nummer 12, december 2011
ONAFHANKELIJK VAKBLAD VOOR PROFESSIONELE BEVEILIGING
www.securitymanagement.nl
THEMA: TOEGANGSCONTROLE
Laetitia Griffith (Nederlandse Veiligheidsbranche):
‘Ik wil Nederland veiliger maken’ Security Management Survey 2011
Biometrie: een haalbare kaart
Open standaarden voor gesloten deuren
BEWAKEN - CONTROLEREN - TRACEREN - OBSERVEREN
Sinds 2000 actief in de markt van Particuliere Alarmcentrales in Nederland en dankzij het feit dat wij ons slechts begeven op onze ALARMCENTRALE ACTIVITEITEN EN ONAFHANKELIJK KUNNEN OPEREREN MOGEN we vaststellen dat wij door het inslaan van deze weg de laatste jaren succesvol kunnen acteren. Onderscheidend vermogen ligt namelijk niet alleen in de prijs maar veel meer in de wijze waarop de diensten worden uitgevoerd. Zoals:
Kwalitatief juiste en vriendelijke dienstverlening
Geen stemcomputer met dwingend keuzemenu
Korte wachttijden voor klanten
Uitbellen met nummerherkenning (voor uw veiligheid)
6RIJE KEUZE VAN WACHTWOORD PASSWORD OF PINCODE
Geen onderdeel van een Multi National
Volledig onafhankelijk
5 KUNT BIJ %URO0!# !LARMCENTRALE TERECHT VOOR ALARMVERWERKING 6IDEO "EWAKING 4RACKING 4RACING EN UW TELEFONISCHE BEREIKBAARHEID buiten uw eigen kantoortijden. Graag zijn wij u van dienst gedurende 7 dagen per week 24 uur per dag.
WAAR MENSEN VOOR U (BE)WAKEN
Onafhankelijk vakblad voor professionele beveiliging Security Management, onafhankelijk vakblad voor professionele beveiliging, is een uitgave van Kluwer BV. Kluwer legt de gegevens van abonnees vast voor de uitvoering van de (abonnements-)overeenkomst. De gegevens kunnen door Kluwer, of zorgvuldig geselecteerde derden, worden gebruikt om u te informeren over relevante producten en diensten. Indien u hier bezwaar tegen heeft, kunt u contact met ons opnemen. Hoofdredacteur Arjen de Kort (adekort@kluwer.nl) Eindredactie Ineke de Graaff Redactieadres Postbus 4 2400 MA Alphen aan den Rijn Telefoon (0172) 46 64 88 Fax (0172) 42 28 04 Uitgever Fréderique Zeemans Marketing Judith Verkerk E-mail: jverkerk@kluwer.nl Advertentieverkoop Liesbeth van den Hoek/Arjen Tuitert Telefoon (0172) 46 64 71 / 46 64 42 E-mail: lvdhoek@kluwer.nl, atuitert@kluwer.nl Abonnementen Vragen over abonnementen kunt u richten aan de Klantenservice, ☎ (0570) 67 33 58, www.kluwer.nl/klantenservice De abonnementsprijs is € 129,- exclusief btw, per jaar. Studenten betalen € 55,- inclusief btw. Prijzen zijn inclusief verzend- en administratiekosten. Losse verkoopprijs € 19,- per nummer, exclusief btw. Een abonnement kan op elk moment ingaan. Op elk tweede en volgende abonnement krijgt u 25% korting. U ontvangt 10 nummers per jaar. Opzeggen kan schriftelijk tot 3 maanden voor de nieuwe jaargang bij Kluwer bv, Postbus 878, 7400 AW Deventer. Adreswijzigingen (met de oude adresgegevens) doorgeven aan Kluwer bv, afd. Relatiebeheer, Postbus 23, 7400 GA Deventer. Abonnementen in België Wolters Kluwer Belgium (WKB) Motstraat 30, B- 2800 Mechelen Telefoon: 0800-30143 Fax: 0800-17529 E-mail: info@kluwer.be U vindt de algemene voorwaarden van WKB op www.kluwer.be Auteursrecht voorbehouden Niets uit deze uitgave mag zonder voorafgaande schriftelijke toestemming van de uitgever worden openbaar gemaakt of verveelvoudigd. Op iedere inzending van een bijdrage of informatie zijn de Standaardpublicatievoorwaarden van Wolters Kluwer Nederland BV van toepassing, gedeponeerd ter griffie van de arrondissementsrechtbank te Amsterdam, onder nummer 217/1999; een kopie kan kosteloos bij de uitgever worden opgevraagd. Op alle uitgaven van Kluwer zijn de algemene leveringsvoorwaarden van toepassing. Deze kunt u lezen op www.kluwer.nl of opvragen via ☎ (0570) 67 33 58. Partners Axis Communications, EuroPAC Alarmcentrale, G4S Beveiliging bv, Insasco, Securitas, Trigion Opmaak en DTP colorscan bv, Voorhout - www.colorscan.nl
Nieuw met stip
co lum n
Mijn vorige column begon ik met de verzuchting dat het leven van een hoofdredacteur niet altijd over rozen gaat. Dat had te maken met de berichtgeving rond de ISS/G4Sperikelen, waardoor een gepland artikel niet kon worden geplaatst. En later – toen het blad al bij de drukker lag bleek natuurlijk ook nog eens dat de rubriek nieuws en mijn column niet meer actueel waren op het moment dat u het blad in handen zou krijgen. Maar om de op het moment van dit schrijven volop in het nieuws zijnde Johan Cruijff te citeren: ‘Elk nadeel heeft zijn voordeel’. Zo kan het interview met de ISS-directie - met een enkele aanpassing - alsnog in dit nummer worden gepubliceerd. En door onze activiteiten op internet – website, e-zine en Twitter – kan het nieuwste nieuws steeds snel bekend worden gemaakt én had ik de kans binnen de kortste keren een aangepaste column te publiceren. Maar genoeg over mijn besognes. Er zijn immers interessantere zaken te melden. Zo verheugt het mij u in dit nummer de resultaten van de tweede editie van de Security Management Survey te presenteren. Hiermee is nu niet alleen benchmark-informatie voorhanden, maar kunnen er tevens trends en ontwikkelingen worden gesignaleerd. Op deze plaats wil ik alvast een aantal – wat mij betreft – opvallende zaken noemen. Om te beginnen bevestigt de Survey 2011 het beeld van de security manager: dat is nog steeds een man van middelbare leeftijd. Maar er lijkt verandering op komst: de gemiddelde leeftijd is iets gedaald, het percentage vrouwen is gestegen, en deze vrouwen zijn bovendien hoger opgeleid dan hun mannelijke collega’s. En daar waar ik vorig jaar schreef dat de schutting tussen klassieke beveiliging en ICT-security moest worden geslecht, blijkt die kloof daadwerkelijk wat kleiner geworden: 20 procent van de respondenten geeft nu aan tevens verantwoordelijk te zijn voor ICT-security, tegenover 2 procent in 2010. Boeiend is verder de top 10 securityrisico’s, waarin - zoals het dit soort lijstjes betaamt - nu stijgers, dalers en nieuwe binnenkomers voorkomen. In die laatste categorie is zelfs sprake van een veelzeggende stipnotering: informatiediefstal vinden we terug op nummer 2. Voldoende reden om de volledige Survey lezen! Rest mij aan het einde van deze laatste column van het jaar om u alvast fijne feestdagen te wensen! Wij ‘spreken’ elkaar weer bij het verschijnen van Security Management nummer 1/2 op 10 februari.
Basisvormgeving Verheul Media Supporters, Alphen aan den Rijn Druk: TenBrink, Meppel
Arjen de Kort Hoofdredacteur Security Management, adekort@kluwer.nl
ISSN 1386-0941
www.securitymanagement.nl
Security Management Groep Meer Security Management? Volg ons ook op Twitter: www.twitter.com/@Security_Mgt Security Management nummer 12 december 2011
3
Onafhankelijk vakblad voor professionele beveiliging
10 Laetitia Griffith: ‘Ik wil Nederland veiliger maken’ Dit voorjaar maakte Laetitia Griffith de overstap naar de private sector. Het voorzitterschap van de Nederlandse Veiligheidsbranche (NVB) ligt volgens haar in het verlengde van wat zij de afgelopen jaren in het publieke domein heeft gedaan.’Ik ben ervan overtuigd dat werken aan veiligheid niet alleen een zaak is van de overheid, maar ook van burgers en bedrijfsleven.’
14 Security Management Survey 2011
De kloof tussen klassieke beveiliging en ICT-security is het afgelopen jaar kleiner geworden. Dit is een van de opvallendste uitkomsten van de Security Management Survey 2011. Met deze tweede editie van de Survey is nu niet alleen benchmark-informatie voorhanden, maar kunnen tevens trends en ontwikkelingen voor security management worden gesignaleerd, en heeft u een actueel overzicht van de stand van security management in Nederland.
t hema | toegangscontrole
23 Biometrie: een haalbare kaart Bedrijven worden groter, collega’s kennen elkaar steeds minder persoonlijk. Het bepalen of iemand in een beveiligde ruimte hoort, wordt hierdoor steeds lastiger. De afgelopen jaren heeft biometrie een positieve ontwikkeling doorgemaakt, waardoor het meer en meer toepasbaar is bij toegangscontrole. Een overzicht van een aantal toepassingen.
4
Security Management nummer 12 december 2011
t hema | toegangscontrole
20 Van toegangscontrole naar toegangsbeheer Toegangscontrolesystemen zijn gevoelig voor vervuiling, waardoor bijvoorbeeld oud-medewerkers nog steeds toegang hebben tot uw bedrijf. Er is een manier om ervoor te zorgen dat de gegevens van het toegangscontrolesysteem integer blijven: identity en access management.
28 UHF: een verrijking voor toegangscontrole De laatste jaren wordt er steeds meer nadruk gelegd op het beveiligingsniveau van toegangspassen. De volgende stap is dat we ons realiseren dat toegangscontrole niet alleen om beveiliging gaat, maar ook om comfort en gebruiksgemak. Een mooi moment om UHF te introduceren.
32 Open standaarden voor gesloten deuren De Onvif-organisatie heeft haar aandachtsveld verbreed naar de sterk versnipperde fysieke toegangscontrolemarkt. Wat zijn de voor- en nadelen van standaardisatie voor zowel eindgebruikers als leveranciers?
35 IP-camera's bewaken Maritiem College Het Maritiem College Velsen in IJmuiden heeft alle buitendeuren uitgerust met IP-camera's en elektromechanische sloten. Deze nieuwe oplossing voor toegangscontrole geeft zowel studenten als personeel een veiliger thuisgevoel.
37 Meer dan een cilinder en een sleutel
En verder 3
colofon
3
column
6
nieuws
50
recht
51
recherche
53
producten
55
contacten en contracten
56
jaaroverzicht 2011
58
column Colin T.
Een goed toegangscontrolebeleid valt of staat met de juiste implementatie ervan. Daarom zouden we beter kunnen spreken van toegangsbeheer. Over het waarom wordt in dit artikel meer duidelijkheid gegeven.
39 Informatiebeveiliging in de zorg Recente uitwerkingen van het thema informatiebeveiliging in de zorg binnen ISO waren aanleiding om de bestaande normen NEN 7510:2004 en NEN 7511:2005 te reviseren. Een overzicht van de belangrijkste wijzigingen.
42 Groeien naar herkenbaarheid De afgelopen vijf jaar kunnen voor ISS Security Services als hectisch worden gekenschetst. Met het aantreden van Aad de Vries (algemeen directeur) en Jan van Dijk (commercieel directeur) lijkt de rust weergekeerd. Tijd om ze aan het woord te laten over hun strategie voor de komende jaren.
46 ‘Denken vanuit mogelijkheden’
Tijdens het congres Het Nieuwe Security werd de nieuwe werkelijkheid van de security manager geschetst. Een werkelijkheid waarin bits & bytes en cybercrime een steeds prominentere rol spelen.
Security Management nummer 12 december 2011
5
nieuws
Facilitaire branches luiden noodklok met Bidbook Minister Henk Kamp van Sociale Zaken heeft op 26 oktober het Bidbook Blijvend van waarde in ontvangst genomen. Het Bidbook is opgesteld door brancheorganisaties de Nederlandse Veiligheidsbranche (beveiliging), Veneca (catering) en OSB (schoonmaak). Ze luiden daarmee de noodklok over de aanhoudende neerwaartse prijsspiraal bij overheidsaanbestedingen. In het Bidbook worden handreikingen gedaan welke stappen de brancheorga-
nisaties - samen met de overheid - willen zetten om de dienstverlening op peil te houden. Voorbeelden van die stappen: » herstel persoonlijk contact tussen opdrachtgever en opdrachtnemer bij aanbestedingen (mindere rol voor intermediairs); » langere looptijd van contracten; » transparanter maken inkoopproces en opstellen meetinstrumenten; » beperken onmogelijke contractvoorwaarden; » Code Verantwoord Marktgedrag versneld verbreden.
Minister Henk Kamp (tweede van links) neemt het Bidbook in ontvangst van Hans Simons (links), Hans Reijnierse (tweede van rechts) en Laetitia Griffith (rechts).
Europese regels voor bodyscanners Europese luchthavens die ‘bodyscanners’ willen gebruiken, moeten vanaf midden december voldoen aan nieuwe uniforme EU-regels. Tot nog toe mocht elke lidstaat de scanners naar eigen goeddunken gebruiken. De nieuwe regels beogen de privacy en de gezondheid van de passagiers te verzekeren. Zo mogen de beelden niet worden opgeslagen. Alleen geautoriseerd personeel mag ze bekijken, en slechts in een aparte ruimte zodat de screener de passagier niet ziet. De passagier moet voor hem onherkenbaar zijn. De reiziger moet van tevoren worden ingelicht dat een controle met bodyscanners plaatsvindt, en hij heeft
6
het recht om een ander soort veiligheidscontrole te vragen. Volgens eurocommissaris Siim Kallas (Verkeer) vergroten bodyscanners de veiligheid van de passagiers, omdat zij beter kunnen vaststellen of iemand gevaarlijke voorwerpen of stoffen op zijn lichaam meevoert. Bodyscanners kunnen zowel metalen als niet-metalen objecten ‘zien’. De veiligheidscontroles verlopen er sneller door en passagiers hoeven niet meer met de hand gefouilleerd te worden. Overigens mogen alleen scanners worden gebruikt die geen gebruik maken van röntgenstraling. Bodyscanners worden in de EU momenteel gebruikt op Schiphol en op enkele vliegvelden in Groot-Brittannië, en uitgetest in enkele andere landen.
Security Management nummer 12 december 2011
De te lage prijzen veroorzaken grote maatschappelijke schade, aldus de branches. Niet alleen de kwaliteit van het werk staat onder druk, ook de investeringen in het opleiden van mensen worden teruggeschroefd en de werkdruk stijgt bij elke contractwisseling. Immers, een goedkoper contract betekent dat er minder tijd is om alle taken op een verantwoorde manier uit te voeren. De branches zijn samen goed voor 250.000 werknemers en een jaarlijkse omzet van 7 miljard euro. In een persbijeenkomst kwamen de drie voorzitters van de branches (Laetitia Griffith – NVB, Hans Simons - OSB en Hans Reijnierse - Veneca) kort aan het woord. Dat de branches zich tot de overheid richten, is op zich geen wonder: ‘De overheid is met 40 procent onze grootste opdrachtgever’, sprak Reijnierse. Minister Kamp sprak positief over het Bidbook. Hij refereerde aan de Code Verantwoord Marktgedrag die in de schoonmaakbranche sinds enkele maanden functioneert, en gaf aan dat hij blij was dat de beveiliging en catering nu ook deze kant op gaan. Kamp sprak wel de hoop uit dat de branches zich naast de overheid ook op ‘de markt’ gaan richten. Dat is immers 60 procent van de klanten.
nieuws
Fraude met internetbankieren neemt toe Nederland is mede vanwege de populariteit van het online bankieren het jachtgebied van cybercriminelen. Dat zei Boele Staal, voorzitter van de Nederlandse Vereniging van Banken (NVB), tijdens de presentatie van cijfers over fraude via internetbankieren over de eerste helft van 2011. Tot en met juni zijn ruim 2.400 gevallen van fraude bekend met een totale
omvang van 11,2 miljoen euro. Ter vergelijking: over heel 2010 waren er 1.300 gevallen, met een totaal schadebedrag voor banken van krap 10 miljoen euro. ‘Internetcriminelen zien Nederland als hun jachtterrein’, stelde Staal. ‘Temeer een reden ons daar tegen te wapenen. Willen we de fraude tegengaan, dan moeten we onder meer de consument meer bewust maken van de gevaren.’ Om dat beter voor elkaar te krijgen, start de NVB in samenwerking met de politie onder meer met een mediacampagne om de gebruikers van internetbankieren op de gevaren te wijzen. De schade die financiële instellingen en consumenten de afgelopen jaren hebben geleden, wordt vooral veroorzaakt door ‘phishing’. Met misleidende e-mails proberen criminelen bankgegevens van rekeninghouders te ontfutselen, zoals tancodes, wachtwoorden en rekeningnummers.
Regeling VKB met 2 jaar verlengd
2000 meldingen diefstal bejaardenhuizen Hoogleraar psychologie René Diekstra heeft ongeveer 2.000 meldingen binnengekregen over diefstal van bewoners van verzorgings- en verpleeghuizen. Hij heeft de meldingen gebundeld in een zwartboek. Diekstra kwam op het idee de meldingen te verzamelen toen een familielid in een verzorgingshuis diverse keren door dezelfde medewerker werd bestolen. De professor plaatste een verborgen camera en wist de diefstallen vast te leggen. Hij schreef er afgelopen voorjaar een column over in een aantal kranten en werd vervolgens bedolven onder reacties. Diekstra vindt dat zorginstellingen veel alerter op de diefstallen moeten zijn. Hij pleit onder meer voor invoering van een gedragscode voor het personeel. Als er verdenkingen zijn, moet de directie van de instelling zelfs camera’s plaatsen om zo bewijs te verzamelen. Koepelorganisatie Actiz onderschrijft een aantal aanbevelingen en hoopt dat het zwartboek instellingen en medewerkers scherp houdt. Volgens een woordvoerder gebeurt er al veel om diefstal te voorkomen.
Bezoek de Security Management dossiers De regeling ‘Veiligheid Kleine Bedrijven’ (VKB) is met twee jaar verlengd. Hierdoor kunnen kleine ondernemers ook in 2012 en 2013 bij de overheid terecht voor financiële ondersteuning bij het uitvoeren van een veiligheidsscan en bij het nemen van de geadviseerde maatregelen om hun bedrijf te beveiligen. De regeling is bedoeld voor kleine ondernemers, met maximaal vijf vestigingen en maximaal tien fte’s per vestiging. Ondernemers kunnen financiële ondersteuning krijgen om te laten on-
derzoeken hoe hun bedrijf is beveiligd tegen criminaliteit, zoals diefstal, inbraak en vandalisme. Daarvoor kunnen ze een onafhankelijke veiligheidsscan voor hun bedrijf laten uitvoeren. Na het uitvoeren van de veiligheidsscan beslist de ondernemer welke maatregelen er moeten worden getroffen. De overheid financiert 50 procent van de gemaakte kosten, tot een maximum van 1.000 euro in totaal. Er is voor beide jaren een budget van ruim 5 miljoen euro beschikbaar. De VKB wordt namens het ministerie van Justitie uitgevoerd door Agentschap NL.
Op www.securitymanagement.nl staan drie dossiers met informatie – nieuws, achtergrondartikelen, columns – over brandveiligheid, cctv en toegangscontrole. Neem eens een kijkje, alle informatie is gratis toegankelijk!
Security Management nummer 12 december 2011
7
nieuws
Brandweer rukte vaker uit in 2010 De brandweer moest in 2010 vaker uitrukken om hulp te verlenen dan het jaar daarvoor. Dat blijkt uit cijfers van het Centraal Bureau voor de Statistiek (CBS). De brandweer verrichtte in 2010 bijna 44.000 hulpverleningen, ten opzichte van 42.000 in 2009.
Het grote aantal hulpverleningen in 2010 kwam onder meer door noodweer in de maanden juli en augustus. De brandweer moest vaak in actie komen om wateroverlast of stormschade te bestrijden. Verder zijn bijna 41.000 branden geregistreerd, waarvan 23.000 buitenbranden. Er waren 65 dodelijke slachtoffers door branden. Van deze slachtoffers vielen er 35 bij woningbranden. Over een langere periode bekeken ligt het aantal doden in 2010 onder het gemiddelde, aldus het CBS. In 2010 was 44 procent van alle meldingen bij de brandweer een loos alarm. Bij brandmeldingen was dat zelfs 60 procent. Veruit het grootste deel daarvan (48.500) kwam binnen via een automatische brandmeldinstallatie; dat is 8 procent minder dan in 2009.
Reders zetten bewapende beveiligers in Twee Nederlandse rederijen hebben aangekondigd bewapende particuliere beveiligers in te zetten om hun onder Nederlandse vlag varende schepen te beschermen tegen Somalische kapers. Het kabinet weigert tot nu toe bewapende particuliere beveiligers op schepen toe te staan. Landen als Denemarken, Spanje en Noorwegen staan dat wel toe. Onlangs is daar het Verenigd Koninkrijk bij gekomen. Nederlandse reders vrezen dat daardoor hun schepen steeds meer in beeld komen als doelwit van kapers in de Indische
Oceaan. Het ministerie van Defensie wil volgend jaar wel vijftig teams mariniers inzetten om ‘kwetsbare’ Nederlandse schepen te beschermen, maar volgens de reders is dat niet toereikend. Voorzitter Tineke Netelenbos van de Koninklijke Vereniging van Nederlandse Reders (KNVR) zei in een reactie de betrokken reders ‘heel goed’ te begrijpen. ‘Werkgevers hebben de plicht om hun personeel tegen gevaarlijke situaties te beschermen.’ De brancheorganisatie dringt er bij het kabinet al lange tijd op aan om het verbod op te heffen.
Minister Opstelten van Veiligheid en Justitie noemt het plan ‘onbezonnen’ en zegt dat rederijen die bewapende particuliere beveiligers inzetten tegen piraten, strafrechtelijk kunnen worden vervolgd. De Tweede Kamer is het daarmee eens. ‘De overheid heeft het monopolie op geweld. Dat mag niet op de helling komen te staan’, is de redenering. De Kamer is van mening dat eerst moet worden geprobeerd om met teams van bewapende mariniers te voldoen aan de wensen van de reders. Pas als dat niet lukt, kan op termijn worden gekeken naar het inhuren van private bewakers.
Scherper toezicht op delinquenten Staatssecretaris Fred Teeven van Veiligheid en Justitie wil komend jaar een verdubbeling van het gebruik van elektronisch toezicht op delinquenten die onder voorwaarden terugkeren in de samenleving. Dit om te voorkomen dat slachtoffers hun daders weer tegen het lijf lopen.
8
Met het elektronisch toezicht kan worden gecontroleerd of een delinquent zich ook houdt aan voorwaarden zoals een locatie- of contactverbod. Bij overtreding van de voorwaarden wordt de dader opnieuw aangehouden en ingesloten. Teeven wil het elektronisch toezicht vooral inzetten bij zedendelinquenten, daders
Security Management nummer 12 december 2011
van huiselijk geweld, gewelddadige overvallers en crimineel gedrag van jongeren. Met de maatregel is zo’n vier miljoen euro gemoeid. Elektronisch toezicht wordt opgelegd door de rechter op vordering van de officier van justitie. Jaarlijks gaat het nu om zo’n 180 gevallen.
nieuws
Overname ISS door G4S afgeblazen Het Britse beveiligingsbedrijf G4S heeft zijn plannen om de Deense facilitaire dienstverlener ISS over te nemen onder druk van de aandeelhouders en vanwege de economische onzekerheid afgeblazen. G4S had 6 miljard euro over voor ISS. Het samengevoegde bedrijf zou werk bieden aan
ruim 1 miljoen mensen in 130 landen. Na de bekendmaking van de plannen bleek dat er onder aandeelhouders van G4S veel weerstand was tegen de overname. De deal zou te complex zijn. Daarnaast zouden de activiteiten van ISS – vooral schoonmaak en catering te ver afstaan van de beveiligingsactivi-
teiten van G4S. ISS is indirect eigendom van twee private-equitybedrijven, EQT Partners en Goldman Sachs Capital Partners. Die willen al langer af van hun aandelenpakket in de onderneming. Een eerdere poging om het Deense concern te verkopen aan een privateequitybedrijf mislukte. Wat hun plannen nu zijn, is onduidelijk.
