SECURITY_2012_11 by VMN Media

nummer 11, november 2012

ONAFHANKELIJK VAKBLAD VOOR PROFESSIONELE BEVEILIGING

www.securitymanagement.nl

THEMA: INFORMATIEBEVEILIGING

Deskundigen over security manager van de toekomst

‘Ambieer de top’ Trends in informatiebeveiliging

Mystery visit: spiegel voor de organisatie

Inlichtingenanalyse en de security manager

Onafhankelijk vakblad voor professionele beveiliging Security Management, onafhankelijk vakblad voor professionele beveiliging, is een uitgave van Vakmedianet bv. Vakmedianet legt de gegevens van abonnees vast voor de uitvoering van de (abonnements-)overeenkomst. De gegevens kunnen door Vakmedianet, of zorgvuldig geselecteerde derden, worden gebruikt om u te informeren over relevante producten en diensten. Indien u hier bezwaar tegen heeft, kunt u contact met ons opnemen. Hoofdredacteur Arjen de Kort (adekort@vakmedianet-alphen.nl) Eindredactie Ineke de Graaff Redactieadres Postbus 4 2400 MA Alphen aan den Rijn Telefoon (0172) 46 64 88 Fax (0172) 42 28 04 Uitgever Fréderique Zeemans Marketing Judith Verkerk E-mail: jverkerk@ vakmedianet-alphen.nl Advertentieverkoop Richard van Dijk / Liesbeth van den Hoek Telefoon (0172) 46 64 71 / 06 - 33 03 14 74 richardvandijk@vakmedianet.nl, lvdhoek@vakmedianet-alphen.nl Abonnementen Vragen over abonnementen kunt u richten aan de Klantenservice, ☎ (0570) 67 33 58, www.kluwer.nl/klantenservice De abonnementsprijs is € 129,- exclusief btw, per jaar. Studenten betalen € 55,- inclusief btw. Prijzen zijn inclusief verzend- en administratiekosten. Losse verkoopprijs € 19,- per nummer, exclusief btw. Een abonnement kan op elk moment ingaan. Op elk tweede en volgende abonnement krijgt u 25% korting. U ontvangt 10 nummers per jaar. Opzeggen kan schriftelijk tot 3 maanden voor de nieuwe jaargang bij Kluwer bv, Postbus 878, 7400 AW Deventer. Adreswijzigingen (met de oude adresgegevens) doorgeven aan Kluwer bv, afd. Relatiebeheer, Postbus 23, 7400 GA Deventer. Abonnementen in België Wolters Kluwer Belgium (WKB) Motstraat 30, B- 2800 Mechelen Telefoon: 0800-30143 Fax: 0800-17529 E-mail: info@kluwer.be U vindt de algemene voorwaarden van WKB op www.kluwer.be Auteursrecht voorbehouden Niets uit deze uitgave mag zonder voorafgaande schriftelijke toestemming van de uitgever worden openbaar gemaakt of verveelvoudigd. Op iedere inzending van een bijdrage of informatie zijn de Standaardpublicatievoorwaarden van Wolters Kluwer Nederland BV van toepassing, gedeponeerd ter griffie van de arrondissementsrechtbank te Amsterdam, onder nummer 217/1999; een kopie kan kosteloos bij de uitgever worden opgevraagd. Op alle uitgaven van Kluwer zijn de algemene leveringsvoorwaarden van toepassing. Deze kunt u lezen op www.kluwer.nl of opvragen via ☎ (0570) 67 33 58. Partners ARAS Security, Axis Communications, EuroPAC Alarmcentrale, G4S Beveiliging bv, Insasco, Securitas, Trigion Opmaak en DTP colorscan bv, Voorhout - www.colorscan.nl Basisvormgeving Verheul Media Supporters, Alphen aan den Rijn Druk: Koninklijke Van Gorcum, Assen

Bedrijfskapitaal

co lum n

Het begon een paar jaar geleden, toen elke zichzelf respecterende manager opeens een Blackberry moest hebben. De gangbare Nokia Classic voldeed niet meer, want hij moest toch overal en altijd bereikbaar zijn en niet alleen een telefoongesprekje kunnen voeren, maar vooral de hele dag – en natuurlijk ook de avond en het weekend – zijn mail kunnen checken. Vervolgens kwam Apple met de iPhone en was het hek van de dam. Binnen de kortste keren liep iedereen met een smartphone, al snel gevolgd door de tablet. Bijzonder is dat mensen deze privé aangeschafte apparaten vervolgens ook zakelijk willen gebruiken. Daarmee is dit bring your own device vanuit bedrijfseconomisch perspectief eigenlijk een fantastische ontwikkeling: medewerkers schaffen hun eigen ‘gereedschap’ aan, kunnen ook nog eens 24/7 voor de zaak aan het werk en zijn altijd bereikbaar. Maar zoals zo vaak blijkt niet alles rozengeur en maneschijn en heeft ook deze medaille een keerzijde. In dit themanummer Informatiebeveiliging aandacht voor een aantal aspecten hiervan. Zo willen medewerkers met hun mobile devices toegang tot het bedrijfsnetwerk. Echter, hiermee worden tegelijkertijd de poorten geopend voor vele nieuwe dreigingen. Het Nationaal Cyber Security Centrum stelt dat digitale spionage en cybercriminaliteit inmiddels de grootste dreigingen zijn voor overheid en bedrijfsleven en dat cybercriminelen er steeds vaker in slagen om met name via de meestal slecht beveiligde privé-apparaten bij bedrijven binnen te komen. En zo weten ze door te dringen tot het bedrijfskapitaal van deze tijd: informatie. Maar veel bedrijven hebben grote problemen met het beveiligen van de bedrijfsinformatie die medewerkers via hun smartphones en tablets kunnen benaderen. De talrijke incidenten van de afgelopen maanden maken dat duidelijk. Daarom wordt er hard gewerkt aan nieuwe technische beveiligingsoplossingen, zo is te lezen in een tweetal artikelen. Maar eigenlijk begint betere beveiliging natuurlijk bij meer bewustwording bij de medewerkers die met hun own device op het bedrijfsnetwerk actief zijn. Dat dit succesvol kan, vertelt Peter Hepp (beleidsmedewerker Informatiebeveiliging provincie Overijssel). Met de inzet van mystery visits betrok hij de hele organisatie bij de problematiek, met als uitkomst dat hij rondom het toenemende fenomeen van bring your own device nu zelfs vragen krijgt van de mensen over hoe ze veilig kunnen werken met hun eigen tablet. Arjen de Kort Hoofdredacteur Security Management, adekort@vakmedianet-alphen.nl

ISSN 1386-0941

www.securitymanagement.nl

Security Management Groep Meer Security Management? Volg ons ook op Twitter: www.twitter.com/@Security_Mgt Security Management nummer 11 november 2012

Onafhankelijk vakblad voor professionele beveiliging

10 ‘Ambieer de top’ Arjen Appelman, Cees van der Giessen en Glenn Schoen zijn drie toppers binnen het vakgebied security management. In het afsluitende artikel van de serie over risicomanagement reflecteren deze securityprofessionals tijdens een rondetafeldiscussie op de eerder in deze serie gepubliceerde interviews. Ook geven zij hun visie op de security manager van de toekomst, die zich wat hen betreft moet kunnen meten met andere specialisten in het bedrijfsleven. Hun advies: ‘Ambieer de top’.

t hema | informatiebeveiliging

14 Trends in informatiebeheer Informatie is tegenwoordig de grote aanjager van bedrijven én - afhankelijk van hoe ermee wordt omgegaan - de grote vertrager. Bedrijven die geen controle krijgen over hun gegevens en deze niet goed kunnen beschermen, krijgen het moeilijk. Wat zijn de belangrijkste trends op het terrein van informatiebeheer?

t hema | informatiebeveiliging

22 Mystery visit: spiegel voor de organisatie De provincie Overijssel actualiseerde twee jaar geleden het beleidsplan Informatiebeveiliging. Daarin werd expliciet geformuleerd dat de organisatie aan bewustwording zou werken. Om dit te bewerkstelligen werd gebruikgemaakt van zogenaamde mystery visits. Wat waren de verwachtingen vooraf? En wat zijn de ervaringen?

Security Management nummer 11 november 2012

t hema | informatiebeveiliging

16 Veiligheid ‘aan toonder’ In deze tijd met digitale en virtuele kennisoverdracht komt het papieren document steeds meer in het gedrang. Reden te meer om dat wat op papier blijft bestaan adequaat te blijven beveiligen tegen oneigenlijk gebruik.

20 Hoe breng je security bij de mensen? Het risicobewustzijn in organisaties – zowel bij het management als op de werkvloer – kan meestal beter. Om dit te bewerkstelligen zou er niet normgestuurd maar belevingsgestuurd moeten worden gewerkt, beweert Ronald Valk.

26 Mobile device security: een uitdaging Via smartphones en tablets bedrijfsinformatie raadplegen en delen is heel gewoon geworden. Maar de beveiliging van mobiele apparaten staat nog in de kinderschoenen. In de zoektocht naar balans tussen gebruiksgemak en veiligheid wordt inmiddels aan betrouwbare oplossingen gewerkt.

28 Veilig communiceren met certificaten Het is ongeveer een jaar geleden dat de problemen bij de certificate authority (CA) Diginotar bekend werden. Een goed moment voor een artikel over wat er nu allemaal veranderd is naar aanleiding van dit incident.

31 Gastcolumn Richard Franken 32 Digitale spionage grootste dreiging Afgelopen zomer publiceerde het Nationaal Cyber Security Centrum (NCSC) het tweede Cybersecuritybeeld. Daarin beschrijft het centrum de actuele ontwikkelingen en dreigingen in het nationale ICT-domein. Een samenvatting.

En verder 3

colofon

column

nieuws

recherche

recht

contacten en contracten

young professional

34 HNW en BYOD vragen om betere beveiliging Door de ontwikkeling van HNW moeten in toenemende mate eigen smartphones en tablets van medewerkers toegang krijgen tot bedrijfssystemen. Dit vraagt om een betere beveiliging van kritische applicaties en informatie.

36 Inlichtingenanalyse en de security manager Wat is inlichtingenanalyse? Is er een relatie met security? En in het verlengde daarvan, wat kun je ermee als security manager? In een serie van twee artikelen gaat Ron Geraets in op deze vragen.

40 Security Essen 2012: brancheoverzicht Het beurscomplex in het Duitse Essen was van 25 – 28 september weer even het middelpunt van de beveiligings- en veiligheidswereld. Een dagje beurs.

42 Het rendement van security Wat is het rendement van security? En hoe bepaal je dat? Wat zijn je securityambities? En hoe zijn deze te borgen? Deze vragen stonden centraal tijdens het Security Riskmanagement Event 2012.

44 Nieuwe aanpak Veiligheid Kleine Bedrijven De huidige regeling Veiligheid Kleine Bedrijven (VKB), waarbij ondernemers op basis van een veiligheidsscan subsidie krijgen voor veiligheidsmaatregelen, verandert in 2013 ingrijpend. Een overzicht.

Extra: Focus op Facility Coverfoto: Eduard van der Worp

Security Management nummer 11 november 2012

nieuws

Gegevens niet veilig in Amerikaanse cloud Gegevens die in de cloud van Amerikaanse bedrijven worden geplaatst, zijn niet veilig voor de Amerikaanse overheid. Een nationale cloud zou in dit geval meer rechtsbescherming kunnen bieden.

de vragen over de Amerikaanse Patriot Act. De huidige wetgeving in zowel de Verenigde Staten als Nederland zorgt ervoor dat bevoegde instanties de mogelijkheid hebben om gegevens van kennisinstellingen op te vragen. Het maakt daarbij in principe niet uit of die gege-

vens in het eigen datacenter of in de cloud staan. Wanneer de gegevens in een cloud staan bij een leverancier die onder Amerikaanse jurisdictie valt, kunnen de gegevens direct vanuit de VS bij de betreffende onderneming/instelling worden opgevraagd.

Dat stelt het Instituut voor Informatierecht, dat onderzoek deed naar de toegang van overheden tot data die zich in de cloud bevinden. Belangrijkste aanleiding voor het onderzoek zijn veelgestel-

Schollmann nieuwe directeur Securitas Peter Schollmann is benoemd tot Algemeen Directeur Nederland bij Securitas. Hij volgt in deze nieuwe functie Vinz van Es (voormalig directeur Services Nederland), Dennis Gähler (voormalig directeur Mobile Nederland) en Marc Cramers (voormalig directeur Alert Services Benelux) op. Schollmann werkt sinds 2004 bij Securitas in diverse functies, waaronder divisiedirecteur Aviation in Nederland. De benoeming van Algemeen Directeur Nederland maakt onderdeel

uit van een wereldwijde reorganisatie van Securitas, waarmee het beveiligingsbedrijf verwacht beter in te kunnen spelen op behoeften en wensen van de klant in een steeds veeleisender beveiligingsmarkt. De huidige divisiestructuur met de onderdelen Mobile, Monitoring en Services wordt per direct samengevoegd om vanuit één organisatie een gecombineerde veiligheidsoplossing aan te bieden. Met name de implementatie van technologische oplossingen wordt hiermee versneld gerealiseerd.

Beveiliging Nederlandse kerncentrales in orde Uit een uitgebreid onderzoek van het Internationaal Atoomenergieagentschap (IAEA) blijkt dat kerncentrales en andere nucleaire installaties in Nederland aan alle eisen voor beveiliging voldoen. Dat schrijft minister Maxime Verhagen (EL&I) aan de Tweede Kamer. Verhagen is tevreden over het onderzoek: ‘Nederland voldoet aan de bestaande eisen en werkt aan verdere invoering van de nieuwste eisen als het gaat om beveiliging. Veiligheid bij

kerncentrales moet vooropstaan.’ De beveiliging van alle Nederlandse nucleaire installaties is door het IAEA onder de loep genomen: de kerncentrale in Borssele, NRG Petten en de onderzoeksreactor in Delft. Het IAEA beveelt aan de nieuwste internationale beveiligingsvoorschriften ook in de Nederlandse weten regelgeving op te nemen. De missie van de IAEA heeft de Nederlandse nucleaire installaties in de periode van 2005 tot 2012 vier keer bezocht. Nederland is het eerste WestEuropese land waar de IAEA de com-

Security Management nummer 11 november 2012

plete reeks aan inspectiebezoeken heeft voltooid.

nieuws

Gratis veiligheidscheck voor winkels Tijdens de Week van de Veiligheid is het Hoofdbedrijfschap Detailhandel (HBD) met een actiecampagne gestart voor meer veiligheid in de winkels. Deze campagne, die loopt tot en met maart 2013, houdt in dat bij 10.000 winkels in Nederland een gratis Veiligheidscheck wordt uitgevoerd. De campagne ‘Hoe veilig is uw zaak? Doe de veiligheidscheck!’ is bedoeld om winkeliers beter bewust te maken van wat zij zelf kunnen doen om de veiligheid in en rond de winkel te vergroten. Dat kan al met eenvoudige maatregelen die relatief weinig tijd en investeringen vergen en veel opleveren. Voor de Veiligheidschecks wordt samengewerkt met ROC’s die opleidingen verzorgen op het gebied van beveiliging en veiligheid. Het mes snijdt zo aan twee kanten: de ondernemers krijgen veiligheidsadvies en de leerlingen doen nuttige praktijkervaring op. Tot en met eind maart 2013 wordt bij in

totaal 10.000 winkels een Veiligheidscheck uitgevoerd. Onder begeleiding van het Hoofdbedrijfschap Detailhandel voeren ROC-studenten de Veiligheidschecks in de winkels uit. Zij controleren – in hun beveiligingsuniform – de winkels op twaalf belangrijke aandachtspunten. Dat gaat om zichtbare zaken, zoals de aanwezigheid van camera’s, een confrontatiemonitor (waarop de klant zichzelf kan zien), de aanwe-

zigheid van huisregels, het gebruik van een afroomsysteem, een overzichtelijke winkelinrichting, enzovoort. Ook de alertheid van medewerkers wordt gecheckt: wordt de klant begroet als hij de winkel binnenkomt? Na afloop van de quick scan krijgt de ondernemer de veiligheidschecklist met de uitslag, en aanvullende tips & tools. Daarmee kan hij zelf maatregelen nemen ter verbetering van punten die nog niet in orde zijn.

Norm ontruimingsalarminstallaties geactualiseerd De norm voor ontruimingsalarminstallaties NEN 2575 is aangepast aan de laatste inzichten. Een herziening van NEN 2575 werd noodzakelijk, omdat een aantal Europese geharmoniseerde normen van kracht is geworden. In de loop der jaren is de norm steeds uitgebreider geworden, waarbij de eisen

voor de verschillende typen ontruimingsalarminstallaties door elkaar heen lopen. Daarom heeft de normcommissie besloten de norm in delen te publiceren. Een ontruimingsalarminstallatie heeft als doel om ervoor te zorgen dat, in geval van een calamiteit zoals brand, mensen zichzelf in veiligheid kunnen brengen of geholpen worden bij het in

veiligheid brengen. Ontruimingsalarmering speelt een belangrijke rol bij de hedendaagse brandveiligheid.

Europees kenniscentrum cybersecurity opgericht Alliander, DNV Kema en KPN richten samen met TNO en de Radboud Universiteit een nieuw Europees kenniscentrum voor cybersecurity op: het European Network for Cyber Security (ENCS). ENCS gaat zich bezighouden met onderzoek, testen, kennis delen en training op het gebied van cybersecurity voor vitale infrastructuren zoals energie-, water- en telecomnetten en helpt zo eigenaren van infrastructuren zich

beter te beveiligen tegen cybercrime. Gezien het grensoverschrijdende karakter van cybercrime, richt ENCS zich erop zoveel mogelijk Europese partijen te betrekken in deze missie. Het cen-

trum levert een bijdrage aan een zo goed mogelijke beveiliging tegen cybercriminaliteit van Europese vitale infrastructuren. Daarin worden steeds meer ICT-middelen toegepast, waardoor de gevoeligheid voor cybercrime zoals hacks toeneemt. ENCS verleent vier geïntegreerde diensten: Research & Development, Cyber Testing, Training en Information & Knowledge Sharing. Daarbij maakt ze gebruik van kennis en kunde van de aangesloten organisaties.

Security Management nummer 11 november 2012

nieuws

Security Management Survey 2012 COT Instituut voor Veiligheidsen Crisismanagement en Security Management organiseren alweer voor de derde keer de Security Management Survey. Met behulp van dit onderzoek willen zij jaarlijks de actuele staat van het security management in Nederland inzichtelijk maken en relevante trends en ontwikkelingen op het gebied van security management identificeren. De resultaten van het onderzoek zullen worden gepubliceerd in Security Management nummer 1/2 van 2013.

