_Advertentie SM actualiteitencongres_new.indd 1 S SECM0910_Recht 42

27-08-1013:56:16 15:59 06-09-2010

Mail uw informatie (met jpg-foto) voor deze rubriek naar adekort@kluwer.nl

Convergentie fysieke en logische toegangscontrole Siemens Building Technologies introduceert het marktpakket 2.5 van SiPass integrated. Het securitymanagement- en toegangscontrolesysteem kent innovaties op het gebied van identitymanagement, interoperabiliteit en gebruiksvriendelijkheid. Ook de ondersteuning voor actuele IT-technologieën is verbeterd. Op het gebied van identitymanagement biedt het systeem nu ondersteuning voor meerdere passen per gebruiker, van verschillende technologieën en met verschillende autorisaties. Dit biedt voordelen bij het integreren van verschillende legacysystemen met (tijdelijk) behoud van de bestaande kaartpopulatie. Door de nieuwe opzet is SiPass Integrated geschikt voor integraties met logische Identity & Accessmanagementsystemen. De wizard voor het interactief opstellen van berichten (interactief reporting) is uitgebreid met functies zoals berichten over niet-gebruikte passen en ‘zwarte

lijsten’. Bovendien kunnen eenvoudige berichten nu met één klik van de muistoets worden aangemaakt en kan het systeem met de T&A-functie (Time & Attendance) worden gebruikt voor tijdregistratie. SiPass integrated beschikt verder over uitgebreide functies voor samenwerking met andere securitysystemen en kan behalve als toegangscontrolesysteem tevens worden ingezet als security managementsysteem. Ook de ondersteuning van systemen van andere leveranciers is uitgebreid. Zo ondersteunt het systeem nu bijvoorbeeld de offline-lezers van Salto. SiPass integrated MP2.5 kan worden gebruikt in combinatie met Windows 7, de Windows Server 2008 en met de Microsoft SQL Server 2008. Tevens wordt virtualisatie door middel van VM-ware, Citrix Xen App, MS server 2003/2008 terminal services en Marathon EverRun FT/2G ondersteund. Berichten kunnen worden verstuurd via de MS Exchange server 2000/2003 en Outlook 2000/2003.

produc ten

Brandscherm conform EN 1634-1 Het is Hoefnagels Brand- en Bedrijfsdeuren gelukt om met een brandscherm opgebouwd uit technisch textiel de zware eisen van de Europese norm EN 1634-1 te halen. Het brandscherm, type Firescreen EI230, is gevuld met een bij brand opschuimend materiaal en realiseert daardoor een unieke temperatuurisolatie. Op basis van de huidige test zijn de afmetingen voor het toepassen van het nieuwe brandscherm maximaal 14m2. De resultaten zijn beschreven in het testrapport 2010-Efectis R0314. Het brandscherm zal beschikbaar zijn voor levering in oktober van dit jaar. De norm EN1634-1 schrijft voor dat aan de brandzijde van het scherm de temperatuur oploopt tot circa 1000 °C, waarbij het aan de niet-brandzijde maximaal 140 °C warmer wordt ten opzichte van de kamertemperatuur. Het isolerend vermogen van het brandscherm heeft reeds bij de eerste proef aangetoond dat het de temperatuur kan isoleren voor een tijdsduur van dertig minuten. Op korte termijn wordt verwacht met hetzelfde brandscherm een resultaat van zestig minuten te behalen. De toepassing van branddeuren/brandschermen om te voldoen aan de eisen van het Bouwbesluit betreffende brandcompartimentering is niet nieuw. Wel nieuw is dat met dit opschuimende brandscherm aan de strenge eisen van de EN 1634-1 wordt voldaan. Meer informatie : www.hoefnagels.com

Nedap lanceert Aeos 2.4

Tijdelijke beveiliging uit een koffer Beveiligingsorganisatie Securitas introduceert een draadloos alarmsysteem dat op ieder gewenst moment ingezet kan worden: de SafetyBox. Het systeem is speciaal ontwikkeld voor locaties als bouwterreinen, scheepswerven, leegstaande panden of ad hoc beveiliging. Terreinen die nu vaak onbeveiligd blijven, omdat de kosten hiervoor

niet op te brengen zijn. De box kan dienen als aanvulling op de bestaande bewaking of als op zichzelf staand systeem. Het systeem kan zelf geïnstalleerd worden en worden ingezet voor detectie, controle en eventuele interventie bij diefstal en vandalisme. De alarmmeldingen komen centraal binnen in de meldkamer van Securitas.