Nederland en Zwitserland minst corrupt Bedrijven hebben in Nederland en Zwitserland het minste last van corruptie als zij zaken doen met de overheid. Dat meldt Transparency International. Op een schaal van 1 tot 10 scoorden Nederland en Zwitserland een 8,8. Dat betekent dat bedrijven in deze landen vrijwel nooit overheidsfunctionarissen hoeven om te kopen om zaken te kunnen doen. België eindigde als derde met een score van 8,7. Duitsland en Japan kregen een rapportcijfer van 8,6 en completeren de top 5. Rusland staat laatste op de ranglijst van Transparency Interna-
tional, met een 6,1. De economische grootmacht China kreeg een 6,5, goed voor de een-na-laatste plaats. India boekte volgens de rapporteurs van de internationale corruptiewaakhond de meeste vooruitgang ten opzichte van de vorige ranglijst. Die werd gepubliceerd in 2008. India zag het rapportcijfer in de afgelopen jaren met 0,7 punt stijgen naar 7,5. Taiwan en Turkije haalden dezelfde score. Canada en Groot-Brittannië zijn de grootste dalers. Canada staat nu met een 8,5 op de gedeelde zesde plaats. Groot-Brittannië kreeg een 8,3 en dat is nog altijd goed voor een gedeelde achtste plaats.
Teeven pakt autokraken aan Staatssecretaris Fred Teeven (Veiligheid en Justitie) wil het aantal autokraken in Nederland met 20 procent terugdringen. Hiervoor werkt hij samen met Verzekeringsbureau bestrijding Voertuigcriminaliteit (VbV), politie, Stichting Aanpak voertuigcriminaliteit (AVc), het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) en de ANWB. In het kader van de gezamenlijke campagne tegen autokraak heeft Teeven tien lokauto’s in ontvangst genomen. De politie kan deze auto’s inzetten om criminelen die iets waardevols uit de auto stelen, op heterdaad vast te leggen. De inzet van lokauto’s met videoregis-
Adverteerdersindex
tratie was in Utrecht succesvol. In een pilot konden door de inzet van lokauto’s diverse daders worden opgepakt en daalde het aantal autokraken in de regio met 40 procent. Naar aanleiding van het succes van deze pilot wil Teeven de Utrechtse aanpak een landelijk vervolg geven. Jaarlijks wordt één op de vijftien automobilisten geconfronteerd met autokraak. De maatschappelijke schade is ruim 438 miljoen euro.
ARAS Security b.v. 59 Axis Communications BV 18 Bosch Security Projects BV 30 Delft Toptech 44 EasyFairs 26, 27 EuroPAC Alarmcentrale V.O.F 2 EVVA-Nederland B.V. 34 HolaPress Communicatie BV meehechter Honeywell Security Group 13 Nedap N.V. Security Management 52 Niscayah 22 Nsecure B.V. 60 NVD Beveiligingsgroep 41 Safety-Lux Nederland bv 48 Saxion Enschede 48
Security Management nummer 12 december 2011
9
por tret
Laetitia Griffith, voorzitter NVB:
‘Ik wil Nederland veiliger maken’ Na een lange carrière in het openbaar bestuur en de politiek, maakte Laetitia Griffith dit voorjaar de overstap naar de private sector. Het voorzitterschap van de Nederlandse Veiligheidsbranche (NVB) ligt volgens haar in het verlengde van wat zij al die jaren in het publieke domein heeft gedaan.’Ik ben ervan overtuigd dat werken aan veiligheid niet alleen een zaak is van de overheid, maar ook van burgers en bedrijfsleven.’ ARJEN DE KORT
H
aar carrière voerde Laetitia Griffith de afgelopen jaren langs het openbaar ministerie, het ministerie van Justitie, de gemeente Amsterdam en de Tweede Kamer. Daar is zij door de wol geverfd als het gaat om interviews. Na de hartelijke ontvangst op het NVBkantoor in Den Haag toont zij zich tijdens het gesprek namelijk ontspannen en geroutineerd, geeft zij blijk kennis van zaken te hebben, is zij ad rem, en toont zij ook af en toe een vleugje humor. Toch lijkt zij enigszins verbaasd over de openingsvraag wat
zij met het onderwerp veiligheid heeft. Maar haar antwoord laat niet lang op zich wachten. ‘Van huis uit heb ik het onderscheid tussen goed en fout meegekregen. Dat was altijd wel onderwerp van gesprek. Op een bepaald moment kreeg ik er meer belangstelling voor en daar kwam mijn keuze voor de studie Rechten uit voort. Rechten betekent begrip hebben van de regels die er zijn. Als het gaat om rechtvaardigheid, om rechtspreken, om je aan het recht te houden, die drive heeft er van jongs af aan al ingezeten.’
CV Laetitia Griffith (1965) 2011: 2006 – 2010: 2005 – 2006: 2003 – 2005: 1998 – 2003: 1995 – 1998: 1993 – 1995:
voorzitter Nederlandse Veiligheidsbranche (NVB) lid Tweede Kamer VVD (o.a. algemeen woordvoerder politie, veiligheid, AIVD, stelsel Bewaken en Beveiligen) wethouder in Amsterdam lid Tweede Kamer VVD senior juridisch medewerker / senior beleidsadviseur bij het Directoraat Generaal rechtshandhaving ministerie van Justitie secretaris van de voorzitter van het College van procureursgeneraal juridisch medewerker bij de Directie Staats- en Strafrecht van het ministerie van Justitie
Bron: www.laetitiagriffith.nl
10
Security Management nummer 12 december 2011
Kan werken aan veiligheid wel vanuit de private sector? Zou je daarvoor niet per definitie in de publieke sector moeten werken? ‘Ik ben ervan overtuigd dat werken aan veiligheid en bestrijden van onveiligheid niet alleen maar een zaak is van de overheid, maar ook van burgers en bedrijfsleven. Ik zie mijn huidige werk voor de NVB dan ook in het verlengde van wat ik al die jaren in het publieke domein heb gedaan. Dus eigenlijk is de overstap naar de NVB een vanzelfsprekende’, concludeert ze lachend. De overstap naar de private sector was een bewuste keuze? ‘Toen ik besloot mij niet meer verkiesbaar te stellen voor de Tweede Kamer, wist ik niet precies wat ik zou gaan doen. Maar ik wist wel gelet op mijn ervaring en mijn levensfase, dat als ik een overstap wilde maken dit het moment was. Ik ken het openbaar bestuur, ik geloof in veiligheid en in het feit dat de burger en het bedrijfsleven daarin een rol hebben. Toen het voorzitterschap van de NVB op mijn pad kwam, heb ik het met beide handen aangegrepen.’
por tret
En nu, na een halfjaar voorzitterschap? ‘Ik ben een halfjaar geleden onbevooroordeeld in de branche gestapt, maar wel met een blik hoe de branche een bijdrage kan leveren aan veiligheid. Wat mij opvalt is dat het mensen zijn van mijn generatie, die miljoenenbedrijven runnen, en die daar keihard voor werken.’ Uw voorganger Tjibbe Joustra had als missie de verdere maatschappelijke acceptatie van particuliere beveiliging. Hoe ver is hij daarmee gekomen? ‘Heel ver. Mijn voorganger heeft een heel mooi beleidsplan geschreven om de doelstellingen van de branche zichtbaar te maken. Ik heb het natuurlijk gelezen voordat ik ja zei tegen deze functie en ik kan het helemaal omarmen. Maar er is ook veel in gang gezet wat niet altijd zichtbaar is voor de buitenwereld. Zo is er de commissie-Beuving die diepgaand naar de keurmerken kijkt. Of de commissie-Steenhuis die onderzoek doet naar de samenwerking tussen particuliere onderzoeksbureaus en de politie. Er is dus veel in gang gezet voor een verdere versteviging van de samenwerking met het openbaar bestuur en de overheid. Dat heeft Joustra goed gedaan.’
Laetitia Griffith ziet het als haar missie de branche een professionele, betrouwbare en integere ketenpartner te maken voor de veiligheid.
Welk beeld had u van de beveiligingsbranche tijdens uw carrière in de publieke sector? ‘Een branche die wel participeerde als het ging om veiligheid, maar ook een
blieke domein kon toepassen. Maar we hebben natuurlijk geworsteld met de vraag welk belang de branche had. Was dat criminaliteitsbestrijding en werken aan veiligheid, of alleen maar commer-
‘Ik zou de minister willen voorhouden dat de branche een toegevoegde waarde heeft voor de politie’ branche waarvan niet helemaal duidelijk was wat haar plek was binnen het openbaar bestuur en in de publieke ruimte. In de loop der tijd zijn we gaan inzien dat de branche haar ervaringen uit het private domein ook in het pu-
cieel? Dat was een zoektocht, zowel voor de branche als voor de overheid. Maar beide zijn gaan inzien dat veiligheid een zaak is van iedereen en dat de branche daaraan een wezenlijke bijdrage kan leveren.’
Wat is uw missie voor de komende jaren? ‘Mijn missie is de branche een professionele, betrouwbare en integere ketenpartner maken voor de veiligheid. Dat is in het NVB-beleidsplan 2011-2013 ook zo verwoord. Daarin herken ik mij volledig en dus zeg ik: “Aan de slag, we gaan het uitvoeren”. Ik wil de komende jaren slagen maken, bijvoorbeeld in de zin dat er 30.000 beveiligers zijn en hoe we die kunnen inzetten ter ondersteuning van de politie, zodat het veiliger wordt in Nederland. Daarbij probeer ik op verschillende borden te schaken. Enerzijds wil ik partijen in de publieke sector bewust maken van de bijdrage die de branche zou kunnen leveren, anderzijds moet er ook binnen de vereniging zelf hard worden gewerkt. De leden moeten worden overtuigd van de kracht die er in de organisatie zit.’ Om een betrouwbare ketenpartner te worden is een goede relatie van de branche
Security Management nummer 12 december 2011
11
»
por tret
met de overheid van groot belang. Hoe is die relatie momenteel? ‘Illustratief is denk ik het voornemen voor de informatie-uitwisseling tussen politie en branche, zoals recentelijk gepresenteerd. De manier waarop de staatssecretaris van Veiligheid & Justitie, mede namens de minister, en ook de korpschef van de politieregio IJsselland bij de presentatie van die plannen over de samenwerking met de branche spraken, is voor de branche veelbelovend. Dat is publiek-private samenwerking zoals we die voor ogen hebben.’ Inderdaad een mooie stap, maar hoe kijkt u dan aan tegen de plannen van minister Opstelten om de komende jaren meer politievrijwilligers aan te trekken? Is dat een goede ontwikkeling in de relatie branche – overheid? Of is hier wellicht sprake van oneigenlijke concurrentie? ‘Wat betreft deze wens van minister Opstelten ga ik heel graag het gesprek met hem aan over wat voor soort vrijwilligers hij zoekt en wat hij nog mist bij de politie. Ik zou hem dan willen voorhouden dat de branche een toegevoegde waarde heeft voor de politie en zou samen met hem willen kijken op welke manier die 30.000 beveiligers een betekenisvolle rol kunnen spelen voor de politie. Maar particuliere beveiligers zijn natuurlijk geen vrijwilligers.’ In het NVB-beleidsplan wordt gesproken over inzet van de branche bij onder andere het gevangeniswezen. Dit kabinet heeft in de regeringsverklaring aangegeven op dit punt ook verder te willen. Hoe staat het hiermee? ‘De gesprekken hierover met het ministerie van V&J zijn gaande. Maar het is niet zo dat er op korte termijn al concrete plannen zullen liggen. Dit zijn zaken die tijd kosten. Ik ervaar de inzet van het ministerie als positief en ik heb er vertrouwen in dat wij stappen gaan maken in deze kabinetsperiode. Met mijn ervaring bij de overheid weet ik dat zo’n traject meerdere gesprekken vereist en dat het een kwestie van lange adem is. Zo werkt het nu eenmaal in Den Haag, want er staat veel op het spel voor alle betrokken partijen. Daarom moet je dergelijke projecten goed in kaart brengen en ervan overtuigd zijn
12
dat ze gaan slagen. Daarbij moet je niet over een nacht ijs gaan.’ Bij dit alles speelt imago van de branche een belangrijke rol. Maar dat is al jaren een heikel punt. Hoe komt dat toch? ‘Dat is beeldvorming. Natuurlijk zijn er in het verleden zaken misgegaan, maar in welke organisatie niet? Het duurt lang voordat je van die negatieve beeldvorming af bent. De branche heeft de afgelopen jaren echter keihard gewerkt aan professionalisering en kan laten zien dat zij op een aantal terreinen efficiënter kan werken dan de overheid. Ik wil duidelijk maken dat we willen sa-
Maar er is regelmatig discussie over meer geweldsbevoegdheden voor beveiligers. Hoe denkt u daarover? ‘Ik zit niet op de lijn van het zonder meer toekennen van geweldsmiddelen aan beveiligers. Iedereen heeft de neiging om meteen in geweldstermen te denken - pepperspray, handboeien maar we slaan daarmee een scala aan gedragsvaardigheden over, waarover niet alleen de politie maar ook beveiligers zouden moeten beschikken. Mijn insteek is dat beveiligers die vaardigheden moeten trainen. En op het moment dat een situatie toch escaleert moet een beveiliger in nauw contact
‘Ik zit niet op de lijn van het zonder meer toekennen van geweldsmiddelen aan beveiligers’ menwerken aan veiligheid. We hebben nu een bewindspersoon die ervoor open staat en ook de politie begint de branche als een partner in de veiligheidsketen te zien. Daar vindt een omslag in het denken plaats waar we meer mee moeten doen. Er zijn immers tal van goede voorbeelden van samenwerking met de branche als het gaat om de bestrijding van criminaliteit. Let wel, de branche moet blijven werken aan haar professionaliteit en betrouwbaarheid, maar we moeten niet steeds terugkijken. We moeten kijken naar waar de branche vandaan is gekomen en waar zij nu staat. Dan denk ik dat we er vertrouwen in mogen hebben en niet moeten blijven hangen in het oude imago, want dat is een achterhaald beeld.’ Bent u niet bang dat door een grotere rol van de branche in het publieke domein en met een eventuele uitbreiding van de geweldsbevoegdheden voor beveiligers, dat in geval van een incident dat verbeterde imago van de branche wordt tenietgedaan? ‘Volgens mij lopen er nu twee dingen door elkaar. We hebben het over imago, waarbij ik heb aangegeven dat er veel goede voorbeelden zijn, waaruit blijkt dat de branche is geprofessionaliseerd en dat er goed wordt samengewerkt.’
Security Management nummer 12 december 2011
staan met de politie, zodat die kan optreden. Bij mij gaat het om het beheersbaar maken van de situatie ter plekke, want ook de politie krijgt keer op keer training om situaties de baas te zijn en te de-escaleren. Geweldsmiddelen zijn echt een ultiem remedium.’ Ten slotte, per 1 oktober is de naam van de VPB gewijzigd in Nederlandse Veiligheidsbranche (NVB). In hoeverre is dit slechts een naamsverandering, of betreedt de vereniging hiermee ook een breder werkveld? ‘De vereniging was natuurlijk al breder dan alleen maar particuliere beveiliging. We vertegenwoordigen ook gelden waardetransportbedrijven, particuliere onderzoeksbureaus, en binnenkort komen daar ook evenementenbeveiligingsbedrijven bij. Kortom, de vlag van de VPB dekte de lading niet meer. Bovendien willen we een partner in de veiligheidsketen zijn, een keten die meer is dan alleen maar beveiliging. We willen als strategische partner gezien worden door alle partners in de keten en willen gesprekspartner zijn als het gaat om integrale veiligheidsvraagstukken. We hebben dus een naam gezocht die past bij onze nieuwe visie en strategie. Dat is de achterliggende gedachte geweest.’ ‹‹
choose IP
Introducing a complete HD video surveillance solution ideal for small businesses. And it’s just 3-clicks to live video! New from Honeywell, MAXPRO® NVR XE and Performance Series IP cameras are perfect for capturing sharp pictures of objects, people and activity leading to more accurate ID and resolution of security issues. What’s more, it’s affordable and ready to use right out-of-the-box. Set-up is simple even with limited IT experience. It’s just 3-clicks to live video! And because it’s built on our proven MAXPRO® platform, operation is easy, so once you learn one, you’ll know them all. It’s HD. It’s easy. And it’s affordable.
Visit your local ADI branch to order today! For more info about Honeywell’s IP offering, including our family of MAXPRO NVRs (XE and SE), download your FREE copy of our IP Product Selection Guide at www.honeywellipsolutions.com/uk or call 08448 000 235 © 2011 Honeywell International Inc. All rights reserved.
onderzoek
Security Management Survey 2011
De stand van security in Nederland De kloof tussen klassieke beveiliging en ICT-security is het afgelopen jaar kleiner geworden. Dit is een van de opvallendste uitkomsten van de Security Management Survey 2011. Met deze tweede editie van de Survey is nu niet alleen benchmark-informatie voorhanden, maar kunnen tevens trends en ontwikkelingen voor security management worden gesignaleerd. DENNIS DE HOOG & SEBASTIAAN BARLAGEN *
C
OT Instituut voor Veiligheidsen Crisismanagement, an Aon company (COT) en Security Management doen sinds 2010 periodiek onderzoek naar de actuele stand van security management in Nederland. Met dit onderzoek beogen de onderzoekers actuele patronen, trends en ontwikkelingen op het gebied van security management te identificeren. De afgelopen maanden vond er opnieuw uitgebreid surveyonderzoek plaats. Een kleine honderd respondenten (N = 87) verleenden medewerking. Graag willen wij hen bedanken voor hun waardevolle bijdrage. Net als in 2010 is de variëteit onder de deelnemende securityprofessionals groot. Zij zijn werkzaam voor een divers aantal organisaties, verspreid over het bedrijfsleven en de (semi) publieke sector. Bovendien zijn de ondervraagde securityprofessionals afkomstig uit een grote variëteit aan
sectoren. Uitkomsten moeten ook in dat licht worden bezien. In dit artikel delen wij de belangrijkste uitkomsten van dit onderzoek; we doen dit tegen de achtergrond van de resultaten 2010.
Profiel securityprofessional 2011 In 2011 is de deelnemende securityprofessional nog vrijwel altijd een man. Wel groeide dit jaar het aantal deelnemende vrouwelijke securityprofessionals tot 5,7%. De gemiddelde leeftijd van de deelnemende securityprofessional komt in 2011 op 46,6 jaar. Dit is drie jaar jonger dan de gemiddelde leeftijd in 2010. We kunnen hieruit afleiden dat er onder deelnemende securityprofessionals sprake is van een zekere verjonging. Opvallend daarbij is de relatie tussen leeftijd en geslacht van de securityprofessional: de deelnemende dames zijn significant jonger dan de heren.
Surveyonderzoek: disclaimer » De resultaten zijn afhankelijk van de door de ondervraagden aangeleverde gegevens. » De beleving (‘perceptie’) van ondervraagden staat centraal. » De diversiteit van de ondervraagden is groot, daarom is voorzichtigheid geboden bij het generaliseren van de uitkomsten.
14
Security Management nummer 12 december 2011
Opvallend is ook dat in 2011 het gemiddelde aantal ervaringsjaren van securityprofessionals met 2,3 is toegenomen. Hier stellen de resultaten ons dus voor een paradox: kennelijk gaat de verjonging onder de populatie securityprofessionals niet gepaard met een afname van het aantal ervaringsjaren – integendeel! Ook in 2011 is de securityprofessional gemiddeld hoger opgeleid. Voor bijna 80% van de respondenten geldt dat zij een opleiding in het hoger onderwijs hebben afgerond. Frappant is ook hier de significante relatie met de variabele geslacht. Vrouwelijke securityprofessionals blijken in 2011 hoger opgeleid dan hun mannelijke collega’s.
Invulling securityfunctie De securityprofessional blijkt in het dagelijks leven lang niet altijd herkenbaar door zijn of haar functie. Ook dit jaar kan de securityverantwoordelijkheid in veel gevallen niet aan de functienaam worden herleid. De diversiteit in functies blijft groot, en dat geldt daarmee automatisch ook voor de organisatorische ophanging van security binnen de deelnemende organisaties. We herkennen accountmanagers, beleidsmedewerkers veiligheid, coördinatoren vastgoed en veiligheidszorg, specialisten outsourcing, medewerkers gegevensbe-
onderzoek
management heer en zelfs een docent. Maar betrekkelijk weinig security managers. Overigens geldt voor een (beperkt) deel van de securityprofessionals dat security management nog een nevenfunctie is. Al illustreren de uitkomsten dat dit aantal in 2011 is geslonken van 20% naar 8%. Met enige voorzichtigheid kan dus worden gesteld dat de securityprofessional in toenemende mate volledig vrijgemaakt (dedicated) is voor security management. Ten opzichte van 2010 blijft het aantal securityprofessionals dat verantwoordelijk is voor security management nagenoeg gelijk. Circa 70% van de ondervraagden is ook dit jaar zelf functioneel verantwoordelijk voor security. De securityprofessional kan in 2011 minder vaak worden teruggevonden in (senior) managementposities. Ten opzichte van 2010 is er sprake van een afname van bijna 10% op directieniveau en zelfs meer dan dat op het niveau van het (midden)management. Krap 50% van de securityprofessionals is on-
Top 10 security-incidenten 2011 1. Diefstal 2. Agressie 3. Vandalisme 4. Fraude 5. Informatiediefstal 6. Bewust toebrengen van imagoschade 7. Lekken of manipuleren van informatie 8. Cybercrime (o.a. hacking) 9. Ongewenste intimiteiten 10. Intimidatie
De securityprofessionals zijn voor verschillende taakgebieden verantwoordelijk. Dominant voor de fysieke en elektronische beveiliging. 82% geeft aan hier in ieder geval voor verantwoordelijk te zijn. Ruim 63% geeft aan tevens verantwoordelijk te zijn voor de integrale veiligheid: naast security ook safety. Opvallend is tevens dat meer dan 60% verantwoordelijk is voor het incident- en crisismanagement van hun organisatie. Markant aan de uitkomsten van dit jaar is verder dat de in
De waterscheiding tussen ICT-security en meer klassieke taakgebieden is verkleind dergebracht op management- of directieniveau. Tegelijkertijd is er een opzienbarende toename van bijna 20% waarneembaar op staf- en beleidsniveau. In 2011 krijgt security management klaarblijkelijk minder vaak leidinggevend en vaker beleidsmatig invulling.
2010 geconstateerde waterscheiding tussen ICT-security en meer klassieke taakgebieden is verkleind. In tegenstelling tot de slechts 2% die afgelopen jaar aangaf ook verantwoordelijk te zijn voor securitytaken in de virtuele wereld, geeft nu 20% van de respondenten aan ook verantwoordelijk te zijn
voor ICT-beveiliging. Hiermee lijkt er een beweging gaande richting het verbreden van het securityconcept van deelnemende organisaties, naar een totaalconcept dat ook ICT-security omvat. Interessant is in dat verband wel dat er ook dit jaar nog steeds nauwelijks structureel wordt samengewerkt met de afdeling ICT.