Deelnemen? De vragenlijst staat op www.securitymanagement.nl. Invullen kost u niet meer dan 10 minuten. Bovendien ontvangen alle deelnemers die de vragenlijst volledig invullen, 1/5 Staatslot!

Opvallende uitkomsten Survey 2011 » De piek van de mannelijke dominantie vlakt af en er is sprake van verjonging. » De securityprofessional is ook toenemend (mede)verantwoor-

delijk voor ICT-security. » De aandacht van de securityprofessional richt zich primair op risico’s van alledag, zoals diefstal.

Overheid roept op tot aandacht beveiliging privégegevens De Nederlandse overheid roept bedrijven en instellingen via het Nationaal Cyber Security Centrum (NCSC) op om meer aandacht te hebben voor het beveiligen van gevoelige gegevens. Dat blijkt uit een bericht op de website van het NCSC. ‘Het afgelopen jaar heeft de pers, in samenwerking met ethische hackers, diverse problemen met de informatie-

beveiliging van bedrijven en instellingen aan de kaak gesteld’, zo staat in de verklaring. Daarbij zijn (vaak) gevoelige gegevens van burgers buitgemaakt. Dergelijke incidenten vormen hoogstwaarschijnlijk het topje van de ijsberg. Het NCSC vraagt dan ook opnieuw aandacht voor een goede informatiebeveiliging.’ Er is op de website een handleiding geplaatst met tips rond het updaten van software, ‘two factor

authentication’ en netwerkbeveiliging. Directe aanleiding voor het advies was het recente lek bij het Groene Hart Ziekenhuis in Gouda, waarbij onder andere patiëntgegevens waren in te zien.

‘Veiligheid miljarden te duur’

Opstelten wil taser voor alle agenten

Een nieuw kabinet kan miljarden euro’s bezuinigen door overdreven veiligheidsmaatregelen te schrappen. Dat stelde de Nijmeegse hoogleraar Besturen van Veiligheid, Ira Helsloot, recentelijk in de Volkskrant.

Alle agenten moeten een taser krijgen. Dat vindt demissionair minister Ivo Opstelten van Veiligheid en Justitie. Opstelten wil onderzoeken of het stroomstootwapen tot de standaarduitrusting kan gaan behoren.

De taser is vorig jaar geïntroduceerd bij de speciale arrestatieteams. De ervaringen zijn positief. Binnenkort start een proef om te bekijken of het stroomstootwapen voor alle agenten bruikbaar is. Door een stroomschok van een taser is een persoon in één keer uit te schakelen.

Security Management nummer 11 november 2012

Volgens Helsloot wegen politici als het om veiligheid gaat, meestal niet de kosten af tegen de baten. Ze reageren op emotionele prikkels uit de media en zijn bang dat burgers boos worden als de veiligheid niet voor 100 procent is gegarandeerd, zegt hij. Bovendien hoeven organisaties die adviseren over veiligheid de benodigde maatregelen niet zelf te betalen.

nieuws

Nederlanders zijn voor preventief fouilleren Ruim 86 procent van de ondervraagde Nederlanders is voor preventief fouilleren op wapens. Slechts 7,5 procent is tegen. Ruim 62 procent vindt het fouilleren op wapens geen schending van de privacy en bijna 79 procent van de ondervraagden is van mening dat Nederland hier veiliger van wordt. Dat blijkt uit een onderzoek van het NCRV-opinieprogramma Altijd Wat. Uit het onderzoek blijkt ook dat bijna negen op de tien respondenten voor preventief fouilleren zijn rondom voetbalwedstrijden, ruim acht op de

tien rondom dansevenementen en 82 procent tijdens demonstraties. Zes op de tien ondervraagden zijn voor preventieve fouilleeracties in het openbaar vervoer, 57 procent voor dergelijke fouilleeracties in de eigen stad/ dorp en de helft van de respondenten is voor het preventief fouilleren in de eigen wijk.Altijd Wat onderzocht ook of iedereen tijdens een preventieve fouilleeractie gefouilleerd moet worden of alleen risicogroepen. Ruim zes op de tien ondervraagden vinden dat iedereen preventief gefouilleerd moet worden op wapens en niet alleen bepaalde risicogroepen. Als uit meldingen blijkt dat mensen van een bepaal-

de afkomst verantwoordelijk zijn voor (wapen)geweld op een bepaalde plek, dan vindt 54 procent het geoorloofd dat alleen mensen van deze afkomst worden gefouilleerd. Als extra vraag is aan de respondenten voorgelegd hoe zij kijken naar het plan van de gemeente Amsterdam. Deze overweegt scanpalen in te zetten om te kijken of iemand wapens bij zich draagt. Uit het onderzoek blijkt dat ruim twee derde een voorstander is van scanpalen. Daarmee zou de politie via röntgen kunnen zien of iemand een wapen draagt. De gemeente Amsterdam doet op dit moment een onderzoek naar scanpalen.

Truckparking moet eind maken aan kamperen Met de opening van de derde beveiligde en betaalde parkeerplaats voor vrachtwagens in de Rotterdamse haven moet er een eind komen aan het kamperen langs de weg. Stadstoezicht gaat boetes uitdelen als chauffeurs wildparkeren langs wegen in de haven. Het Havenbedrijf Rotterdam is blij met de handhaving, want het wildparkeren werd een steeds groter probleem. Chauffeurs kookten naast de vrachtwagen hun potje en droogden

er hun wasgoed. ‘Maar de volgende dag lieten ze alle troep liggen. Het zag er niet uit’, aldus een woordvoerder van het havenbedrijf. Inmiddels is de derde bewaakte parkeergelegenheid geopend en wordt over 1,5 jaar een parkeerplaats op de Maasvlakte 2 geopend die plaats biedt aan nog eens 500 vrachtwagens. In totaal zijn er in Rotterdam dan circa 800 parkeervakken achter hekken en een slagboom beschikbaar. Nederland telt nu circa 25 betaalde parkeerplaatsen. ‘De capaciteit van

Taken brandweer van gemeenten naar veiligheidsregio’s De Eerste Kamer heeft ingestemd met de wet waarbij alle brandweergerelateerde taken naar het regionale niveau van de veiligheidsregio worden getild. Per 1 januari 2014 dient de brandweer in alle veiligheidsregio’s te zijn geregionaliseerd. Hiermee komt een einde aan de gemeentelijke brandweer. Daarnaast komt er door de aangenomen wet één organisatie die de krachten bundelt op het terrein van de fysieke veiligheid in Nederland. De taken die nu door het Nederlands instituut fysieke veiligheid (NIFV), het Nederlands Bureau brandweerexamens

(NBBE), de Landelijke Faciliteit Rampenbestrijding (LFR) en de LMDBrandweer worden gedaan, gaan op in een nieuwe organisatie: het Instituut Fysieke Veiligheid (IFV). Het instituut zal worden bestuurd door de voorzitters van de 25 veiligheidsregio’s. Zo zal het IFV zich onder andere richten op het ontwikkelen van lesstof, oefenstof en leerstof voor de officiersopleidingen, het geven van certificaten voor brandweeropleidingen en het delen van informatie en expertise. Ook zal het IFV zich bezighouden met het verwerven en beheren van materieel, uitrusting en telecommunicatievoorzieningen. Het IFV zal op 1 januari 2013 van start gaan.

deze parkeerplaatsen varieert tussen de 50 en 150 plaatsen. Transportcriminaliteit blijft een groot probleem, maar gelukkig daalt het aantal ladingdiefstallen flink. Dat is mede te danken aan het stijgende gebruik van deze beter beveiligde betaalparkings’, zegt een woordvoerder van Transport en Logistiek Nederland.

Adverteerdersindex Axis Communications BV 54 Bosch Security Systems BV 53 Delft Toptech 15 Evenementenhal Venray bijsluiter Hoffmann Bedrijfsrecherche BV 2 Hoofdbedrijfschap Detailhandel 18 ILOQ Benelux bv 27 Nsecure B.V. 25 Signum Interfocus 50 Spyke Security BV 43 Trigion 39 Focus op Facility Axxerion CWS Dataclient ISS Kimberly Clark Miele Professional VITAM Catering

Security Management nummer 11 november 2012

4 6 8 10 12 14 16

risicomanagement

Security manager van de toekomst

‘Ambieer de top’ Arjen Appelman, Cees van der Giessen en Glenn Schoen zijn drie toppers binnen het vakgebied security management. In dit afsluitende artikel van de serie over risicomanagement reflecteren deze gerenommeerde securityprofessionals tijdens een rondetafeldiscussie op de eerder dit jaar gepubliceerde interviews. Ook geven zij hun visie op de security manager van de toekomst, die zich wat hen betreft moet kunnen meten met andere specialisten in het bedrijfsleven. FRANS VISSER EN WIL VAN DE VEN *

e locatie waar deze drie securitytoppers elkaar treffen is een landelijk gelegen dijkhuisje tussen Ouderkerk aan de Amstel en Abcoude met de toepasselijke naam ‘Werk aan de winkel’. Bij aanvang geven de heren aan zin te hebben in een goed gesprek over het vakgebied, waarin een aantal quotes uit de eerder door ons gepubliceerde artikelen in de serie over risicomanagement leidend zijn.

Risicomanagement De spits wordt afgebeten door Glenn Schoen met een reactie op de uitspraak van Henri Wijers (directeur Facilitair Bedrijf van Ziekenhuisgroep Twente) uit het eerste artikel in de serie, dat risicomanagement topprioriteit is van de Raad van Bestuur. Volgens hem zijn er drie manieren waardoor een bedrijf kan ophouden te bestaan: uitgekocht worden, langzaam doodgaan door

slecht management, of snel doodgaan omdat het een crisis niet overleeft. ‘In het laatste geval legt de crisis niet goed functionerende risicobeheersmaatregelen bloot en niet zelden een gebrekkig security managementproces dat juist mensen en processen moet be-

Bestuurders hebben moeite het belang van security voor de continuïteit van hun organisatie te bepalen schermen. Maar niet alleen dat proces. Of je nu een school of een fabriek bent, het gaat erom dat je kernprocessen blijven functioneren. Dat betekent dat je voortdurend stilstaat bij de risico’s die aan die bedrijfsprocessen kleven. Maar vooral ook dat je op tijd mi-

Risicomanagement door de bril van … Frans Visser en Wil van de Ven interviewden de afgelopen maanden professionals die in de dagelijkse praktijk te maken hebben met risicomanagement. Met deze serie van vier artikelen krijgt u inzicht in de wijze waarop risicomanagement zich ontwikkelt in een tijdsgewricht waarin (technologische) ontwikkelingen zich in hoog tempo aandienen. » Security Management 2012 / 3: ‘Veiligheid is topprioriteit Raad van Bestuur’ » Security Management 2012 / 5: ‘Bijdragen aan organisatiedoelen is uitdaging integrale veiligheid’ » Security Management 2012 / 7-8: ‘Op zoek naar de vraag achter de vraag’ » Security Management 2012 / 11: ‘Ambieer de top’

tigerende maatregelen neemt. Het belang van een goed systeem van corporate securitymanagement wordt helaas nog niet altijd doorzien aan de top.’ Naar zijn opvatting zou daaraan in bijvoorbeeld MBA-opleidingen meer aandacht moeten worden geschonken:

Security Management nummer 11 november 2012

‘Risk wordt toch vaak vertaald in legal, tax, of andere traditionele business risks. Maar niet in security, safety of operational risks.’ Toch zie je volgens Arjen Appelman met name bij universiteiten de trend dat het topmanagement zich steeds meer bemoeit met risicomanagement. Wat daarbij opvalt, is dat sterk risicomanagement vooral voortkomt vanuit een calamiteit of incident. Feitelijk onderschrijven de cases van ZGT en TU Delft uit de eerder gepubliceerde artikelen deze bewering, aangezien in beide situaties een brand met ernstige gevolgen de aanleiding was het security management te verbeteren. Cees van der Giessen valt Appelman bij door te stellen dat het ook in het bedrijfsleven heel lastig is om securitybeleid te laten ac-

risicomanagement

De rondetafeldiscussie vond plaats in een landelijk gelegen dijkhuisje. Met de klok mee: Wil van de Ven, Glenn Schoen, Cees van der Giessen, Arjen Appelman, Frans Visser. corderen door de RvB en dat hier eveneens vaak een driver nodig is, zoals een grootschalig incident of een crisis.

Bedrijfskundig Volgens Schoen hebben bestuurders vaak moeite om het belang van security voor de continuïteit van hun organisatie te bepalen. Security managers hebben daarentegen moeite om de core business van de organisatie en haar processen te doorgronden. Ze kunnen soms met het eigen specialisme maar moeilijk aansluiten bij de strategie van de onderneming. ‘Daarom is het van belang dat de nieuwe generatie security managers niet automatisch uit de traditionele werkvelden komt, maar zijn zij bij voorkeur breder en hoger opgeleid en hebben zij behalve een securityopleiding ook een bedrijfskundige opleiding.’ In de visie van Schoen zal dit hen een bredere kijk geven op organisaties, waardoor zij beter aansluiten op de koers van de onderneming en zij security management daarin als een vol-

waardige discipline kunnen vormgeven. Hiermee onderschrijft hij de quote van Ron Massink (TU Delft) dat bijdragen aan organisatiedoelen de uitdaging is voor integrale veiligheid. In aanvulling hierop stelt Van der Giessen dat hij in bedrijven de relatie tussen de veiligheidsen de kwaliteitsmanager steeds inniger ziet worden. ‘Veiligheidszorg - waaronder security management

waarvan de resultaten op boardroomniveau worden gepresenteerd.’

Boardroom Op de daaropvolgende vraag hoe het toch komt dat het lijkt alsof veiligheidszorg in de boardroom beter op de kaart staat dan security management, geeft Appelman als verklaringen dat veiligheidsmanagers vooral uit de we-

‘Je moet in staat zijn risico’s concreet te benoemen’ - wordt efficiënt en effectief als dat volgens het kwaliteitszorgmodel wordt ingericht. Binnen bijvoorbeeld olieconcerns wordt gewerkt aan de volledige integratie in de organisatie. Health, Environment, Security & Safety worden gebundeld in een self assessment tool die bij concernonderdelen periodiek getoetst wordt door een in- of externe audit,

Deelnemers rondetafeldiscussie: » Glenn Schoen, directeur G4S Risk Advisory. Schoen heeft zich de afgelopen 25 jaar gespecialiseerd in terrorisme, corporate security management, georganiseerde misdaad en persoonsgerichte dreigingen. Hij is vooral internationaal georiënteerd wat hem tot een graag geziene gast in zowel nationale als internationale actualiteitenrubrieken en nieuwsuitzendingen maakt. » Cees van der Giessen, directeur AWACS (Awareness & Applications Consultancy & Services). Van der Giessen was eerder onder andere werkzaam bij de inlichtingendienst van de Koninklijke Marine, Philips Electronics en Control Risk Group. » Arjen Appelman, directeur Aes Security Management. Appelman is sinds 2004 vooral actief in de zorgsector. Acht jaar verder heeft hij de nodige boeken en artikelen geschreven over security management. Inmiddels heeft hij zijn activiteiten verbreed naar andere sectoren, zoals het onderwijs.

tenschappelijke hoek komen, én dat de overheid op dat terrein tal van wettelijke voorschriften geeft. ‘Security managers zijn daarentegen vaak de doeners en hebben een rijke ervaring in de beroepspraktijk. Maar zoals eerder gezegd zouden management skills op het terrein van bedrijfskunde, statistiek en onderzoeksmethode voor hen welkome aanvullingen zijn. Die zouden hen beslist helpen bij het helder formuleren aan het hoger management. Ik sluit daarmee aan bij de visie van Coen van Gulijk van TU Delft en Trijntje van Dijk van Saxion Hogeschool die stelden dat opleidingen veel meer moeten inspelen op het representeren van het vakgebied op boardroomniveau.’ Voor Schoen is het niet zo moeilijk om het topmanagement erbij te betrekken. ‘Ik spreek geregeld topbestuurders en mijn eerste vraag aan hen is dan waar zij ‘s nachts van wakker liggen. Zij blijken gewoonlijk heel goed in staat in

Security Management nummer 11 november 2012

risicomanagement

nagement goed aan te sluiten op het primaire bedrijfsproces, waarvoor koppelingen met andere afdelingen van cruciaal belang zijn.’

Moderne security manager

Glenn Schoen: ‘Als security manager moet je vooral een topper willen worden.’ een paar woorden het risicoprofiel van de eigen onderneming te benoemen. Belangrijk is dat zij daarna dat profiel in samenspraak met het managementteam erkennen. Feitelijk vormt dit de basis voor het vervolg en biedt het draagvlak voor het te voeren securitybeleid. Het zijn die prioriteitsrisico’s waarop door de organisatie moet worden geacteerd en waarover men in controle moet zijn en zich periodiek moet verantwoorden aan diezelfde top.’ Appelman onderschrijft deze opvatting, maar meent dat het ook van belang is dat er binnen organisaties een breder beeld wordt verkregen van de dreigingen en risico’s. ‘Een verpleegkundige bij de spoedeisende hulp zal andere risico’s noemen dan het bestuur. Daarom is het van belang om een representatieve populatie op risico’s en bedreigingen te bevragen. Uiteindelijk leidt dat tot een door het management en medewerkers gedragen risicoprofiel. Van belang is dan dat het topmanagement beleidsdocumenten ondertekent, die feitelijk het vertrekpunt van effectief security management zijn. Alleen dan is de invoering van maatregelen effectief en werken managers en medewerkers eraan mee.’ Maar ook de organisatiestructuur komt om de hoek kijken. Vaak kan security niet functioneren als de organisatie zelf niet goed gestructureerd is. De vele

functiebenamingen zoals CSO, CSSO, CIT & Risk Officer, spreken boekdelen. ‘Van echte standaardisatie is binnen ons werkveld geen sprake’, aldus Schoen. ‘Iedere organisatie kiest voor het eigen type veiligheidsorganisatie en voor de daarbij behorende functiebenamingen. In die verschillende organisatiestructuren zie je dat niet altijd verbinding wordt gelegd met bijvoorbeeld de afdelingen die verantwoordelijk zijn voor Compliance, ICT, HRM, Legal, BCM. Natuurlijk is er qua organisatie niet één koninklijke route. Maar het is wel belangrijk om met security ma-

Dat hiervoor een moderne security manager nodig is - iemand die investeert in relaties, verbinding zoekt in de organisatie, kennis heeft van de belangrijkste bedrijfsprocessen en draagvlak creeert - wordt door de drie heren volmondig onderschreven. ‘Daaraan kunnen alle opleidingen in Nederland nog wel een steentje bijdragen’, stelt Appelman. ‘Maar naast vakkennis zijn ook sociale, communicatieve en managementvaardigheden van belang.’ ‘En daar hoort ook het optimaal bijdragen aan de organisatie bij’, aldus Schoen. ‘Maak bijvoorbeeld eens een rondje door het bedrijf en vraag aan medewerkers en management hoe je kunt samenwerken bij de zorg voor optimale veiligheid.’ Van der Giessen onderstreept dat met een voorbeeld uit zijn beroepspraktijk. ‘Als de organisatie kiest voor bijvoorbeeld het Just In Time afleveren van eindproducten, dan is er behoefte aan security management dat in deze vorm de bedrijfsvoering in alle specifieke processtappen ondersteunt. Als je dat weet neer te zetten als security manager, dan creëer je draagvlak.’