Nedap Security Management heeft Aeos 2.4 gelanceerd, de nieuwste versie van haar security management platform met IP video, locker management en sleutelkastfunctionaliteit. Met deze lancering zet Nedap een volgende stap in haar strategie om het security managementplatform, waarin meerdere securitydisciplines worden gecombineerd op één enkele controller en één serveromgeving, nog verder uit te bouwen.

Security Management nummer 9 september 2010

SECM0910_Producten 43

06-09-2010 13:54:47

produc ten

Employmentscreening Steeds meer bedrijven herkennen het belang van pre- en inemploymentscreening als onderdeel van de werving en selectie. John Weusthof geeft in zijn boek ‘Employmentscreening’ uitgebreide informatie over hoe deze vormen van screening kunnen en moeten worden uitgevoerd en welke screeningsinstrumenten de selecteur en de onderzoeker daarbij ten dienste staan.

IP camera’s op coaxkabel

Andere onderwerpen die aan de orde komen, zijn: het zelf screenen of uitbesteden, de kaders en regelgeving, de toetsingsinstrumenten, en gesprekstechniek. John W. Weusthof, Employmentscreening, Boom/Lemma Uitgevers, ISBN 978 90 5931 554 9, www.boomuitgeversdenhaag.nl

Steeds meer analoge camera’s worden vervangen door IP-camera’s. Tele Connect heeft nu omvormers in het assortiment, waarmee over een ‘gewone’ coaxkabel een 100 Mb Ethernetsignaal kan lopen. Afhankelijk van het type zijn afstanden van 150 meter tot 1.800 meter haalbaar, veel verder dus dan Ethernet over een CAT5-kabel. Enkele typen kunnen ook voedingsspanning ten behoeve van de camera over de coax sturen: PoC (Power over Coax). Meer informatie: www.teleconnect.nl

(Advertentie)

VERHUISAANBIEDING

‘Handhelds’ voor gelden waardelogistiek G4S Cash Solutions is overgestapt op de nieuwste versie van het track & trace-systeem van huisleverancier Transtrack. Dat leidt voor het eerst tot een administratief volledig geautomatiseerde logistieke keten van geld en waarden. Alle handelingen op locatie worden nu realtime vastgelegd op pda’s. Deze zijn via een beveiligde verbinding gekoppeld aan de centrale server van G4S Cash Solutions. Zo kan niet alleen de veiligheid beter worden gegarandeerd, maar ontstaat ook een meer transparante en flexibele vorm van waardelogistiek.

de revolutionaire oplaadbare

STINGER LED HP

met gratis luxe holster én een STYLUS PRO! w w w . s a fe t y - l u x . n l vanaf juni 2010 is ons nieuwe adres: Safety-Lux Nederland B.V. Rokerijweg 8 Postbus 326 NL 1271 AH Huizen NL 1270 AH Huizen

T +31 (0) 35 691 44 76 F +31 (0) 35 691 54 74 E info@safety-lux.nl

SECM0910_Producten 44

06-09-2010 13:54:49

produc ten

Iris-op-afstand Global Rainmakers Incorporated uit New York heeft een techniek ontwikkeld om de menselijke iris op grotere afstand te lezen. Deze techniek is toegepast in een range van irislezers, waarvan het topmodel een iris kan herkennen op meer dan een meter afstand. Mensen hoeven niet te stoppen voor de lezer, want bij een normaal wandeltempo van 5 kilometer per uur kan de lezer tot vijftig personen per minuut identificeren. Het enige wat de passanten hoeven te doen is een blik werpen op het apparaat.