Plaats in de organisatie Ondervraagden geven in 2011 vrij overtuigend te kennen (72%) dat het aantal medewerkers dat aan security is toegewezen, voldoende is om de toegewezen taken te kunnen uitvoeren. Over het algemeen kan de security manager voor de taakuitvoering kennelijk rekenen op voldoende personeel. Dit jaar is security iets minder vaak ondergebracht bij facilitaire zaken. Gold dit in 2010 nog voor meer dan 50% van de deelnemende organisaties, nu geldt dit voor 44,8% van de ondervraagden. Daarentegen is security – waarschijnlijk in lijn met de toegenomen beleidsmatige aandacht voor dit thema – in 36,8% van de gevallen ondergebracht bij een stafafdeling. Verder valt dit jaar op dat security in 14,9%
Security Management nummer 12 december 2011
15
Âť
onderzoek
Profiel Security Manager Jaar
2010
2011
Geslacht
Mannelijk (95,9%)
Mannelijk (94,3%)
Leeftijd
49,6 jaar
46,6 jaar
Opleidingsniveau
HBO (60,3%)
HBO (55,2%)
Ervaringsjaren
16,4 jaar
18,7 jaar
Functieniveau
Management (algemeen)
Management (algemeen)
Functie
Lang niet altijd als securityverantwoordelijke herkenbaar, security nog vaak een nevenfunctie
Lang niet altijd als securityverantwoordelijke herkenbaar, wel steeds vaker ‘dedicated’
Taakveld
Integrale veiligheid (security & safety)
Primair fysieke & elektronische beveiliging
Plaats in de organisatie
Facility management (53,2%)
Facility management (44,8%)
Personeel
Voldoende om de gestelde taken uit te kunnen voeren (78%)
Nog steeds voldoende om gestelde taken uit te kunnen voeren (72%)
Budget
Circa € 1.800.000,-*
Circa € 1.880.000,-
* In Survey 2010 was het genoemde budget circa € 1.000.000,-. Dit bedrag was net als dit jaar tot stand gekomen door een aantal extreme uitschieters naar boven toe buiten beschouwing te laten. Op basis van de cijfers van dit jaar is omwille van een betere vergelijkbaarheid echter besloten om de grenswaarde iets te verhogen naar een bedrag van € 50.000.000,-. Dit betekent dat organisaties met een securitybudget van meer dan vijftig miljoen niet zijn meegnomen in de berekening van het gemiddelde securitybudget. Door deze aanpassing in de berekeningsmethode bedraagt het gemiddelde securitybudget voor 2010 geen € 1.000.000,- maar € 1.800.000,-.
van de gevallen direct is aangehaakt op de ‘operations’ van organisaties. Wij leiden daaruit af dat er dit jaar gemiddeld vaker een goede ‘fit’ tussen de operationele kerntaken en security bestaat.
Eindverantwoordelijkheid De eindverantwoordelijkheid voor security is in 2011 gemiddeld het vaakst op het niveau van (business unit) directies of het lijnmanagement ondergebracht. Daarnaast geldt net als afgelopen jaar voor bijna één vijfde van de deelnemende organisaties dat de eindverantwoordelijkheid (expliciet) op het niveau van de Raad van Bestuur is belegd. Überhaupt is een afname waarneembaar van de organisaties waar de eindverantwoordelijkheid geheel niet is belegd. Gold dit vorig kalenderjaar nog in ruim 10% van de gevallen, zo is dit momenteel nog slechts op 5% van de gevallen van toepassing. Er heerst onder deelnemende securityprofessionals grote tevredenheid over de plaats waar de eindverantwoordelijkheid voor security is belegd. 80% geeft namelijk aan dat de verantwoordelijkheden hoog genoeg belegd zijn.
Strategie & beleid Gevraagd naar wat bepalende elementen zijn voor de strategie van security geldt in 2011 wet- en regelgeving als de belangrijkste aanjager. Op enige af-
16
stand gevolgd door de algemene bedrijfsdoelstellingen, voorgevallen incidenten en periodieke risico-analyses. Dit illustreert dat security vaker wordt gebruikt als middel om te kunnen voorkomen dat bestaande wet- en regelgeving wordt overtreden. Het is dan ook veilig te stellen dat security in toenemende mate wordt aangestuurd vanuit een compliance-overweging. Dit is een opvallende verschuiving ten opzichte van ons eerste survey-onderzoek. Het aantal organisaties dat beschikt over vastgesteld securitybeleid, is met circa 70% min of meer gelijk gebleven. Dit beleid is bovendien uniform – veelal op nationaal niveau vastgesteld – en van toepassing op de gehele organisatie. In een fors aantal van de gevallen (ruim 60%) wordt het naleven van securitybeleid bovendien gecontroleerd. Dit sluit goed aan op de constatering dat meer dan de helft van de organisaties een functionerend managementsysteem voor security heeft. Immers, in die gevallen is de ‘check’ inherent aan de beleidscyclus.
Budget Het gemiddelde securitybudget wordt ook dit jaar weer gekenmerkt door zeer grote verschillen. Zo zijn er extreme uitschieters, waarbij het budget de vijftig miljoen euro overschrijdt. Terwijl de bulk van de budgetten – 82% – zich
Security Management nummer 12 december 2011
onder de 2,5 miljoen euro bevindt. De extremen stuwen het gemiddelde fors op. We hebben daarom net als afgelopen jaar voor de extreme uitschieters gecorrigeerd. Om de betrouwbaarheid van dit cijfer verder te verbeteren zijn er dit jaar een aantal aanpassingen doorgevoerd in de werkwijze en berekening (zie noot bij tabel Profiel Security Manager). Toch blijft het lastig om tot één betrouwbaar cijfer te komen en we dienen dan ook voorzichtig te zijn voor wat betreft de hardheid van de vergelijking. Met deze slagen om de arm lijken de budgetten in 2011 ten opzichte van 2010 gemiddeld iets toegenomen van circa € 1.800.000,- in 2010 tot circa € 1.888.000,- in 2011. 24,6% van de respondenten geeft aan zelf verantwoordelijk te zijn voor het budget. 25% van de securityprofessionals geeft daarnaast aan dat het budget is versnipperd over verschillende afdelingen. In het verlengde van de kengetallen is het nog belangrijk om op te merken dat de kosten voor beveiliging opvallend vaak als een investering – en niet als een kostenpost – worden beschouwd. Dit jaar hebben we ook voor het eerst een voorzichtige vergelijking per sector kunnen maken. Daaruit wordt duidelijk dat het bank- en verzekeringswezen gemiddeld de hoogste securitybudget-
onderzoek
ten heeft, gevolgd door nutsbedrijven. De laagste securitybudgetten vinden we in de evenementen- en cultuursector.
Derden Derden blijven een essentieel onderdeel van de uitvoeringspraktijk. Evident zijn de particuliere beveiligingsorganisaties in dat licht het vaakst betrokken bij het realiseren van securityambities. Gevolgd door adviseurs/consultants, particuliere recherchebureaus én – zij het nog in een beperkt aantal gevallen –
organisaties bewust zijn van securityrisico’s? Ondervraagden beoordelen de security awareness binnen hun organisatie met 36% relatief het vaakst ‘neutraal’. Voor ruim 30% geldt daarentegen dat zij de algehele security awareness als hoog inschatten – al is deze categorie bijna 10% lager gescoord dan in 2010. 31% typeert het beveiligingsbewustzijn als (zeer) laag. Dit leidt voor dit jaar tot de vaststelling dat security awareness binnen organisaties gemiddeld lager wordt ingeschat; de securityprofessional
Security wordt inmiddels ook beschouwd als middel om strategische assets te beschermen ICT-securityspecialisten. De dienst die het vaakst wordt uitbesteed, is objectbewaking (inclusief alarmopvolging), gevolgd door diensten als rechercheonderzoek en camerabewaking. Het is dan ook niet verwonderlijk dat voor 60% van de organisaties geldt dat 20% van het securitybudget wordt geïnvesteerd in derden, dat dit voor 20% van de organisaties zelfs op kan lopen tot 40%, en voor een kleine 10% zelfs tot 60% van het securitybudget. 50% van de respondenten geeft in dat verlengde aan dat leveranciers goed aansluiten op de behoefte van de inhurende securityprofessional. 37% verbindt hier een neutraal oordeel aan. 13% van de securityprofessionals vindt dat leveranciers onvoldoende aansluiten op de behoeften van hun organisatie.
Awareness Hoe beoordelen securityprofessionals in 2011 eigenlijk de mate waarin hun
ontwaart dus een afnemende awareness. We hebben dit jaar de vraag naar de inschatting van het gemiddelde niveau van awareness verbijzonderd naar cybersecurity. Dit beeld wijkt slechts beperkt af, voornamelijk omdat een kleine 40% aangeeft dat cybersecurity awareness ronduit laag is.
Risico’s Welke securityrisico’s stellen organisaties in 2011 centraal? Op basis van een ruim aantal risico’s hebben de ondervraagden duidelijk kunnen maken welke met voorrang moeten worden beheerst. Nog steeds geldt voor deze risico’s dat de meer ‘alledaagse’ beveiligingsrisico’s een centrale plek innemen in het gemiddelde securityrisicoprofiel. De zogenoemde low impact, high probability security risks waaronder diefstal en agressie nemen topposities in. Ervan uitgaande dat organisaties security in toenemende mate risicogestuurd vorm-
Top 10 securityrisico’s 2010
geven, kunnen we er ook dit jaar van uitgaan dat inspanningen met name zijn gericht op het voorkomen van alledaagse vormen van criminaliteit en schendingen van de integriteit. Tegelijkertijd is de ‘top 10’ securityrisico’s een volstrekt andere dan in 2010. Los van de twee risico’s die in 2011 eenzelfde plaats innemen: diefstal (nog steeds op 1) en financiële fraude (plaats 5), bestaat de top 10 uit louter nieuwe risico’s en ‘stijgers’. Uit de categorie nieuwe risico’s kan met name worden afgeleid dat moedwillige negatieve beïnvloeding van de bedrijfscontinuïteit en imagoschade veel hoger op de agenda staan. Security draait dus al lang niet meer alleen om ‘loss prevention’ of de beperking van materiële schade, maar wordt inmiddels ook beschouwd als middel om strategische assets te beschermen, waaronder de bedrijfscontinuïteit en het imago. Dit kunnen we met recht als een strategische verschuiving typeren. Waar de categorie opkomende risico’s inzichtelijk maakt dat nieuwe, vooral ‘virtuele’ risico’s als informatiediefstal, het lekken of manipuleren van informatie en cybercrime (met name hacking), in 2011 flink aan urgentie hebben gewonnen. Verder vormt bedrijfsspionage – eveneens een nieuw risico in de top 10 – een opkomend risico. Richten we de aandacht op de afvallers, dan springt vooral het verdwijnen van ‘terrorisme’ in het oog.
Incidenten We hebben dit jaar uitdrukkelijk geïnformeerd naar de top 10 ervaren security-incidenten. Wat hierbij opvalt, is dat deze top 10 een grote samenhang
Top 10 securityrisico’s 2011
1. Diefstal
1. Diefstal
2. Onbevoegde aanwezigheid
2. Informatiediefstal NIEUW!
3. Ongewenst gedrag
3. Agressie
4. Agressie
4. Vandalisme
5. Fraude
5. Fraude
6. Vandalisme
6. Lekken of manipuleren van informatie
7. Lekken of manipuleren van informatie
7. Cybercrime (o.a hacking)
8. Ongewenste intimiteiten
8. Bedrijfsspionage NIEUW!
9. Cybercrime + overval (gedeelde negende plaats) 10. Terrorisme
9. Bewust toebrengen van imagoschade NIEUW! 10. Bewuste negatieve continuïteitsbeïnvloeding NIEUW!
Security Management nummer 12 december 2011
17
»
onderzoek
vertoont met de top 10 securityrisico’s. Incidenten spelen daarmee – onderbouwd – een belangrijke rol bij het vaststellen van het risicoprofiel. Meer dan de helft van de ondervraagden geeft ook aan het risicoprofiel bij te stellen op basis van het incidentenbeeld. Gevraagd naar de frequentie waarmee incidenten zich voordoen, wordt duidelijk dat deze zich voor 40% van de deelnemende securityprofessionals zelden tot nooit voordoen. 30% wordt met enige regelmaat geconfronteerd met security-incidenten, en een kleine 25% vaak tot zeer vaak. Natuurlijk wordt het incidentenbeeld in hoge mate bepaald door specifieke kenmerken en activiteiten van organisaties. Kijken we naar sectoren die in 2011 gemiddeld per medewerker de meeste incidenten te verduren kregen, dan gold dit met name voor de retail, de zorg en de horeca. Deze sectoren torenen qua frequentie van security-incidenten (ver) boven de andere sectoren uit.
Registreren, leren, trainen & testen Een flinke meerderheid van de ondervraagde security managers (81,6%) geeft aan security-incidenten te registreren. Voor ruim 50% geldt dat zij dit consequent doen. 6,9% registreert in het geheel niet. Voor wat betreft het ‘leren’ van voorgevallen incidenten, is duidelijk dat een behoorlijk aantal van de incidenten geëvalueerd wordt. Gemiddeld wordt 40% van de incidenten (schriftelijk) geëvalueerd. 12,6% van de respondenten geeft aan nooit schriftelijk te evalueren. Voor wat betreft het voorbereiden op incidenten, geldt in 63% van de deelnemende organisaties dat zij oefenen en trainen om hun incidentmanagement te verbeteren. Om het weerstandsvermogen tegen incidenten te vergroten geeft 67% van de securityprofessionals te kennen hun securitymaatregelen met enige regelmaat te testen op hun effectiviteit.
Volwassenheidsniveau Gevraagd naar het keuren van ‘het eigen vlees’, geeft ruim 10% van de securityprofessionals aan dat de securityperformance van de organisatie nog onvoldoende is. De overige bijna 90% beoordeelt het presteren als voldoende. 20% geeft de organisatie als rapportcij-
Trends 2011: waar staat uw organisatie? » De piek van de mannelijke dominantie vlakt af en er is sprake van verjonging. » De securityprofessional is steeds hoger opgeleid en meer ervaren. » Het gemiddelde securitybudget is gestegen naar circa € 1.888.000,-. » Organisaties hebben vaker een volledig vrijgemaakte (‘dedicated’) securityverantwoordelijke. » De securityprofessional vervult steeds vaker een beleidsmatige in plaats van een leidinggevende rol. » De securityprofessional is naast fysieke en elektronische beveiliging ook toenemend (mede)verantwoordelijk voor ICT-security. » De aandacht van de securityprofessional richt zich primair op risico’s van alledag. » De aandacht voor bedreigingen van imago en continuïteit neemt toe. » Voldoen aan wet- en regelgeving is een steeds belangrijkere motivatie voor de securityprofessional. » Security awareness neemt af, awareness ten aanzien van cybercrime is nog beperkt. » De behoefte aan kennis & (organisatorische) innovatie neemt toe.
fer een 6, 30% een 7 en 35% zelfs een 8. Het beeld dat ondervraagden hebben bij de ‘volwassenheid’ (‘maturity’) van hun security management, is eveneens positief. Verreweg de meeste security managers typeren het volwassenheidsniveau van hun security management als (ver)gevorderd (70%). Ruim een kwart van de ondervraagden beschouwt de volwassenheid van de securityorganisatie als ‘beginnend’. 2% van de respondenten geeft aan dat er geen sprake is van volwassenheid.
Kennis & innovatie 31% van de securityprofessionals acht het kennisniveau van de complete securitysector in Nederland nog ontoereikend. 39% heeft hier geen uitgesproken oordeel over. Voor 30% geldt dat zij tevreden zijn over het huidige kennisniveau. 50% van de securityprofessionals zou graag zien dat er op basis van (wetenschappelijk) onderzoek inzicht wordt verkregen in de werkelijke effectiviteit van securitymaatregelen. Slechts 10% is het hiermee oneens en 40% is in dit verband neutraal. Voor wat betreft innovatie geeft 67% aan dat deze zich te veel richt op technologische oplossingen en veel te weinig op organisatorische innovatie. 6% is het hiermee oneens en 28% heeft hier geen oordeel over.
Snelle ontwikkeling Afgaande op het eigen oordeel gaat het overwegend goed met de securityprofessional. Gemiddeld is de securitypro-
fessional steeds meer ervaren. Daarbij zette de professionalisering van security management zich het afgelopen jaar voort. Security management wordt als managementdiscipline steeds serieuzer genomen en de randvoorwaarden voor de securityprofessional (financieel, personeel) lijken op orde. In ieder geval voldoende om aan de ambitie van de security manager te kunnen voldoen. Bovendien heeft de securityprofessional de verwachting dat de aandacht voor het vakgebied binnen de eigen organisatie in 2012 alleen maar verder toe zal nemen. Natuurlijk zijn er dit jaar ook aandachts- en verbeterpunten, zoals beperkte awareness, ogenschijnlijk afnemend management commitment, de worsteling met de inbedding van cybercrime en serieuze leemten op het gebied van kennis en innovatie. Tegen de achtergrond van de eerste Security Management Survey blijkt ook dat het vakgebied zich zelfs binnen de termijn van één kalenderjaar snel ontwikkelt. Dit illustreert wat ons betreft dan ook direct het belang van dit onderzoek en het periodiek herhalen hiervan. ‹‹ * Dennis de Hoog Ma, MSc en Sebastiaan Barlagen MSc werken voor COT Instituuut voor Veiligheids- & Crisismanagement, an Aon company (www.cot.nl). Gezamenlijk zijn zij verantwoordelijk voor de strategische securitydienstverlening. Mail eventuele vragen of suggesties naar aanleiding van dit artikel naar d.dehoog@cot.nl.
Security Management nummer 12 december 2011
19
t hema | toegangscontrole
Van toegangscontrole naar toegangsbeheer U herkent het wel: u hebt een nieuw toegangscontrolesysteem, alle gebruikers en toegangsautorisaties zijn opnieuw ingevoerd, en allerlei procedures zijn ingericht. Maar na verloop van tijd treedt toch weer vervuiling op: oud-medewerkers hebben nog steeds toegang tot uw bedrijf en medewerkers hebben meer toegangsrechten dan nodig is. Er is een betere manier om ervoor te zorgen dat de gegevens van het toegangscontrolesysteem integer blijven: identity en access management. RENÉ BOUTER *
B
ij de uitrol van een (nieuw) toegangscontrolesysteem speelt de vraag hoe om te gaan met reeds bestaande gebruikers van het systeem een grote rol. In deze context dienen gebruikers te worden gezien als medewerkers, leveranciers, externen enzovoort die een toegangspas (badge) gebruiken, waarmee ze toegang krijgen tot uw bedrijf. Maken we gebruik van de bestaande database met al zijn vervuiling, gaan we de database opschonen, of vullen we de database opnieuw? Maar hoe doen we dat dan? En als het systeem in gebruik is genomen, hoe zorgen we er dan voor dat nieuwe
medewerkers tijdig een toegangspas ontvangen met de juiste autorisaties? En nog belangrijker, hoe zorgen we ervoor dat medewerkers die het bedrijf verlaten ook geen toegang meer hebben tot het pand?
Uitdaging Het antwoord op de eerste vraag is niet zo lastig. Immers, een medewerker die geen toegang heeft, zal zich vanzelf melden bij de security-afdeling om een toegangspas aan te vragen. De uitdaging ligt in het verwijderen van medewerkers die om de een of andere reden geen toegang meer mogen hebben tot uw be-
drijf. Vaak wordt dit middels procedures opgelost: medewerkers worden geacht hun pas bij vertrek in te leveren en er wordt maandelijks een lijst met vertrokken medewerkers aan de security-afdeling verstrekt, die deze medewerkers handmatig deactiveert. Bij grote bedrijven is dit een arbeidsintensieve klus, die regelmatig gepaard gaat met fouten, waardoor deze personen onterecht toegang blijven houden tot het pand. Gelukkig is er een technische oplossing beschikbaar, waardoor toegangsrechten automatisch worden verleend en ingetrokken. Deze oplossing komt voort uit IT-security en businessgerelateerde aandachtsgebieden zoals efficiency en compliancy en heet Identity en Access Management (IAM).
Wat is een identiteit?
Als een medewerker zijn ontslagbrief indient, staat daarin de datum waarop het ontslag intreedt. Vanuit de identity vault wordt deze datum in het toegangscontrolesysteem vastgelegd. Zodra deze datum is bereikt, zal de medewerker geen toegang meer hebben tot het bedrijf.
20
Security Management nummer 12 december 2011
Als we spreken over IAM, is het allereerst van belang om te bepalen wat een identiteit is en wat we in deze context met een identiteit bedoelen. Als we in het woordenboek kijken, vinden we bij identiteit de betekenissen ‘gelijkheid van naam en persoon’ en ‘dat wat eigen is aan een persoon’. Dat lijkt een te beperkte omschrijving, want ook andere levende wezens en objecten kunnen een identiteit hebben. In het algemeen spreken we bij toegangscontrole bij identiteiten over mensen, hoewel je bij toegangscontrole ook andere entiteiten kunt onderscheiden. Denk hierbij bij-
t hema | toegangscontrole
voorbeeld aan de toegang voor auto’s via hun kenteken. Identiteiten van mensen hebben altijd een specifiek kenmerk, zoals voornaam en achternaam. Echter, als identiteiten in digitale systemen worden gebruikt, dan worden ze vaak als digitale identiteit vastgelegd. Dikwijls zijn dat niet de voor- en achternaam, maar zien we deze identiteiten als personeelsnummer, user account, e-mailadres enzovoort.
Manager krijgt bericht van komstnieuwe medewerker, keurt autorisaties goed
Identiteitsinformatie wordt naar provisioningomgeving gestuurd
HR-database Provisioningomgeving
Wat is IAM? In de markt doen verschillende definities de ronde als het gaat over IAM. De definitie die, naar mijn mening, IAM goed weergeeft is de definitie van Forrester: An integrated framework of both technology and processes for managing user information and access rights. In deze definitie wordt weergegeven dat IAM naast een technologische oplossing, eveneens een procesbenadering behelst. Ook geeft de definitie
Binnen IAM zijn de volgende onderdelen van belang: » Bronsysteem: het bronsysteem is de toepassing, waarbinnen alle identiteiten vastgelegd worden. Vaak is dit het HR-systeem. » Identity vault: in de identity vault worden de identiteiten opgeslagen, waarna ze aan andere systemen ter beschikking kunnen worden gesteld. » Doelsystemen: dit zijn de systemen waaraan vanuit de identity vault identiteiten worden doorgegeven. De doelsystemen kunnen zowel ITgerelateerd zijn, zoals e-mailsystemen en SAP, maar ook een toegangscontrolesysteem zijn.
Applicaties
Nieuwe medewerker komt in dienst, gegevens worden ingevoerd in HR-database
Hoe werkt IAM? Om de uitwerking van IAM te beschrijven, beperk ik mij tot de uitleg van de werking in relatie tot een toegangscontrolesysteem, het onderwerp van dit artikel. In dit kader kunnen we drie ver-
Met IAM kunnen identiteiten op een controleerbare wijze worden beheerd aan dat IAM zich niet beperkt tot digitale identiteiten, wat organisaties nog wel eens vergeten. IAM zorgt dus voor een oplossing, waarmee identiteiten op een controleerbare wijze worden beheerd. Maar hoe werkt het dan?