Opleidingen In een van de artikelen in deze serie stelde een aantal opleiders dat Neder-

Arjen Appelman: ‘Alleen de security managers die het spel kunnen spelen op boardroomniveau, zullen succesvol zijn.’

Security Management nummer 11 november 2012

risicomanagement

Trends

Volgens Cees van der Giessen is het in het bedrijfsleven lastig om securitybeleid te laten accorderen door de RvB en is hier vaak een driver nodig. land een prima aanbod van security managementopleidingen kent. Gevraagd wordt of de heren zich hierin kunnen vinden. Appelman is het er in principe mee eens, ‘maar de moderne security manager moet daar bovenop kennis hebben van wetenschappelijke onderzoeken en modellen om mee te kunnen praten op boardroomniveau.’ Daarbij tekent Van der Giessen aan dat je op boardroomniveau niet alleen met wiskundige modellen en met grafieken

moet aankomen. ‘Je moet in staat zijn dreigingen en/of risico’s concreet te benoemen en helder zijn in je advisering.’ ‘Maar als security manager moet je vooral de top ambiëren, een topper willen worden’, vindt Schoen. ‘Binnen andere bedrijfsdisciplines is dat allang aan de orde. Ik heb het dan over de top van Marketing, HRM, Legal, Finance. Naast hoger opleiden heeft het ook te maken met de ambitie van mensen om de beste te willen zijn en de bereidheid om de ontwikkeling te doorlopen die daarvoor nodig is. Dat vergt bovenal discipline!’

Afsluitende beschouwingen Het topmanagement is en blijft verantwoordelijk voor beveiliging en veiligheid in de onderneming. Naast het accorderen van het beveiligings- en veiligheidsbeleid, is het vooral van belang dat zij hieraan managementsupport geven. Van de hedendaagse security manager wordt daarentegen gevraagd dat hij in staat is om deze steun op boardroomniveau af te dwingen. Dat stelt hoge eisen aan zijn kennis, kunde en competenties. Het is van belang dat security managers naast een security- ook een bedrijfskundige opleiding hebben. Daarmee zijn ze beter in staat om samen te werken met de overige specialisten en managers, en kunnen zij het security management beter afstemmen op de strategische doelen van een organisatie. Naast opleiding speelt niet alleen het ambitieniveau, maar ook de wijze waarop je aan je carrière bouwt een belangrijke rol. Minder interessant is de vraag wie straks het voortouw neemt in het security & safety management. Binnen concernorganisaties is er vooral behoefte aan managers die dit vorm kunnen geven binnen complexe organisatiestructuren. Zij moeten in staat zijn om verbindingen te leggen tussen de verschillende disciplines. Tot slot nog dit. Inzetten op beveiligingsbewustzijn loont, mits daaraan structureel wordt gewerkt.

Tot slot van de discussie komt de onvermijdelijke vraag op tafel welke trends deze securitytoppers voor de komende jaren signaleren. Als eerste reageert Appelman, die meent dat bewustwording van wezenlijk belang is bij het neerzetten van een breed gedragen veiligheidszorg. ‘Dan gaat het over gedragsverandering bij medewerkers en management. Dat is een lastig en langdurig proces. De grootste uitdaging is dat iedereen binnen een organisatie eraan moet willen meedoen. Je hebt het dan echt over een cultuurvraagstuk.’ Volgens Schoen moet daarbij eveneens worden ingespeeld op de belangen van mensen. ‘Benadruk ook de ellende die voortkomt vanuit een gestolen tas en dat je er dus belang bij hebt om dat niet te laten gebeuren. Security awarenessprogramma’s moeten dus ook ingaan op de vraag wat veilig gedrag iemand oplevert.’ Een andere trend die Appelman waarneemt, is dat security management een cyclisch proces is dat geïntegreerd onderdeel uitmaakt van de bedrijfsvoering. ‘Alleen de security managers die dat weten vorm te geven en die het spel kunnen spelen op boardroomniveau, zullen succesvol zijn.’ Schoen vult aan dat het ook belangrijk is om te beseffen dat security management meer is dan het beveiligen en bewaken van de fysieke dreigingen. ‘De moderne security manager moet steeds meer samenwerken met de ICT security van de organisatie. Het is niet zozeer de vraag wie nu de manager van wie wordt, maar meer een kwestie van samenwerken en van competenties.’ ‘Het is daarom misschien wel zinvoller om over een riskmanager te spreken’, meent Van der Giessen. ‘Je hebt het dan over een generalist die verbinding weet te maken tussen de verschillende veiligheidsdisciplines, tussen de verschillende specialisten, en zo riskmanagement op alle niveaus in een organisatie weet te vertegenwoordigen.’ ‹‹ * Frans Visser MSSM en Wil van de Ven RSE zijn partners van Visser & Van de Ven security management (www.visservdven.nl)

Security Management nummer 11 november 2012

t hema | informatiebeveiliging

Trends in informatiebeheer

Informatiebeheer wordt Informatie is de grote aanjager van bedrijven en - afhankelijk van hoe ermee wordt omgegaan - de grote vertrager. Wat zijn de belangrijkste trends op het gebied van informatiebeheer? ERIK VAN VEEN *

edrijven die in staat zijn controle te krijgen over de risico’s en kosten van het beschermen van informatie, maken het mogelijk nieuwe mobiele, social media- en cloud-technologieën in te zetten. Zij kunnen beter integraal gebruikmaken van de beschikbare informatie en daarmee hun concurrentiepositie versterken. Slim informatiebeheer geeft deze ondernemingen ook de mogelijkheid om de beste werknemers aan te trekken. Ondernemingen die geen controle krijgen over hun gegevens en deze niet goed kunnen beschermen, zullen het steeds moeilijker krijgen. Hun gebrek aan gedegen informatiebeheer belet de adoptie van nieuwe technologieën en zij zullen meer moeten uitgeven aan bestaande, vaak niet afdoende werkende oplossingen. Opkomst BYOD » In 2012 is de ontwikkeling van bring your own device (BYOD) sterk op

gang gekomen. Dit zal de komende jaren zeker aanhouden. De grote vraag hierbij is hoe organisaties controle blijven houden over hun data. » De explosieve groei van BYOD is ook cybercriminelen opgevallen. In 2012 is er een significante groei te zien in de hoeveelheid mobiele malware. Het gaat hierbij enerzijds om malware die slechts is bedoeld om slachtoffers in verlegenheid te brengen, anderzijds om malware die zich echt richt op de diefstal van informatie. Dit is het eerste jaar dat mobiele malware op zo’n grote schaal een echte dreiging vormt voor zowel ondernemingen als consumenten. » Chief Information Security Officers zijn al begonnen hun focus te verleggen, gezien de alsmaar toenemende hoeveelheid aan mobiele devices, met name mobiele devices in privéeigendom. Tablets in het bijzonder zijn een grote zorg geworden, sinds medewerkers deze de organisatieinfrastructuur in brengen. Dit ge-

Tablets zijn een grote zorg geworden, sinds medewerkers deze de organisatieinfrastructuur in brengen.

Security Management nummer 11 november 2012

beurt op zo’n schaal dat veel organisaties problemen hebben met het beheren en beveiligen van de bedrijfsinformatie die medewerkers via hun tablets kunnen benaderen. Toenemende onderlinge afhankelijkheid fysieke en virtuele technologieën » Virtualisatieprojecten beginnen vaak klein en groeien uit tot grote onderdelen van de IT-omgeving. In 2012 zijn veel ondernemingen de VMprojectteams en -infrastructuur gaan combineren met corporate IT. Dit benadrukt de behoefte aan fysieke en virtuele assets om als platform te kunnen samenwerken. » De dagen dat ondernemingen zich afzonderlijk storagebeheer- en backupsoftware voor virtuele en fysieke servers konden permitteren, zijn voorbij. De oplossing voor het beheren van deze complexiteit is het standaardiseren binnen de diverse platforms met tools die binnen de verschillende fysieke en virtuele platforms voor systeembeheer, beschikbaarheid, back-up, storagebeheer en security werken. Als gevolg hiervan zullen security, storagebeheer en back-up van zowel de fysieke als virtuele assets de standaard worden. Back-up vecht terug » De markt voor back-up kan niet langer saai worden genoemd. Deze markt groeit snel. Wat voorheen werd gezien als een volwassen en langzame groeimarkt, laat nu indrukwekkende getallen zien. Backup geïntegreerde VM-beveiliging, deduplicatie, snapshot-beheer, appliances en enkele belangrijke ver-

t hema | informatiebeveiliging

positief modewoord anderingen aan het operationele model sturen deze verandering aan. » In 2011 signaleerden wij de trend dat sommige organisaties voor alternatieven kozen voor back-up, zoals snapshot-functionaliteit en replicatie. Dit brengt echter een groot risico met zich mee, aangezien de back-up in dit geval volledig rust op een enkele technologie. Een separate back-up naar een extern medium blijft altijd de meest veilige oplossing. Daarnaast zien wij dat veel organisaties hun back-up misbruiken als archief. Dit brengt onnodige hoge kosten met zich mee en geeft geen enkele garantie dat data ook daadwerkelijk terug te vinden zijn.

Het jaar 2012 kent grote tegenvallers op het gebied van het terughalen van gegevens als organisaties geen holistisch back-up-platform installeren dat zich op zowel fysieke als virtuele omgevingen richt. Ook maakt dit het terughalen van informatie eenvoudiger voor IT-beheerders. Private cloud wordt geen ‘cloud in a box’ » Cloud-oplossingen komen niet uit een doos. Je kunt geen hardware kopen en verwachten dat je ineens een cloud computing-omgeving hebt. Datacentermanagers die cloud-technologieën en virtualisatie hebben geïmplementeerd, hebben dit gedaan om zaken eenvoudiger te maken. Aan de

basis van deze enorme overgang naar de cloud – zowel publiek als privaat – staan zakelijke voordelen, waaronder schaalbaarheid, flexibiliteit, controle en meetbaarheid. » Cloud computing gaat steeds meer over mensen en processen – een cultuurverschuiving over hoe organisaties IT en bestaande middelen, zoals servers, storage en mensen, inzetten. Om cloud-diensten te bieden moeten organisaties de manier waarop zij IT kopen, IT consumeren en IT organiseren, veranderen. ‹‹ * Erik van Veen is senior manager Technical Sales Organisation bij Symantec Nederland

(Advertentie)

Start volgende leergang 15 mei 2013

“Security manager met oog voor veiligheid”

Master of Security Science & Management Bent u een professional of consultant op het gebied van veiligheid en terrorismebestrijding, dan biedt Delft TopTech u de kans om uw expertise naar een hoger niveau te tillen. De Masteropleiding Security Science & Management integreert verschillende perspectieven en benaderingen in één opleiding, en biedt u een kader om adequaat om te gaan met security uitdagingen in alle mogelijke sectoren. De opleiding onderscheidt zich hiermee van eenzijdige benaderingen vanuit de technische of management hoek. Het is een tweejarige parttime opleiding voor professionals die hun baan willen combineren met postacademisch onderwijs. Het masterdiploma wordt toegekend door de internationaal toonaangevende Technische Universiteit Delft. Voor meer informatie bel Vera Balledux, 015 278 40 39 of kijk op www.delfttoptech.nl/security.

Security Management nummer 11 november 2012

t hema | informatiebeveiliging

Veiligheid â&#x20AC;&#x2DC;aan toonderâ&#x20AC;&#x2122; In een wereld waarin digitale en virtuele kennisoverdracht hoogtij vieren, komt het papieren document steeds meer in het gedrang. Reden te meer om dat wat op papier blijft bestaan, adequaat te blijven beveiligen tegen oneigenlijk gebruik. PAUL VELDHUIZEN *

nze wijze van communiceren is met name de laatste jaren snel en sterk veranderd. De inburgering van het internet en de opkomst van de social media hebben ertoe bijgedragen dat wij op een andere

manier met elkaar zijn gaan communiceren. Sneller, eenvoudiger, met een mondiaal bereik en met een grotere impact. In dit digitale tijdperk staan we steeds vaker voor privacy- en integriteitissues. Hoe weerbaar ben ik ei-

genlijk op het internet? Welke informatie kan tegen mij worden gebruikt? Hoe kwetsbaar zijn mijn systemen voor dreigingen van buitenaf?

Synergie Het is dan ook niet verwonderlijk dat bij het begrip informatiebeveiliging veelal direct wordt gedacht aan firewalls, wachtwoorden en allerhande hard- en softwarematige oplossingen om fraude te voorkomen. Een goede zaak overigens. Maar, een 100 procent beveiliging bestaat niet. De ultieme drempel tegen fraude met informatie wordt in mijn optiek gevormd door de synergie tussen Mens, Informatie en Veiligheid. Van deze drie factoren is De Mens de allesbepalende factor. Hij anticipeert bewust of onbewust op omgevingsfactoren en vormt daarmee de sterkste of zwakste schakel binnen uw beveiligingsbeleid. De hier bedoelde fysieke Veiligheid komt onder andere tot uiting in de beveiliging van gebouwen. Camerasystemen, tourniquets, toegangssystemen, hekwerken enzovoort bieden afdoende veiligheid, mits juist toegepast. Kijken we naar het begrip Informatie, dan wordt direct aan digitale beveiliging van onze systemen gedacht. Maar er is meer. Veel meer! Analoge informatieoverdracht waarbij de waarde is gekoppeld aan een document of waarbij de waarde en zwaarte van een boodschap op papier door de toonder aan een ontvanger worden overgedragen. Met name deze analoge informatieoverdracht begint door de

Security Management nummer 11 november 2012

t hema | informatiebeveiliging

toenemende digitalisering steeds meer in de vergetelheid te geraken.

Onbewust Geregeld kom ik bij klanten op locatie. Mijn eerste contactmoment met de organisatie is veelal een receptiedesk waar ik mij dien aan te melden en in te schrijven. Receptionisten zijn veelal van die multifunctionals die, naast hun ontvangstfunctie, ook verantwoordelijk zijn voor de telefooncentrale, secretariele ondersteuning en voor in- en uitgaande post. Zo’n receptie ligt in die gevallen vaak vol met allerhande paperassen die nodig zijn om hun functie naar behoren uit te oefenen. Briefpapier, visitekaartjes van collega’s, presentielijsten, poststukken enzovoort. Hoe eenvoudig is het dan om briefpapier mee te nemen en vervolgens uit naam van de directie een brief te versturen met een onwenselijke boodschap?

Onbekwaam Als ik in de supermarkt voor de kassa in de rij sta, zie ik de caissière trouw ieder biljet dat zij ontvangt scannen op echtheid. Als ik zelf aan de beurt ben en haar vraag: ‘Waar let je nu op bij het scannen van dit biljet?’ antwoordt ze: ‘Of het groene lampje gaat branden!’ Jammer genoeg zijn er vele manieren om dat lampje groen te doen oplichten ... maar of ze bekend is met de echtheidskenmerken in het bankbiljet? Ik waag het te betwijfelen.

Balans Zomaar wat voorbeelden waarbij de gevolgen van oneigenlijk gebruik van pa-

pieren documenten onvoldoende onderkend worden. Is het dan van belang om mijn documenten zo zwaar mogelijk te beveiligen? Neen! De schadelijke gevolgen van oneigenlijk gebruik van papieren documenten dienen te worden afgezet tegen het wenselijke aantal

ten aan het document ontleend kunnen worden waarvan de waarde verder strekt dan de waarde van het document zelf, zijn dat kosten op het sterfhuis. Uiteraard dienen echtheidskenmerken niet alleen het doel om een document te beveiligen, maar is er ook een esthe-

Alles wat een mens kan maken, kan ook worden nagemaakt en het type echtheidskenmerken dat in dat document moet worden toegepast. Alleen een juiste securitybalans in een document, juiste verificatie van de kenmerken en verantwoord gebruik door de mens maken een document efficiënt en effectief veilig. Het heeft geen zin om een certificaat van deelname even zwaar te beveiligen als een bankbiljet. Zolang er geen rech-

tische waarde aan toe te kennen. Hologrammen (de ‘glimmertjes’) hebben nog altijd een bepaalde aantrekkingskracht en geven een document net iets meer cachet.

Echtheidskenmerken In de wereld van echtheidskenmerken zijn de producent en de vervalser continu verwikkeld in een kat-en-muisspel. Alles wat een mens kan maken, kan ook worden nagemaakt. Het toepassen van meerdere kenmerken in één document maakt vervalsen moeilijker of minder interessant. Helaas zien wij ook hier dat het internet ons informatie verschaft over de wijze waarop echtheidskenmerken nagemaakt kunnen worden of waar falsificaties te verkrijgen zijn. Wij onderkennen in grote lijnen drie soorten echtheidskenmerken: 1. Eerstelijns echtheidskenmerken zijn kenmerken die het grote publiek kent en ook weet te benoemen. Hier is geen extra kennis of apparatuur bij nodig. Een goed voorbeeld hiervan is het gebruik

Security Management nummer 11 november 2012

Advertentie

UITNODIGING Voor 2013 komt er een nieuwe aanpak Veiligheid Kleine Bedrijven (VKB). Het HBD verzorgt de voorbereidingen, vanaf volgend jaar wordt de aanpak ondergebracht bij het Centrum voor Criminaliteitspreventie en Veiligheid (CCV). Kleine bedrijven, die gevestigd zijn in een winkelgebied of bedrijventerrein met een Keurmerk Veilig Ondernemen (KVO), kunnen gratis een veiligheidsscan laten uitvoeren. Een erkende veiligheidsadviseur kijkt waar verbeteringen mogelijk zijn en geeft advies op maat. Ondernemingen die op basis van de veiligheidsscan willen investeren in maatregelen om de veiligheid in hun zaak te verbeteren, kunnen kiezen uit speciaal geselecteerde pakketten of losse producten (ter waarde van ongeveer 2.000 euro, exclusief BTW). De helft hiervan wordt vergoed door het ministerie van Veiligheid en Justitie, tot een maximum van 1.000 euro. Wij nodigen leveranciers, installateurs en trainingsbureaus uit om ‘slimme pakketten’ met veiligheidsmaatregelen samen te stellen voor de nieuwe aanpak Veiligheid Kleine Bedrijven (VKB). Het gaat om pakketten in vier categorieën: organisatorische, bouwkundige, elektronische en digitale maatregelen of slimme combinaties daarvan. Denk aan een camerapakket met een goede training, waarin de ondernemer leert hoe je daarmee omgaat. Er is ook beperkt ruimte voor goedkopere, losse producten of diensten. Uw aanbiedingen kunt u tot 30 november 2012 sturen naar: Secretariaat Aanpak Veiligheid Kleine Bedrijven p/a HBD T.a.v. mevrouw M. du Prie Postbus 90703 2509 LS Den Haag E-mail: vkb@hbd.nl Meer informatie: www.hoeveiligisuwzaak.nl/vkb

t hema | informatiebeveiliging

van een hologram op bijvoorbeeld diploma’s of in bankbiljetten. 2. Een tweedelijns echtheidskenmerk is een kenmerk waarvoor een hulpmiddel nodig is om het zichtbaar te maken. Ook is er kennis voor nodig om het te kunnen benoemen. Denk hierbij aan onder uv-licht oplichtende vezels in veiligheidspapier. Veelal toegepast in certificaten maar ook in bankbiljetten. 3. De derde categorie zijn de forensische echtheidskenmerken. Hiervan weet het publiek niet dat ze bestaan en zijn specialistische kennis en apparatuur noodzakelijk om ze zichtbaar te maken en om ze te kunnen benoemen.