Hacousto Security Solutions uit Berkel en Rodenrijs brengt deze irislezers naar de Nederlandse markt. Het basismodel van de serie is de EyeSwipe Mini met een leesafstand van 50 centimeter; het is speciaal geschikt voor toepassing bij toegangsdeuren. De EyeSwipe, met een leesafstand van 80 centimeter, kan tot dertig identificaties per minuut uitvoeren en is vooral geschikt voor locaties waar een snelle doorstroming is gewenst. Het topmodel uit de serie, de HBox, is ontwikkeld voor het identificeren van grote groepen mensen met een minimum aan oponthoud. Naast de genoemde lezers is er ook de HCam-E. Deze kan worden gekoppeld aan een pc om op een snelle en eenvoudige wijze irissen van gebruikers in te lezen. De technologie heeft zich in de VS inmiddels bewezen bij grote organisaties, zoals bijvoorbeeld Bank of America waar ruim 200 irislezers zijn geplaatst. Meer informatie: www.hacousto.com

Snelheidscamera’s met ingebouwde IVA Samsung heeft de SCP-serie domevormige snelheidscamera’s op de markt gebracht. Het betreft een nieuw assortiment met maximaal 43x optisch zoomvermogen, zodat operators een breed gebied kunnen controleren en zo nodig op ver verwijderde voorwerpen kunnen inzoomen om ze in detail te bekijken. Het assortiment domevormige SCP dagnachtsnelheidscamera’s bestaat in totaal uit elf modellen, waarvan vier met 43x optische zoom, vier met 25x optische zoom en drie compacte modellen met 12x optische zoom. Er kan worden gekozen uit in- en externe versies en de topmodellen hebben Wide Dynamic Range. De A1 DSP chipset beschikt over progressive scan waardoor de videobeelden kwalitatief beter zijn, met name van bewegende voorwerpen. Andere kenmerken zijn: Picture-on-Picture, RS-485 besturing en twaalf vaststelbare vierpunts polygonale privacyzones die nauwkeuriger privacymaskering bieden dan conventionele rechthoekige maskering.

Een ander kenmerk van de SCP-reeks is Intelligent Video Analytics (IVA) met verschijn-verdwijnfunctie die de beweging van objecten kan waarnemen. IVA beschikt bovendien over objecttracering, waarmee een bewegend object binnen de targetzone kan worden gevolgd.

MIC Serie 500: robuuste PTZ-camera De MIC Serie 500 Classic heeft een doordacht ontwerp voor eenvoudige specificatie, installatie en configuratie. Deze robuuste, snelle PTZ-camera is ideaal voor gebruik in bijvoorbeeld stadscentra. Net als zijn grote broer, de MIC Serie 400 of ‘Metal Mickey’ camera, voldoet de MIC Serie 500 aan IP68/ NEMA4, de hoogste norm in de branche. De camera is bestand tegen aanvallen door vandalen en projectielen en blijft zelfs onder de meest extreme bewakingsomstandigheden werken. Meer dan tien jaar praktijkervaring met de MIC Serie camera’s, onder de meest veeleisende omstandigheden, heeft bijgedragen aan de ontwikkeling van deze nieuwste aanwinst voor de serie: een robuuste en betrouwbare PTZ-camera. Meer informatie:www.boschsecurity.nl

Aluminium camerakasten Samsung biedt een nieuw assortiment gegoten aluminium camerakasten. Het SHB-4300 assortiment bestaat uit drie kasten met een ingebouwde verwarming en ventilator. De SHB-4300H is een lage voltagekast ontwikkeld voor toepassingen in temperaturen tussen -35 °C tot +50 °C, terwijl de SHB-4300H1 en SHB-4300H2 respectievelijk hoge en lage voltage-units zijn uitgerust met een ontdooier waardoor ze in extreme omstandigheden kunnen worden gebruikt bij temperaturen die wisselen van -50 °C tot +50 °C. De kasten hebben een

kabelbeugel, waardoor de kabel van de camera netjes wordt weggewerkt en is beschermd tegen vandalisme, terwijl de beugel van de kast bovendien drie rubberen uitstootpunten voor de kabel steunt in het geval dat de kast op een massieve wand wordt gemonteerd.