Autorisaties worden automatisch aangemaakt
schillende situaties onderscheiden: 1. nieuwe medewerker; 2. bestaande medewerker die van functie, rol of afdeling wisselt; 3. medewerker die uit dienst treedt. Nieuwe medewerker Een nieuwe medewerker treedt in dienst van uw bedrijf. De gegevens van deze medewerker worden meestal opgeslagen in de HR-database. Naast de standaard NAW-gegevens, zijn dat ook de datum van indiensttreding en de functie. De gegevens van de nieuwe medewerker worden automatisch doorgestuurd naar de identity vault. Vanuit de identity vault worden de gegevens na goedkeuring van de toekomstige manager (of automatisch!) doorgestuurd naar het toegangscontrolesysteem. Dit wordt provisioning genoemd. Dit is schematisch weergegeven in de figuur. De nieuwe medewerker krijgt de toegang die hij op basis van zijn functie nodig heeft. Op de eerste werkdag
meldt de nieuwe medewerker zich bij de receptie, er wordt een toegangspas aangemaakt en de medewerker heeft direct de noodzakelijke toegang tot uw gebouw. Bestaande medewerker die van functie, rol of afdeling wisselt Een bestaande medewerker met (uiteraard) bestaande autorisaties voor toegang tot delen van uw bedrijf verandert van functie, rol of afdeling. Dit hoeft uiteraard niet altijd van belang te zijn voor de toegangscontrole. Maar veronderstel dat dit een wisseling betreft, waardoor de medewerker veel minder autorisaties nodig heeft tot vitale onderdelen van uw bedrijf. Bij een procedurele aanpak van dat probleem zal dit zeker tot vervuiling van de gegevens leiden. Bij gebruik van IAM zullen de toegangsrechten automatisch worden beperkt (als dit zo is ingericht). Hoe werkt dit? Bij een wijziging van functie, rol of afdeling zal dit in het HRsysteem worden verwerkt. Deze mutatie is een trigger voor het bijwerken van de gegevens in de identity vault. Dit zal leiden tot een aanpassing in de autorisaties van de toegangen. Dat gebeurt automatisch, zonder dat u daar zelf handelingen voor hoeft uit te voeren. Medewerker die uit dienst treedt Als een medewerker uit dienst treedt, zullen vanaf de datum van uitdiensttreding alle toegangsrechten tot de gebouwen van uw bedrijf moeten worden geblokkeerd. Dit kan via procedures
Security Management nummer 12 december 2011
21
»
worden geregeld, maar ook hierbij neemt IAM alle handelingen voor zijn rekening. Bij een uitdiensttreding zal een medewerker een ontslagbrief indienen. In deze brief staat de datum waarop het ontslag intreedt. Deze datum wordt in het HR-systeem opgenomen en wordt vanuit het HR-systeem naar de identity vault doorgegeven. Vanuit de identity vault wordt de datum uitdiensttreding in het toegangscontrolesysteem vastgelegd en zodra deze datum is bereikt, zal de medewerker geen toegang meer hebben tot de panden van uw bedrijf.
Conclusie IAM levert een goede bijdrage aan het integer houden van de database voor toegangscontrole. Daarnaast realiseert IAM een kostenbesparing, doordat IAM zorgt voor het automatisch uitvoeren
van acties, die normaal door een medewerker moeten worden uitgevoerd. Vanuit security-oogpunt zorgt IAM voor het toekennen van de juiste autorisaties aan de medewerkers. Ook is het mogelijk om logische en fysieke toegangscontrole te combineren, waardoor een medewerker alleen kan inloggen op het bedrijfsnetwerk als hij ook daadwerkelijk in het pand aanwezig is. Al deze mogelijkheden zorgen ervoor dat de stap van toegangscontrole naar toegangsbeheersing wordt gemaakt.
Tot slot In dit artikel heb ik beknopt uiteengezet wat IAM is en op welke wijze dit binnen toegangscontrole kan worden toegepast om toegangscontrole om te zetten naar toegangsbeheer. Uiteraard zijn er veel meer aspecten die van belang zijn, maar deze konden in dit artikel niet allemaal
de revue passeren. Denk hierbij onder andere aan mogelijkheden als Single Sign On, sterke authenticatie, password management, of Federated Identity Management. Mocht u meer willen weten over IAM en de mogelijke toepassing ervan, dan wil ik u graag wijzen op het boek ‘Identiteitsmanagement - Beheersen van identiteiten’ (Rob van der Staaij, 2008, ISBN 9789072194916), dat op een heldere wijze het begrip IAM uiteenzet en dat ik voor een deel ook heb gebruikt als uitgangsdocumentatie voor dit artikel. ‹‹ * René Bouter CPP PSP CISSP is ISRM Consultant bij Atos Consulting en Technology Services. Hij houdt zich bezig met identity managementvraagstukken. Daarnaast is hij lid van de Subcommittee on Convergence van Asis Europe rene.bouter@atos.net
(Advertentie)
Security beyond expectations
Uw security partner. Altijd en overal. Wij weten wat u van uw beveiliging verwacht. Dat al uw bedrijfsrisico’s integraal zijn afgedekt. Ook als u een complexe beveiligingsbehoefte heeft. Dat een toonaangevende high risk security specialist zich 24 uur per dag voor ú inzet. Een partner die dankzij de nieuwste technieken en een unieke visie op securitymanagement zowel uw risico’s als uw kosten kan reduceren. In alle gevallen bent u bij Niscayah aan het juiste adres. Wij maken uw wereld veilig door uw business zeker te stellen. Daarmee zijn we de nummer één security partner in 18 landen. En desgewenst zijn we dat ook voor u. www.niscayah.nl
22
Security Management nummer 12 december 2011
t hema | toegangscontrole
Biometrie: een haalbare kaart Steeds vaker worden we geconfronteerd met de anonimisering van de maatschappij. Bedrijven worden groter; collega’s kennen elkaar steeds minder persoonlijk en hebben vaker minder contact met elkaar. Het bepalen of iemand in een beveiligde ruimte hoort, wordt hierdoor steeds lastiger. Is een papieren kaartje met de tekst ‘bezoeker’ nog wel voldoende? Kun je er nog wel van uitgaan dat medewerkers een ongeregistreerde, en daarmee ongewenste persoon herkennen en aanspreken? MARC RIETMAN *
N
og niet eens zo lang geleden was biometrie een te dure oplossing die de beloftes niet nakwam. Mensen werd onterecht de toegang geweigerd, anderen werden onterecht toegelaten tot zwaar beveiligde ruimtes. De gebruiker moest lang wachten op resultaat of vaker proberen om toegang te verkrijgen. Bekend is ook het voorbeeld van een supermarkt waar een paar jaar geleden met de vin-
Gelukkig hebben de ontwikkelingen niet stilgestaan. Naast de vingerafdruk, die overigens al zo’n 8.000 jaar wordt gebruikt voor authenticatie, zijn er meer vormen van biometrie ontwikkeld. Naast de toch al redelijk bekende irisherkenning en gezichtsherkenning, hebben we tegenwoordig herkenning van het aderpatroon, de vorm van het oor, de vorm van de neus, de stem, de manier van bewe-
Biometrie geeft ook de mogelijkheid om een kostenbesparing te realiseren gerafdruk betaald kon worden. Maar het bleek relatief simpel te zijn om een vingerafdruk na te maken en daarmee op kosten van een ander te winkelen. Kortom: biometrie was er nog niet klaar voor.
gen, de hersengolven, de hartslag en het DNA. Nog niet iedere vorm is snel, betrouwbaar en gebruiksvriendelijk, maar zelfs bij DNA-herkenning worden er verbeteringen aangebracht.
Gebruikersgemak versus veiligheid De modaliteiten met de beste verhouding tussen gebruikersgemak en beveiligingsniveau zijn momenteel de (contactloze) vingerafdruk, het handpalm-aderpatroon en de iris (op afstand). Vingerafdruk De menselijke vingerafdruk is voor een lezer niets meer dan een verzameling minutiae, karakteristieke punten zoals eindpunten van lijnen, splitsingen, maar ook eilandjes (een lijn in een ovaal) of punten. Door de locatie en richting van de minutiae te vergelijken met een bestaande database, is het mogelijk om de vinger te koppelen aan een persoon en daarmee aan een recht op toegang. In de forensische wetenschap komt het nog wel eens voor dat niet de hele vingerafdruk beschikbaar is en daardoor wordt er nog wel eens
Security Management nummer 12 december 2011
23
»
t hema | toegangscontrole
getwijfeld over de waarheid van de uitkomst van het onderzoek. Vingerafdruklezers hebben het voordeel dat de hele vinger beschikbaar is en hebben daardoor een betere score op de vergelijkingen. Handpalm-aderpatroon Het handpalm-aderpatroon wordt gelezen door met een infraroodlicht op de handpalm te schijnen. De hemoglobine in het bloed (dat deel dat de zuurstof vasthoudt) absorbeert dit infraroodlicht duidelijk sterker dan de omliggende weefsels, waardoor een infraroodcamera een beeld van de aderstructuur in de handpalm kan maken.
Door vergelijkbare technieken toe te passen als bij een vingerafdruk, is deze structuur om te zetten in een soort minutiae die weer te vergelijken zijn met andere aderstructuren in de database. Het voordeel van een aderpatroon is dat dit niet ‘achtergelaten’ kan worden zoals bij een vingerafdruk; daarnaast heeft deze modaliteit meer ‘minutiae’ dan een vingerafdruk waardoor deze nauwkeuriger is. Iris De iris is het gekleurde deel van het oog tussen de pupil en het oogwit, ook wel regenboogvlies genaamd. Tijdens het verblijf in de baarmoeder (en de
Biometrie: comfortabel, efficiënt en veilig Ervaringsverhaal Interxion DataCenters (Zürich/Bern) gebruikte voorheen contactgebaseerde biometrie en stelde vast dat niet alle gebruikers ingeleerd en geïdentificeerd konden worden. Na de probleemloze inzet van de contactloze vingerafdruklezers van de firma TBS in een sluis gedurende enkele maanden, worden op dit moment voor een uitbreiding van het gebouw meerdere van dit type vingerafdruklezers geplaatst. Het grote verschil van deze lezers is dat alle gebruikers zonder uitzondering (zelfs met moeilijk leesbare vingerafdrukken) ingeleerd en geidentificeerd kunnen worden met de hoogste zekerheid. R. Burkhalter van Interxion over de contactloze vingerafdruklezers: ‘We zijn zeer tevreden met de hardware. De herkenningsratio is hoog: ik schat meer dan 99 procent. De meeste “problemen” ontstaan doordat gebruikers de vinger te snel uit de lezer halen, voordat het systeem een OK meldt. De gewenningsperiode van nieuwe gebruikers is kort; na drie of vier interacties met het apparaat zijn de gebruikers dusdanig geoefend dat het aanbieden van de vinger automatisch goed gaat. Tot nu hebben we nog geen gebruikers gehad die niet ingeleerd konden worden, iets wat bij andere lezers regelmatig gebeurt. We hebben ook nog niemand opnieuw hoeven in te leren. In het algemeen zijn we overtuigd van biometrie, omdat daarmee een aantal problemen automatisch wordt opgelost: » Het is niet meer mogelijk om toegangsmiddelen (pas of code) door te geven, wat voor het beveiligingsaspect erg belangrijk is. » Het is niet meer mogelijk om iets te verliezen of te vergeten. » Hetzelfde geldt voor personen die geen toegang meer hebben; het is niet meer nodig om pasjes en sleutels terug te vorderen, iets wat altijd lastig is.’
24
Security Management nummer 12 december 2011
drie jaar daarna) scheurt dit regenboogvlies volstrekt willekeurig door het groter worden van het oog. Deze scheurtjes zijn duidelijk zichtbaar en kunnen dan ook relatief eenvoudig met een camera opgenomen worden. Vroeger moest de camera nog zeer dicht bij het oog gehouden worden en moest men zich zeer stil houden. Door vooruitgang in de techniek kunnen deze opnames tegenwoordig zelfs op wandeltempo op een afstand van meer dan een meter worden genomen. Door de grote hoeveelheid karakteristieke punten in het patroon van de iris is de kans dat er twee onterecht overeenkomen erg klein. Alle drie deze modaliteiten zijn snel in het gebruik: normaliter worden de biometrische kenmerken binnen een seconde gelezen en herkend. Daarnaast zijn alle drie de modaliteiten dusdanig uniek dat combinatie met een pas voor databasegroottes tot zo’n duizend mensen niet meer nodig is. Was vroeger de iris nog erg onhandig doordat het oog langdurig op een korte afstand van de irislezer gehouden moest worden, tegenwoordig zijn er modules op de markt die op meer dan een meter de iris kunnen lezen terwijl de gebruiker een normaal wandeltempo aan kan houden. Sterker nog, in laboratoria worden afstanden van vijftig meter gehaald.
En verder? Maar voornoemde detectiemethodes zijn niet de enige modaliteiten die levensvatbaar zijn. Handgeometrie Uiteraard bestaat de handgeometrie nog steeds, een goede techniek om verificatie van de identiteit uit te voeren. Dit betekent echter wel dat de gebruiker bijvoorbeeld een pas moet aanbieden om de een-op-een-vergelijking op te starten, de hand heeft onvoldoende karakteristieke punten om voor identificatie (een-op-veel) gebruikt te worden. Gezichtsherkenning Hetzelfde geldt deels voor gezichtsherkenning. Het is relatief eenvoudig om een afbeelding van een gezicht te nemen en deze af te drukken op een stuk
t hema | toegangscontrole
papier. De tweedimensionale lezers zullen dit over het algemeen niet herkennen, tenzij er gebruik wordt gemaakt van een techniek om te controleren of er een stuk papier of huid gezien wordt. Driedimensionale lezers zullen zich niet laten bedotten door een stuk papier vanwege het ontbreken van diepte in het beeld, maar zijn weer in het nadeel bij brildragers. De bril blokkeert het zicht op dat deel van het gezicht dat de meeste details heeft. Normaliter wordt bij gezichtsherkenning dan ook een pas gebruikt om een-op-een-verificatie uit te kunnen voeren. Oplossing hiervoor zou het combineren van een tweedimensionale met een driedimensionale lezer kunnen zijn. Stemherkenning Ook stemherkenning is in opkomst. Er zijn inmiddels meerdere varianten ontwikkeld die onafhankelijk van de taal van de gebruiker kunnen werken en soms zelfs onafhankelijk van de gesproken tekst. Er is dus niet altijd meer een vaste tekst (zoals een wachtwoord) nodig, maar een willekeurig stuk tekst volstaat om een stemanalyse uit te voeren. Stemherkenning wordt al gebruikt om een verificatie van de gebruiker uit te voeren in telefoongesprekken, maar is nog afhankelijk van omgevingsfactoren zoals achtergrondruis en de conditie van de stem. Er zijn echter ontwikkelingen gaande waarbij deze verstorende factoren nog verder worden geminimali-
eindgebruiker en de tijd van de beheerder van het systeem zijn minder transparant. Ervaringscijfers van een alom bekende pasfabrikant leren ons dat de kosten voor het maken of vervangen van een gepersonaliseerde pas over het algemeen tussen de 50 en 100 euro liggen.
Privacy Aandachtspunt bij de keuze van biometrie is de vermeende privacyschending van de eindgebruiker. Waarom
Met biometrie weet je pas echt zeker met wie je van doen hebt seerd en uiteindelijk niet meer als verstorende factoren aangemerkt hoeven te worden.
Kostenbesparend Biometrie geeft ook de mogelijkheid om een kostenbesparing te realiseren. Iedereen kent het gedoe rond verloren en vergeten pasjes, maar weinigen weten wat het kost om daadwerkelijk een pas te vervangen. De kosten voor een pasje en het lint van de pasprinter zijn duidelijk inzichtelijk, maar de kosten van de verloren tijd van de
vermeend? Het biometrische kenmerk van de eindgebruiker wordt omgezet in een numerieke vorm die eigenlijk niet zo veel verschilt van een nummer in een toegangspasje, alleen langer. Met de keuze van de juiste technologie is het mogelijk om een numerieke vorm te kiezen die niet meer herleidbaar is naar het oorspronkelijke biometrische kenmerk. Dit heeft als voordeel dat de opgeslagen vingerafdruktemplate niet bruikbaar is voor bijvoorbeeld opsporingsdoeleinden door de politie. Een angst die pijn-
lijk duidelijk werd bij de recente discussie over biometrie in het paspoort en de opslag van die gegevens door de overheid. Is die angst terecht? Een aantal jaren geleden hebben we dezelfde discussie gevoerd over cameratoezicht en toegangscontrole. Toen was men heel erg bang voor ‘Big Brother’ en wierpen de ondernemings- en medezeggenschapsraden allerlei barrières op. Tegenwoordig vindt iedereen het normaal dat deze systemen er zijn. En laten we eerlijk zijn: is het achteraf gezien nu zo gelopen als de felle tegenstanders beweerden? Of is het eigenlijk toch wel een prettig gevoel dat het lastiger wordt om je voor te doen als iemand anders? Voor de eindgebruiker omdat bijvoorbeeld zijn bankpas niet meer geskimd of gestolen kan worden, voor de werknemer omdat hij zijn pasje niet meer kwijt kan raken of vergeten. En ten slotte voor de werkgever, omdat het pasje van die extra beveiligde ruimte niet even aan een collega uitgeleend kan worden die er eigenlijk niet in mag. Kortom: met biometrie weet je pas echt zeker met wie je van doen hebt. ‹‹ * Marc Rietman BASc is product manager bij Hacousto Biometrie.
Security Management nummer 12 december 2011
25
(Advertorial)
Nieuwe klanten veilig stellen in 2012 Op woensdag 9 en donderdag 10 mei vindt de eerste editie plaats van BEVEILIGING & VEILIGHEID 2012 in Expo Houten. Deze vakbeurs, georganiseerd door easyFairs, is bedoeld voor zowel eindgebruikers als installateurs en presenteert de laatste ontwikkelingen op het gebied van beveiligingstechnieken, -diensten en -producten ter voorkoming van onveilige situaties. Van alarminstallatie tot toegangscontrole, van branddetectie tot IT beveiliging en persoonlijke bescherming. De beurs richt zich hiermee op het bedrijfsleven, de zorg en overheid.
B
edrijven en particulieren worden steeds
vaker
geconfronteerd
met de dreiging van criminaliteit.
Het belang van een veilige woonen werkomgeving wordt niet langer onderschat en de investeringen ter voorkoming van onveilige situaties en criminaliteit stijgen. De ontwikkelingen in deze sector volgen elkaar razendsnel op, waardoor de markt constant in beweging is. Top 10 risico’s Veel
ondernemingen
worden
op
diverse manieren geconfronteerd met onveiligheid. Wat betreft criminele gebeurtenissen zijn diefstal, inbraak en ongewenst gedrag de koplopers uit de lijst van security risico’s van 2010. Daarna volgen agressie, fraude, vandalisme, lekken of manipuleren van informatie en ongewenste intimiteiten. Cybercrime en overval delen samen de negende plek en terrorisme sluit de lijst af. Met name diefstal, inbraak en fraude vormen financieel een groot probleem voor
ondernemend
Nederland.
25% van de ondernemers heeft een schadebedrag tussen de 10.000 en 100.000 euro dat is veroorzaakt door
BEVEILIGING & VEILIGHEID: gewoon zaken doen!
(Advertorial)
De learnShopsTM-ruimte waar seminars over actuele onderwerpen worden gegeven.
diefstal, inbraak of oplichting. Bijna 1 op
efficiënte oplossing voor een dagelijks
de 10 bedrijven heeft een schadelast
‘probleem’. Tijdens de learnShopsTM
van meer dan 100.000 euro.
krijgen bezoekers praktische informatie en vinden ze op een interactieve manier
Eenvoudig deelnemen
een oplossing voor deze problemen.
BEVEILIGING & VEILIGHEID geeft een compleet beeld van de mogelijkheden en
toepassingen
voorkoming
Wenst u meer informatie over uw
van deze onveilige situaties. Wilt
deelname of weet u een interessante
ú in 2012 uw nieuwe klanten veilig
invulling te geven aan het learnShopsTM
stellen? Deelnemen is eenvoudig en
programma, neem dan contact op met
aantrekkelijk. Wij verzorgen voor u
Thijs Driessen. Tel: + 31 (0) 162 408 996
een volledig ingerichte standmodule
of
en
Voor
een
op
ter
Praktische informatie
maat
samengestelde
marketingcampagne.
thijs.driessen@easyFairs.com.
meer
informatie
kijk
op
www.easyFairs.com/BEVEILIGING-NL
learnShopsTM
Voor wie is BEVEILIGING & VEILIGHEID?
Naast het exposanten aanbod is er een gratis seminar programma in de vorm
Exposanten zijn onder andere professionals op het gebied van: beveiligings-
van learnShopsTM. Deze worden gegeven
& bewakingsapparatuur, brandbeveiliging en brandbestrijding, fysieke/ bouwkundige (inbraak) beveiliging, IT beveiliging & telecom en persoonlijke beschermingsmiddelen.
door kennisinstellingen, uw relaties, branche - of beroepsverenigingen of door u als exposant zelf en vinden gedurende de twee beursdagen plaats in een door easyFairs voorziene ruimte met stoelen, licht en audioapparatuur. De
voornaamste
reden
van
een
beursbezoek is het zoeken naar een
Bezoekers zijn professionals uit het bedrijfsleven, de zorg en de overheid. Hieronder wordt verstaan: security managers, beleidsmakers, architecten, projectleiders, facilitair managers, installateurs, beveiligingsmedewerkers, engineers beveiliging/telematica, ondernemers, monteurs elektrotechniek, gebouwen/terreinbeheerders, system integrators, preventiemedewerkers, inkopers en ICT managers.
t hema | toegangscontrole
UHF: een verrijking voor toegangscontrole De laatste jaren wordt er steeds meer nadruk gelegd op het beveiligingsniveau van toegangspassen. De volgende stap is dat we ons realiseren dat toegangscontrole niet alleen om beveiliging gaat, maar ook om comfort en gebruiksgemak. En dat is een mooi moment om UHF te introduceren. MAARTEN MIJWAART *
M
omenteel is er een grote varieteit aan toegangspassen in gebruik. In grote lijnen zijn de volgende soorten contactloze toegangspassen populair: » Proximity toegangspassen: operen op 120-125 KHz. Leesafstand maximaal 90 cm met grote antenne in/aan lezer. Voorbeelden: HID Prox, EM, Nedap NeXS. » Smartcards: opereren op 13,56 MHz. Leesafstand maximaal circa 10 cm. Meer geschikt voor lezen en schrij-
den en de betere beveiligingsvoorzieningen (zoals encryptie). Beide typen passen zijn passief: in de kaart is geen batterij aanwezig. Actieve en semi-actieve passen gebruiken een batterij om te kunnen communiceren met de lezer. De onderliggende principes verschillen van product tot product, maar met deze passen zijn over het algemeen op betrouwbare wijze zeer lange leesafstanden te bereiken, waardoor comfortabele toegangscon-
Naast beveiliging zou er meer aandacht moeten zijn voor het comfort van de toegangspas ven. Voorbeelden: Mifare (diverse varianten), Legic Advant, HID iClass, Sony Felica. » Semi-actieve en actieve passen: opereren op hogere frequentie, bijvoorbeeld 2,45 GHz. Met batterij. Afstand tot enkele tientallen meters. Deze passen worden bijvoorbeeld gebruikt voor voertuigherkenning of locatiebepaling ven personen.
trole mogelijk wordt. De passen hebben ook enkele nadelen: de prijs is over het algemeen wat hoger dan de prijs van passieve passen, het formaat is wat groter en dikker en de techniek is vaak gebonden aan één leverancier. Het gevolg hiervan is dat deze pastechnologie vaak enkel voor specifieke toepassingen wordt ingezet.
De proximity toegangspassen zijn al sinds begin jaren tachtig erg populair. Het laatste decennium zijn met name smartcards erg populair geworden vanwege de extra functionele mogelijkhe-
Het selecteren van de juiste pas voor uw systeem voor toegangscontrole en beveiliging is vaak gebaseerd op de volgende overwegingen: » Beveiliging: hoe makkelijk is het om
28
Juiste toegangspas selecteren
Security Management nummer 12 december 2011
»
»
»
»
»
de pas uit te lezen en te klonen of te emuleren? Kan de inhoud van de pas worden beïnvloed? Is er sprake van encryptie bij de communicatie tussen de pas en de paslezer? Functionaliteit: kan de pas op meerdere manieren worden gebruikt? Kan ik ermee betalen of de printer bedienen? Kan ik zelf informatie op de kaart wegschrijven ter ondersteuning van mijn bedrijfsproces? Prijs en beschikbaarheid: wat kost de kaart bij kleine en grote aantallen? Kan ik de kaart van meerdere leveranciers betrekken? Is beschikbaarheid op de langere termijn gegarandeerd? Uiterlijk: kan ik de pas laten bedrukken? Kan ik de kaart zelf bedrukken? Kan ik beide kanten bedrukken? Is laserbeschrifting mogelijk? Heeft de pas een creditcardformaat of wijkt het af van dat formaat? Beheer: heeft de kaart een uniek nummer? Heeft de kaart een specifieke klantcode? Kan ik zelf bepalen welk formaatnummer gebruikt wordt? Is er sprake van een doordachte beheerstructuur? Comfort: biedt de kaart voldoende leesafstand met de lezers van mijn keuze? Ondersteunt de kaarttechnologie op robuuste wijze comfortabele toegang?