Ontwikkeling De wereld van echtheidskenmerken is een zeer boeiende, gevarieerde maar vooral ook oude wereld. In het kat-enmuisspel met de vervalser hebben echtheidskenmerken een enorme ontwikkeling doorgemaakt. Van oude lakzegels tot nanotechnologie. Van fysieke kenmerken zoals watermerken tot biometrie. Hoewel biometrie al een oude techniek is (vingerafdrukken werden reeds 2.000 jaar v.Chr. gebruikt in kleitabletten) worden steeds vaker opnieuw biometrische kenmerken gebruikt om de authenticiteit van een document te waarborgen. We herinneren ons vast nog de onlangs gehouden discussies omtrent de opslag van vingerafdrukken in het paspoort.

Vervalsen Vandaag de dag beschikt vrijwel iedereen over een internetverbinding, scan-

ner, digitale camera, fotobewerkingssoftware en een kleurenprinter. Vanuit het bekende zolderkamertje zijn we in staat om met informatie van het internet de mooiste namaak- en fantasiedocumenten te maken die voor echt moeten doorgaan. Daarnaast zijn we in staat om met huis-, tuin- en keukenmiddelen allerlei echtheidskenmerken na te bootsen. Met poederhars, aardappelzetmeel, fluorescerende stiften, blue ray lasers en ga zo maar door kunnen allerlei kenmerken gesimuleerd worden. Op het gebied van frauduleuze documenten kennen we een aantal varianten die met name bij identiteitsfraude worden toegepast: » falsificaties, » namaak, » blanco gestolen, » fictief, » camouflage, » fantasie, » look-a-likes. Bij een falsificatie is de oorspronkelijke toestand van het waardedocument gewijzigd. Een namaakdocument is een vals document dat in zijn geheel is nagemaakt. Blanco gestolen documenten zijn frauduleus verkregen authentieke waardedocumenten die door de vervalser zijn gepersonaliseerd. Fictieve documenten zijn waardepapieren die de naam van een staat of organisatie dragen maar die niet in werkelijkheid worden uitgegeven. Camouflagedocumenten zijn documenten van landen of organisaties die niet langer meer bestaan of die een andere naam hebben gekregen. Fantasiedocumenten zijn do-

cumenten van verzonnen landen of organisaties die geheel niet erkend zijn. Bij look-a-likes wordt een document door een niet-rechtmatige eigenaar gebruikt die uiterlijke gelijkenis met de rechtmatige eigenaar vertoont.

Acceptatiebeleid en verificatie

Informatiebeveiliging is meer dan alleen het toevoegen van echtheidskenmerken aan een document. Wat is bijvoorbeeld het acceptatiebeleid inzake legitimatiebewijzen binnen uw organisatie? Onlangs verkreeg ik bij een organisatie toegang op basis van de Europese Identiteitskaart (zie foto hierboven). De receptioniste twijfelde eerst wel maar toen mijn collega bevestigde dat dit nieuw was en ook zo’n kaart toonde, was het goed! Wees eenduidig, beschrijf en accepteer alleen paspoort, identiteitskaart of rijbewijs. Draag er tevens zorg voor dat de controlerende functionarissen ook weten waar ze op moeten letten. Raadpleeg de juiste verificatiebronnen of laat uw personeel trainen.

Print-2-web Met de inburgering van het internet zien we steeds meer waardepapieren in hun fysieke vorm verdwijnen. Cadeaubonnen, tickets, vouchers, enzovoort worden als ‘ordinair’ commercieel drukwerk weggezet en vertegenwoordigen pas een waarde nadat verificatie, identificatie en validatie via het web hebben plaatsgevonden. Op zich een efficiënte en effectieve ontwikkeling die ook de veiligheid ten goede komt. Echter, als liefhebber van de ‘kunst van documentbeveiliging’ gaat me dat wel een beetje aan het hart. Immers, het oog wil ook wat. ‹‹ * Paul Veldhuizen is EDP – documentdeskundige en adjunct directeur SecuredDocuments (pveldhuizen@secureddocuments.nl)

Security Management nummer 11 november 2012

t hema | informatiebeveiliging

Hoe breng je security bij de mensen? Het kan vreemd gaan in het leven van een securityconsultant: de klant betaalt voor je advies, en je krijgt schouderklopjes en complimenten. De klant zegt toe contact te houden over je aanbevelingen en de vervolgstappen. Niks mis mee, denk je dan: de klant komt in actie; we hebben wat bereikt. Na een maand bel je eens om te polsen. Nog niks mee gedaan. Tja, incidenten, de waan van de dag. Na drie maanden: hetzelfde verhaal. Na zes maanden blijkt dat de directie het rapport toch maar in de bureaula heeft laten verdwijnen. RONALD VALK *

elukkig is dat lang niet altijd het verhaal, maar het gebeurt toch geregeld. En nee, het ligt echt niet aan de kwaliteit van je werk, maar het draagvlak is er eigenlijk niet. Ondanks het feit dat er voor het advies is betaald. (Hoe zou het zijn met die gevallen waarin de interne security officer zélf onderzoek doet en (gratis) een rapport schrijft, denk je dan onwillekeurig.) Wij securityspecialisten verzuchten dan dat er zo weinig risicobewustzijn in de wereld is, en voor de zoveelste keer constateren we dat het uiteindelijk toch allemaal draait om awareness. Dit artikel beoogt deze begrijpelijke reactie even stop te zetten en eens te kijken wat er wellicht aan de hand is. Hopelijk komen we dan op ideeën die én voor interne security-experts én voor securityconsultants bruikbaar zijn.

Security en het MT Laten we beginnen met eerlijk te constateren dat voor alle mensen - ook u en ik - security iets is waar we geen zin in hebben. Niemand zit te wachten op toegangspoortjes bij de receptie en wachtwoorden op de computer. We doen het omdat het moet. Van wie? Vaak van de wetgever, soms van het bedrijf, soms van onszelf. Anderzijds kunnen hoger en middenkader zo langzamerhand niet meer om security heen. Het blijkt verrassend gemakkelijk om op gevoelige plekken binnen te dringen (Alberto

Stegeman) en hackers zijn succesvol in het vergaren van vertrouwelijke gegevens. De overheid heeft het Nationaal Cyber Security Centrum opgericht, speciaal gericht op het bevorderen van de veiligheid van overheidsinstanties en de nationale vitale infrastructuur. Kortom, als er een indringer binnenkomt of een hacker je systemen binnendringt, kun je zo langzamerhand echt niet meer roepen: ‘Ik kon niet weten dat dit zou kunnen gebeuren.’ In

MT zal het op de werkvloer wel huilen met de pet op zijn, zou je denken. Dat blijkt volgens mijn waarneming in de praktijk best mee te vallen. Soms zijn gewone medewerkers veel meer risicobewust dan managers ... en soms ook niet. Met name bij grote organisaties speelt eerder de vraag: hoe krijg je een betrouwbaar beeld van het securitybewustzijn op de werkvloer? En kun je dat beeld scherp genoeg krijgen om efficiënte en effectieve vervolgacties in te zetten? Zodat

Bewustwording rond security wordt gerealiseerd door belevingsgestuurd werken theorie is elk managementteam het daar helemaal mee eens, dus de kunst is om dit op een zinvolle manier bij MT’s van hoger en middenkader op de agenda te krijgen en te houden. Maar het MT spreekt niet de taal van de security officer, en de security officer is lang niet altijd in staat (in ieder geval niet ervoor opgeleid) om de brug naar het MT of de Raad van Bestuur zelf te slaan. De Nationaal Coördinator Terrorisme en Veiligheid (Erik Akerboom) zegt terecht: ‘Security moet naar de boardroom’, maar de vraag blijft: hoe doe je dat, zodanig dat het beklijft?

Security en de werkvloer Als het boven drupt, regent het beneden, luidt het spreekwoord. Gezien voorgaande beschouwingen over het

Security Management nummer 11 november 2012

managers in staat worden gesteld om hun verantwoordelijkheid op het gebied van security in te vullen, en dat medewerkers aantoonbaar weten waar ze aan toe zijn.

Wat kunnen wij hieraan doen? ‘Wij’: daarmee bedoel ik iedereen die, vanuit welke rol dan ook, zorg draagt voor security binnen overheid en bedrijfsleven. Zowel interne functionarissen als consultants. Hoe pakken ‘we’ het verbeteren van security aan? We kijken eerst eens hoe het zit. Daarbij leggen we de securitysituatie langs een norm (eigen beleid, ISOnormen, wetgeving) en brengen rapport uit. Dat betekent dat we normgestuurd bezig zijn. Daar komen dan tien tot twintig aanbevelingen uit, en

t hema | informatiebeveiliging

dat is het begin van verbetering. Die verbetering moet worden gedragen door het management, maar de voorstellen worden gestuurd vanuit de norm. Wat nou als het management zich niet herkent in de norm, met andere woorden: als de norm het management niets zegt? Dat is de basisreden dat rapporten zo makkelijk in de bureaula verdwijnen. Of we gaan naar de werkvloer toe en proberen de mensen voor te lichten. Ja ... dat weten we toch al? We hebben er nota bene voor getekend. En denk je dat we de krant niet lezen? Ik heb momenteel wel wat anders te doen. Kortom, workshops organiseren is een drama en e-learning teksten worden slecht tot niet gelezen. De mensen zitten als het ware in een ‘geen-zin-schil’ en moeten daaruit getrokken worden. Conclusie: willen we verder komen, dan moeten we uitgaan van de beleving van de doelgroep. Ja, maar die beleving klopt van geen kanten, kreunt de specialist. Toch moeten we aanhaken op die beleving, want het is het enige wat we ‘hebben’. Van beleving naar werkelijkheid: dat is het reële groeipad van de organisatie.

Hoe werkt dat uit? Bedoeling van bovenstaand betoog is te benadrukken dat verbeteringen en bewustwording rond security niet gerealiseerd worden door normgestuurd werken, maar door belevingsgestuurd werken. Toch zal ik kort ingaan op een aantal werkwijzen. Belevingsgestuurd werken is mogelijk. Management: belevings-assessment met prioritering, of interactieve workshop Een goed begin is een nulmeting van de beleving. Via gescheiden interviews, zodat de managers geen sociaal gewenste antwoorden geven. Van welke fysieke goederen en informatie ben ik afhankelijk? Hoe lang kan ik zonder? Wat kan er mis gaan? Die interviews brengen risico’s boven tafel die de mensen in hun beleving hebben. Gezamenlijk kun je ze harde prioriteiten laten stellen, en een globaal plan van aanpak laten opstellen. Naar elkaar toe zijn de managers gelijk gecommitteerd, en ze hebben een concrete invulling waarmee ze hun mensen aansturen. Zo

Het blijkt verrassend gemakkelijk om op gevoelige plekken binnen te dringen. blijft security ook bespreekbaar binnen het MT. Een alternatief is gelijk beginnen met een workshop, waarin eerst voorlichting wordt gegeven en dan de interactie wordt gezocht. Dit is een

ment al heb beschreven. Vanaf een man of 100 wordt dat echter al redelijk bewerkelijk. E-learning is bedoeld om een schaalbaar en herhaalbaar alternatief te bieden, maar nadeel is: je

We moeten uitgaan van de beleving van de doelgroep eenvoudiger procedure die ook minder tijd kost, maar er zijn wel een paar aandachtspunten. Het is van belang om de voorlichting beknopt te houden (luisteren is moeilijk). Bovendien is het zaak de mensen zodanig te triggeren en veiligheid te creëren in de groep, dat ze met hun problemen durven te komen. Het hangt van de bedrijfscultuur af welk van deze alternatieven succesvol kan zijn. Andere suggesties zijn meer dan welkom.

hebt geen persoonlijke interactie met de eindgebruiker. Hoe voorkom je dat men passief achter de pc hangt? Ook hier geldt het basisprincipe: eerst triggeren, dan voorlichten. Is deze methode een gouden toverstokje? Nee, alleen maar een trigger, een manier om de organisatie in beweging te houden. Maar dat is heel veel. En afsluitend herhaal ik: suggesties over belevingsgestuurd werken zijn meer dan we-lkom. ‹‹

Werkvloer: e-learning? Bij kleinere doelgroepen kun je vrij gemakkelijk acties organiseren in de trant die ik onder het kopje Manage-

* Ronald Valk (ronald.valk@lbvd.nl) werkt bij LBVD Informatiebeveiligers en organiseert projecten op het gebied van informatiebeveiliging.

Security Management nummer 11 november 2012

t hema | informatiebeveiliging

Mystery visit: spiegel voor de organisatie De provincie Overijssel actualiseerde twee jaar geleden het beleidsplan Informatiebeveiliging. Daarin werd expliciet geformuleerd dat de organisatie aan bewustwording zou werken. Om dit te bewerkstelligen werd gebruikgemaakt van zogenaamde mystery visits. Wat waren de verwachtingen vooraf? En wat zijn de ervaringen? ARJEN DE KORT

ls beleidsmedewerker Informatiebeleid & Informatiebeveiliging is Peter Hepp sinds twee jaar werkzaam bij de provincie Overijssel. Het accent van zijn werkzaamheden ligt daarbij vooral op Informatiebeveiliging (IB). ‘Informatiebeleid varieert van informatievoorziening tot digitaal vergaderen en digitale informatie-uitwisseling’, aldus Hepp. ‘Dat is dus heel breed. En informatiebeveiliging loopt daar als een soort satéprikker doorheen.’ Toen Hepp in zijn huidige functie begon, lag er een beleidsplan IB. De afgelopen twee jaar is hij druk geweest met de actualisatie en implementatie ervan. Het feit dat er een gedegen beleidsplan ligt, geeft het belang aan dat de provincie Overijssel aan IB hecht. Hepp: ‘Ook al is bij de overheid “informatie in principe openbaar, mits …”, het is niet de bedoeling dat alles zo maar op straat komt te liggen. De provincie heeft een verantwoordelijkheid naar burgers en bedrijven dat hun gegevens in een vertrouwde omgeving worden behandeld. Dit wordt alleen maar belangrijker, om-

dat de provincie steeds meer in ketens werkt. Daarin gaat alles digitaal en dan is het niet de bedoeling dat informatie voortijdig naar buiten komt. Vanuit de directie en het provinciebestuur wordt

‘Met mystery visits betrek je de hele organisatie bij het onderwerp’ beveiliging dan ook als een belangrijk issue neergezet, waarbij men zich zeer bewust is van de bijbehorende risico’s.’ Recente incidenten hebben daarbij ongetwijfeld geholpen? ‘Wat dat betreft, heb ik de afgelopen twee jaar “het geluk” gehad dat op nationaal niveau er nogal wat is gebeurd. Dat zijn triggers om je vakgebied extra aandacht te kunnen geven.’ Wat staat er in het geactualiseerde beleidsplan? ‘We hebben een IB-beleid dat is gebaseerd op ISO 27001 / 27002. De essen-

Kerngegevens Organisatie : Provincie Overijssel Medewerkers : 1.000 Afdeling : Groep Informatievoorziening, onderdeel van de eenheid Bedrijfsvoering Ontwikkeling : De provincie Overijssel is sinds acht jaar voorloper op het terrein van flexwerken, waarbij digitalisering essentieel is en waardoor informatiebeveiliging steeds belangrijker is geworden.

tie daaruit is in het beleid vastgelegd. En uiteraard zijn de relevante wettelijke regelingen erin meegenomen. De essentie van IB zoals in het beleidsplan verwoord, is het vertrouwd en integer om-

Security Management nummer 11 november 2012

gaan met gegevens van anderen. Verder is er expliciet in vastgelegd dat de organisatie werkt aan bewustwording. Dat is een van de belangrijke pijlers. Het management heeft een belangrijke taak om dit te stimuleren, reden dat het daar als verantwoordelijkheid is belegd.’ Ontbrak het eerder aan bewustwording? ‘Nee hoor, we waren ons zeker wel bewust van de diverse risico’s. Zo waren er al huisregels opgesteld in het kader van het flexwerken dat de afgelopen jaren door de provincie is gestimuleerd. Maar in het geactualiseerde beleid hebben we bewustwording als een van de speerpunten voor de komende drie jaar in een apart actieplan opgenomen.’ Om bewustwording te verbeteren is in dat actieplan een belangrijke plek ingeruimd voor de zogenaamde mystery visits. Hoe ben je op dat idee gekomen? ‘Ik had geen ervaring met dergelijke visits, maar er wel al verschillende ke-

t hema | informatiebeveiliging

Informatiebeveiliging is volgens Peter Hepp het integer en betrouwbaar omgaan met de informatie van anderen. ren over gelezen. Ik had daardoor het idee gekregen dat mystery visits goed zouden aansluiten op mijn filosofie dat je mensen beter een spiegel kunt

voorhouden, in plaats van meteen met het waarschuwende vingertje klaar te staan. Met mystery visits door mystery guests betrek je de hele organisatie bij

Informatiebeveiliging volgens Peter Hepp ‘IB is het integer en betrouwbaar omgaan met de informatie van anderen. Het interessante voor de overheid en dus de provincie is dat je het aan de ene kant zelf moet initiëren, maar aan de andere kant te maken hebt met weten regelgeving die vereist dat je een bepaald niveau van betrouwbaarheid hebt. We kunnen niet altijd zelf bepalen wat geheim of vertrouwelijk is, daarvoor is er vaak specifieke wetgeving.’

het onderwerp, van schoonmaker tot gedeputeerde. Dat heb je nodig om de problematiek bespreekbaar te maken en om de gehele organisatie feedback te kunnen geven.’ Reageerde de organisatie enthousiast op je idee voor mystery visits? ‘Het hoofd van mijn eenheid kende het fenomeen en was meteen enthousiast. Maar we moesten aan het management wel goed uitleggen hoe we het in deze organisatie voor ogen hadden. Ik moest aangeven wat er zou gaan gebeuren en