Security Management nummer 9 september 2010

SECM0910_Producten 45

06-09-2010 13:54:59

.ik zocht .ik vond Ik zocht Een verrassende locatie voor onze bijeenkomst Ik vond Mijn accommodatie via Acco.support Heb jij ook regelmatig een accommodatie nodig? Geen tijd om er zelf goed in te duiken? Geen probleem. Wij helpen je graag met zoeken. Snel en nog gratis ook. Onze suggesties zijn vrijblijvend. En: je krijgt altijd meerdere alternatieven. De keuze is dus nog steeds aan jou!

Bel 0900 - 222 66 66 of mail support@acco.nl

(€ 0,25/minuut)

zoek en boek een locatie uit duizenden

Acco.support is een dienst van

De kandidaat die u zoekt hebben wij al gevonden

www.ledlenser.com

LED LENSER®* P7

De uitstekende allrounder voor veeleisende gebruikers

• Advanced Focus System (AFS) • Speed Focus • Dynamic Switch • Vergulde contacten

200

64 h**

210 m*

* Lichtstroom (Lumen) respectievelijk *maximale lichtreikwijdte (meter) gemeten in de helderste instelling bij het inschakelen met een nieuwe alkaline batterijset. Het gaat hier om gemiddelde waarden die in afzonderlijke gevallen, afhankelijk van chip en batterij, +/- 15 % kunnen afwijken. ** Gemiddelde brandtijd van de laagste stand tot een lichtstroom van 1 Lumen.

Eén van de wereldmarktleiders van metalen LED zaklampen.

Exclusief Importeur Benelux -

DRY BATTERY SALES NV

D r y B a t t e r y S a l e s N V • B e l g i u m • B - 9 1 5 0 K r u i b e ke • H o ge n a k ke r h o e k s t ra a t 1 2 Tel. + 32- (0) 3 253 1767 • Fax + 32- (0) 3 253 1929 • www.drybattery.be • dbs@drybattery.be

SECM0910_Producten 46

www.jobnews.nl

06-09-2010 13:55:09

Mail uw informatie (met jpg-foto) voor deze rubriek naar adekort@kluwer.nl

Samenwerking ECKey en Integrated Security Solutions

Als onderdeel van de overeenkomst zal Integrated Security Solutions het aantal

groeiende aanvragen en de bestaande klanten van ECKey ondersteunen. Hiermee zijn zij marktleider in Europa voor het gebruik van Bluetooth-technologie binnen de toegangscontroleproducten en creëren ze een fundamentele verandering in de mogelijkheden voor het veilig gebruiken van de mobiele telefoon op de markt van toegangscontrole.

Keurmerk Elektronisch Toegangsbeheer voor Aras

Van der Smissen operationeel directeur ISS IFS

Als eerste in Nederland mag Aras Security zich leverancier en adviseur noemen met een keurmerk voor Elektronisch Toegangsbeheer. Het certificaat geeft de installateur en eindgebruiker de garantie dat de componenten van zowel Axiom als CardAccess aan alle gestelde eisen voldoen. Hiertoe is Aras de afgelopen jaren geaudit door Kiwa op de criteria zoals vastgelegd in de beoordelingsrichtlijnen (BRL) Toegangscontrole.

Met ingang van 6 september is Peter van der Smissen benoemd als operationeel directeur van ISS Integrated Facility Services. Van der Smissen heeft een zeer brede ervaring in het facilitaire werkveld en heeft de afgelopen jaren bij Johnson Controls verantwoordelijkheid gedragen voor de integrated facility management (IFM) dienstverlening voor een belangrijk deel van de FM-organisatie van JC in Nederland.

ECKey heeft aangekondigd de samenwerking aan te gaan met Integrated Security Solutions als exclusieve leverancier van het ECkey-assortiment voor België, Nederland en Luxemburg.

Donders naar NVD

Breijer gecertificeerd PvE-opsteller Breijer Brandveiligheid is gecertificeerd PvE-opsteller. Het certificaat biedt de garantie dat het bedrijf een Programma van Eisen correct opstelt, conform de regeling Brandmeldsystemen 2002. Eerder ontving Breijer al de erkenning Branddetectiebedrijf voor de aanleg van brandmeld- en ontruimingssystemen, de Regeling Erkende Onderhoudsbedrijven Brandbeveiliging (REOB-erkenning) voor het onderhoud van blusmiddelen, en de erkenning Sprinklerinstallatiebedrijf.