In de discussies over kaarttechnologie ligt vaak de nadruk op het onderwerp beveiliging. De aandacht gaat daarbij
thema | toegangscontrole
veelal uit naar de encryptie die wordt toegepast op de communicatie tussen de toegangspas en de kaartlezer. Op zich is dat een goede ontwikkeling, maar vaak vergeet men twee belangrijke zaken: 1. Een hoger beveiligingsniveau is ook te bereiken door meervoudige authenticatie (bijvoorbeeld een kaartlezer combineren met pincode of biometrie). 2. Het bereiken en handhaven van een hoog beveiligingsniveau is in technisch opzicht afhankelijk van een keten aan voorzieningen. Een kaart met geavanceerde encryptie biedt alleen extra beveiliging als ook de communicatie tussen kaartlezer en toegangscontrolesysteem op een goede manier gebeurt. En alle technische voorzieningen hebben geen zin als gebruikers onzorgvuldig met hun passen omspringen en autorisaties niet ingetrokken worden als kaarten verloren gaan.
De ‘flow’ in uw organisatie Naast beveiliging zou er meer aandacht moeten zijn voor het comfort dat de pas biedt tijdens het gebruik van het toegangscontrolesysteem. Een systeem dat prettig is in gebruik, zal sneller worden omarmd door de mensen in de organisatie en zal het draagvlak voor beveiligingsmaatregelen vergroten. Veel gebruikers van beveiligingssystemen ondervinden in hun dagelijkse
werk in meer of mindere mate hinder van het systeem: het gebruik van toegangspassen helpt hen niet in hun werk. Tijdens spitsuren is er sprake van rijvorming bij tourniquets. Met de handen vol moet men proberen een toegangspas aan te bieden. In de parkeergarage moet men half uit de auto hangen om de kaartlezer te bereiken. Er zijn veel praktijksituaties waar te nemen, waarbij de gebruiker nogal wat moeite moet doen om het toegangscontrolesysteem te gebruiken. Gelukkig staat ook in de wereld van beveiliging en toegangscontrole de techniek niet stil. Er zijn de laatste jaren nieuwe technieken op de markt gekomen die het mogelijk maken om mensen meer comfort te bieden bij het gebruik van systemen. Als beveiligers zou het ons doel moeten zijn om het gewenste niveau van beveiliging te bereiken zonder onnodig concessies te doen aan de ‘flow’ in de organisatie. Waar mogelijk moeten gebruikers zich vrij en zonder vertraging in de organisatie kunnen bewegen om hun werk te doen. Een van de nieuwe technieken die mogelijkheden in deze richting biedt, is de zogenaamde UHF-technologie.
Introductie UHF UHF staat voor ‘Ultra High Frequency’. De term verwijst naar rfid-frequenties tussen 300 MHz en 3 GHz
(3000 MHz). De systemen die relevant zijn voor dit artikel, opereren op ongeveer 900 MHz. Er bestaat een internationale standaard voor tags en readers die op deze frequentie opereren: de zogenaamde EPC Gen 2 standaard. GS1 (http://www.gs1.org/) is de stichting die deze standaard internationaal beheert. Het EPCGlobal-initiatief (http://www.gs1.org/docs/epcglobal/an_overview_of_EPC.pdf) heeft deze standaard ontwikkeld om te komen tot een rfid-platform waarmee producten in een supply chain een uniek nummer kunnen krijgen, waarmee ze tijdens het logisitieke proces gevolgd kunnen worden. EPC staat dan ook voor Electronic Product Code en is daarmee het rfid-equivalent van de bekende barcode. De tweede generatie (Gen 2) van deze standaard stamt uit 2004. Deze standaard wordt inmiddels over de hele wereld gebruikt in kaarten, tags en lezers. Steeds meer toepassingen in logistiek en retail illustreren de kracht van de techniek. Het grote voordeel van UHF, ten opzichte van de techniek achter bijvoorbeeld smartcards, is dat er met deze techniek erg grote leesafstanden bereikt kunnen worden. En dat met passen en tags waarin geen batterij zit. Met relatief kleine lezers kan een leesafstand van enkele meters worden bereikt. Een nadeel dat vooralsnog geldt voor UHF-kaarten, is dat er geen encryptie
Security Management nummer 12 december 2011
29
»
Compromisloos beeld DinionHD 1080p camera
Ieder detail is zichtbaar!
thema | toegangscontrole
wordt ondersteund op de kaart. Het inherente beveiligingsniveau van UHFkaarten is daarmee wat lager dan sommige smartcards. Sinds enige tijd wordt UHF ook steeds meer toegepast in de beveiligingssector. In eerste instantie gaat het daarbij
ditcardformaat voorzien van UHF kunnen op enkele meters worden uitgelezen. Lezers worden steeds kleiner en zijn steeds vaker voorzien van interfaces waarmee ze makkelijk met toegangscontrolesystemen verbonden kunnen wor-
UHF is een techniek om niet uit het oog te verliezen vooral om voertuigherkenning. UHFtags zijn er in de vorm van toegangspassen, maar ook in de vorm van kleine stickers die achter een voorruit geplakt kunnen worden. Een UHFreader kan deze zogenaamde windshield tags op bijvoorbeeld vier meter uitlezen en de bestuurder zo eenvoudig, snel en comfortabel toegang geven tot een parkeerterrein of een bedrijventerrein. Het nummer op de tag wordt door de reader naar het toegangscontrolesysteem verstuurd om te kijken of het betreffende voertuig toegang mag krijgen. De slagboom of bollard maakt dan vervolgens razendsnel de weg vrij.
UHF voor toegangscontrole Er is een duidelijke trend gaande op het gebied van UHF. Lezers en tags worden steeds meer geschikt voor toepassing in systemen voor toegangscontrole en beveiliging: UHF-tags zijn er in de vorm van toegangspassen. Kaarten van cre-
den (Wiegand, RS485, enz.). En ook zijn er steeds meer leveranciers die in staat zijn om de UHF-kaarten zodanig te programmeren dat ze naadloos aansluiten op het toegangscontrolesysteem. Als de UHF-kaart aan een lanyard wordt gedragen, zal een UHF-lezer normaal gesproken op enkele meters uitgelezen worden. Op deze wijze zijn leuke toepassingen te realiseren, zoals bijvoorbeeld: » Snel en comfortabel toegang tot doorgangen in een ziekenhuis voor verplegend personeel dat bijvoorbeeld bedden met patiënten vervoert naar operatiekamers of uitslaapkamers. » Een snelle en comfortabele toegang tot doorgangen in een logistiek centrum voor medewerkers die pallets met goederen vervoeren. » Eenvoudige toegang tot ruimtes in kantoorgebouwen waarvoor geldt
dat snelheid en comfort belangrijk zijn, waarbij het meer gaat om registratie dan om strikte beveiliging. » Comfortabele toegang tot allerlei soorten doorgangen voor mensen met een lichamelijke beperking. Veel meer voorbeelden zijn denkbaar. Een mooie ontwikkeling is dat er tegenwoordig combikaarten beschikbaar zijn waarin UHF wordt gecombineerd met bijvoorbeeld Mifare DESfire, HID iClass of Legic. U kunt daardoor één kaart gebruiken voor zowel doorgangen waarbij comfort belangrijk is, als voor doorgangen waar om een hoger beveiligingsniveau gevraagd wordt. Bij het zoneren van het gebouw, voorafgaande aan de installatie, bepaalt u per doorgang of comfort of beveiliging prevaleert. Moderne toegangscontrolesystemen zijn in staat om bij calamiteiten het beveiligingsniveau op te schalen. U kunt daarvoor voor bepaalde doorgangen de nadruk leggen op comfort, terwijl bij calamiteiten een andere lezer of een biometrische oplossing geactiveerd wordt om zo wat meer nadruk op een strikte beveiliging te leggen.
Toevoeging UHF-kaarten zijn een mooie toevoeging aan het spectrum van kaarten dat ingezet kan worden in systemen voor toegangscontrole en beveiliging. Zoals elke techniek heeft ook UHF enkele voor- en nadelen. Laat u daarom goed informeren door uw leverancier over de mogelijkheden en de spelregels die voor deze techniek gelden. UHF is in de wereld van beveiliging een relatief nieuwe techniek. En aangezien EPC Gen 2 een open standaard is, zijn er momenteel al de nodige leveranciers bezig met de ontwikkeling van readers, tags en andere vernieuwingen. Als de ontwikkelingen zich doorzetten, zal UHF ongetwijfeld een plaats veroveren in de wereld van toegangscontrole en beveiliging. De tijd zal leren welke positie dat exact zal zijn, maar UHF is een techniek om niet uit het oog te verliezen. ‹‹ * Maarten Mijwaart is marktgroepleider van Nedap AVI.
Security Management nummer 12 december 2011
31
t hema | toegangscontrole
Open standaarden voor De Onvif-organisatie heeft haar aandachtsveld verbreed naar de sterk versnipperde fysieke markt van de toegangscontrole. Wat zijn de voor- en nadelen van standaardisatie voor zowel eindgebruikers als leveranciers? JOHAN DE WIT *
S
ecuritysystemen en ICT-technologie zijn onlosmakelijk met elkaar verbonden. Tegenwoordig wordt de communicatie binnen securitysystemen voor een groot deel gevoerd via TCP/IP. De architectuur van securitysystemen is daarmee drastisch veranderd. Ook de interfaces tussen verschillende securitysystemen verlopen meer en meer via TCP/IP. Een groot voordeel van deze communicatie is dat er veel meer en veel sneller informatie overgedragen kan worden dan via de traditionelere busstructuren. Deze ontwikkeling heeft ertoe bijgedragen dat er aanzienlijk meer functionaliteit binnen de systemen en tussen de systemen onderling ter beschikking is gekomen. Bij elektronische toegangscontrolesystemen heeft dit bijvoorbeeld geleid tot intelligente controllers die via TCP/IP met elkaar en met een server communiceren. Deze controllers bevatten inmiddels zo veel informatie dat in geval van netwerk- of serveruitval het systeem zal blijven functioneren zonder dat het toegangsverleningsproces wordt verstoord.
Ieder systeem zijn eigen taal De markt voor elektronische toegangscontrolesystemen kenmerkt zich door een groot aantal producenten en leveranciers. Zelfs de grotere mondiale leveranciers hebben ieder slechts een beperkt marktaandeel. Vrijwel iedere leverancier heeft in de loop der jaren eigen communicatieprotocollen ontwikkeld, omdat standaardprotocollen niet voorhanden waren. Ook met het invoeren van TCP/IP-communicatie
32
Deurcontroller
Kaartlezer
B
Werkstation
Netwerk
D
A
E
C
D Toegangspas
Deurvergrendeling en detectie
Server
Figuur 1. Basisopzet online elektronische toegangscontrolesystemen. binnen de elektronische toegangscontrolesystemen is dit beeld nauwelijks veranderd. Dit betekent dat componenten van verschillende leveranciers meestal slechts gebruikt kunnen worden binnen systemen van dezelfde leverancier. Hierdoor is het voor gebruikers lastig en kostbaar om van leverancier te veranderen, systemen van verschillende leveranciers te combineren of op componentniveau gebruik te maken van andere leveranciers. Ook interfaces tussen toegangscontrolesystemen en bijvoorbeeld camerabewakingssystemen zijn niet altijd eenvoudig te realiseren. Deze customer lock-in maakt gebruikers afhankelijk van een bepaalde leverancier. Dit is in toenemende mate onwenselijk.
Communicatie In figuur 1 is de basisopzet van het grootste deel van de toegangscontro-
Security Management nummer 12 december 2011
lesystemen weergegeven. Behalve de communicatie via het TCP/IP-netwerk (de verbindingen D en E) vindt er binnen een toegangscontrolesysteem communicatie via andere technologieĂŤn plaats. De communicatie tussen de deurcontroller en de apparatuur die op de deur is geplaatst, zoals deurvergrendelingen en signaleringen (verbinding C), gebeurt vrijwel altijd door middel van potentiaalvrije contacten. Hierdoor ontstaat een vrijwel geheel vrije keuze voor het toepassen van signaleringen en vergrendelingen van verschillende aanbieders. Voor de - meestal draadloze - communicatie tussen toegangspas en paslezer (verbinding A) zijn vele technologieĂŤn op de markt verkrijgbaar. In Nederland gelden de technologieĂŤn van NXP zoals Mifare Classic en Mifare Desfire als veel toegepast en als een de-facto standaard. Deze kaarten zijn via vrijwel alle leveran-
t hema | toegangscontrole
gesloten deuren ciers verkrijgbaar. Gebruikers zijn daarmee niet gebonden aan een bepaalde leverancier, tenzij de leverancier de kaarten op een speciale - beschermde - manier codeert. De communicatie tussen de kaartlezer en de deurcontroller (verbinding B) vindt vaak plaats via leverancier-eigen communicatieprotocollen. Voor één van deze protocollen geldt dat dit in de loop der jaren wel een de-facto standaard is geworden, het zogenaamde Wiegand-protocol. Dit protocol is al zeker twintig jaar in gebruik en mag met recht een ‘open’ standaard worden genoemd. Figuur 2. Ontwikkelingen van de Onvif-standaard. Het Wiegand-protocol is onbeveiligd en kan eenvoudig worden afgeluisterd en afgespeeld. Omdat dit protocol door alle leveranciers van zowel kaartlezers als controllers wordt ondersteund, en er daarmee een vrije keuze ontstaat voor het toepassen van kaartlezers van verschillende leveranciers, is dit protocol, ondanks zijn onveiligheid, nog steeds erg populair.
Behoefte aan veilige, open standaarden De behoefte aan veilige, open en moderne standaarden geldt met name voor de communicatie tussen paslezer en controller (B) en tussen de controllers en de server (D). Voor de communicatie tussen de paslezers en de controllers lijkt er een goede
twee richtingen meer informatie uit te wisselen. Voornoemd protocol wordt al door de grote leveranciers van kaartlezers en toegangscontrolesystemen ondersteund. Momenteel wordt het protocol uitgebreid met een beveiligingslaag, zodat het qua beveiligingsniveau aan gaat sluiten op het gebruik van Mifare Desfire EV1 met AES-encryptie. Dit protocol lijkt erg geschikt als opvolger van het Wiegand-protocol als de-facto standaard.
Onvif De Onvif (Open Network Video Interface Forum) organisatie is oorspronkelijk opgericht om een standaard te creeren voor de IP-videocomponenten. Net als bij de fysieke toegangscontrole
Een gebruiker is niet langer afhankelijk van slechts één leverancier open standaard beschikbaar te komen: het zogenoemde Open Supervised Device Protocol (OSDP). Dit protocol gebruikt een RS485-busverbinding als drager van de communicatie. Deze bus maakt zowel een snellere verbinding mogelijk, alsook de mogelijkheid om in
kent de IP-videomarkt een enorm aantal verschillende aanbieders met vele verschillende communicatietechnologieën. Enige jaren geleden hebben enkele leidende producenten in deze markt de Onvif-organisatie opgericht. Deze non-profitorganisatie, open voor
alle aanbieders, heeft inmiddels ruim 270 leden; circa 70 procent van de aanbieders van IP-video ondersteunt de Onvif-standaard. Inmiddels is de tweede versie van de standaard voor de markt beschikbaar gekomen. De Onvif-organisatie heeft daarmee bewezen snel en met een breed draagvlak standaarden te kunnen ontwikkelen. Veel van de bij het Onvif aangesloten organisaties zijn naast hun activiteiten in IP-video ook actief in fysieke toegangscontrole. De behoefte aan een standaard IP-protocol tussen controllers en de server voor de sterk versnipperde fysieke toegangscontrolemarkt heeft ertoe geleid dat de Onvif-organisatie haar aandachtsveld heeft verbreed naar de fysieke toegangscontrole (Physical Access Control Systems, PACS). Het onderschrift bij het logo van het Onvif is daarop aangepast tot Driving IP-based Physical security through global standardization. De bestaande Onvif-organisatie en het juridisch fundament zijn uitermate geschikt om ook snel en onafhankelijk een standaard te ontwikkelen voor fysieke toegangscontrole. Een groot voordeel is verder dat iedere leverancier zich
Security Management nummer 12 december 2011
33
»
t hema | toegangscontrole
kan aansluiten, ongeacht grootte of financiële draagkracht. Ook zonder lidmaatschap is de testsoftware vrij beschikbaar. In versie 3 van de Onvif-standaard is een eerste standaard opgenomen voor fysieke toegangscontrole. In deze standaard zijn de eerste basisfuncties voor de communicatie tussen control-
Een breed gedragen open standaard zal meer keuzemogelijkheden voor combinaties van apparatuur en software brengen en het integreren van verschillende technologieën vereenvoudigen. Hierdoor ontstaat een grotere zekerheid naar de toekomst, een gebruiker is niet langer afhankelijk van slechts één leverancier, een standaard leidt tot lagere kosten voor integraties, eenvoudigere
Meer standaardisatie en openheid leiden tot hogere veiligheid lers en de server opgenomen, zoals het automatisch zoeken naar controllers in het netwerk, het automatisch uitwisselen van informatie (alarmen en gebeurtenissen) tussen de controller en de server, en het eenvoudig integreren van toegangscontrole en cctv-componenten en -systemen. Naar verwachting zal deze derde versie begin 2012 beschikbaar komen.
inbedrijfname en er is minder kennis van afzonderlijke apparatuur noodzakelijk. Als nadeel van standaardisatie wordt het ontstaan van een soort ‘eenheidsworst’ genoemd; leveranciers zouden binnen de standaard geen ruimte hebben om unieke functies te ontwikkelen. De standaard biedt echter voldoende
(Advertentie)
34
Security Management nummer 12 december 2011
ruimte om leverancierspecifieke functionaliteit te implementeren.
Open naar de toekomst Openheid is in onze hedendaagse maatschappij niet meer weg te denken. Iedereen verwacht dat zijn nieuwe laptop thuis zonder veel inspanning en zonder diepgaande kennis met de aanwezige printer kan communiceren. Dit plug and play principe zal met de komst van open standaarden ook definitief zijn intrede doen in de securitytechnologie. Hoewel deze ontwikkeling door sommige aanbieders als bedreiging wordt gezien, biedt standaardisatie voornamelijk voordelen, met name voor eindklanten en gebruikers. Meer standaardisatie en openheid leiden tot hogere veiligheid. ‹‹ * Johan de Wit werkt als Solution Manager Security Solutions bij Siemens Nederland NV. Zie voor meer informatie: www.onvif.org, of mail: johan.de.wit@ siemens.com
t hema | toegangscontrole
IP-camera’s bewaken Maritiem College Het Maritiem College Velsen in IJmuiden heeft alle buitendeuren uitgerust met IP-camera’s en elektromechanische sloten. Deze nieuwe oplossing voor toegangscontrole geeft zowel de studenten als het personeel een veiliger thuisgevoel. Theo Scholts, hoofd Huisvesting op het Maritiem College en Danny Hartsuiker, adviseur van Mastermate Building Control, vertellen hun ervaringen. PETER GLOUDEMANS *
H
et Technisch en Maritiem College Velsen in IJmuiden is een gespecialiseerde vmbo-school, voor jongeren die kiezen voor een toekomst in de scheepvaart. De school maakt onderdeel uit van de Stichting Dunamare Onderwijsgroep en onderscheidt zich met sterk praktijkgericht onderwijs, waaronder op drie eigen opleidingsschepen. Daar worden alle denkbare situaties uit de beroepspraktijk realistisch nagebootst. Een bijzonder aspect van deze school is het feit dat de meeste leerlingen door de week in het schoolgebouw met elkaar in groepsverband samenleven. Voor de onderbouwleerlingen is dat op basis van vrijwilligheid, voor de bovenbouw verplicht. Het Maritiem College Velsen is gevestigd in één gebouw, met op de bovenste verdieping de leerlingenslaap-
Het Maritiem College Velsen in IJmuiden heeft alle buitendeuren uitgerust met IPcamera’s en elektromechanische sloten. kinderen tussen de 12 en 17 jaar’, vertelt Theo Scholts. ‘Alle ouders geven ons namelijk hun kostbaarste bezit in
‘Wij kunnen op afstand in de gaten houden wat er rondom onze school gebeurt’ kamers, zithoeken en verschillende ruimten voor vrijetijdsbesteding.
Veiligheid prioriteit ‘Wij dragen als schoolleiding een grote verantwoordelijkheid voor zo’n 90
handen en daarom heeft veiligheid altijd de hoogste prioriteit. Vroeger waren onze voor- en achterdeur tot half tien ‘s avonds open, omdat dan pas de laatstejaarsleerlingen binnen hoeven te zijn. In reactie op een aantal inci-
denten op andere scholen in Nederland en het buitenland en het feit dat wij zelf op de bovenverdiepingen verblijven, zijn wij op zoek gegaan naar een modern toegangssysteem. Daarvoor zijn wij bij Mastermate Zwager in Beverwijk terechtgekomen, die ons een toegangscontrolesysteem adviseerde waarin slimme IP-camera’s en elektromechanische sloten konden worden gekoppeld.’
Veilig thuisgevoel Het Maritiem College Velsen hecht er grote waarde aan dat leerlingen graag naar school komen om te leren en zich daar zeker en veilig voelen. Dat is nodig voor zowel hun persoonlijke
Security Management nummer 12 december 2011
35
»
t hema | toegangscontrole
Het deurstation ondersteunt op basis van de VoIP/SIP en H.264-standaarden ook videotelefonie. ontwikkeling als het voorbereiden op de toekomst. ‘Wij willen voor onze leerlingen een zo veilig mogelijk thuisgevoel creëren’, zegt Scholts. ‘De oplossing die wij zochten, moest zowel eenvoudig te gebruiken als flexibel uitbreidbaar zijn. Het facilitaire budget van scholen is namelijk nooit ruim, waardoor je soms moet beginnen met een basisoplossing die pas na verloop van tijd met extra mogelijkheden is uit te breiden.’ Mastermate adviseerde Scholts om IPcamera’s te koppelen aan elektromechanische sloten. Die combinatie biedt namelijk de mogelijkheid om alle buitendeuren de gehele dag op slot te laten en alleen leerlingen en het personeel met een pasje toegang te verlenen. ‘Tijdens onze verkenning van een aantal leveranciers en oplossingen in de regio IJmond, werden wij enthousiast over het gebruiksgemak en de vele mogelijk-
heden van de Mobotix T24-camera’s’, vertelt Scholts. ‘Een groot voordeel van die camera’s is het feit dat wij op afstand in de gaten kunnen houden wat er rondom onze school gebeurt. Vanachter het computerscherm op kantoor, of op een smartphone, kunnen wij namelijk zien wie er voor de deur staat en minstens zo belangrijk of die persoon alleen is. In tegenstelling tot andere camera’s laat de T24 met een 360-gradenlens de volledige omgeving voor onze deuren zien, waardoor niemand onopgemerkt mee naar binnen kan glippen.’