Security Management nummer 11 november 2012

t hema | informatiebeveiliging

binnen welke grenzen we dat zouden doen. Gaat zo’n mystery guest zaken meenemen? Maakt hij foto’s? Hoever gaat hij met het binnendringen van het gebouw? Hoe is de geheimhouding geregeld? Dat waren allemaal vragen die vanuit het management kwamen. Daarop hebben we een aantal criteria opgesteld die we hebben afgesproken met LBVD, het bureau dat voor ons de mystery visits ging verzorgen. Behalve dat we dus kaders hebben vastgesteld, hebben we in de actie ook vertrouwen ingebouwd naar de mensen. Als de mystery guest bijvoorbeeld iets zou meenemen van een bureau, zou hij een rode kaart neerleggen met daarop de reden waarom en dat diegene het na een bepaalde tijd weer kon ophalen. Vertrouwen is nodig om

Maar op de dag zelf was ik toch wel gespannen en benieuwd of de mystery guest erin zou slagen om binnen te komen en wat hij zoal zou aantreffen.’ Wat zijn de belangrijkste bevindingen en conclusies? ‘Onder andere dat de mystery guest via social engineering, meeloopacties en dergelijke erin is geslaagd om tot bepaalde afgeschermde afdelingen, ruimtes en zones door te dringen. Verder vonden wij het erg opvallend dat mensen nonchalant zijn met bedrijfseigendommen zoals telefoons, toegangspasjes en dergelijke. Men beseft kennelijk niet altijd dat aan een pasje meer autorisaties vastzitten dan alleen die bij het eerste poortje

Als je met bewustwording aan de slag wilt, is de mystery guest een prima manier om het op te pakken’ te veel weerstand te voorkomen. Bovendien heb je anders je kruit verschoten om nog een tweede keer zo’n actie te kunnen doen. Ten slotte hebben we van tevoren met het management tevens afspraken gemaakt over de terugkoppeling van onze bevindingen aan de afdelingen waar zaken zouden worden gesignaleerd die het bespreken waard zouden zijn.’ Had je op voorhand bepaalde verwachtingen? ‘Mijn verwachting was – en die is ook uitgekomen – dat het veel emoties zou losmaken. Je komt immers diep bij collega’s binnen, je komt aan hun bureau, aan persoonlijke zaken. Soms reageerde men verontwaardigd of boos, soms begrijpend, en sommigen vonden het confronterend. Een enkeling eiste ook meteen zijn verdwenen spullen op, met als reden dat het heel belangrijk was. Mijn verweer was dan “Als het zo belangrijk is, had je het niet zo moeten laten liggen”. Verder ging ik er blanco in, ik had het immers nog nooit meegemaakt.

bij de receptie. Mensen denken dat ze vervolgens in een veilige omgeving zitten en vertrouwen dan nog te veel op iemands blauwe ogen, houden de deur wel even open voor een vreemde maar spreken zo iemand niet aan.’ En wat is ermee gedaan? Heb je de organisatie daadwerkelijk een spiegel kunnen voorhouden? ‘Concreet: op een aantal afdelingen zijn de fysieke maatregelen verbeterd. Verder zijn verschillende procedures opgefrist en aangescherpt. En er is gerapporteerd aan het management, wat een hele bewustwordingsdiscussie heeft opgeleverd. Mijn conclusie is dat informatiebeveiliging na deze actie op de kaart staat binnen de organisatie.’ Maar ben je ook met de mensen op de afdelingen zelf in gesprek gegaan? ‘Bij verschillende teams heb ik het in de werkoverleggen gebracht en open besproken wat we hebben gezien. Vervolgens heb ik gevraagd hoe ze zelf dachten dat de tekortkomingen

Security Management nummer 11 november 2012

konden worden verbeterd. Dat leverde open en interessante discussies op, waaruit goede verbetersuggesties kwamen. Ik kan als beleidsmedewerker immers vaak niet zeggen hoe iemand zijn werk moet aanpassen. Je kunt hoogstens aangeven dat je iets hebt geconstateerd wat niet past binnen onze richtlijnen van vertrouwelijk omgaan met informatie. Door in gesprek te gaan begint de bewustwording, waarbij het belangrijk is dat je ze vraagt om zelf met verbeteringen te komen. Want die ideeën hebben ze, maar er wordt meestal niet om gevraagd. Doe je dat wel, dan komen ze met prima oplossingen. Het mooiste voorbeeld vind ik de mensen van de IT-ruimte. Zij gaven aan dat ze het probleem van meelopen door onbekenden wel herkenden, maar dat ze die mensen niet konden herkennen. Daarop hebben we besloten met witte en blauwe toegangspassen te gaan werken: witte voor de medewerkers, blauwe voor bezoekers. En er is een zogenoemde officier van de dag in het leven geroepen die weet wanneer er externen aanwezig zullen zijn. Dat betekent ook dat als iemand bij de receptie zegt dat hij in de IT-ruimte moet zijn, dit eerst wordt gecheckt bij die officier van de dag.’ Je bent enthousiast over de mystery visits. Zou je het collega’s aanbevelen? ‘Als je met bewustwording aan de slag wilt, is het een prima manier om het op te pakken. Je merkt dat mensen dan opener zijn over beveiliging en je ook vragen durven te stellen. Neem het toenemende fenomeen van bring your own device. Doordat beveiliging als onderwerp bespreekbaar is gemaakt, krijg ik nu vragen van de mensen zelf hoe ze veilig kunnen werken met hun laptop of tablet. Het is geen verboden onderwerp meer. Dat creëer je dus door niet met het opgeheven vingertje te wijzen, maar er open over te praten in de organisatie en uit te spreken dat je het samen doet en dat je als beveiligingsman niet alle wijsheid in pacht hebt. Je moet de mensen erbij betrekken.’ ‹‹

be bright be sure

t hema | informatiebeveiliging

Mobile device security: een uitdaging Via smartphones en tablets bedrijfsinformatie raadplegen en delen is heel gewoon geworden. Maar de beveiliging van mobiele apparaten staat nog in de kinderschoenen. In de zoektocht naar balans tussen gebruiksgemak en veiligheid wordt inmiddels aan betrouwbare oplossingen gewerkt.

et de stijgende populariteit van smartphones en tablets neemt ook de kwetsbaarheid van deze mobiele apparaten toe. Ze kunnen zoekraken of gestolen worden en malware kan stiekem gevoelige informatie doorsluizen. Mobile device security wordt daarom steeds belangrijker. Er zijn al oplossingen beschikbaar die verdergaan dan een wachtwoord: applicatiemanagement, management op afstand en dataversleuteling.

Sterke bouwstenen ‘Dit zijn slechts enkele bouwstenen’, aldus R&D-coördinator Christo Butcher en lead developer Adriaan de Jong van Fox-IT. ‘Ze verkleinen bepaalde risico’s, maar bieden geen volledig beveiligd apparaat. Wij zetten graag een stap verder. Door nieuwe bouwstenen toe te voegen en bestaande te versterken. Voor een goede beveiliging moet je een heel kasteel bouwen.’ Dat betekent onder andere aandacht voor netwerkbeveiliging en gebruikersidentificatie. En het apparaat actief in de gaten houden zodat het direct te zien is als er verbinding met een vreemde server wordt gemaakt. Monitoren op afstand is van groot belang om het veiligheidsvraagstuk beheersbaar te maken, terwijl gebruikers toch de gewenste flexibiliteit krijgen.

Totaalpakket Er is dus een pakket maatregelen nodig om mobile devices te beveiligen. Fox-IT ontwikkelt nu zo’n beveiligingstoolkit in opdracht van het ministerie van De-

fensie. Aanleiding is de vraag van de overheid om veilig te kunnen werken op tablets en smartphones. Veilig betekent in dit geval op niveau Dep.V. (departementaal vertrouwelijk), maar ook beveiliging van niet-gerubriceerde,

Security Management nummer 11 november 2012

maar wel gevoelige informatie. Daarvoor bestaan nog geen goedgekeurde oplossingen. Knelpunt is het gebruiksgemak en het idee dat je op je eigen vertrouwde toestel efficiënter kunt werken. Bring your

t hema | informatiebeveiliging

own device (BYOD) en veiligheid op Dep.V.-niveau zijn nauwelijks te combineren. Systeembeheerders missen de nodige controle en beveiligingsmaatregelen afdwingen is moeilijk. En bij wissen op afstand of monitoring staan privacy en security lijnrecht tegenover elkaar. Een oplossing is om uit te gaan

en tablets veel sneller gaan dan bij bijvoorbeeld laptops. ‘Wij willen een oplossing die niet alleen nú veiligheid biedt’, lichten Butcher en De Jong toe. ‘Daarom bouwen we een uniforme beveiligingslaag waarmee je zeker weet dat de opslag van gegevens goed geregeld is en communicatie veilig verloopt, ook

‘Voor een goede beveiliging moet je een heel kasteel bouwen’ van verschillende beveiligingsniveaus. Op een goedgekeurd apparaat zorgt de beveiligingstoolkit voor een beveiliging op Dep.V.-niveau. Op een BYOD-apparaat kan dezelfde toolkit ook de veiligheid sterk verhogen als niet aan de strenge eisen van Dep.V. hoeft te worden voldaan. Een uitdaging is dat de hard- en softwareontwikkelingen bij smartphones

als het onderliggende platform aanpassingen ondergaat.’ Daarmee wordt men minder afhankelijk van bepaalde modellen en is de nieuwste generatie devices makkelijker te beveiligen.

App-ecosyteem Gekozen wordt voor een toolkit vol hoogwaardige beveiligingsfuncties, die losstaat van een specifieke end-user-app.

Zo zijn snel en gemakkelijk nieuwe apps te maken om aan de veranderende gebruikersbehoefte te voldoen, zonder dat het beveiligingswiel telkens weer wordt uitgevonden. Daarbij faciliteert deze splitsing het ontstaan van een beveiligd app-ecosysteem, waarin app-bouwers niet per se security-experts hoeven te zijn om veilige apps te bouwen. Hoewel de onderliggende beveiligingsconcepten van de toolkit op alle platforms toepasbaar zijn, wordt de eerste versie voor Android ontwikkeld. Een logische keuze volgens productmanager Ronald Westerlaken: ‘Als open-source-platform biedt Android de juiste mogelijkheden voor ontwikkeling. En als meest gebruikte mobiele platform sluit Android aan bij de klantenwens van een vertrouwd device.’ De Secure Android Toolkit komt nog dit jaar beschikbaar. ‹‹ Dit artikel is eerder gepubliceerd in Foxfiles nummer 2, augustus 2012.

(Advertentie)

IK BEN REVOLUTIONAIR iLOQ is ‘s werelds eerste digitale cilinder met eigen energievoorziening. Zonder batterijen. Zonder bekabeling. Wij bieden een sluitsysteem met een ﬂexibel en veilig toegangsmanagement, met aanzienlijk lagere onderhoudskosten ten opzichte van elektromechanische systemen. www.iLOQ.com

Naritaweg 165, 1043 BW Amsterdam, Netherlands m. +31 (0)623 441 670, f. +358 40 3170 201

Security Management nummer 11 november 2012

t hema | informatiebeveiliging

In de nasleep van Diginotar

Veilig communiceren met certificaten Ongeveer een jaar geleden werden de problemen bij de certificate authority (CA) Diginotar bekend. Dit zou een goed moment zijn om een artikel te schrijven over wat er nu allemaal ten goede veranderd is naar aanleiding van dit incident. Maar helaas, dat zou een kort artikel worden. Er zijn hooguit bewegingen waarneembaar die op langere termijn tot een fundamentele verandering zouden kunnen leiden. JEROEN VAN DONGEN *

ver de reden van het uitblijven van fundamentele veranderingen heb ik wel een idee. Maar voordat ik daar iets over zeg, schets ik eerst de achtergrond van de problematiek. Er wordt al genoeg geroepen zonder enig fundament. Dit stuk gaat uiteindelijk over cryptografie en in de literatuur komen we vaak drie hoofdrolspelers tegen.

Een voorbeeld Alice en Bob willen veilig met elkaar communiceren. Hun aartsrivaal Eva wil hun gesprek afluisteren. Dat kan Eva op twee manieren doen. Allereerst kan ze in de buurt van Alice en Bob zien te komen en het gesprek passief afluisteren. Een iets ingewikkelder manier is om Alice ervan te overtuigen dat ze Bob is en Bob ervan te overtuigen dat ze Alice is. Nu praat Alice tegen Eva die haar woorden doorgeeft aan Bob en Bob praat tegen Eva die zijn woorden doorgeeft aan Alice. Dit wordt een ‘man-in-the-middle’ aanval genoemd. Uit dit voorbeeld blijkt dat Alice en Bob behoefte hebben aan twee dingen. Ten eerste aan een manier om hun gesprek zodanig te verhullen dat een meeluisterende Eva niet snapt waar het over gaat. Dat kan door middel van versleuteling. Het tweede waar ze behoefte aan hebben,

is een manier om vast te stellen dat ze echt met elkaar in gesprek zijn en dat er niet stiekem een derde tussen zit. Dat vraagt om identificatie en authenticatie. Deze authenticatie is het feitelijke probleem dat (min of meer) opgelost wordt met certificate authorities en certificaten. Als Alice en Bob elkaar al goed kennen en elkaar voor het vertrouwelijke gesprek ten minste eenmaal fysiek kunnen ontmoeten, zijn beide problemen vrij eenvoudig op te lossen. Tijdens de ontmoeting kunnen ze elkaars identiteit vaststel-

duo dat met elkaar wil communiceren, zou een face-to-face authenticatie en sleuteluitwisseling moeten plaatsvinden. Dat wordt snel onwerkbaar bij grotere aantallen gesprekspartners. Gelukkig is midden jaren zeventig een oplossing voor dit probleem gevonden. Op basis van bepaalde wiskundige principes kunnen we sleutelparen genereren die een specifieke relatie met elkaar hebben, zodanig dat alles wat met sleutel A is versleuteld, alleen met sleutel B kan worden ontsleuteld en omgekeerd. Deze sleutels zijn in de

Eén enkele ‘foute’ CA is een gevaar voor het hele internet len en een sleutel uitwisselen. In volgende gesprekken kunnen ze hun communicatie versleutelen met behulp van de uitgewisselde sleutel en een goed versleutelingsalgoritme. Omdat Eve deze sleutel niet heeft, kan ze (a) niet passief afluisteren en (b) zich naar Alice of Bob niet geloofwaardig voordoen als Bob of Alice.

Versleuteling Helaas is het voorgaande schema in de praktijk niet goed toepasbaar. Voor elk

Security Management nummer 11 november 2012

praktijk meestal twee heel grote priemgetallen die voortkomen uit goede versleutelingsalgoritmes. Stel: » Zowel Alice als Bob maakt zo’n sleutelpaar aan. » Er bestaan nu dus vier sleutels: Key_ Alice Public, Key_Alice Private, Key_ Bob Public en Key_Bob Private. » Beiden houden één sleutel voor zichzelf (de private key) en de andere maken ze openbaar (de public key). » Alice kan nu een willekeurig woord

t hema | informatiebeveiliging

De kern van het huidige probleem is dat we de Certificate Authority’s min of meer blind moeten vertrouwen. versleutelen met de public key van Bob (Key_Bob Public ), het versleutelde woord aan Bob geven en hem vragen wat het woord was. Aangezien alleen Bob de andere sleutel, Key_Bob Private, heeft kan alleen hij het woord achterhalen. Als Bob dus het door Alice gekozen en versleutelde woord kan reproduceren, heeft hij aangetoond dat hij daadwerkelijk Bob is. Of nee, wacht even. Dat laatste is niet waar. Hij heeft aangetoond te beschikken over Key_Bob Private, een sleutel die een wiskundige relatie heeft met Key_Bob Public . Maar wie zegt eigenlijk dat Key_Bob Public daadwerkelijk van Bob is? We lijken het ene probleem voor het andere te hebben verruild.

Certificaten Dit is het moment waarop we terug zijn bij het oorspronkelijke onderwerp:

certificaten. We introduceren een autoriteit in het verhaal genaamd Notar, een CA. Notar heeft zijn eigen sleutelpaar gegenereerd en er veel moeite in gestoken om zich als betrouwbare partij te profileren en om zijn publieke sleutel zodanig breed te verspreiden in de samenleving dat iedereen deze sleutel kent en zeker weet dat deze sleutel echt van Notar is. Bob kan nu naar Notar gaan met zijn publieke sleutel en zijn paspoort en aan Notar vragen om vast te stellen dat hij echt Bob is en dat Key_Bob Public echt de helft van een sleutelpaar is waarvan Bob de andere helft heeft (Key_Bob Private). Als Notar dat heeft vastgesteld, kan hij daarvan een getuigschrift opstellen en dit getuigschrift ondertekenen met een digitale handtekening gemaakt met zijn eigen private key. Key_Bob Public wordt als onderdeel van het getuigschrift opgenomen. Als Bob nu Alice wil overtuigen van zijn identiteit, dan

kan hij dit doen op de volgende wijze: » Bob geeft Alice zijn getuigschrift, ondertekend door Notar; » Met de public key van Notar, die Alice net zoals iedereen kent en vertrouwt, controleert ze de echtheid van het getuigschrift en ze neemt Bob’s public key (Key_Bob Public) uit het getuigschrift over. » Nu versleutelt ze met Key_Bob Public een willekeurig gekozen woord en verlangt van de persoon die beweert Bob te zijn dat hij dit woord reproduceert. Hiervoor heeft hij Key_Bob Private nodig uiteraard. » Als dit Bob lukt, weet Alice dat hij over Key_Bob Private beschikt en dankzij het getuigschrift van Notar weet ze vrijwel zeker dat hij dus echt Bob moet zijn. Dit is een prettige situatie. Zolang iedereen Notar vertrouwt en Notar zijn werk goed doet, hoeft iedereen maar één keer bij Notar langs om een ge-

Security Management nummer 11 november 2012

t hema | informatiebeveiliging

tuigschrift op te laten stellen en vanaf dat moment kan iedereen veilig met elkaar communiceren.

Praktijk Hier laat ik het verhaal van Alice, Bob, Eva en Notar los en ga ik naar de praktijk. Specifiek die van beveiligde verbindingen voor websites – https, het slotje in de browser – zoals gebruikt door webwinkels, banken en talloze andere organisaties. In grote lijnen is het verhaal hetzelfde. Het getuigschrift in dat geval is een zogenaamd X.509 certificaat. Dit certificaat bevat ten minste de domeinnaam van de betreffende website (bijvoorbeeld bankieren.rabobank.nl), de public

key van de CA die het certificaat getekend heeft en vervolgens op een vergelijkbare wijze als Alice bij Bob deed vaststellen dat de betreffende site inderdaad beschikt over de bij het certificaat horende private key. Als er in die controle iets misgaat, bijvoorbeeld omdat de CA onbekend is of omdat de website niet werkelijk de juiste private key blijkt te hebben, krijg je een pop-up die daarvoor waarschuwt en kun je de communicatie afbreken.