Arie Donders is bij NVD Beveiligingsgroep in dienst getreden als unit manager Alarmen Servicecentrale. Daarbij zal hij zich richten op de verdere ontwikkeling en uitvoering van het operationele en commerciële beleid voor de Alarmen Servicecentrale. Donders was eerder werkzaam op de Particuliere Alarmcentrale van CSU security services.

Keurmerk ISO 9001 voor SAS Alert Services, de alarmcentrale van Securitas, heeft het kwaliteitsmanagementkeurmerk ISO 9001 gekregen. Het keurmerk laat zien dat de alarmcentrale voldoet aan de eisen die worden gesteld aan het kwaliteitsmanagementsysteem.

contac ten en contrac ten

Niscayah beveiligt supermarktketens Niscayah is gecontracteerd als de vaste landelijke beveiligingspartner van de supermarktketens Jumbo, C1000 en Super de Boer. In de eerste fase worden 350 supermarkten aangesloten op het Security Operations Centre van Niscayah, met de ambitie om later nog eens 400 franchisevestigingen toe te voegen. De komende twee jaar zal het merendeel van de Super de Boer winkels worden omgebouwd naar de formule van Jumbo en C1000. Niscayah neemt in dit tijdsbestek ook de nieuw- en verbouw van de winkels voor haar rekening volgens haar One-for-All beveiligingsconcept. Naast de implementatie is ook het onderhoud van de geïmplementeerde beveiligingsoplossingen onderdeel van het contract.

Schuch product manager access control Fred Schuch is gestart als product manager access control bij Norbain Benelux. Hij wordt verantwoordelijk voor de samenstelling en de verdere ontwikkeling van het totale toegangscontrolepakket. Schuch heeft hiervoor als projectmanager gewerkt bij Elektrokern Solutions.

Stuffertz naar Aras Security Paul Stuffertz is per 1 augustus in dienst getreden als productmanager elektronische sloten bij Aras Security. Eerder werkte hij bij Vema Security, Maasland Security en Iolan, en was hij eigenaar van E-lox. Hij zal werkzaamheden verrichten voor de Aras-vestigingen in Nederland, België en Denemarken.

Security Management nummer 9 september 2010

SECM0910_Contacten en cont 47

06-09-2010 13:54:08

produc ten -/dienstenregister Beveiliging en toegangscontrole

Beveiliging en Toegangscontrole

CCTV

Handlampen

Toegangscontrolesystemen

Nedap N.V. Security Management Postbus 103 7140 AC Groenlo (T) 0544 471 666 (F) 0544 464 255 (I) www.nedap-securitymanagement.com

Deursloten

Toegangscontrolesystemen

Safety-Lux Nederland B.V. T +31 (0) 35 691 44 76 www.safety-lux.nl

importeur van o.a.:

â&#x153; Graag ontvang ik meer informatie over de plaatsingsmogelijkheden in het Producten-/ dienstenregister van Security Management.

Organisatie Naam

M/V

Ingevulde coupon kunt u sturen naar:

Postbus Postcode Plaats Tel. Email

SECM0910_Contacten en cont 48 SECM_ProductenDiensten.indd 48

Kluwer t.a.v. Liesbeth van den Hoek Postbus 4 2400 MA Alphen aan den Rijn

U kunt ook bellen: (0172) 46 64 71 of mailen: bumalphen@kluwer.nl

06-09-2010 05-07-2010 13:54:18 10:11:52

0:11:52

contac ten en contrac ten

TKH neemt Alphatronics over

Perfect Security in handen van Seris

Engelbertink business development manager

De TKH Groep neemt het in Nijkerk gevestigde Alphatronics over. Alphatronics beschikt over eigen ontwikkelen productiefaciliteiten, waardoor ze klantspecifieke producten en projecten kan realiseren. De acquisitie van Alphatronics sluit aan op de TKH-doelstelling om het aandeel beveiligingsoplossingen in de totaalomzet verder uit te bouwen naar 20 procent. Tevens wordt het productportfolio voor de zorgoplossingen versterkt middels het in huis halen van eigen technologie. Alphatronics realiseert met 22 medewerkers (FTE) een omzet van 6 miljoen euro op jaarbasis. De activiteiten worden ondergebracht in het security-cluster van TKH, dat deel uitmaakt van het businesssegment Building Solutions.