Gebruiksgemak Mastermate is een specialist in onder andere hang- en sluitwerk, die de camera integreert in complete oplossingen voor toegangscontrole. Danny Hartsuiker, adviseur van Mastermate Building Control: ‘Deze IP-camera’s
Samenvatting projectfeiten » Technisch en Maritiem College Velsen in IJmuiden: gespecialiseerde vmbo-school, voor jongeren die kiezen voor een toekomst in de scheepvaart. » Installateur: Mastermate Building Control, gespecialiseerd in het adviseren en leveren van complete oplossingen voor beveiliging en toegangscontrole. » Toegangscontrolesysteem: IP-camera’s gekoppeld aan elektromechanische sloten. » T24-deurstation en Q24-camera’s: 360-gradenbeelden met bijbehorend visoogeffect; de meegeleverde videosoftware corrigeert automatisch naar scherpe normale beelden. » Het deurstation ondersteunt op basis van de VoIP/SIP en H.264-standaarden ook videotelefonie. » Leverancier IP-camera’s: Mobotix » Leverancier sloten: Nemef
Het T24-deurstation en de Q24 zijn bijzondere camera’s, omdat ze altijd 360-gradenbeelden opnemen en het bijbehorende visoogeffect met de meegeleverde videosoftware automatisch corrigeren naar scherpe normale beelden. zijn eenvoudig te installeren, te integreren en te onderhouden. Het is in veel situaties een kwestie van plug-and-play, wat zowel voor ons als leverancier als voor onze klanten een belangrijk voordeel is in vergelijking met gesloten en gecentraliseerde camerasystemen. Klanten kunnen met slechts één camera starten en afhankelijk van de behoeften heel flexibel uitbreiden. Elke camera kan namelijk volledig zelfstandig functioneren, of deel uitmaken van een grotere oplossing.’ Het T24-deurstation en de Q24 zijn bijzondere camera’s, omdat ze altijd 360-gradenbeelden opnemen en het bijbehorende visoogeffect met de meegeleverde videosoftware automatisch corrigeren naar scherpe normale beelden. Verder bevatten deze camera’s geen bewegende en dus storingsgevoelige onderdelen, terwijl men met de digitale PTZ-functie wel eenvoudig ver kan inzoomen. Het deurstation ondersteunt op basis van de VoIP/SIP en H.264-standaarden ook videotelefonie. ‘De oplossing voor het Maritiem College Velsen is voor ons een bijzonder project door de onderliggende behoefte om kinderen een veiliger thuisgevoel te geven’, vervolgt Hartsuiker. ‘Elke leerling heeft nu een sleutelchip om het gebouw binnen te komen, terwijl die chip tevens toegang geeft tot alle ruimten waar de leerlingen mogen komen. Inclusief de eigen slaapkamer. Een heel eenvoudig te gebruiken en effectieve oplossing voor toegangscontrole.’ ‹‹ * Peter Gloudemans, AddIT Benelux
36
Security Management nummer 12 december 2011
t hema | toegangscontrole
Trends in toegangscontrole
Meer dan een cilinder en een sleutel Toegangscontrole roept diverse associaties op. Voor de één betekent het een veilig gevoel omdat alle deuren gesloten blijven, voor de ander dat hij volledig in de gaten wordt gehouden voor wat betreft zijn doen en laten. Niets is echter minder waar. Een goed toegangscontrolebeleid valt of staat namelijk met de juiste implementatie ervan. Daarom zouden we beter kunnen spreken van toegangsbeheer. Over het waarom wordt in dit artikel meer duidelijkheid gegeven. RENÉ WESTPHAL *
O
pdrachtgevers en installateurs dachten lange tijd dat er door het plaatsen van cilinders met certificaatsleutels en een sleutelplan een goed toegangssysteem werd neergezet. Maar de laatste decennia zijn meer en meer geavanceerde technieken geïntroduceerd. Aan het begin hiervan stond de magneetkaart, die nu nog voor betalingsverkeer wordt gebruikt maar waarvan het einde inmiddels in zicht is. De kaart zal
Meer
Keuze
Vervolgens moeten er zaken worden beheerd, zoals wie, waar en wanneer naar binnen mag. Maar al snel komt er meer bij kijken. Denk bijvoorbeeld aan de Wet op de privacy. Er worden immers ook veel persoonlijke gegevens opgeslagen in de database. Want als een organisatie met gebruikers die een pas dienen te hebben toch over een toegangsbeheersysteem beschikt, kan daarin ook die informatie worden op-
Biometrie zal de komende jaren de snelst groeiende markt zijn wel blijven, maar de drager - nu de magneetstrip - zal worden vervangen door een elektronische chip, zoals bij de OVchipkaart. Het basisprincipe blijft echter gelijk: de drager (kaart) en de ontvanger (lezer) ‘praten’ met elkaar. Zodra deze elkaar verstaan, zal de informatie worden doorgespeeld naar de uitvoerder. Dit kan in het eenvoudigste systeem een opener zijn. We spreken dan van een stand-alone offline systeem. Is de kaartlezer gekoppeld aan achterliggende elektronica, dan spreken we van een online toegangsbeheersysteem.
genomen. Zo kan de receptioniste direct het telefoonnummer van een medewerker of het kenteken van een bedrijfs- of personenauto oproepen. Daarnaast komen er steeds meer informatiebronnen bij, want waar worden bijvoorbeeld de templates van de vingerafdrukken of de irisscan opgeslagen? Het plaatsen en onderhouden van een goed toegangsbeheersysteem is dan ook niet langer alleen een zaak van de installateur, maar heeft tevens zijn uitwerking op de administratie en de ITafdeling van een organisatie.
Terug naar de reeds genoemde magneetkaartlezers. Deze zijn vervangen door de proximity-lezers. Dat geeft vele voordelen, want de pas slijt niet zo snel en je hoeft de pas maar voor een lezer te houden om te worden gelezen. Ook bij de langeafstandslezer gaat dit gemakkelijker, bijvoorbeeld bij parkeerautomaten. Eigenlijk is hiermee de trend gezet. Want was de standaardisering bij magneetkaartlezers beperkt tot een aantal sporen, bij de proximity kennen we een veelvoud aan technieken. Denk alleen maar eens aan hoeveel verscheidenheid er is op de 125 kHz lezers en de Mifaretechniek die op een heel andere frequentie werkt (13,56 MHz). Nog los van het feit dat er momenteel discussies plaatsvinden welke Mifare-techniek de beste is. En daarbij hebben we het alleen nog maar over de koppeling tussen de kaart en de kaartlezer. Als we dat eenmaal hebben overwonnen, gaan we een stap verder en moeten we ons verdiepen in het achterliggende systeem. Werkt dit bijvoorbeeld op een busstructuur of gaat alles over IP? Ten slotte moeten we dan ook nog bedenken wat we eigenlijk met de software willen. Ook hierin zijn verschil-
Security Management nummer 12 december 2011
37
»
t hema | toegangscontrole
lende keuzes mogelijk. Gaan we ons toeleggen op uitsluitend toegangsbeheer, of gaan we ook integreren met inbraaksignalering en/of camerabewaking? Voor elke keuze is wel wat te zeggen. Zo zal de één het handig vinden om te zien wie er door een deur gaat en of deze persoon wel de juiste kaart of tag gebruikt heeft, terwijl een ander zal pleiten voor privacybescherming en daarom de systemen volledig van elkaar gescheiden wenst te houden. Bij de koppeling met inbraaksignalering is het handig dat het alarmsysteem wordt uitgezet bij het aanbieden van de juiste kaart. Maar wat te doen bij verlies van de kaart? In het geval van een inbraak is dan de verzekering de gelukkige, want zonder braaksporen hoeft er niet te worden uitgekeerd. Dan zou bijvoorbeeld camerabewaking uitkomst bieden. Kortom, de keuze dient te worden gemaakt op basis van de juiste overwegingen en toepassingsgebieden. Een algemeen voor elke situatie te gebruiken passend antwoord is niet te geven.
Mogelijkheden Als we ons verdiepen in de vele technieken en mogelijkheden van systemen die toepasbaar zijn voor toegangscontrole of toegangsbeheer, dan kunnen we tegenwoordig kiezen uit een scala aan producten. Bepalend voor de uiteindelijke keuze is het beschikbare budget. Zo zijn er al goed werkende kaartlezers van rond de € 100,-, maar kunnen we ook kiezen voor irisscanlezers waarbij al snel sprake is van een investering van € 10.000,-. Maar tussen deze twee uitersten zitten vele andere mogelijkheden.
Leestechnieken Globaal zijn de leestechnieken in een aantal blokken in te delen. Zo hebben we de doorhaallezers, de proximitylezers en de biometrische lezers. Daarnaast zouden we nog een deel kunnen inzetten als keypad en zender/ontvangers. Als je de verschillende blokken opent, kom je tot verbluffende resultaten. Zo kun je bij de proximity-lezers een honderdtal technieken onderscheiden. We hebben gesproken over Mifare, maar daarnaast zijn er vele
38
De markt van de biometrische lezers zal de komende jaren waarschijnlijk de snelst groeiende markt zijn op het gebied van toegangscontrole. diversiteiten zoals de standaard EM4102-, Hitag- of Legic-techniek. Maar wat te denken van combitechnieken, waarbij op bepaalde frequenties wordt gezonden en op andere frequenties wordt gelezen. Een opkomende techniek is bluetooth. Dit komt doordat bijna iedereen deze techniek al in huis heeft, bijvoorbeeld in een mobiele telefoon. En aangezien je die toch al bij je draagt, hoe gemakkelijk zou het dan niet zijn om er ook de deur mee te kunnen openen. Daarmee kan meteen een ander risico worden uitgesloten, want hoeveel mensen geven niet even hun toegangskaart ‘te leen’? Dat ligt met je mobiele telefoon toch net even anders.
Biometrie De markt van de biometrische lezers zal de komende jaren waarschijnlijk de snelst groeiende markt zijn op het gebied van toegangscontrole. Voorbeelden zijn de iris- en de vingerscan (zie voor meer informatie het artikel van Marc Rietman op pagina 23 van dit nummer). Bij de biometrische ontwikkelingen spelen ook de ontwikkelingen op het gebied van cameratechniek een grote rol. De opname-elementen worden namelijk steeds beter, waardoor een camera ook kan worden ingezet voor gezichtsherkenning. Op recente vakbeurzen zijn hier al voorbeelden van getoond. Deze
Security Management nummer 12 december 2011
producten worden momenteel echter op kleine schaal ingezet, omdat het een forse investering vraagt.
IP Een laatste ontwikkeling is dat alles via IP moet kunnen werken. Dat biedt vele voordelen, zeker op het gebied van bekabeling. Maar een veelgemaakte fout hierbij is dat men ervan uitgaat dat zodra producten geschikt zijn voor IP, ze dan ook met elkaar kunnen ‘praten’. Niets is minder waar. Vergelijk het maar met de snelwegen die door vele landen lopen, maar waar niet iedereen dezelfde taal spreekt.
Goed toegangsbeheer Ter afsluiting kunnen we stellen dat er op het gebied van toegangscontrole en/of toegangsbeheer talrijke technische ontwikkelingen gaande zijn. Toch is het zeker niet zo dat u achterloopt bij deze ontwikkelingen als u de deuren nog met een magneetkaart opent. Wat u wel in ogenschouw zou moeten nemen, is dat goed toegangsbeheer bijdraagt aan de algemene veiligheid in uw organisatie. ‹‹ * René Westphal is managing director bij Integrated Security Solutions (www. integrated-solutions.nl). Daarnaast is hij gelieerd aan de Vebon als docent Elektronisch Toegangsbeheer.
informatiebeveiliging
Informatiebeveiliging in de zorg Normen dienen elke vijf jaar opnieuw te worden bekeken op actualiteit. Recente uitwerkingen van het thema informatiebeveiliging in de zorg binnen ISO vormden, naast het periodieke onderhoud, voldoende aanleiding om de bestaande normen NEN 7510:2004 en NEN 7511:2005 te reviseren. Een overzicht van de belangrijkste wijzigingen. ELISABETH BREIN *
D
e kwaliteit van dienstverlening in de zorgsector is een zaak van groot belang, soms zelfs van levensbelang. Om patiënten het gewenste niveau van dienstverlening te kunnen bieden, is het noodzakelijk dat zorgverleners op ieder moment over betrouwbare informatie kunnen beschikken. Tegelijkertijd is het van belang dat gevoelige informatie niet in handen van ongeautoriseerde partijen valt om de privacy van de patiënt te beschermen. Informatiebeveiliging is het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van deze informatie. Kernbegrippen zijn: » Vertrouwelijkheid (gegevens niet beschikbaar voor onbevoegden). » Integriteit (juistheid en volledigheid van gegevens). » Beschikbaarheid (op het gewenste moment toegang hebben tot gegevens). » Accountability (de verantwoordelijke voor de inhoud van gegevens is traceerbaar).
Toepassing De flexibiliteit van informatievoorziening en de beveiliging van de informatie lijken vaak met elkaar op gespannen voet te staan. De complexiteit van informatiebeveiliging in de zorgsector wordt nog duidelijker wanneer je kijkt naar het netwerk van zorgaanbieders, patiënten, zorgverzekeraars, overheidsinstanties en andere belanghebbenden die een rol spelen in het verzamelen, opslaan, verwerken en transporteren
van informatie. De enige manier om tegelijkertijd de gewenste beveiliging en de noodzakelijke flexibiliteit in de informatievoorziening te kunnen bewerkstelligen, is om een afgewogen stelsel van beveiligingsmaatregelen te implementeren. Het gezamenlijk gebruik van informatie door deze verschillende partijen vraagt dan ook om standaarden op het gebied van informatieopslag, berichtopmaak, communicatieprotocollen,
len die een organisatie in de gezondheidszorg moet treffen ter beveiliging van de informatievoorziening. Hierdoor kan een zorginstelling de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie waarborgen, die benodigd is om patiënten verantwoorde zorg te kunnen bieden. Naast het borgen van kwaliteitscriteria vereist de norm dat informatiebeveiligingsmaatregelen op controleerbare wijze zijn ingericht voordat kan worden
De nieuwe NEN 7510 wijkt zo min mogelijk af van de internationale normen voor informatiebeveiliging definities en codering van medische termen en, niet in de laatste plaats, informatiebeveiliging. Informatiebeveiliging is een verantwoordelijkheid van alle betrokkenen in de zorg. De norm voor informatiebeveiliging in de gezondheidszorg is daarom van toepassing op alle zorgaanbieders en organisaties in de gezondheidszorg, ongeacht de aard en omvang van het bedrijfsproces.
NEN 7510 De Nederlandse norm NEN 7510 gaat over informatiebeveiliging binnen de zorgsector. NEN 7510 geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatrege-
gesproken over adequate informatiebeveiliging. Binnen dit kader kan elke proceseigenaar de voor zijn/haar proces relevant geachte informatiebeveiliging specificeren, inclusief de daarbij behorende maatregelen.
Waarom NEN 7510? NEN 7510 is een begrip geworden. De afgelopen jaren hebben steeds meer zorginstellingen de norm ter hand genomen. Toezichthouders hanteren de norm als referentiekader. De Inspectie voor de Gezondheidszorg (IGZ) heeft alle ziekenhuizen verzocht aan te geven welke maatregelen zij zullen nemen om aan NEN 7510 te voldoen en wanneer dat gerealiseerd zal zijn.
Security Management nummer 12 december 2011
39
»
informatiebeveiliging
Zorginstellingen die informatiebeveiliging serieus nemen, kunnen NEN 7510 gebruiken om de beleidsuitgangspunten en het risicoprofiel van de organisatie mee te nemen in het bepalen van de maatregelen voor informatiebeveiliging. Hierdoor kan op een pragmatische manier een passend veiligheidsmanagementsysteem ontstaan waardoor er, naast het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie, tevens een natuurlijke verbetercyclus plaatsvindt. Voor veel organisaties is certificering ofwel het kunnen afgeven van een ‘in control’-statement over hun informatiebeveiliging belangrijk. Vaak wordt NEN 7510 opgevat als een absolute norm, die verplicht tot het invoeren van een heel pakket maatregelen. Certificatie kan, onder meer door uit te gaan van het continue managementsysteem en de gehanteerde risicoanalyse, een op de soort organisatie toegespitste controle uitvoeren. Een certificatieschema formuleert een eenduidig toetsingskader, beschrijft de methoden van toetsing en specificeert eisen aan auditoren. Door een uniform certificatieschema te ontwikkelen kan een wildgroei aan certificatieschema’s worden voorkomen en kunnen soortgelijke organisaties prioriteiten, metingsmethoden en interpretaties van meetresultaten afspreken.
Stand van zaken De nieuwe NEN 7510 wijkt zo min mogelijk af van de relevante internationale normen voor informatiebeveiliging. De meest recente versie van ISO/IEC 27002 is gehanteerd als uitgangspunt van de norm. Daarop zijn aanscherpingen en aanwijzingen uit NEN-EN-ISO 27799 toegevoegd voor de Nederlandse situatie en is waar nodig aanvullende tekst uit de eerdere versie van NEN 7510 en NEN 7511 opgenomen. Om de hanteerbaarheid van de normen voor de verschillende doelgroepen te verhogen, is NEN 7511 in de nieuwe NEN 7510 geschoven. NEN 7511 verdwijnt hierdoor. Verschillen tussen de oude en de nieuwe NEN 7510 worden voor de gebruikers van de norm duidelijk aangegeven, in het bijzonder waar geformuleerde eisen zijn aangescherpt. De gereviseerde norm besteedt uitgebreid aandacht aan het management-
40
systeem voor informatiebeveiliging en het risicomanagement dat daar deel van uitmaakt. Dit vormt het normatieve raamwerk van NEN 7510. Uitgangspunt is nu het continue managementsysteem: met de risicoanalyse bepaalt een organisatie aan de hand van onderkende bedreigingen een passende set maatregelen; door het inrichten van een managementsysteem herhaalt de organisatie regelmatig delen van de risicoanalyse en houdt daarmee de set maatregelen op peil of verbetert die. De beheermaatregelen geven vervolgens invulling aan de informatiebeveiliging zelf en definiëren de specifieke maatregelen om aan beheerdoelstellingen te voldoen. De beheermaatregelen volgen zoveel mogelijk de tekst en indeling van NEN-ISO/IEC 27002. Aanpassingen daarop voor de gezondheidszorg zijn duidelijk zichtbaar in de tekst. De meeste van deze aanpassingen zijn afkomstig uit NEN-EN-ISO 27799. In die internationale norm zijn zorgspecifieke aanscherpingen normatief op basis van een universele risicobeoordeling voor de zorg. Omdat volgens NEN 7510 een verklaring van toepasselijkheid de selectie van beheermaatregelen bepaalt, is dat hier niet het geval. Bij de beheermaatregelen zijn aandachtspunten en aanbevelingen voor implementatie opgenomen. Die aandachtspunten en aanbevelingen zijn niet normatief, maar geven nadere informatie om de implementatie van de beheermaatregel te ondersteunen om
Security Management nummer 12 december 2011
de beheerdoelstelling te realiseren. Het toepassingsgebied en de strekking blijven ongewijzigd en alle gegevensverwerking in de zorg met gebruik van het burgerservicenummer moet - volgens de wet - voldoen aan NEN 7510. De verwachting is dat enerzijds de gereviseerde norm gemakkelijker implementeerbaar zal worden en anderzijds de eisen wat zullen worden aangescherpt. Bij iedere nieuwe ontwikkeling, zoals bijvoorbeeld de OV-pas, het EPD of het rekening rijden, laait onmiddellijk de discussie over privacy weer op. En dat terwijl iedereen wel verwacht dat overheden en zorginstellingen maximaal informatie uitwisselen en delen om de service aan burgers of patiënten te verbeteren. Waarschijnlijk heeft u uw opslag van privacygevoelige gegevens goed geregeld. Maar juist de informatie-uitwisseling leidt vaak tot onverwachte risico’s. Met NEN 7510 wordt de privacy bij gegevensuitwisseling gewaarborgd, zonder allerlei onwerkbare maatregelen te hoeven nemen die toch niet worden nageleefd. Om zorginstellingen te helpen bij de implementatie van NEN 7510 heeft NEN het ‘Steunpunt NEN 7510’ opgericht. Het steunpunt voorziet zorginstellingen van uitleg, ondersteuning en hulpmiddelen. Zie www.nen7510.org ‹‹ * Elisabeth Brein is consultant gezondheidszorg bij NEN.
JAAR
100
24/7
securit y
Directie ISS Security Services ambitieus
Groeien naar herkenbaarheid De afgelopen vijf jaar kunnen voor beveiligingsbedrijf ISS Security Services als hectisch worden gekenschetst. De integratie van drie overgenomen bedrijven en opeenvolgende directiewisselingen zorgden ervoor dat de organisatie intern gericht was. Met het aantreden van Aad de Vries (algemeen directeur) en Jan van Dijk (commercieel directeur) lijkt de rust weergekeerd. Tijd om hen aan het woord te laten over hun strategie voor de komende jaren. Groei en herkenbaarheid staan daarin centraal. ARJEN DE KORT
Z
o’n anderhalf jaar geleden had Security Management een interview met de toenmalige directie van ISS Security Services. Aanleiding was dat zij na een turbulente periode de tijd rijp achtte om de radiostilte naar de markt te beëindigen. Kort na het verschijnen van het interview vertrokken beide directeuren en zag de realiteit er al weer anders uit. De vacatures werden eind 2010 ingevuld door twee bekende gezichten uit de branche:
ambities. Wat opvalt is dat zij daarbij voortborduren op de belangrijkste thema’s uit de eerder ingezette strategie, maar duidelijk hun stempel drukken op de uitvoering.
Eén cultuur, één organisatie Met hun jarenlange ervaring in de branche en kennis van de beveiligingsmarkt kenden De Vries en Van Dijk hun nieuwe werkgever vooral als een intern gerichte organisatie. De Vries:
‘Ook beveiliging heeft een minimumprijs’ Aad de Vries en Jan van Dijk, beiden met een historie bij het begin 2010 door Trigion overgenomen CSU security services. Nu zij ruim een jaar bij hun nieuwe werkgever aan de slag zijn, is het moment daar om hen aan het woord te laten over hun ervaringen en
‘Dat is op zich begrijpelijk na een overname van drie beveiligingsbedrijven. Mijn voorganger Diederik Barten is daarom heel erg bezig geweest om er een eenheid van te maken. En ik kan maar één ding zeggen: dat heeft hij fantastisch gedaan. Vanaf het moment
Kerngegevens Bedrijf Plaats Omzet Medewerkers
42
: ISS Security Services : De Meern : 52,7 miljoen euro (2010) : 1170
Security Management nummer 12 december 2011
dat ik hier binnenkwam, was mij duidelijk dat er maar één cultuur was, één organisatie: ISS Security Services.’
Tweesporenbeleid Iets anders was dat ISS bekend stond als een wat anonieme beveiligingsorganisatie die onzichtbaar was bij aanbestedingen en in de pers. ‘De markt kende ISS niet en ik durf wel te zeggen dat ISS de markt ook niet kende’, aldus De Vries. Daarom lag er na het vertrek van de vorige directie vanuit ISS Facility Services de wens om op korte termijn meer securitykennis in de organisatie te brengen. Een slag die op dat moment relatief eenvoudig kon worden gemaakt, omdat De Vries na de verkoop van CSU security services beschikbaar was. ‘Uit de gesprekken die ik met de directie van ISS Facility Services en met de holdingdirectie in Denemarken heb gevoerd, werd mij duidelijk wat hun visie was en waar ze naartoe wilden. Dat sloot aan bij mijn ideeën over hoe een beveiligingsorganisatie moet worden gerund.’ In de door het concern gewenste richting is een tweesporenbeleid zichtbaar. Daarbij moet er een duidelijk herkenbare security-organisatie komen, die op de eerste plaats als single service in
securit y
Jan van Dijk (zittend) en Aad de Vries willen van ISS Security Services een herkenbaar beveiligingsbedrijf maken met een behoorlijke jaarlijkse omzetgroei. kwalitatieve en in concurrerende zin de Nederlandse beveiligingsmarkt aankan, en die daarnaast vanuit de multi services gedachte ondersteunend is aan het Integrated Facility Services (IFS) concept.