Betrouwbaar Tot zover is alles goed. Dit hele systeem valt of staat wel met één belangrijk punt: dat alle CA’s betrouwbaar zijn en hun werk goed doen. We moeten ervan

Probleem is dat we CA’s min of meer blind moeten vertrouwen key van de website en nog wat aanvullende gegevens zoals een geldigheidsduur, datum van afgifte enzovoorts. Meer uitgebreide certificaten bevatten eventueel ook nog de bedrijfs- en/of persoonsgegevens van de eigenaar van de website. Deze certificaten worden na enige vorm van validatie door een Certificate Authority (CA) ondertekend. De public keys van een groot aantal publieke CA’s zijn ‘ingebakken’ in alle veelgebruikte browsers. Als je met je browser naar zo’n beveiligde site gaat, zal de browser bij de site het certificaat opvragen, de geldigheid controleren aan de hand van de public

uit kunnen gaan dat een CA alle controles goed uitvoert en alleen certificaten tekent die kloppen. En dat het niet mogelijk is voor willekeurige personen om uit naam van een CA certificaten te tekenen. De meeste browsers hebben lijsten met tientallen (root) CA’s in verschillende landen die ze automatisch vertrouwen. Daarnaast zijn er nog honderden resellers die certificaten mogen tekenen uit naam van één van de root CA’s. Aangezien alle CA’s en hun resellers certificaten kunnen tekenen voor elk willekeurig domein, is één enkele ‘foute’ CA een gevaar voor het hele Inter-

Begrippenlijst » CA: Certificate Authority, een ‘trusted third party’ die controleert of de gegevens op een certificaat kloppen en deze vervolgens tekent. Enigszins vergelijkbaar met een notaris. » Root CA: een CA die rechtstreeks door iedereen wordt vertrouwd. » Domein: internetdomein. » Certificate Reseller: een partij die zelf geen CA is, maar wel uit naam van een CA certificaten mag uitgeven. » Authenticatie: het vaststellen van de juistheid van een identiteit (bijvoorbeeld van een persoon of een website). » Identificatie: het kenbaar maken van de identiteit van een subject (persoon, proces, website, enz.).

Security Management nummer 11 november 2012

net. Met een vals certificaat kun je namelijk de eerder beschreven ‘man-inthe-middle’ aanval uitvoeren. Zo kan een CA in bijvoorbeeld China een certificaat voor een Nederlandse bank aanmaken – een beetje alsof China, zonder verdere controle van de Nederlandse autoriteiten, Nederlandse paspoorten mag uitgeven. In die situatie is het eigenlijk niet de vraag of het fout gaat, maar wanneer en hoe vaak. Diginotar was zo’n publieke CA van wie de public key zat ingebakken in vele browsers. Een derde partij wist controle te krijgen over het certificatieproces bij Diginotar en kon naar wens certificaten genereren. De CA Comodo heeft in 2011 vergelijkbare problemen gehad.

Kern huidige probleem De kern van het huidige probleem is dat we de CA’s min of meer blind moeten vertrouwen. Waarom werkt het eigenlijk nog steeds zo? Waarom kan iedere CA voor elk domein certificaten uitgeven? Waarom werken we überhaupt met CA’s – er zijn ook andere mogelijkheden om een vertrouwensrelatie op te bouwen tussen partijen, bijvoorbeeld een zogenaamd ‘web of trust’. Het antwoord is even simpel als onbevredigend: politiek en economie. Voor naties (of liever gezegd: hun inlichtingendiensten) is de huidige status quo waarschijnlijk niet vervelend, het maakt bepaalde vormen van afluisteren eenvoudiger. Diezelfde inlichtingendiensten hebben daar natuurlijk ook last van. Ik weet niet hoe die kosten-batenverhouding voor hen uitvalt, maar ik vermoed dat dit niet de grootste tegenkracht is voor verandering. Een belangrijkere tegenkracht is het economisch belang van de gevestigde CA’s. Elke echt effectieve oplossing houdt in dat we onze afhankelijkheid van centrale CA’s voor het bouwen van vertrouwensrelaties gaan afbouwen. En dat is iets wat de (commerciële) CA’s met ziel en zaligheid zullen proberen tegen te houden. ‹‹ * Jeroen van Dongen is Senior consultant en partner bij LBVD Informatiebeveiligers

gastcolumn

Hackers informatie of persoonsgegevens kwamen op straat te liggen. En ook de e-mails van en naar de directeur waren voor de hacker woord voor woord te lezen. Het bedrijfsimago had vervolgens behoorlijk te lijden, dat snapt u.

In elk bedrijf vind je computers waar gevoelige informatie op staat. Maar hoe veilig is die informatie daar? Hackers maken er een sport van om de beveiliging van uw ICT-structuren te kraken. Dat doen ze niet alleen als ze uit zijn op specifieke informatie of als ze met de directie in de clinch liggen. In onze praktijk hebben we al vaak gezien dat ‘onschuldige bedrijven’, zoals de koekjesfabriek en de sportschool, slachtoffer worden van hackers.

Ellende Hackers zorgen voor ellende. Daarom vragen veel organisaties ons om hulp bij het opstellen van preventieve maatregelen. Die bedrijven helpen we dan door inzicht te verschaffen in de werking van hun informatiebeveiliging: we voeren een penetratietest (pentest) uit.

Vervelend? Ja. Maar niemand is een slachtoffer: iedereen kan zelf de touwtjes in handen nemen. Klein duwtje Een hacker heeft maar een klein duwtje nodig om op zoek te gaan naar een nieuw object voor zijn hobby. Uiteraard zijn er ook professionals die in opdracht inbreken, maar laten we ons focussen op de kans dat zo’n koekjesfabriek – of úw organisatie – te maken krijgt met een hacker.

Mystery guests Tijdens een pentest bekijken we hoe ver we in de beveiliging kunnen doordringen. Dat doen we niet alleen digitaal, maar ook fysiek. We zetten bijvoorbeeld mystery guests in, die als doel hebben om het bedrijf binnen te komen en daar een laptop aan te sluiten op het netwerk, in de buurt van de server te komen, of software te installeren op één van de computers.

Hoe veilig uw informatie is, heeft niet alleen te maken met uw digitale beveiliging

Zwakke plek De hacker vangt ergens iets op over een zwakke plek in één van de meest gebruikte websitesystemen. Denk aan Joomla, Wordpress en Drupal. Hij struint het web af, op zoek naar websites met een dergelijk systeem. Vervolgens probeert hij de beveiliging van zo’n website te omzeilen. Of u het nu gelooft of niet: het zou dan zomaar om uw website kunnen gaan, ook al heeft u met niemand ruzie en staan er geen staatsgeheimen op uw computers. Stel dat een hacker de beveiliging van uw website kraakt. Hoe erg is dat dan? Ik heb veel gevallen gezien, waarin een hacker de computer van de directiesecretaresse wist te bereiken via een lek in de website. Mappen met strategische

E-mail Hoe veilig uw informatie is, heeft niet alleen te maken met uw digitale beveiliging. Als een hacker uw medewerkers een e-mail stuurt over een actueel onderwerp met de vraag om op een link te klikken, komt hij ook in uw netwerk. Of hij belt één van uw medewerkers en ontfutselt belangrijke codes met een goed verhaal. Het is dus niet gek dat de combinatie van een digitale en fysieke (inloop)test zo succesvol is. Als ieder bedrijf z’n eigen informatiebeveiliging eens goed onder de loep neemt, ligt er straks veel minder gevoelige informatie op straat. Dat scheelt een hoop ellende. Richard B. Franken, directeur Hoffmann Bedrijfsrecherche

Security Management nummer 11 november 2012

t hema | informatiebeveiliging

Tweede Cybersecuritybeeld Nederland

Digitale spionage grootste dreiging Afgelopen zomer publiceerde het Nationaal Cyber Security Centrum (NCSC) het tweede Cybersecuritybeeld Nederland. Daarin beschrijft het centrum de ontwikkelingen en dreigingen in het nationale ICT-domein tot mei van dit jaar. Digitale spionage en cybercriminaliteit blijken daarvan de grootste voor overheid en bedrijfsleven. Een samenvatting. ARJEN DE KORT

e beveiliging van informatieen communicatietechnologie (ICT), kortweg cybersecurity, is een serieus onderwerp. De te verdedigen belangen achter ICT-systemen zijn groot en betreffen niet alleen informatie maar ook allerlei diensten die vitaal zijn voor het functioneren van de Nederlandse samenleving. Tegelijkertijd blijkt uit recente incidenten dat ICT-systemen kwetsbaar zijn en dat actoren, met hun motieven, een dreiging kunnen vormen voor de Nederlandse belangen. Daarbij onderschatten de systeem- en informatie-eigenaren vaak de waarde van informatie. Identiteitsgegevens, bedrijfsinformatie, kwetsbaarheden van software en organisaties hebben voor verschillende actoren een grote waarde en/of worden voor grote bedragen verhandeld. De eenvoudige

toegang tot deze handel lokt steeds meer individuen en werkt als een aanjager voor incidenten op het vlak van cybersecurity.

Kernbevindingen In het tweede Cybersecuritybeeld Nederland worden de volgende kernbevindingen benoemd: » Op hoofdlijnen zijn er ten opzichte van de eerste rapportage (december 2011) geen grote verschuivingen in dreigingen waarneembaar. Wel zijn de handelingen van de hacktivisten, beroepscriminelen en cyberonderzoekers zichtbaarder geweest. » Digitale spionage en cybercriminaliteit blijven de grootste dreigingen voor overheid en bedrijfsleven. » De aanvaller is nog steeds in het voordeel. Ondanks diverse initiatieven tot verbetering houden de ver-

Cybersecuritybeeld Nederland » Het Cybersecuritybeeld Nederland is een observatie en analyse van de nationale en internationale cybersecurityontwikkelingen. In de rapportage worden geen aanbevelingen en adviezen gedaan. De scope is Nederland en de Nederlandse belangen in het buitenland, waarbij de aandacht primair is gevestigd op de (Rijks)overheid, de vitale sectoren en de burger. » De formele rapportageperiode van de tweede editie loopt van 1 juli 2011 tot en met 31 maart 2012, maar ook ontwikkelingen tot en met begin mei 2012 zijn erin verwerkt. » Het tweede Cybersecuritybeeld is opgesteld door het NCSC, op basis van informatie aangeleverd door ministeries, MIVD, AIVD, politie, OM, KPN, OPTA, NFI, CBS, NVB, ISACs, BoF, NCTV, wetenschappelijke instituten en universiteiten.

Security Management nummer 11 november 2012

dedigingsmaatregelen, -methodes en -initiatieven nog geen gelijke tred met de motivatie, het doorzettingsvermogen en de middelen van de opponenten. Een aantal incidenten is te wijten aan simpele kwetsbaarheden en was te voorkomen geweest door basale beveiligingsmaatregelen. Consumerization, mobiel internet en uitbreiding van de internetdienstverlening zorgen voor een uitzonderlijke toename van het aantal op internet aangesloten apparaten. Dit zal resulteren in een grotere maatschappelijke afhankelijkheid, meer (software-)kwetsbaarheden en een exponentiële toename in complexiteit van de beheersvraagstukken. Het ontbreekt een doorsnee internetgebruiker (en een aantal organisaties) aan voldoende kennis en kunde om zich goed te beschermen tegen digitale risico’s. Verdere toename van consumerization zal deze achterstand vergroten. Actoren werken steeds meer samen en delen direct of indirect en bedoeld of onbedoeld kennis. Deze trend geldt zowel voor actoren met een positieve bijdrage aan de veiligheid van internet als voor kwaadwillende actoren. Kwaadwillenden zijn steeds sneller in staat zwakheden te misbruiken ten opzichte van de lange doorloop-

t hema | informatiebeveiliging

tijden die organisaties nodig hebben om patches te implementeren.

Actoren De aard van de activiteiten van actoren is op hoofdlijnen onveranderd. Van de activiteiten van staten en beroepscriminelen is de dreiging nog steeds ‘hoog’. De verschillende actoren werken steeds meer samen en kennis wordt ten goede en ten kwade steeds meer (in)direct en in sommige gevallen onbedoeld gedeeld. Gedurende de rapportageperiode is er ook een toename van het aantal activiteiten waarneembaar van hacktivisten en cyberonderzoekers. De cyberonderzoeker is in dit tweede Cybersecuritybeeld toegevoegd en heeft de intentie om kwetsbaarheden aan de kaak te stellen en de beveiliging te verbeteren. Tevens is de interne actor toegevoegd, omdat er een significante dreiging van deze actor uitgaat.

Dreigingen Op basis van analyses en incidenten in deze rapportageperiode zijn ‘digitale spionage’ en ‘malwarebesmetting en spam’ geschat op een ‘hoge’ dreiging voor de ‘overheid’. ‘Private organisaties’ moeten vooral rekening houden met ‘digitale spionage’, ‘malwarebesmetting en spam’ en ‘digitale (identiteits)fraude’. De belangrijkste ‘dreigers’ zijn nog steeds ‘staten’ met ‘digitale spionage’activiteiten en ‘(beroeps)criminelen’ met activiteiten voor financieel gewin.

Kwetsbaarheden Het blijkt dat het beveiligen van websites nog altijd onvoldoende aandacht krijgt. Kwetsbaarheden worden in onvoldoende mate verholpen, waardoor kwaadwillende partijen gegevens kunnen inzien en manipuleren. Ook de toegangsbeveiliging van webapplicaties schiet nog vaak tekort. Gekozen wachtwoorden van gebruikers zijn te

eenvoudig of te kort, waardoor ze gemakkelijk door een aanvaller te raden zijn. Daarnaast worden inloggegevens voor een systeem vaak bij andere systemen hergebruikt. Een lek in de beveiliging van de ene website leidt er daardoor toe dat aanvallers ook toegang kunnen krijgen tot andere systemen. Werknemers bezitten steeds vaker smartphones en tablets die ook worden gebruikt in werkomgevingen. Dit bring your own device (BYOD) zorgt voor een complexer wordend beheer van de ICT-infrastructuur. Doordat een eigenaar zelf ‘apps’ kan installeren, ontstaan er veel verschillende installaties. Dit heeft tot gevolg dat de aanwezigheid van kwetsbaarheden en/ of malware vaak niet of laat wordt opgemerkt. Kwaadwillenden kunnen zich langs deze weg toegang verschaffen tot informatie en systemen. Begin dit jaar haalde een aantal kwetsbaarheden in ICS/SCADA-systemen de media. Deze systemen vormen waarschijnlijk een langdurige kwetsbaarheid, omdat het niet eenvoudig is

veroorzaken), malware en botnets. Botnets behouden een spilfunctie bij het uitvoeren van cyberaanvallen. Ook zijn er nieuwe ontwikkelingen op het gebied van ransomware. Er zijn nu varianten die een computer alleen nog laten opstarten indien er losgeld wordt betaald.

Weerbaarheid Digitale weerbaarheid is het vermogen om weerstand te bieden aan negatieve invloeden op de beschikbaarheid, vertrouwelijkheid en/of integriteit van (informatie)systemen en digitale in-

Kennis wordt steeds meer (in)direct en in sommige gevallen onbedoeld gedeeld ze te voorzien van updates wanneer kwetsbaarheden in hun software worden ontdekt. Ook komen steeds meer softwarehulpmiddelen in het publieke domein beschikbaar die een kwaadwillende in staat stellen op een eenvoudige manier misbruik te maken van zulke kwetsbaarheden.

Hulpmiddelen De belangrijkste technische hulpmiddelen die dreigersgroepen inzetten, zijn nog steeds exploits (software, gegevens of opeenvolging van commando’s die gebruikmaken van een kwetsbaarheid in software en/of hardware om ongewenste functies en/of gedrag te

NCSC Het Nationaal Cyber Security Centrum (NCSC) draagt via samenwerking tussen bedrijfsleven, overheid en wetenschap bij aan het vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein. Het NCSC is onderdeel van de Directie Cyber Security van de NCTV.

formatie. Op het gebied van weerbaarheid zijn de afgelopen periode belangrijke initiatieven ontplooid. De meest in het oog springende hebben betrekking op het verhogen van het bewustzijn, de toenemende nationale en internationale samenwerking, de stimulering van (wetenschappelijk) onderzoek en het vergroten van de capaciteit van het NCSC, het Team High Tech Crime (THTC) en Defensie op het gebied van cybersecurity. Op meer detailniveau is er een toenemende aandacht voor de bestrijding van cybercriminaliteit en botnets. Daarnaast zijn wetsvoorstellen geïnitieerd voor onder andere het melden van datalekken. ‹‹ Dit artikel is een samenvatting van Cybersecuritybeeld Nederland, juni 2012. Het volledige rapport is te vinden op: www.ncsc.nl

Security Management nummer 11 november 2012

t hema | informatiebeveiliging

HNW en BYOD vragen van informatie Het Nieuwe Werken is een ontwikkeling die ertoe leidt dat steeds meer mensen plaatsonafhankelijk vanaf flexibele werkplekken tijdens flexibele werktijden hun werkzaamheden verrichten. Daarbij gebruiken zij in toenemende mate eigen smartphones en tablets die toegang moeten krijgen tot de back-office bedrijfssystemen. Dit vraagt om een betere beveiliging van kritische applicaties en informatie, wat tegenwoordig ook eenvoudig via de cloud te regelen en te beheren is. PETER GLOUDEMANS *

n de wereld van mobiele communicatie gaan de technische ontwikkelingen razendsnel en gebruikt men regelmatig nieuwe vaktermen en afkortingen, zoals ‘BringYour-Own-Device’ of ‘Choose-YourOwn-Device’. Daarmee wordt bedoeld dat medewerkers eigen smartphones en tablets voor zowel privé als zakelijke toepassingen mogen gebruiken. Een andere optie is dat ze met een grote mate van vrijheid op kosten van de zaak zo’n apparaat mogen uitkiezen. Vooral generatie Einstein laat zich niet graag een standaard smartphone, laptop of tablet opdringen en wil liever de eigen favoriet (voor werk) gebruiken. Los van alle voor- en nadelen die daaraan verbonden zijn, moeten organisaties in ieder geval meer aandacht besteden aan hun informatieen netwerkbeveiliging. In de tijd dat

bedrijfskritische applicaties en informatie merendeels binnen de bedrijfsmuren bleven, volstonden een professionele firewall en andere maatregelen om onbevoegde toegang te voorkomen. Nu echter steeds meer bedrijfstoepassingen en -informatie op smartphones en tablets worden gebruikt, nemen de veiligheidsrisico’s sterk toe. Als oplossing daarvoor

Beveiligingstechnieken Er zijn verschillende technieken om mobiele toestellen veilig te integreren met de IT-infrastructuur van een organisatie, waarvan hier de belangrijkste worden samengevat. Voor het altijd en overal toegang geven

Generatie Einstein laat zich niet graag een standaard smartphone opdringen heeft het Nederlandse bedrijf VeliQ een via internet te gebruiken oplossing ontwikkeld waarmee organisaties alle mobiele smartphones en tablets op afstand kunnen beveiligen en ook beheren. Hoe wordt die beveiliging

MobiDM MobiDM maakt het via een intuïtieve webinterface mogelijk om routinematige beheertaken in vergaande mate te automatiseren, apparatuur- en platformonafhankelijk. Dat verkort de implementatietijd voor zo’n beheeroplossing aanzienlijk en verlaagt tevens de kosten en risico’s. Voor een vast bedrag per apparaat, per maand, hoeven bedrijven niet meer zelf te investeren in software, mensen en ontwikkeling. Het is een eenvoudig te gebruiken SaaS-oplossing, die in vijftien minuten te implementeren is en naar behoefte en mobilitystrategie flexibel is uit te breiden.

precies geregeld? En is zo’n oplossing wel betrouwbaar?