Op 1 juli zijn de aandelen van de Perfect Groep overgenomen door Separgefi SAS. Onder de naam Seris is deze beveiligingsorganisatie actief in Frankrijk en België. Naast fysieke beveiliging biedt Seris geavanceerde elektronische beveiliging in de meest ruime zin van het woord. Voorts is men actief in telefoonen receptiediensten alsmede koeriersdiensten en datastorage. Seris wil haar dienstenpakket ook op de Nederlandse markt gaan aanbieden en Perfect gaat daar mede de noodzakelijke uitvoering aan geven. Anderzijds wil de Perfect-organisatie haar positie in Nederland in de toekomst verder verstevigen, in zowel beveiliging als andere vormen van facilitaire dienstverlening. De overname brengt geen wijzigingen in de personele organisatie met zich mee.

Nedap Security Management heeft Thijs Engelbertink benoemd tot business development manager voor Nederland. Zijn werkzaamheden zullen bestaan uit het onderhouden van relaties met bestaande Aeosklanten binnen de Nederlandse markt. Engelbertink heeft enkele jaren ervaring opgedaan in de securitybranche op het gebied van marketing, sales en internationaal projectmanagement. Daarbij was hij verantwoordelijk voor internationale klanten binnen Europa.

Hitzert erelid Asis Benelux Chapter Tijdens de feestelijke bijeenkomst ter gelegenheid van het vijftienjarig bestaan van het Asis International Benelux Chapter is Jan Hitzert tot erelid benoemd. Voorzitter Erik de Vries benadrukte dat Asis een vereniging is die het vooral moet hebben van gemotiveerde vrijwilligers. Hitzert werd door hem bestempeld als ‘very important volunteer’ vanwege zijn inzet voor het chapter in de afgelopen jaren. Reden om hem het erelidmaatschap toe te kennen. Tijdens de bij Europol in Den Haag gehouden bijeenkomst werd verder uitgebreid stilgestaan bij de historie van het

chapter. Founding member Ivan de Mesmaeker ging terug naar 1993, het jaar waarin Asis Europe Benelux werd geformeerd. Dit leidde onder de aanwezigen tot enige verwarring, immers het betrof toch het vijftienjarig jubileum? De Mesmaeker liet zijn gehoor niet lang in onzekerheid door vervolgens de documenten te tonen waaruit bleek dat het Asis Chapter 213 Benelux toch echt op 5 juli 1995 was opgericht. Aan Erik de Vries was het vervolgens om naast Hitzert ook een aantal andere coryfeeën uit de chapter-historie in het zonnetje te zetten, waaronder de aanwezige oud-voorzitters Hans de Waal Malefijt, Jack Valk en Ivan de Mesmaeker.

Erik de Vries (rechts) overhandigt Jan Hitzert het erelidmaatschap.

Securitas gecertificeerd Beveiligingsorganisatie Securitas is sinds augustus ISO 14001:2009 (milieumanagement) en OHSAS 18001:2007 (arbomanagement) gecertificeerd.

ISS beveiligt Baker & McKenzie Baker & McKenzie en ISS Security Services hebben op 1 juli een nieuw, tweejarig contract gesloten voor de beveiligings- en receptiediensten voor de Amsterdamse vestiging van het advocatenkantoor.

Clabbers directeur Nationale Veiligheid Ruth Clabbers is per 1 september benoemd tot directeur Nationale Veiligheid (NV) bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Zij is sinds 2003 werkzaam bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, laatstelijk als plaatsvervangend directeur Politie en Veiligheidsregio’s.