Opdracht Behalve dat De Vries zich herkende in de visie van de bedrijfstop en zich kon vinden in de gewenste koers, was er bij zijn aantreden als algemeen directeur uiteraard sprake van een concrete op-
Opleiding en begeleiding Om medewerkers optimaal te laten functioneren en presteren zijn opleiding en begeleiding voor Jan van Dijk van groot belang. Dit komt volgens hem tot uiting in de volgende zaken: » Traineeship met potentials, gericht op een beter in- en doorstroombeleid. » Elke coördinator volgt een interne opleiding om beveiligers op de juiste wijze aan te kunnen sturen en het gewenste voorbeeldgedrag te kunnen tonen. Bovendien kan zo de toenemende vraag naar een actieve rol bij de opdrachtgever goed worden ingevuld. » Een actieve rol voor de QHSE-manager, die op basis van operationele audits een opleidingsplan per locatie maakt om zo aansluiting te vinden bij de operationele uitvoering en de klantwensen. » Structureel opleiden van mensen, niet op basis van de uitvraag van opdrachtgevers maar op basis van een persoonlijk opleidingsplan.
dracht. Die luidde: maak van ISS Security Services een gezond en herkenbaar bedrijf dat elk jaar een behoorlijke omzetgroei realiseert en dat het IFS-concept ondersteunt.
Geen kopie Opvallend is dat hij daarbij onder andere gebruikmaakt van een aantal oudCSU’ers die het afgelopen jaar eveneens de overstap naar ISS hebben gemaakt. Het is een logische vraag waarom zij daar kennelijk zo goed passen. En meer nog, of ISS het nieuwe CSU is. De Vries herkent deze vragen en reageert nuchter: ‘Ik zal niet zeggen dat zij hier in algemene zin goed passen. Maar de oud-CSU’ers die we hebben binnengehaald passen bij deze organisatie, omdat ze weten wat beveiligen inhoudt, én wat het beheren van klanten inhoudt.’ Van Dijk legt dit verder uit: ‘Beheren van klanten is niet alleen een contract
Security Management nummer 12 december 2011
43
»
Eerstvolgende instroommodule start 16 februari 2012
“Security manager met oog voor veiligheid” Master of Security Science & Management Wie al enige tijd werkzaam is op het gebied van Security, weet dat optimale beveiliging en veiligheid pas tot stand kunnen komen, wanneer zij op strategisch niveau goed worden gemanaged. Delft TopTech’s Master of Security Science & Management biedt een integrale benadering van security management. De opleiding combineert een wetenschappelijke benadering van het werkveld met security oplossingsconcepten en management. Hierdoor kunt u uw kennis op een hoger niveau brengen en uw carrièremogelijkheden vergroten. Voor meer informatie bel Marieke de Werker, 015 278 29 20 of kijk op www.delfttoptech.nl/security.
LINKPOWER PASSIE RESULTAAT EVENWICHT VISIE POWERED BY KLUWER
Economisch moeilijke tijden? Úw organisatie kan het aan.
WWW.LINKPOWER.NL
Linkpower, meetbaar beter! Teamcoaching en organisatieontwikkeling
securit y
binnenhalen, maar dat is ook die klant koesteren, goede kwaliteit leveren en continuïteit waarborgen. De enige manier waarop je dat kunt realiseren, is door je mensen te ontwikkelen en te zorgen dat ze tevreden zijn. Dat deden we zo bij CSU, en deze filosofie sluit naadloos aan op de ISS business principles.’ De Vries: ‘Dus dan is het aantrekken van die mensen een logische keuze. Maar ik wil benadrukken dat ISS geen kopie van CSU wordt.’
Zinloos Het realiseren van de in de opdracht verwoorde behoorlijke omzetgroei lijkt lastig in een markt die wordt gedomineerd door een aantal grote spelers en waarin de concurrentie op prijs hevig
ten binnen te halen is het antwoord van De Vries ondubbelzinnig: ‘We doen geen gekke dingen met de prijs, dat is zinloos. Ik heb de afgelopen tijd aanbestedingen meegemaakt, waarbij door partijen is ingeschreven met rode cijfers onderaan de streep. Wij gaan nooit rood schrijven! Ook beveiliging heeft namelijk een minimumprijs.’
Dichter op de klant Daarom zien de heren veel meer heil in een goede relatie met de klant. Dat is volgens hen dé manier om zich te onderscheiden in de markt. Van Dijk: ‘Wij zitten dichter op de klant dan een aantal van onze concurrenten, ook in de relationele sfeer. Daarin ligt je verbeterpotentieel, omdat je zo eerder inzichtelijk hebt waar zaken
‘Uit het aantal offerteaanvragen blijkt dat de markt ons weet te vinden’ is. Toch toont De Vries zich optimistisch: ‘Waar je naar moet kijken is welke omzet je als beveiligingsbedrijf nodig hebt om een optimum te bereiken in de kwaliteit die je wilt leveren en de prijs die dat mag kosten. Dat begint denk ik bij 80 miljoen euro. Naar dat bedrag gaan we de komende jaren dan ook groeien, daarover is geen discussie. Maar dat zullen we op een gezonde manier doen, door goede kwaliteit en continuïteit te leveren, klanten die we hebben weten te behouden, en vervolgens vanuit die strategie nieuwe klanten binnen te halen.’ Op de vraag of zij daarbij ook zullen meegaan in de prijzenslag om contrac-
goed of slecht gaan bij die klant waardoor je eerder kunt bijsturen. We zien dat klanten daarnaar op zoek zijn.’ ‘En ons probleem is dat we niet tegen een ontevreden klant kunnen’, stelt De Vries. ‘Daar zijn wij dan ook continu mee bezig. Daaraan heeft men hier even moeten wennen, maar inmiddels zien we daarin een omslag.’
Strategie Gevraagd om de strategie voor de komende drie jaar nog eens kernachtig weer te geven, reageert De Vries ad rem. ‘Dat is groei, groei, groei.’ Om serieuzer te vervolgen: ‘We willen be-
Afgeblazen overname Kort na dit interview werd bekend dat beveiligingsbedrijf G4S het Deense moederbedrijf van ISS Security Services wilde overnemen. Uiteindelijk hebben de aandeelhouders van G4S zich hiertegen uitgesproken, waarna de beoogde overname werd afgeblazen. Aad de Vries reageert op de gebeurtenissen van de afgelopen weken: ‘Het niet-doorgaan van de overname betekent dat ISS Facility Services haar multiservice strategie voortzet. ISS blijft zich richten op specifieke wensen en behoeften van de opdrachtgevers en garandeert business as usual. ISS blijft in de toekomst opereren als een sterke onafhankelijke dienstverlener.’
kendstaan als de beste beveiligingsorganisatie van Nederland, waarmee we een gezonde groei realiseren.’ Daarbij is een aantal speerpunten te noemen. Zo zal er de komende jaren naast de aandacht voor de traditionele grote klanten, meer aandacht worden besteed aan potentiële klanten in de laag daar net onder, in het omzetsegment 3 – 8 ton. Verder wordt groei verwacht in internationale contracten: dat zijn klanten die ISS benaderen om internationaal de beveiliging uit te besteden. ‘Daarvan doen wij dan Nederland, maar in dat proces hebben wij onze inbreng omdat er een global contract wordt aangeboden’, licht Van Dijk toe. Ten slotte worden de sectoren overheid en industrie als kansrijk gezien. De Vries: ‘Als ik het heb over overheid, dan bedoel ik natuurlijk publiek-private samenwerking. Ik denk dat de centrale overheid inmiddels wel is overtuigd van de rol die beveiligingsbedrijven in het publieke domein kunnen spelen. De uitdaging ligt de komende jaren dan ook vooral op lokaal niveau en hoe je met de individuele gemeenten aan de slag gaat.’
Zichtbaar Aan het begin van het interview merkten De Vries en Van Dijk op dat ISS Security Services bij hun start niet alleen intern gericht was – ‘Dat is een constatering, geen oordeel’, aldus De Vries – maar ook onzichtbaar in de markt was. Nu de organisatie de blik het afgelopen jaar meer en meer naar buiten heeft gericht, lijkt dit voor de gewenste herken- en zichtbaarheid zijn vruchten af te gaan werpen. ‘Een jaar geleden werden we denk ik in de helft van de gevallen niet eens uitgenodigd om een offerte uit te brengen’, stelt De Vries. ‘Maar die tijd is gelukkig voorbij. De markt weet ons inmiddels te vinden, zo blijkt uit het aantal offerteaanvragen. We gaan dus de goede kant op. Maar we zullen ons woord nog meer moeten verspreiden, onder andere door overal aanwezig te zijn, door mee te praten, en door onze invloed te laten gelden.’ ‹‹
Security Management nummer 12 december 2011
45
congres
Congres Het Nieuwe Security
‘Denken vanuit mogelijkheden’ Een nieuwe locatie, een nieuw concept, een nieuwe samenwerking. En dat alles samengebracht in het thema Het Nieuwe Security. Daarmee werd tijdens deze congresdag de nieuwe werkelijkheid van de security manager geschetst. Een werkelijkheid die niet langer alleen draait om die inbreker of frauderende medewerker, maar waarin ook bits & bytes en cybercrime een steeds prominentere rol spelen. ARJEN DE KORT
O
Cybercrime Na de openingsvideo, waarin een bombardement aan feiten en cijfers over Het Nieuwe Security op de deelnemers werd afgevuurd, was de eerste plenaire spreker Jeroen Herlaar, business unit manager cybercrime bij Fox-IT. In zijn presentatie hield hij zijn gehoor voor dat het gescheiden blijven denken over fysieke beveiliging en informatiebeveiliging in tijden van internet en social media tot de introductie van nieuwe, onverwachte risico’s leidt met alle gevolgen van dien als er niet adequaat op wordt geanticipeerd. Herlaar schetste de wereld van cyber-
Alle foto’s: Herman Stöver, Ede
p 3 november vond in conferentiecentrum Woudschoten in Zeist het Security Management Congres 2011 plaats. Het vakcongres was dit jaar voor het eerst een samenwerking tussen Security Management en het Asis Benelux Chapter. In een geanimeerde sfeer volgden de deelnemers over de dag verspreid een tweetal plenaire lezingen, konden zij verschillende kennis-, expert- en inloopsessies bijwonen, vonden er rondetafeldiscussies en een debat plaats, en sloot Joop van Riessen (oud-hoofdcommissaris van de politie Amsterdam) de dag op luchtige wijze af.
crime die inmiddels een miljardenbusiness is geworden en waarin de dreigingen van wereldwijd opererende criminele netwerken komen. Een wereld ook die wordt gedreven door het feit dat alles internet en draadloos is, en die daardoor zo complex wordt dat het de vraag is hoe je daarin als organisatie nog je assets kunt beveiligen. Herlaar erkende hierop niet een eenduidig antwoord te hebben, maar betoogde dat het wel zaak is je als organisatie voor te bereiden op de next hype en je vooral bewust te zijn van de risico’s die samenhangen met ontwikkelingen als real time-azation, mobiel internet, bring your own, outsourcing van data in de cloud, en dat er ook in het geval van cybercrime sprake is van opkomende markten als Oost-Europa, China en India. Deze snel veranderende wereld vraagt daarom om een andere manier van beveiligen, van denken en van handelen, concludeerde Herlaar.
Verandering
Frank Kupper nam de deelnemers mee op een zoektocht naar de multidisciplinaire dimensies van verandering.
46
Joop van Riessen gaf een presentatie over veranderingen in de aanpak van veiligheid en beveiliging door de jaren heen.
Security Management nummer 12 december 2011
Biofilosoof (Mens in de Maak) en universitair docent wetenschapscommunicatie (Athena instituut VU Amsterdam) Frank Kupper nam na de lunch de zaal daarom mee op een verfrissende, verrassende, en interactieve zoektocht naar de multidisciplinaire dimensies van verandering.
congres
Hij confronteerde de zaal met vragen over veranderen, hoe je dat doet, en hoe je met veranderingen omgaat, niet alleen als mens maar ook als securityprofessional. De dilemma’s spitsten zich daarbij toe op het traditionele beveiligen waarbij controleren centraal staat, versus de wereld van Het Nieuwe Werken waarbij wordt uitgegaan van vertrouwen en loslaten. Kupper ging onder andere in op de biologie van veranderen, waaruit blijkt dat de mens een patroondier is, die moeite heeft om zijn gedragsgewoonten aan te passen als deze niet meer blijken te werken. Immers, veranderen kost energie. Op de vraag van Kupper wat de gevolgen zijn van een ontwikkeling als Het Nieuwe Werken voor de security manager en tegen welke gewoonten in denken en handelen hij daarbij aanloopt, kreeg hij onder andere als antwoord: ‘We moeten als security mana-
gers niet traditioneel reageren en stellen dat iets niet kan omdat we allerlei bedreigingen zien, maar veel meer denken vanuit mogelijkheden.’ Daarmee werd de intentie van de dag op fraaie wijze verwoord. Naast de plenaire sessies en de verschillende kennis-, expert- en inloopsessies, vonden er ook tijdens de lunchpauze diverse activiteiten plaats, waaronder een tweetal rondetafeldiscussies.
Young Professionals Tijdens deze rondetafeldiscussie, ingevuld door Bram de Bruijn, Jos Maas, Stijn Merkelbach, Alex Sprangers en Mischa van der Geld, stond de ideale rol van de security manager centraal en hoe deze door young professionals kan worden ingevuld. Er kwam naar voren dat security als een managementsys-
teem in de organisatie zou moeten worden ingebed. Verder werd aangegeven dat de security manager de perceptie van de eindbeslisser binnen de organisatie moet kunnen beïnvloeden, oftewel dat de security manager moet kunnen begrijpen dat security op een bedrijfskundig niveau moet worden verantwoord. Andere onderwerpen waarover werd gediscussieerd, waren de kansen en bedreigingen van social media, en het innovatieve vermogen van particuliere beveiliging. Aan het einde van de dag werd een prijs uitgereikt aan de ‘best influencer of the day’. Deze eer was weggelegd voor Willem Boshuis van JBA Security, die als ‘senior professional’ tijdens de discussie de young professionals in positieve zin had weten te beïnvloeden.
Vrouwen in security Willem Boshuis werd door de young professionals bekroond als ‘best influencer of the day’.
Onder leiding van Ilja Kljucevic discussieerden niet alleen vrouwen, maar ook
Security Management nummer 12 december 2011
47
»
Academie Bestuur & Recht
Toe aan een nieuwe stap in uw carrière? Security Management Een compacte studieroute speciaal voor professionals op zoek naar een verdiepingsslag op het gebied van risk management, business continuity en strategisch adviseren.
Als afgestudeerd Security Manager krijgt u het diploma Bachelor of Business Administration (BBA).
De HBO bacheloropleiding Security Management leidt op tot manager van veiligheidsvraagstukken in grote organisaties. De studie heeft een stevige bedrijfskundige basis met zowel relevante theorie als praktische vaardigheden en sluit aan bij actuele thema’s.
| organisatiekunde | recht en privacywetgeving | internationale theorie | ICT en veiligheid | criminologie | crisismanagement | | risico-inventarisatie en analyse | corruptie en fraudebestrijding | internetbeveiliging | security modellen en concepten |
Kom verder. Saxion.
saxion.nl/sec
!
'9%. "
8#.+5'+5 -'05 ''0 #.5'30#5+'(
‡ 2'3('%5 .+%*5$''.& &3+' 45#0&'0 4531$' ‡ .+%*512$'0)45 .6/'0 %#0&.'218'3 ‡ .'7'04&663 663 ‡ '0 0#5663.+,- 10;' 7'353168&' 4'37+%' '0 )#3#05+'
+0(1 4#('5: .69 0.
congres
een opvallend aantal mannen over onder andere de noodzaak van een ‘new girls network’ versus het bekende ‘old boys network’, de stelling dat vrouwen betere security managers zouden zijn dan mannen, en de vraag waarom vrouwen nog altijd ondervertegenwoordigd zijn in de beveiligingsbranche. Enkele opvallende conclusies: » De dames vonden een netwerk met uitsluitend vrouwen niet wenselijk, omdat hiermee de verschillen alleen maar worden benadrukt. » Op de stelling dat vrouwen betere security managers zouden zijn dan mannen vonden de meeste deelnemers aan tafel dat het om competenties gaat en niet om het geslacht. » Mogelijke redenen die werden genoemd waarom vrouwen zo slecht vertegenwoordigd zijn in de beveiligingsbranche: ‘Een hekwerk is niet sexy’ en ‘Beveiliging wordt nog vaak met techniek geassocieerd’.
Ik en de Koningin Joop van Riessen sloot de dag af met een presentatie over veranderingen in de aanpak van veiligheid en beveiliging door de jaren heen, waarbij hij putte uit zijn 40-jarige carrière bij de Amsterdamse politie en hij een aantal opvallende gebeurtenissen uit het koningshuis als ijkpunten gebruikte. Zo kwamen de huwelijken van Beatrix en Claus, WillemAlexander en Maxima, en de inhuldiging van Beatrix in woord en beeld voorbij, waarbij Van Riessen vooral inging op
Jeroen Herlaar schetste de wereld van cybercrime die inmiddels een miljardenbusiness is geworden en waarin de dreigingen van wereldwijd opererende criminele netwerken komen.
de incidenten die zich daarbij voordeden en hoe de politie hier door de jaren heen op reageerde. Hij schetste het beeld van een politie die in de jaren zestig van de vorige eeuw een in zichzelf gekeerde organisatie was, waar gebruik van geweld niet werd geschuwd, en elke vorm van transparantie ontbrak, maar die zich inmiddels heeft ontwikkeld tot de moderne en transparante organisatie van heden ten dage. De oud-hoofdcommissaris illustreerde zijn verhaal met leuke weetjes, zoals de onderschepte nepbom tijdens de rijtoer van Willem-Alexander en Maxima in 2002. Van Riessen sloot af met een kritische noot over de komst van de Nationale Politie. Hij vroeg zich af wie er straks de baas is in Amsterdam, en of er wellicht weer een soort gemeentepolitie zal worden gecreëerd bestaande uit BOA’s en toezichthouders. Ten slotte riep hij de veiligheidsbranche op om in gesprek te gaan met de politie nu deze zich bereid heeft getoond informatie te willen delen. ‹‹
Security Management nummer 12 december 2011
49
recht
Ontslag door loslopende hond Een beveiliger van een penitentiaire jeugdinrichting wordt aangehouden wegens het los laten lopen van zijn hond. Hij bedreigt de opsporingsambtenaar en legitimeert zich met zijn justitiepas. Hij wordt veroordeeld zonder strafoplegging. De werkgever gaat over tot ontslag wegens ernstig plichtsverzuim. Het hoogste rechtscollege acht dit terecht. Ook gedragingen buiten werktijd kunnen onder omstandigheden plichtsverzuim opleveren. ROB POORT *
E
en man werkt sinds maart 1979 als complexbeveiliger bij een justitiële jeugdinrichting. Wegens een verstoorde arbeidsrelatie wordt hij in mei 2007 overgeplaatst naar een ander complex. Door diverse omstandigheden, waaronder een mediationtraject en ziekte, is hij daar feitelijk nooit aan het werk gegaan. In april 2008 wordt hij aangehouden wegens bedreiging en/of belediging van een gemeentelijk opsporingsambtenaar. Aanleiding was het opleggen van een boete wegens het los laten lopen van
stuursrechter. Hij erkent dat hij zich had moeten beheersen. Ook de legitimatie met de justitiepas was onjuist, maar ontslag is een te zware maatregel.
Ernstig plichtsverzuim De Raad overweegt dat een ambtenaar die zich aan plichtsverzuim schuldig maakt, disciplinair kan worden gestraft. Plichtsverzuim is zowel het overtreden van enig voorschrift als het doen of nalaten van iets wat een goed ambtenaar behoort na te laten of te doen. Dat geldt ook voor bepaalde han-
De beveiliger erkent dat hij zich had moeten beheersen zijn hond. Op de vraag om zich te legitimeren heeft de beveiliger zijn justitiepasje getoond. De man weigert een transactievoorstel, omdat hij de zaak wil laten voorkomen. Bij een werkhervattingsgesprek op 8 september 2008 meldt hij zijn teamleider dat hij is gedagvaard wegens bedreiging van een opsporingsambtenaar. De politierechter acht de man op 23 september 2008 schuldig aan de bedreiging met enig misdrijf tot het leven gericht, echter zonder strafoplegging. Hoger beroep wordt niet ontvankelijk verklaard. De man wordt per 1 januari 2009 ontslagen wegens zeer ernstig plichtsverzuim. Bezwaar en beroep tegen deze beslissing zijn vergeefs en de beveiliger stapt naar de hoogste be-
50
delingen buiten werktijd die het aanzien van de openbare dienst schaden.
mocht, gezien zijn positie, terecht worden verwacht dat hij zich had weten te beheersen en zich bewust was van de ontoelaatbaarheid van zijn bedreiging en zijn gedrag. Door zich te legitimeren met een justitiepasje heeft hij bovendien de dienst waar hij is aangesteld in diskrediet gebracht. Daarmee heeft hij zich niet gedragen zoals een goed ambtenaar behoort te doen en heeft hij zich - verwijtbaar - schuldig gemaakt aan plichtsverzuim. Dat is hem volledig toe te rekenen, zeker nu hij in 2003 al disciplinair was gestraft, zodat hij als een gewaarschuwd man gold. Het ontslag was niet onevenredig aan het plichtsverzuim, omdat de minister hoge eisen mag stellen aan de betrouwbaarheid, integriteit en de voorbeeldfunctie van functionarissen die werken bij een justitiële jeugdinrichting.
Nare afloop
De man heeft volgens de Raad zijn leidinggevende niet te laat geïnformeerd. Hij zat tijdens het voorval al vier jaar thuis en had, buiten de gesprekken over de werkhervatting, weinig contact met de leiding. Hij heeft de dagvaarding wel uit eigen beweging gemeld bij het eerstvolgende reguliere gesprek. Dat was gezien de situatie voldoende tijdig.
De beveiliger heeft nog betoogd dat het ontslag mede is veroorzaakt doordat hij eerder als klokkenluider enkele misstanden aan de kaak heeft gesteld. Maar dat blijkt nergens uit en staat ook los van de oorzaak van het ontslag: het bedreigen van een opsporingsambtenaar. Een nare afloop voor een man met dertig dienstjaren! ‹‹
Het voorval van april 2008 is ernstig plichtsverzuim. Hierbij hecht de Raad grote betekenis aan de onkreukbaarheid van een ambtenaar die werkt als complexbeveiliger bij een justitiële jeugdinrichting, bestemd voor opvang en opvoeding van jeugdigen. Van hem
Centrale Raad van Beroep, 22 september 2011, LJN: BT7326
Security Management nummer 12 december 2011
* mr. ing. R.O.B. Poort is jurist en veiligheidskundige (www.bureaupoort.nl)
recherche
Een kostbaar raamspijltje Beveiligen van woningen is een vak apart. Maar met wat tips uit het Politiekeurmerk veilige woning, gecertificeerd hang- en sluitwerk, en hier en daar een extra technische maatregel kom je een heel eind. Dat dacht ook een echtpaar uit het noorden van het land. Bij terugkeer van vakantie kwamen zij echter bedrogen uit. Hun woning bleek te zijn leeggeroofd. ANJA COUZIJN *
I
n een dorp in het noorden van het land dacht een echtpaar dat hun woning door de aanwezigheid van gecertificeerd hang- en sluitwerk op alle toegangsdeuren, rondom stalen rolluiken, én een – aan de buitenzijde van de woning – gemonteerde raamspijl voor het wc-raampje ‘veilig’ was. Bovendien waren er twee sensorlampen bij de poortdeur in de achtertuin aangebracht. Nadat alle sloten van ramen en deuren in de nachtstand waren afgesloten en de sensorlampen geactiveerd, ging het echtpaar dan ook met een gerust hart op vakantie. Bij thuiskomst bleek echter dat de sensorlampen in de achtertuin waren verbogen en dat de spijl bij het wc-raampje was verwijderd. Voorts bleek dat de achterdeur en het rolluik waren geopend. Bovendien waren de
waarde van ongeveer € 14.000,- en een eenvoudige receiver met een consumentenprijs van € 425,-. Verder zou een kluis met inhoud, te weten € 3.500,- aan cash geld, zijn verdwenen.
was verkregen. Hetzelfde ging op voor de door de bewoners geclaimde dure audio- en visuele apparatuur. Slechts de aanschaf van de eenvoudige receiver kon met een aankoopbon worden gestaafd.