Security Management nummer 11 november 2012

tot bedrijfskritische systemen aan mobiele medewerkers, is het noodzakelijk om iemands identiteit te kunnen verifiëren. Wordt een mobiel toestel namelijk wel door de juiste persoon gebruikt? Deze toegangsbeveiliging is hetzelfde voor medewerkers die inloggen op hun pc en gebeurt door verificatie van gebruikersnaam en wachtwoord in de zogeheten Active Directory. Ook de smartphones en tablets zelf hebben een unieke ID die voor identificatie te gebruiken is, terwijl daar in de toekomst biometrische technieken aan worden toegevoegd. Een andere techniek die door recente problemen veel bekendheid heeft gekregen, is het gebruik van (tijdelijke)

t hema | informatiebeveiliging

om betere beveiliging certificaten voor bepaalde systemen of toepassingen. Zowel identiteit- als certificaatmanagement zijn belangrijke beveiligingsissues. Twee praktische zaken die daarbij om de hoek komen kijken, zijn de verschillende rollen met bijbehorende gebruikersrechten die medewerkers kunnen vervullen en het feit dat één gebruiker meerdere mobiele apparaten kan gebruiken. Verder zijn er nog diverse encryptietechnieken om informatie onleesbaar te maken voor mensen die er geen autorisatie voor hebben en niet te vergeten de virusscanners die inmiddels ook in de mobiele wereld hun intrede hebben gedaan.

Mobilitybeheer vereenvoudigen Om risico’s te voorkomen is het belangrijk dat IT- en security managers de inrichting en het dagelijks beheren van hun beveiligingsmaatregelen zo eenvoudig mogelijk houden. Dat lijkt tegenstrijdig, maar complexe oplossingen kunnen na verloop van tijd zelf een risico worden. Vanuit de visie ‘Mobile Made Easy’ heeft de al genoemde enterprise mobility specialist VeliQ een complete cloudoplossing ontwikkeld en verder uitgebouwd: MobiDM. Het is een complete oplossing voor mobile device management, mobile security en applicatie- & contentmanagement, die eenvoudig via het internet (cloudservice) te gebruiken en te beheren is. Behalve de al genoemde beveiligingstechnieken omvat de oplossing tevens functionaliteit om het populaire ‘kraken’ van smartphones en tablets te voorkomen, oftewel ‘jailbreaken’ van Appleapparatuur en vanaf de root inbreken op Android. Verder kan men instellen dat bepaalde informatie alleen maar te bekijken is en nooit op het mobiele apparaat kan worden opgeslagen, ook niet via een screenshot.

Internal network environment

Mobile Integrated Cloud

Ontwikkeling mobiele toepassingen Na in het begin alleen maar de agenda, contactpersonen, e-mail en Office-documenten op mobiele apparatuur te kunnen gebruiken en synchroniseren, neemt nu het aantal back-office integraties snel toe. Dat blijkt tevens uit veranderingen in de mobility-visie en strategie van ERPleveranciers, zoals SAP. Bij de apps voor toegang tot deze systemen is alle informatie meestal volledig encryp-

het gebruik van een zogenoemde ‘Enterprise Content Store’, oftewel de bedrijfsspecifieke variant op Apple’s App Store en Google’s Play (Android market). Die content kan van alles in verschillende formaten zijn, zoals catalogi, prijslijsten, foto’s, video’s, Office-documenten, wiki, enzovoort. Meestal wordt dit type content op aanvraag naar de gebruiker ‘gepushed’ om op elk gewenst moment mobiel te kunnen gebruiken. Een voordeel van content stores is het ge-

Nu meer bedrijfsinformatie op smartphones wordt gebruikt, nemen veiligheidsrisico’s toe ted in de app opgesloten en wordt deze niet op het apparaat zelf opgeslagen. De communicatie met zo’n back-office bedrijfssysteem wordt geregeld door speciale connectors, die via een beveiligde SSL-verbinding bedrijfsinformatie alleen van binnenuit naar buiten ontsluiten. Dus zonder openstaande poorten die te hacken zijn. Een andere nieuwe ontwikkeling is

mak waarmee zowel applicaties als informatie gecombineerd te publiceren en te beheren zijn. Net als Apple’s App Store gaan enterprise content stores het gebruik van zakelijke tablets en smartphones de komende jaren sterk aanjagen, waardoor de beveiliging daarvan nog bedrijfskritischer wordt. ‹‹ * Peter Gloudemans, AddIT Benelux

Security Management nummer 11 november 2012

securit y

Inlichtingenanalyse: be security manager Wat is inlichtingenanalyse? Is er een relatie met security? En in het verlengde daarvan, wat kun je ermee als security manager? In een serie van twee artikelen wordt ingegaan op deze vragen. In dit eerste artikel staan om te beginnen positionering en definiëring centraal. RON GERAETS *

et is van belang om allereerst in te gaan op de positioneringsvraag. Er heeft altijd een klassiek onderscheid bestaan tussen inlichtingen en veiligheid. Ze werden in het verleden veelal beschouwd als twee verschillende vakgebieden die tot op zekere hoogte complementair waren. De vraag is of dat nog steeds zo is, of dat er sprake is van interactie tussen of naar elkaar toegroeien van deze vakgebieden.

Inlichtingen Het vakgebied inlichtingen richtte zich traditioneel op het verwerven, bewerken, analyseren en verspreiden van informatie; dit wordt intelligence of intel genoemd en werd tot voor kort gezien als het exclusieve domein van de inlichtingendiensten. Echter, ook grote bedrijven hebben een aanzienlijk belang bij het managen van informatie. Denk hierbij aan het nemen van investeringsbeslissingen, het voorblijven op de concurrentie, en het op de hoogte zijn van de voornemens van concurrenten en het zal duidelijk zijn dat hier een relevant belang ligt. Dergelijke activiteiten worden meestal niet geassocieerd met Intel, maar veel meer met informatiemanagement ofschoon de toe te passen technieken tot op zekere hoogte analoog zijn. Vaak wordt dit ook geduid met de term business intelligence, hoewel deze term in de praktijk meestal niet het intelwerkveld afdekt. Het begrip business intelligence heeft in de werkpraktijk bij veel ondernemingen, met name bij de-

gene die diensten op dit terrein aan de markt aanbieden, vaak betrekking op informatie in relatie tot IT-processen, software en daaraan verbonden kwantitatieve analyses. Bij een beperkt aantal grote bedrijven wordt business intelligence overigens wel in de volle breedte bedreven.

Bredere scope De in dit artikel bedoelde intel heeft een aanzienlijk bredere scope. Intel beoogt bij de Staat en de maatschappij veiligheid te dienen alsmede informatie te vergaren voor voor de overheid relevante politieke en strategische doelein-

ondernemingen dat niet mogen. Bovendien verschilt de doelstelling van een inlichtingendienst met die van een private onderneming in relatie tot inlichtingen, maar dat is een open deur. Intel wordt dan ook beschouwd als het domein van de I&V-diensten en tot op zekere hoogte ook van de opsporingsdiensten, terwijl informatiemanagement (waarbij veelal dezelfde technieken worden gehanteerd) en business intelligence meer als het domein van de private sector of van dat deel van de publieke sector dat niet intelgebonden is, kunnen worden gezien. Het is daarom van belang consequent onderscheid

Bij het bedrijfsleven kan intel naast veiligheid ook commerciële doelen dienen den. Bij het bedrijfsleven kan intel naast veiligheid ook commerciële doelen te dienen. Dat is er dan ook de reden van dat ik het begrip business intelligence in dit artikel verder niet meer benoem, ook al zou het onderwerp in relatie met intel op zich een onderzoek waard zijn. Wat hierbij van belang is te onderkennen, is dat er een fundamenteel onderscheid is in de bevoegdheden van inlichtingendiensten en private ondernemingen. Inlichtingendiensten kennen een aantal taken en mogen handelingen verrichten zoals deze in de Wet op de inlichtingen en veiligheidsdiensten zijn vastgelegd, daar waar private

Security Management nummer 11 november 2012

te maken tussen inlichtingen en informatie. Dat onderscheid manifesteert zich in de volgende twee opzichten: » De tijdsklem is bij inlichtingen vaak veel groter dan bij informatie. » Inlichtingen worden regelmatig via niet-conventionele (geheime) methoden vergaard. Het fundamentele onderscheid laat onverlet dat er naast de publieke inlichtingendiensten een groeiend aantal (inter)nationaal actieve bedrijven (anders dan degene die ik bij business intelligence noemde) is dat van inlichtingen zijn core business heeft gemaakt. Deze bedrijven vergaren/verwerven in-

securit y

tekenis voor de lichtingen voor de markt, analyseren deze inlichtingen en bieden ze aan voor commerciële toepassing en doeleinden. Deze bedrijven, die aan de aanbodzijde van de markt opereren, bieden hoogwaardige business intelligence in de zin van intel aan grote ondernemingen aan.

Veiligheid Het vakgebied veiligheid (bedoeld wordt hier veiligheid in de zin van security en niet van safety) kent een veel breder gebied van gebruikers. Naast de werkzaamheden van de opsporingsdiensten, zoals politie en de Koninklijke Marechaussee, die in ieder geval ten dele als securitywerkzaamheden kunnen worden gezien, kent security vanzelfsprekend een breed toepassingsgebied in overheid, bedrijfsleven, NGO’s, enzovoort. De security manager in deze organisaties vormt hierbij de spilfunctie. Ook beveiligingsbedrijven bestrijken een deel van het meer operationele gebied van security. Er is geen discussie over de vraag of security gebruikmaakt van informatie en/ of van intel. Hoe zou de security manager in het bedrijfsleven een risicoanalyse kunnen opstellen zonder over toereikende informatie te beschikken en hoe

Een groeiend aantal bedrijven heeft van inlichtingen zijn core business gemaakt. Deze bedrijven bieden hoogwaardige business intelligence in de zin van intel aan grote ondernemingen aan. natuurlijk boeiend om vast te stellen dat de Staat bij de ontwikkeling en introductie van de Wet op de inlichtingen- en veiligheidsdiensten van 2002 op deze vraag anticipeerde en ook wel een beetje een antwoord gaf. Sindsdien zijn de AIVD (de voorganger, de BVD, was van oorsprong een traditionele veiligheidsdienst) en de MIVD (de voor-

Het is van belang consequent onderscheid te maken tussen inlichtingen en informatie zou een beveiligingsambtenaar op een ministerie zijn risicoanalyse kunnen opstellen zonder toereikende intel? Met andere woorden, de complementariteit tussen security en inlichtingen is overduidelijk, maar zijn er ook interactie en wederzijds gebruik van het instrumentarium? Het is in dit verband

ganger, de MID, was van oorsprong een traditionele inlichtingendienst) I&V diensten met zowel een inlichtingen- als een veiligheidsdoel en taakstelling. Hiermee onderkende de overheid dat inlichtingen en veiligheid, althans op het niveau van de centrale overheid, tot op zekere hoogte met elkaar verweven zijn en dat de efficiëntie, effectivi-

teit en slagkracht zijn gediend bij samenwerking tussen I&V. Deze ontwikkeling had niet alleen inhoudelijke betekenis, maar inspireerde ook tot de geleidelijke vormgeving van een andere cultuur binnen deze diensten. In het vervolgartikel zal worden ingegaan op de betekenis hiervan voor inlichtingen, en meer in het bijzonder inlichtingenanalyse, in het securitywerkveld.

Wat is inlichtingenanalyse? Hoewel een formele definitie niet voorhanden is, zou kunnen worden gesteld dat in het proces van inlichtingenanalyse informatie over situaties, landen, organisaties, bedrijven en ontwikkelingen van strategisch en/of tactisch belang, in beschouwing wordt genomen. Bij de analyse worden bekende, als vaststaand te beschouwen gegevens en informatie als (voorlopig) uitgangspunt genomen en worden onzekere gegevens en informa-

Security Management nummer 11 november 2012

securit y

eftestelling opdrachtgeve Beho r Waarnemen & verzamelen Analyseren & concluderen

Afsluiten & evalueren Bijsturen

Distribueren & communiceren

Anticiperen & handelen Afwegen & beslissen

De informatie kan betrekking hebben op een groot aantal zogenaamde kenbare objecten. Hieronder worden deze niet-limitatief opgesomd om een idee te geven van de omvang van het werkterrein van inlichtingenanalyse. (In de praktijk zullen inlichtingenanalisten - aanvullende - vragen bij de behoeftestellende organisatie uitzetten die zijzelf niet vanuit hun eigen beschikbare informatiebronnen kunnen beantwoorden). Het kan hierbij gaan om: » Gebeurtenissen. » Verbanden tussen gebeurtenissen. » Toetsbare feiten. » Verwachtingen. » Handelingen. » Uitspraken en verklaringen. » Motieven en doelen achter handelingen, uitspraken en verklaringen. » Sterktes en zwaktes van individuen, organisaties en landen. » Organisaties, netwerken, systemen, objecten, (bedrijfs)voorraden en structuren. » Bronnen van invloed en beïnvloeding.

se beschouwen. Een mooi voorbeeld van actuele inlichtingenanalyse is de vraag of een land als Iran nu wel of niet bezig is via verrijking van uranium een atoomwapen te bouwen, daar waar de Iraanse regering bij voortduring aangeeft dat zij dit slechts voor vreedzame doeleinden, zoals veiligstelling van haar energievoorziening, in de toekomst doet. Inlichtingenanalisten in de westerse wereld zullen momenteel ongetwijfeld veel tijd besteden aan dit onderwerp aan de hand van de verschillende elementen zoals die in voorgaande lijst staan vermeld. Er is geen reden om aan te nemen dat grote ondernemingen die met het onderwerp bezig zijn, fundamenteel anders tegen het onderwerp aankijken. Zij zullen inlichtingenanalyse waarschijnlijk informatiemanagement noemen en natuurlijk is hun doelstelling vooral bedrijfscontinuïteit, het borgen van werkgelegenheid en het creëren van winst in de onderneming. Aan deze lijst zou voor ondernemingen dan ook kunnen worden toegevoegd: het volgen van marktontwikkelingen, voorbereiden van investeringen, innovatie, en het op de hoogte blijven van ‘waar de concurrentie mee bezig is’. En voor de security manager in het bedrijf geldt vanzelfsprekend het borgen van de veiligheid in de meest brede zin van het woord. Bij nadere beschouwing kan gesteld worden dat deze elementen zonder al te veel moeite in de lijst kunnen worden teruggevonden dan wel ondergebracht.

Deze beschrijving heeft als invalshoek de wijze waarop inlichtingendiensten over het algemeen inlichtingenanaly-

Doel van het verkrijgen van deze kennis is steeds het inschatten van moge-

tie, of informatie die (nog) niet goed in een zeker kader geplaatst kan worden, met behulp van verschillende technieken in beschouwing genomen. Dit kan in een aantal stappen worden uitgevoerd, waarin tussentijds meer informatie wordt verzameld om een vollediger of beter getoetst beeld van de werkelijkheid te krijgen. De legpuzzel kan hierbij als metafoor dienen; elke keer als een stukje wordt geplaatst, wordt het beeld van wat het is of voorstelt duidelijker.

Doel

Security Management nummer 11 november 2012

lijke toekomstige acties van (vijandige) individuen, organisaties en of (concurrerende) bedrijven alsmede het inschatten van het mogelijke verloop van ontwikkelingen en het aanbevelen van interventies om de loop van de gebeurtenissen te beïnvloeden. Deze inschattingen worden beschreven in scenario’s, die voor een onderneming betrekking kunnen hebben op vele onderwerpen, zoals reeds gesteld, bijvoorbeeld op voorgenomen investeringen of desinvesteringen, winstnemingen, liquidaties, vijandige overnames, of op veiligheid.

Cyclus De inlichtingenanalyse is het onderdeel van een cyclus waarin inlichtingen worden verzameld, verwerkt en gebruikt om handelend (of juist niet) op te treden. De stappen worden volgordelijk doorgelopen. Het is een iteratief proces, waarbij evaluatie van elke stap in het proces de kritische noot vormt. Voor een goed begrip is het van belang om deze inlichtingencyclus kort en op hoofdlijnen te duiden: » Formuleren en vaststellen van de behoeftestelling van de opdrachtgever. » Waarnemen en verzamelen van informatie. » Analyseren, bewerken en concluderen. » Distribueren en communiceren. » Afwegen en beslissen. » Anticiperen en handelen. » Afsluiten en evalueren. Ter verduidelijking kunnen deze stappen schematisch worden weergegeven. Zie de figuur.