Security Management nummer 9 september 2010

SECM0910_Contacten en cont 49

06-09-2010 13:54:19

colum n

Bedrijfscrisis? Benut security!

ecent nam ik kennis van een internationaal onderzoek naar bedrijfscrises: ongewenste gebeurtenissen als gevolg waarvan bedrijven grote risico's liepen en vaak schade ondervonden. Denk hierbij zeker niet alleen aan beeldbepalende 'megacrises' als de ondergang van Enron of - meer actueel de olieramp als gevolg van de ontploffing van booreiland Deep Water Horizon in de Golf van Mexico, maar evengoed aan de effecten van bedrijfscrises van meer alledaagse proporties. Door bijvoorbeeld uitval van ICT, herroeping ('recall') van een product, financiële malversaties, et cetera. Dergelijk voor onze beroepsgroep betekenisvol onderzoek is schaars. Natuurlijk wekt dit weinig verbazing. Als het even kan, drogen wij onze vuile was vanzelfsprekend allemaal het liefst binnen, nietwaar? Dat vergemakkelijkt het ongestoord opruimen en bevordert het 'comfortgevoel' bij belanghebbenden zowel binnen als buiten de firma. De beste pers blijft vaak toch altijd nog geen pers. Terug naar het onderzoek. Hoewel de uitkomsten inmiddels wat verouderd zijn, blijken zij van grote waarde voor de business case van de hedendaagse security manager. Waar bedrijfscrises in de beleving vaak een hoog 'per ongeluk'-gehalte hebben, spreekt uit de resultaten een volstrekt ander beeld. Verreweg de meeste van de onderzochte bedrijfscrises blijken namelijk het gevolg van security- of integriteitsschendingen. Scherp gesteld: bedrijfscrises ontstaan in veel gevallen door opzettelijk menselijk handelen. Een belangrijke bevinding! Overdenk ik het fenomeen bedrijfscrisis in relatie tot security, dan is er een tweede conclusie die ik van groot belang acht. Laat ik deze illustreren met een voorbeeld: graag breng ik de 'Probo Koala' (2006) in herinnering. U weet nog wel, die geruchtmakende zaak over het illegaal dumpen van giftig afval door een internationaal opererende handelsonderneming in het West-Afrikaanse Ivoorkust. Deze gebeurtenis eiste dodelijke slachtoffers en een aantal zwaargewonden. Naast andere effecten - zoals de val van de Ivoriaanse regering - leidde (en

leidt!) het bedrijf in kwestie tot op heden schade. Bestuurders zijn tot flinke celstraffen veroordeeld, de onderneming heeft er vele tientallen miljoenen euro’s op moeten toeleggen, en het imago is internationaal zware schade toegebracht. Wat heeft deze bedrijfscrisis voor raakvlakken met security? Bezien vanuit enerzijds de gezondheids- en milieu-effecten en anderzijds de reputatie en financiële gevolgen niet bijster veel. Vanuit het gezichtspunt van het schenden van internationale weten regelgeving en ethische waarden, alsook het falen van toezicht en handhaving opeens veel meer. Vanuit dat perspectief is security een even onlosmakelijk onderdeel van de bedrijfscrisis als het crisismanagement. Oftewel, mede-eigenaar van zowel het probleem als de oplossing. Voor wat betreft de relatie tussen bedrijfscrises en security luidt mijn tweede conclusie als volgt. Een crisis bedreigt de belangen en soms het voortbestaan van een bedrijf over de gehele linie. Waar bedrijfscrises veelal als een security-incident beginnen, kunnen zij in de praktijk nooit alleen een security-aangelegenheid zijn. Waar we ons dus voor moeten hoeden is dat crisismanagement verengt tot louter crisiscommunicatie ten behoeve van de PR, het merk en het vertrouwen in de onderneming. Ook moeten wij voorkomen dat het aandeel van security in crisismanagement versmalt tot puur recherche en nieuwe maatregelen. Om bedrijfscrises optimaal te kunnen beheersen, is een stevige verknoping van crisis- en security management noodzakelijk. Alleen zo krijgt security binnen crisismanagement de positie die ze verdient. En alleen zo blijft de security manager zich bewust van zijn plaats en functie in het complexe geheel van de bedrijfscrisis.

Colin T. is security manager bij een Nederlandse multinational. Aan de hand van de weerbarstige securitypraktijk van alledag geeft hij maandelijks zijn kijk op veiligheid.

Security Management nummer 9 september 2010

SECM0910_Column Colin 50

06-09-2010 14:01:44