Tijdens het door de politie ingestelde dactyloscopisch onderzoek in de woning werden geen sporen aangetroffen. Kort na de inbraak werd de kluis – opengebroken en leeg – op een sportveld in de omgeving van de woning aangetroffen. Een dactyloscopisch onderzoek hieraan leidde eveneens niet tot resultaten. Een buurtonderzoek leverde evenmin informatie op die naar de dader(s) zou hebben kunnen leiden.
De bewoners konden het merendeel van hun schadeclaim dus niet met aankoopbonnen onderbouwen. Bovendien was het grootste gedeelte van de opgegeven sieraden en overige goederen in hun schadeclaim aangeschaft met zwart geld en bleken de bewoners ‘problemen’ te hebben met het benoemen van de aanschaflocaties van de sieraden.
Beunhazerij Uit het met de bewoners gevoerde gesprek bleek dat zij - kort voor hun va-
De bewoners konden geen aankoopbewijzen overleggen gordijnen gesloten, terwijl deze bij vertrek in open stand waren achtergelaten.
Geen sporen Volgens opgave door de bewoners werden vanuit de woning gouden sieraden met een totale waarde van ongeveer € 16.000,- weggenomen plus een kleurentelevisie, een stereocombinatie, een televisiemeubel, vier geluidsboxen van een zéér duur merk met een totale
Strop
Dit alles deed de verzekeraar besluiten uiteindelijk slechts de waarde van de eenvoudige receiver aan hen uit te keren. Het geheel betrof daardoor een strop van zo’n € 33.000,-.
Winst
kantie - waardevolle inboedelgoederen uit voorzorg naar een kantoor van een sportschool in het dorp hadden gebracht. Dit betrof onder andere een verzameling Swarovski-kristal, gouden sieraden en een motor. Verder bleek in dat gesprek dat de bewoners van alle geclaimde gouden sieraden geen aankoopbewijzen konden overleggen, omdat ze waren aangeschaft met geld dat door ‘beunhazerij’
Het wc-raamspijltje aan de achterzijde van de woning had dus ter voorkoming van een inbraak niet mogen baten. De bewoners waren het erover eens dat hun winst in deze schadeclaim vooral zat in het idee om een luid alarm aan te leggen en om het raamspijltje aan de binnenzijde van de woning te gaan monteren. ‹‹ * Anja Couzijn, Register Onderzoeker, Recherchebureau Couzijn Consultancy
Security Management nummer 12 december 2011
51
onbeperkt
Voor bedrijven met een groot security systeem is het belangrijk om zeker te zijn van onbeperkte groei, zowel qua grootte als functionaliteit. Nedap AEOS is het enige systeem op de markt dat onbeperkte mogelijkheden biedt als het gaat om het aantal deuren, sites, security levels, carriers en functionaliteit.
For more information: Nedap Security Management +31 (0)544 471 111, info@nedap-securitymanagement.com, www.nedap-securitymanagement.com
Mail uw informatie (met jpg-foto) voor deze rubriek naar adekort@kluwer.nl
Dag/Nacht IP-camera De DinionHD 1080 Dag/Nacht IP-camera van Bosch Security Systems combineert beelden in HD-resolutie met een goede werking bij slechte lichtomstandigheden en een goede weergave van kleuren. De 1080p resolutie voldoet aan de HD-norm en komt overeen met 2 megapixels. De geavanceerde beeldverwerking van lens tot processor verzekert dat de beelden in de hele scène scherp blijven. Dit maakt in een
producten
Beelden winkeldieven op Boevenvangen.nl breed gebied betrouwbare identificatie mogelijk van gezichten, objecten en alfanumerieke informatie. Gebruikers kunnen zonder verlies van helderheid inzoomen voor het onderzoeken van specifieke details. Ten slotte is voor HD geoptimaliseerde IVA (Intelligente Video Analyse) ingebouwd.
De site Boevenvangen.nl levert sinds kort stickerpakketten aan winkels en benzinestations met daarop de tekst: ‘Winkeldieven opgelet! Wij hebben camera’s. Als u hier steelt geeft u toestemming om beelden te plaatsen op Boevenvangen.nl’. Deelnemende bedrijven mogen camerabeelden op de website plaatsen. De juridische consequenties zijn voor Boevenvangen.nl.
RVS deurbeslag De Lips 8000-serie is een nieuwe lijn rvs-deurbeslag van Assa Abloy Nederland. De serie omvat inbraakwerend beslag en binnendeurbeslag met knoppen en krukken in tal van uitvoeringen. Standaard is het beslag vast te draaien. Opti-
oneel kan het worden voorzien van een krukgeveerde constructie. Alle krukschilden en rozetten zijn getest volgens de Europese norm NEN-EN 1906. Daarnaast zijn de inbraakwerende cilinderrozetten, breed- én smalschilden SKG*** gecertificeerd. Het assortiment heeft twee krukmodellen als nooddeurbeslag (NEN-EN 179). Zo wordt niet alleen inbraakveiligheid, maar ook vluchtveiligheid geboden.
Vandalismebestendige netwerkdomes
Thermische netwerkcamera’s Axis introduceert een verbeterde reeks thermische netwerkcamera’s: de Q1922 en Q1922-E.
De VGA-resolutie en verschillende lenzen zorgen voor een betere beeldkwaliteit en groter detectiebereik. Door de VGA-resolutie krijgt het gedetecteerde object bovendien meer pixels, waardoor de betrouwbaarheid van de beelden verbetert. Ook is integratie van intelligente video-applicaties mogelijk, waarmee de efficiency van het toezicht toeneemt. De Q1922 is ontworpen voor indoor bewaking, de Q1922-E is een outdoor camera met IP66 certificering.
IP-videosysteem voor kleine bedrijven Honeywell levert een high-definition videobewakingssysteem dat geschikt is voor kleine bedrijven. Deze oplossing op instapniveau combineert de nieuwe Maxpro NVR XE netwerkvideorecorder van Honeywell met de producten in de reeks Performanceserie IP-camera’s. Hiermee wordt de overgang van analoge naar digitale video een stuk eenvoudiger voor kleine organisaties zoals detailhandela-
ren, buurtwinkels, gezondheidscentra en kantoren.
Samsung heeft twee nieuwe HD-megapixelmodellen met ingebouwde IRleds toegevoegd aan het assortiment met vandalismebestendige netwerkdomecamera’s. De SNV-5080R and SNV-7080R kunnen HD-beelden opnemen in daglicht en in duisternis. Dit maakt ze geschikt voor uiteenlopende toepassingen waarvoor 24-uurs bewaking nodig is, waaronder parkeerterreinen, benzinestations, scholen, ziekenhuizen, winkelcentra, vliegvelden en havens. De SNV-5080R heeft een 1,3 megapixelcamera met een gemotoriseerde varifocale lens. Ze kan, met de vijftien ingebouwde IR-leds, beelden opnemen tot 1280 x 1024 (4:3-formaat) en HD 720p (16:9-formaat) van objecten op een afstand tot vijftien meter. De SNV-7080R bevat een Onvif-compatibele 3 megapixel Wide Dynamic Range camera.
Security Management nummer 12 december 2011
53
produc ten -/dienstenregister Beveiliging en toegangscontrole
Beveiliging en Toegangscontrole
CCTV
Handlampen
Toegangscontrolesystemen
Nedap N.V. Security Management Postbus 103 7140 AC Groenlo (T) 0544 471 666 (F) 0544 464 255 (I) www.nedap-securitymanagement.com
Deursloten
!
!
✠Graag ontvang ik meer informatie over de plaatsingsmogelijkheden in het Producten-/ dienstenregister van Security Management.
Organisatie Naam
M/V
Ingevulde coupon kunt u sturen naar:
Postbus Postcode Plaats
U kunt ook bellen: (0172) 46 64 71 of mailen: bumalphen@kluwer.nl
Tel. Email
54
Kluwer t.a.v. Liesbeth van den Hoek Postbus 4 2400 MA Alphen aan den Rijn
Security Management nummer 12 december 2011
Mail uw informatie (met jpg-foto) voor deze rubriek naar adekort@kluwer.nl
Van der Minne voorzitter BHV Platform Met ingang van 1 januari 2012 neemt Steven M. van der Minne het voorzitterschap van het BHV Platform over. Hij volgt Ger van der Veen op, die sinds de oprichting van het
contacten en contracten
Geslaagden ISM 32
Platform als onafhankelijk voorzitter heeft gefungeerd en na twee termijnen niet meer verkiesbaar was. Het BHV Platform is in 2005 opgericht en is de branchevereniging voor bedrijven die actief zijn in het aanbieden van opleiding, training en advisering op het gebied van bedrijfshulpverlening.
Consolid ontvangt Graydon Award Arian en Dennis Mortier, directeuren van Consolid, hebben uit handen van Suzanne de Vletter de Graydon Award ontvangen.
De 32ste Iris Security Management-cursus is door negen deelnemers succesvol afgesloten: B. Berkhout, J. van Bleijswijk, O. Dalsem, M. Heeg, S. Pallada, A.N.H. Sassen, R. Stolk, R.B.M. van der Wijngaart, P.D. van Yperen. Het ISM-diploma geeft hen de mogelijkheid om zich in te schrijven voor de DHM-cursus. Meer informatie: www.iriscursus.nl.
De award wordt uitgereikt als een onderneming behoort tot de 5 procent gezondste bedrijven in haar branche. Consolid is een uitzend- en detacheringsorganisatie, werkzaam in heel Nederland. Het bedrijf specialiseert zich vanaf zijn start in 1990 in de sectoren personenvervoer, wegtransport, railvervoer en beveiliging. De gestage groei in
Nieuwe masters in security deze sectoren heeft Consolid een leidende positie bezorgd binnen het domein Vervoer & Veiligheid.
Bonofacio docent RTGB voor BOA Sherman Bonofacio kreeg op 22 oktober het certificaat waarmee hij zich docent RTGB voor BOA mag noemen. Een docent RTGB is in staat om buitengewoon opsporingsambtenaren (BOA’s) op te leiden, zodat zij kunnen voldoen aan de theoretische en praktische eisen van geweldsbeheersing die in de Regeling Toetsing Geweldsbeheersing Buitengewoon Opsporingsambtenaar zijn vastgesteld.
Op 15 november zijn tijdens een feestelijke ceremonie in het auditorium van de aula van de Technische Universiteit Delft twaalf securityprofessionals afgestudeerd als Master of Security Science & Management. De nieuwe masters zijn: Robin de Gruijter, Ruud Hamaker, Elle de Jonge, Roel van Kempen, Fieke van der Klugt, Ingeborg Kortekaas, John van Leeuwen, Johri Maat, RobertJan Ooteman, Jan Winus van Roode, Andries Schalkwijk, en Frans Visser.
Visser & Van de Ven security management gestart Frans Visser (rechts) en Wil van de Ven hebben de krachten gebundeld en zijn gestart met Visser & van de Ven security management.
Nieuwe CPO’s
Het nieuwe team adviseert en implementeert security management in complexe organisaties, zoals banken, bedrijven en overheidsinstellingen. Door ervaring met grootschalige projecten in diverse organisaties kunnen zij op meerdere niveaus in een bedrijf de in-
Eind oktober hebben de volgende tien kandidaten met success het CPO-examen afgelegd: Bert Meerman, Martijn van der Plas, Nick Reinders, Jan Rijzer, Bert Zielman, Hans Boutkan, Peter Meijer, Paul Timmermans, Anton de Jong, Danny van Zundert.
tegrale veiligheidsprogramma’s daadwerkelijk realiseren.
Security Management nummer 12 december 2011
55
jaaroverzicht
Security Management: index 2011 rubriek en artikel
editie
beurs Samenwerken aan veiligheid Ifsec 2011: camera’s domineren
april juni
beveiliging & recherche ‘Twee uur met de Raad van Bestuur’ Trends in particuliere recherche Neemt de sector de hand aan? Kwaliteitscriteria onderzoeksresultaten Van aanname naar bewijs Social media als recherchetool
pagina
30 42
november november november november november november
10 14 18 21 24 28
januari/februari april juli/augustus juli/augustus juli/augustus
38 17 10 14 17
juli/augustus juli/augustus
18 22
september
31
cctv Cameratoezicht nog nauwelijks effectief Minder camera’s, meer informatie HD: het verschil zit in de details Meer is niet altijd beter, slimmer vaak wel Alkmaar op een scherm Video-as-a-Service Gezichtsherkenning in video surveillance
mei mei mei mei mei mei mei
12 15 18 22 26 29 31
compliance Compliance: de nieuwe uitdaging voor de security manager?
juni
36
congres Functionaliteit versus esthetiek Value for money Asis 2011 in Orlando ‘Less is more’ ‘Denken vanuit mogelijkheden’
maart mei oktober november december
49 44 42 35 46
fraudepreventie Fraude ... De crisis voorbij? Frauditing
januari/februari 26 maart 42
brandveiligheid Wet veiligheidsregio’s en BHV Watermistsysteem voor Technotron Brandveilig verantwoord Werknemers staan niet stil bij brandgevaar Branden voorkomen met zuurstofreductie Veiligheid gegarandeerd in geestelijke gezondheidszorg Brandveilige afvalverbranding Menselijk gedrag te complex voor de bouwregelgeving
rubriek en artikel
editie
Integriteit, 20 jaar na Ien Dales ... Verleiden tot spreken van de waarheid
september september
20 36
maart maart april april mei mei
20 39 28 41 34 47
juni oktober oktober november
25 37 46 47
gastcolumn SSA 2011, hét platform voor facility en security managers Deregulering bedreigt brandveiligheid Wat werkt is hot Een goed gesprek gaat over de juiste zaken Was vroeger alles beter? Beeldvorming en particuliere beveiliging Borging structurele aanpak transportcriminaliteit noodzaak Niet mijn probleem! Het Nieuwe Werken = risico’s accepteren? Is ‘tone at the top’ voldoende? informatiebeveiliging Het Nieuwe Werken of De Nieuwe Kwetsbaarheid? De noodzaak van digitale bewustwording Kennistoets als instrument Hoe veilig is de cloud? Polderen tegen cybercrime Het Doordachte Werken Transitie naar de cloud Waar trek je de grens? Informatiebeveiliging in vogelvlucht Rubriceren, een vak apart? Mobiele apparatuur niet langer zwakste schakel in securitybeleid De buitenwereld op je netwerk Vrijheid versus veiligheid Informatiebeveiliging in de cloud Oplossingen voor databeveiliging Imagoschade? Maak van integriteit een USP!
pagina
januari/februari 32 april 20 april 34 mei 40 juni 26 juli/augustus 26 september 33 oktober 10 oktober 14 oktober 16 oktober oktober oktober oktober oktober november
20 24 26 30 34 42
onderzoek De stand van security management in Nederland
december
14
portret ‘BCM is een andere manier van denken’ ‘Ik wil Nederland veiliger maken
april december
10 10
recherche Creatief met bedden
januari/februari 40
jaaroverzicht
rubriek en artikel
editie
pagina
Safe & secure op het werk? Weg-winkel Order picken of pikken? Wie is de baas? Doodgewoon Onzichtbare uitverkoop Al is de leugen nog zo snel ... Meld fraude anoniem Een kostbaar raamspijltje
maart april mei juni juli/augustus september oktober november december
recht Bedreiging beveiliger bestraft januari/februari VOG afhankelijk van acuut veiligheidsrisico? maart Ondeugdelijke bedrijfsauto: dood door schuld april Ontslag voor dronken werknemer mei Man veroordeeld voor oplichten transportbedrijf juni Loondoorbetaling na mishandeling verhaald juli/augustus Geld verdwenen, werknemers vrijuit september Ondanks bedreiging toch ontslag na fraude oktober Geldtransporteurs mogen stadshart in november Ontslag door loslopende hond december risicomanagement Zwakke schakel nader bekeken BCM: een zorg voor de omgeving? Veiligheid is voelbaar
53 43 53 43 49 43 44 49 51
41 52 42 51 45 48 42 45 51 50
januari/februari 35 juni 39 november 30
safety en security Optimale beveiliging vitale infrastructuur
september
26
sociale veiligheid BOA: een gouden toekomst voor de securitybranche?
september
28
security Balans tussen exploitatie en security Beveiliging van radioactieve stoffen Evenementenveiligheid op het grensvlak tussen publiek en privaat Niet meer in de rij dankzij smartcard Trends in toegangscontrole voor voertuigen Van prijs naar kwaliteit ‘Niet alleen procedures en techniek, maar ook cultuur’ De beveiliger als boeienbinder ‘We werken nu klantgerichter’ Ketenpartner in veiligheid Ook security wordt steeds slimmer Van wijkbewaking naar publiek domein
januari/februari 10 januari/februari 16 januari/februari januari/februari januari/februari maart
20 23 28 12
maart maart maart maart april april
34 40 46 50 14 24
rubriek en artikel
editie
pagina
Security als ambitie Internationale samenwerking vereist Risico’s bij uitbesteden van manbewaking Beveiligingsbranche klimt uit dal Een andere kijk op beveiligen Elektronische uitbraakbeveiliging voor AAP Security risicomanagement 2.0 Ondernemingsgroei in de securitybranche ‘Content in context’ Leren van incidenten en ongevallen in beveiliging Mag het een onsje meer zijn? Balans tussen mens en techniek Professionals vinden elkaar in risico Security manager dynamische schakel tussen wetenschap en praktijk Schoolveiligheid: een kwestie van organiseren Innovatiekansen voor security Groeien naar herkenbaarheid
mei juni juni juli/augustus juli/augustus juli/augustus juli/augustus juli/augustus september
36 29 32 30 32 36 39 44 12
september september september oktober
16 22 38 38
november november november december
32 38 45 42
sociale veiligheid In contact met jeugdgroepen
april
38
SSA 2011 SSA: een overzicht
maart
17
toegangscontrole Van toegangscontrole naar toegangsbeheer Biometrie: een haalbare kaart UHF: een verrijking voor toegangscontrole Open standaarden voor gesloten deuren Maritiem college bewaakt toegang met IP-camera’s Meer dan een cilinder en een sleutel Informatiebeveiliging in de zorg
december december december december
20 23 28 32
december december december
35 37 39
transport/logistiek ‘Doe altijd aangifte’ Beveiliging van de logistieke keten Meer transporten, minder incidenten Continuïteit in logistiek
juni juni juni juni
10 14 17 21
wetenschap Brengt het brein beveiliging in beeld? Behapbaar maken van informatiebeveiliging
maart 30 januari/februari 42
wetgeving Externe inhuur BOA’s in strijd tegen overlast
januari/februari 14
c o lum n
Kantoorkerst
H
et is weer december. Uit de autoradio schalt die eindeloze herhaling van liedjes van vergeten artiesten. Kerst is op komst, ook op kantoor. En dit roept dezelfde associatie op als George Michael, die mijn gehoorvermogen – letterlijk – voor de zesmiljoenste keer met zijn gebroken kersthart tergt. Precies zo voelt ook kantoorkerst. Als nooit in te lassen belofte van saamhorigheid en gezelligheid. Op raadselachtige wijze vieren we dit feest ook nog elk jaar ten burele. Niemand die zich nog afvraagt waarom en waarom ook alweer in die vorm. De ratio hierachter heeft lang geleden plaatsgemaakt voor traditie. Kantoorkerst blijkt bijna net zo hardnekkig als kerst zelf. Dat ik hier ieder jaar vanaf de eerste stralen lentelicht – juist ook beroepsmatig – tegen ageer, maakt geen verschil. Kantoorkerst is een achterhoedegevecht dat ik lang geleden verloor. In tijden van crisis, kostenefficiëntie en ontslagen is het klaarblijkelijk ook voor een multinational (met een kapitaal kantoorpand op dé locatie van dit land) van belang om het feest van het licht te versoberen. Dat is op zichzelf natuurlijk goed te begrijpen en bovendien verdedigbaar. Wat mij vooral aan dit fenomeen verwondert, is de diepere essentie ervan. Waar ik steevast op uitkom, is dat wat carnaval is voor katholieken, kerst is voor de kantoorklerk: voor even de wereld op zijn kop. We hadden in het verleden wel van die kerstvieringen samen met partners. Die waren overzichtelijk (zo niet saai) en eindigden – op het drinkgelach van enkele verdwaalde jonge singles na – altijd voortijdig. Maar de partner is een aantal jaren geleden uit kostenoverwegingen uit het kersconcept weggesneden. Tegenwoordig vieren we kerst onder collega's. Als gevolg hiervan haakt 60 procent vroeg af om naar partners en kid(s) te gaan. De overige 40 procent blijft tot de bar – en de zorgvuldig
58
Security Management nummer 12 december 2011
bewaarde/meegesmokkelde reservevoorraad – leeg is. Zo verandert onze doorgaans steriele kantooromgeving in een waar bacchanaal. De beelden van eerdere edities staan mij nog helder voor de geest. Maakte die senior manager in ons bijzijn nou echt die foute grap over Afrikaanse collega's? Is dat moderne kunst daar aan de muur? Of heeft die jongen van sales gewoon talent om kunstzinnig te vomeren? Ah, de afdeling communicatie laat nog wat kunstsneeuw in de neus verdwijnen, zie ik. Was dat trouwens Kathleen van HR daar met de kerstman in het kopieerhok? Nooit geweten dat je die kantoorzuil ook kon gebruiken voor paaldansdoeleinden, totdat Juridische Zaken het demonstreerde. En aan het einde van de avond vertrekt iedereen weer met ongekend promillage, al rijdend in luxe bedrijfseigendom richting god knows where. Tenzij je natuurlijk dronken onder je bureau in slaap gevallen bent. Ondertussen flikkeren de tweets over het scherm en staan de eerste foto's al op Facebook. Het tegengaan van ongewenst gedrag en integer handelen nemen in ons beleid een centrale plaats in. Behalve in december. Dan faciliteren we met kantoorkerst normoverschrijdend gedrag. We organiseren ons eigen anti-awarenessprogramma. En dat wat in een jaar is opgebouwd, wordt in één avond zorgvuldig ongedaan gemaakt. Vrolijk kerstfeest en veel goede voornemens voor 2012!
Colin T. is security manager bij een Nederlandse multinational. Aan de hand van de weerbarstige securitypraktijk van alledag geeft hij maandelijks zijn kijk op veiligheid.
CardAccess. Uw toegang tot de toekomst. CardAccess is het perfecte toegangscontrolesysteem waarmee elk
loze integratie met inbraakdetectie, videobewaking en tijdregistratie,
bedrijf klaar is voor de toekomst. De SQL-database kunt u onge-
laat u real-time zien wie er in welk gebouw is en is compatibel met
limiteerd opsplitsen en u kunt zowel via telefoonverbindingen als
elke smart card- en biometrie technologie. En door de modulaire
via TCP/IP communiceren met uw Local of Wide Area Network.
opbouw groeit het systeem moeiteloos met u mee.
Daarmee heeft u optimale beheersing over alle bedrijven in uw pand of over alle panden in uw bedrijf, waar ook ter wereld.
Meer informatie over het beveiligingssysteem voor uw toekomst?
CardAccess biedt u bovendien alle benodigde software voor naad-
Bel dan ARAS Security op 0416 - 32 00 42 of kijk op www.aras.nl.
CardAccess 3000 is een product van ARAS Security
groeit met u mee.
be bright be sure