Vervolg De scope van deze twee artikelen is de analysestap (die in de werkpraktijk in een aantal deelstappen uiteenvalt). In dit eerste artikel is het onderwerp inlichtingenanalyse geïntroduceerd, gepositioneerd, en gedefinieerd. In het vervolgartikel (Security Management 2012, nummer 12) zal worden ingegaan op de bijbehorende technieken en randvoorwaarden, de toegevoegde waarde en de gebruikers. ‹‹ * Ron Geraets, Security and Business Intelligence Advisory Services

Hier worden de juiste beveiligingsmaatregelen getroffen Beveiligingsmaatregelen? Waar dan? Iedereen die wil kan de inhoud van deze container toch zo meenemen? Dat klopt. In zekere zin. Maar deze container is leeg. En een container zonder inhoud vormt geen risico en is niet aantrekkelijk voor criminelen. Waarom zou je er dan state of the art beveiligingsmaatregelen op loslaten? Die kun je beter inzetten bij objecten die daar wel om vragen. Trigion zoekt altijd naar de juiste balans tussen beveiligingsniveau en -risico. Trigion is het grootste beveiligingsbedrijf van Nederland. We kunnen bogen op een ervaring van 100 jaar. Zoeken proactief naar nieuwe oplossingen om mensen en eigendommen nog beter en efficiĂŤnter te beschermen. Onze opdrachtgevers waarderen dat. Dat blijkt niet alleen uit onze klanttevredenheidsonderzoeken maar ook uit onze langdurige contracten. Omdat we doen wat er van ons wordt verwacht. En eigenlijk altijd net iets meer dan dat. Wilt u weten wat Trigion voor uw organisatie kan betekenen? Kijk voor meer informatie op www.trigion.nl of bel (010) 298 11 33. Wij zijn u graag van dienst. Trigion. Toonaangevend in veiligheid

De juiste mensen op de juiste plek

beur s

Security Essen 2012

Het complete brancheoverzicht Met bijna 1.100 exposanten en zo’n 39.000 bezoekers waren de 12 hallen van het beurscomplex in het Duitse Essen van 25 – 28 september weer voor even het middelpunt van de beveiligings- en veiligheidswereld. Een dagje beurs leverde een actueel beeld op van de branche. ARJEN DE KORT

e twintigste editie van Security Essen heeft het succes van twee jaar geleden kunnen continueren: de aantallen exposanten en bezoekers lagen op het niveau van 2010. Debet daaraan is ongetwijfeld dat de branche de economische crisis redelijk lijkt te doorstaan. De wereldwijde omzet van de sector vertoont immers nog steeds een stijgende lijn, zo valt te lezen in het eindrapport van de beursorganisatie. Deze positieve trend wordt ook gestaafd door onderzoek onder de beursbezoekers, waarvan 26 procent aangaf het komende jaar meer dan 250.000 euro aan security te zullen uitgeven; 13 procent gaf zelfs aan dat dit het komende jaar meer dan 1 miljoen euro zal zijn.

Smartphone Exposanten toonden traditiegetrouw veel innovaties, variërend van producten tot complete oplossingen. Opval-

lend was het groeiende aanbod van tablet- en smartphone-geschikte ontwikkelingen, waarmee camera’s en alarminstallaties via de smartphone kunnen worden gecontroleerd. Bovendien heeft de mobiele telefoon zijn opmars ingezet als contactloze sleutel voor het openen van deuren.

Thematische indeling De organisatie had ook deze editie voor een thematische indeling van de beursvloer gekozen, waardoor de doelgerichte bezoeker zijn dag efficiënt kon indelen. Cctv Liefhebbers van camera’s kwamen volop aan hun trekken, hoewel er over het algemeen op dit terrein geen grote veranderingen waren te signaleren. Wel zet de ontwikkeling van steeds betere beeldkwaliteit door. Waar voorheen mensen op beelden vaak niet herkenbaar waren, worden de beelden nu

Kengetallen Security Essen 2012 » » » »

Editie: 20 Bezoekers: > 39.000 uit 115 landen; 35 procent van buiten Duitsland. Exposanten: 1.086 uit 40 landen; 46 procent van buiten Duitsland. 26 procent van de bezoekers gaf aan het komende jaar > 250.000 euro aan security te zullen uitgeven; 13 procent zelfs > 1 miljoen euro. » Belangrijke onderwerpen voor de bezoekers: veiligheid in het publieke domein, transportveiligheid, gebouwbeveiliging. » Volgende editie: 23 – 26 september 2014.

Security Management nummer 11 november 2012

steeds scherper waardoor identificatie mogelijk wordt. Voorbeeld hiervan zijn onder andere de nieuwe IP-camera’s van Sony. Deze hebben een beter dynamisch bereik, betere beeldregistratiesnelheden en leveren hogere prestaties bij weinig licht ten opzichte van de vorige generatie beveiligingscamera’s. Zelfs personen die in sterk tegenlicht staan, zijn uitstekend herkenbaar. Daarnaast is ook de ruisonderdrukking verbeterd en is de maximale framesnelheid verdubbeld van 30 fps naar 60 fps, bij zowel HD als full HD. Mobotix topman Magnus Ekerot vertelde in een interview dat wat hem betreft resolutie en beeldkwaliteit de komende jaren de beslissende factoren worden en dat er een shake out zal komen van bedrijven die slechte beeldkwaliteit verkopen. Verder schetste de chief sales officer de strategie van het Duitse bedrijf, waarin het behalen van een goede marge belangrijker is dan volumebeleid met veel nieuwe producten. Verder zal Mobotix een andere productstrategie volgen, waarbij niet alleen de camera belangrijk is, maar de totale oplossing, inclusief software en platform. Ekerot verwacht de komende vijf jaar met gecontroleerde groei te kunnen groeien naar een omzet van 400 miljoen euro (vgl. 2010: 73 miljoen euro). Deze groei wil hij met name realiseren in het segment gebouwautomatisering. Ook andere bedrijven uit de cctv-sector

beurs

blijken hun strategie te veranderen. Zo presenteerde Geutebrück zich als system provider en wil ze niet langer alleen worden gezien als cameraleverancier. Toegangscontrole In toegangscontrole blijven biometrische toepassingen zich gestaag ontwikkelen. Vingerafdruk, iris-scan en aderpatroonherkenning zijn inmiddels gemeengoed. Verder wordt de mobiele telefoon steeds vaker gebruikt als contactloze sleutel voor het openen van deuren. Een opvallende innovatie werd gepresenteerd door het Finse iLoq, dat sinds dit voorjaar ook op de Nederlandse markt opereert. Het bedrijf levert een sluitsysteem waarvoor geen batterijen of bekabeling nodig zijn. De cilinders zijn ‘self powered’ door gebruik te maken van de energie die wordt opgewekt door de insteekbeweging van de sleutel in de cilinder. Brandveiligheid De organisatie verdient een compliment dat zij erin was geslaagd het aanbod op het terrein van brandveiligheid en brandpreventie wederom te verdubbelen in vergelijking met de vorige editie. Dit keer werden twee hallen gevuld

door 140 aanbieders uit deze sector. Een rondgang maakte duidelijk dat brandveiligheid niet langer alleen draait om het blussen van branden, maar dat ook preventie en dus branddetectie steeds belangrijker wordt. Integrale oplossingen Waar een aantal cameraleveranciers voorzichtig de strategie verlegt richting totaaloplossingen, zijn andere partijen daarin natuurlijk al lang zover. De beste voorbeelden hiervan zijn bedrijven als Siemens, Bosch en Honeywell. Naast hun complete aanbod van cctv, toegangscontrole- en alarminstallaties, toonden zij dat al deze modules kunnen worden geïntegreerd in een gebouwbeheersysteem.

Security Innovation Awards Aan de vooravond van de Security Essen werden traditiegetrouw de Security Innovation Awards uitgereikt. De jury kende drie prijzen toe in de categorie Technologie, twee in de categorie Brandveiligheid, en twee speciale prijzen. In de categorie Technologie was Detection Technologies uit Groot-Brittannië met het VibraSector Intrusion Point Location System de winnaar van het goud. Het zilver was voor Syperion (Duits-

land) met het Argos Video-Based Camera System. Het brons in deze categorie was voor Lock-your-world (Duitsland) met pylocx Locking System. EPS Vertriebs (Duitsland) was met Protector-ST-01 Monitoring and Alarm System de winnaar van het goud in de categorie Brandpreventie. AssaAbloy (Duitsland) ontving voor de Security Door Closer het zilver. Speciale prijzen waren er voor de X7R LED torch met X-lens Technology, en de tresorex SecuTurn Self-Locking Cuff Screw.

Nederlandse inbreng Dat deze Duitse beurs ook voor Nederlandse bedrijven steeds belangrijker wordt, bleek voorgaande edities al uit de groeiende populariteit van het Holland Paviljoen. Dit keer namen er slechts zeven bedrijven deel aan dit paviljoen (2010: 20). Echter, een aantal deelnemers van de vorige editie had er dit keer voor gekozen met een eigen stand deel te nemen. Het aantal deelnemende Nederlandse bedrijven bedroeg dit keer in totaal 34. Zij konden zich verheugen in het bezoek van talrijke Nederlandse bezoekers die ook dit jaar de weg naar Essen hadden gevonden. ‹‹

Security Management nummer 11 november 2012

congres

Het rendement van security Wat is het rendement van security? En hoe bepaal je dat? Wat zijn je security-ambities? En hoe zijn deze te borgen? Deze vragen stonden centraal tijdens het door Promundo samen met Rijksuniversiteit Leiden georganiseerde Security Riskmanagement Event 2012, met als thema ‘Wasdom van security’. ARJEN DE KORT

gewisseld met een boeiende rondleiding door het historische gebouw waar ooit ook Albert Einstein menig uurtje heeft doorgebracht.

Rendement Gastheren Rob van Veen (Promundo) en André Morsman (RU Leiden) schetsten in hun openingspresentatie duidelijk het kader van deze middag, waarin alles draaide om de vraag hoe

je inzicht krijgt in het rendement van de investeringen en de inspanningen die worden gedaan op securityterrein. Om hierop antwoord te krijgen, deden vervolgens twee security managers hun verhaal hoe zij dit bij hun organisaties hebben opgepakt. Peter Prak (programmamanager security bij ProRail) ging in zijn presentatie in op zijn ervaringen met de risicoanalyse bij de ontwikkeling van Foto: Marie-Louise Ruijs

an de vele mooie plekjes die de Rijksuniversiteit Leiden rijk is, was dit keer de prachtig gerestaureerde Sterrenwacht de locatie voor het inmiddels traditionele jaarlijkse Security Riskmanagement Event van Promundo en Rijksuniversiteit Leiden. Zo’n vijftig genodigden uit de securitybranche kregen een interessant programma gepresenteerd rond het onderwerp rendement van security, af-

Middagvoorzitter Richard Engelfriet stelt Harm van Dijk (ING) een vraag. Peter Prak (Prorail) en André Morsman (RU Leiden) luisteren mee.

Security Management nummer 11 november 2012

congres

(Advertentie)

een securityprogramma. Voor Prak bleken de belangrijkste uitkomsten van deze risicoanalyse dat er een basisniveau voor security kon worden bepaald, maar meer nog dat er bij het management bewustwording voor security mee is gecreëerd. Vervolgens schetste Harm van Dijk (senior corporate security officer ING) de organisatie van security riskmanagement bij ING. Hiervoor is een uitgebreid ‘defence model’ gebouwd, waarin personal & physical security één van de negen af te dekken risicogebieden is. Om het rendement van de securitymaatregelen inzichtelijk te krijgen, wordt frequent gebruikgemaakt van penetratietesten. Van Dijk stelde zich hierbij kwetsbaar op door een aantal voorbeelden te tonen, waaruit bleek dat ondanks alle maatregelen en investeringen er ook nog wel eens iets misgaat. In de afsluitende discussie van dit eerste deel van de middag kreeg Van Dijk dan ook meteen de kritische vraag of hij niet een teveel aan maatregelen heeft opgetuigd, die toch niet waterdicht blijken. Van Dijk stelde dat een bank als ING vanuit weten regelgeving nu eenmaal bepaalde maatregelen moet nemen. Bovendien blijken de maatregelen wel degelijk efficient, omdat ze door het verminderde aantal incidenten meer opleveren dan kosten.

Borging Het tweede deel van de middag werd afgetrapt door Jan van Twillert (Promundo) met een boeiend betoog over de kwaliteitsborging in beveiliging. Zijn stelling was dat de kwaliteit in beveiliging wordt bepaald door het operationele proces, waarin de mens de bepalende factor is. Volgens Van Twillert wordt nu steeds gezegd dat de mens de zwakste schakel is, maar volgens hem haalt de branche hiermee zelf de kwaliteit omlaag. Hij pleitte er dan ook voor om in de mens - de beveiliger - te investeren om zo die mens juist de sterkste schakel te maken en daarmee de kwaliteit van beveiliging te verhogen. Bovendien dient in zijn visie de huidige wijze van risicogeoriënteerd beveiligen op operationeel niveau te worden vervangen door een dreigingsgeoriënteerde benadering, zou er selectief in plaats van generiek moeten worden beveiligd, en pleit hij voor een omslag van reactief naar proactief beveiligen. Ten slotte ging Michiel Kuethe (In the picture) in op de zin en onzin van awareness, waarbij hij stelde dat risicobewustzijn bij alle medewerkers feitelijk de goedkoopste beveiligingsmaatregel is die kan worden genomen.

Gezamenlijk verantwoordelijk In de afsluitende discussie waren de sprekers het echter met elkaar eens dat goede borging en awareness zeker niet voldoende zijn om een optimaal rendement uit security te halen. Morsman vatte de middag mooi samen door te stellen dat security begint bij betrokkenheid van het management en het besef dat het een gezamenlijke verantwoordelijkheid is van security manager en bestuurder. ‹‹

Security Management nummer 11 november 2012

securit y

Nieuwe aanpak Veiligh De huidige regeling Veiligheid Kleine Bedrijven, waarbij ondernemers op basis van een veiligheidsscan subsidie krijgen voor veiligheidsmaatregelen, verandert in 2013 ingrijpend. Ze wordt dan ingebed in het Keurmerk Veilig Ondernemen, de scans worden efficiënter ingezet, en er wordt met vaste pakketten veiligheidsmaatregelen gewerkt. Voor leveranciers van maatregelen en producten die de veiligheid in winkels verbeteren, breken interessante tijden aan. Zij worden uitgenodigd deze veiligheidspakketten te ontwikkelen. MARC SCHAPERS *

oof de Vor, plaatsvervangend directeur Centrum voor Criminaliteitspreventie en Veiligheid (CCV), over de aanleiding voor de veranderingen: ‘Het ministerie van Veiligheid en Justitie kiest ervoor een andere invulling te geven aan de VKBregeling zoals we die tot nu toe kenden. Dat gebeurt op een logisch moment. Het ministerie van Economische Zaken, Landbouw en Innovatie, dat ook een aantal jaren verantwoordelijk was voor de uitvoering, stopt de medefinanciering van de huidige VKB-regeling. Vanaf 2013 komt de verantwoording geheel bij het ministerie van Veiligheid en Justitie te liggen. En dit ministerie kiest nu voor een andere aanpak met als doel de regeling efficiënter en eenvoudiger te maken voor de ondernemer en de beschikbare middelen slimmer in te zetten. Het CCV wordt verantwoordelijk voor het beheer en de uitvoering van de nieuwe methodiek.’

Koppeling met KVO De nieuwe regeling, die het ministerie omschrijft als ‘aanpak Veiligheid Kleine Bedrijven’, wordt een instrument binnen het Keurmerk Veilig Ondernemen (KVO). De Vor: ‘De minister heeft onlangs nog eens aangegeven dat het KVO een effectief instrument is om de veiligheid op lokaal niveau te verbeteren. Koppeling van de aanpak Veiligheid Kleine Bedrijven aan het KVO is voor beide instrumenten zinvol. De middelen komen nu ook daadwerkelijk

terecht bij de doelgroep waarvoor ze bedoeld zijn: ondernemers die zelf iets willen doen aan de veiligheid in en rondom hun zaak.’ Overigens wil het ministerie in de nieuwe aanpak ook heel nadrukkelijk de mogelijkheid openhouden om specifieke acties voor bepaalde regio’s of branches te ondernemen. De Vor: ‘Stel dat zich plotseling een overvalgolf voordoet op snackbars in een bepaald deel van het land. Dan wil het ministerie kunnen beslissen om daar snel extra inzet op te plegen.’

Business unit Veilig Ondernemen Het Hoofdbedrijfschap Detailhandel (HBD) is door het CCV gevraagd om een businessunit Veilig Ondernemen op te zetten, die de praktische uitvoe-

wil, tot stand brengen. Het HBD begeleidt op dit moment 400 KVO-projecten en heeft een fors aantal adviseurs in het land, die ingezet kunnen worden om ervoor te zorgen dat die nieuwe combinatie een succes gaat worden.’

Kwaliteit borgen Hendrik-Jan Kaptein, hoofd van de afdeling winkelcriminaliteit bij het HBD: ‘In de nieuwe aanpak willen we de ondernemers veel eenduidiger adviseren en ook echt helpen bij de vraag waarom het gaat, namelijk welke maatregelen ze moeten treffen. Tot op heden krijgt de ondernemer van de scanner weliswaar een advies over de soort maatregelen, maar die ondernemer wil geen algemeen advies, hij wil juist antwoord op heel concrete vragen. Als het

‘Nieuw is dat de veiligheidsscan nu gratis wordt’ ring van de nieuwe aanpak op zich kan nemen en die herkenbaar is voor de doelgroep (kleine) ondernemers. Daar is enige haast bij geboden, want men wil in januari 2013 van start. De Vor: ‘De keuze voor het HBD als “kwartiermaker” is logisch, omdat het HBD expertise en ervaring met de verschillende aspecten van de nieuwe aanpak in huis heeft. Bovendien kan het HBD de koppeling met KVO die het ministerie

Security Management nummer 11 november 2012

bijvoorbeeld over elektronische beveiliging gaat, wil hij ook weten wat voor hem de beste camera is. Om dat te verbeteren kiezen we ervoor te gaan werken met vaste pakketten van veiligheidsmaatregelen, die we vooraf toetsen op hun kwaliteit.’

Slimme combinaties Het HBD wil slimme pakketten samenstellen binnen vier categorieën maatre-

securit y

eid Kleine Bedrijven gelen: organisatorische, bouwkundige, elektronische en digitale. Kaptein: ‘We nodigen leveranciers en installateurs van harte uit om mee te denken en te komen met intelligente voorstellen. Zij beschikken over de knowhow en de praktijkervaring die kan voorkomen dat wij het wiel opnieuw uitvinden. Het gaat ons om creatieve, slimme combinaties van maatregelen. Dat moet uiteindelijk resulteren in pakketten met uitgekiende maatregelen, die het probleem waar de ondernemer mee worstelt ook daadwerkelijk oplossen. En dat voor een prijs van rond de 2.000 euro, exclusief BTW. De helft wordt vergoed vanuit de nieuwe aanpak Veiligheid Kleine Bedrijven, tot een maximum van 1.000 euro. Voor pakketten die duurder zijn dan 2.000 euro, moet de ondernemer dus zelf meer bijdragen.’ De ervaring leert volgens Kaptein dat technische of bouwkundige maatregelen op zichzelf meestal niet werken: ‘Succes is er vooral als die maatregelen worden gecombineerd met organisatorische maatregelen, zoals trainingen en dergelijke. En liefst ook nog een gedegen controle achteraf. Zodat we weten of alle maatregelen adequaat zijn uitgevoerd, de spiegels en camera’s op de juiste plekken hangen, maar ook dat de ondernemer op cursus is geweest. Daarin zal de kracht van die pakketten moeten liggen.’ Als voorbeeld noemt Kaptein interne criminaliteit, een probleem waar veel ondernemers mee worden geconfronteerd. ‘Wil je dit oplossen, dan kun je niet volstaan met het ophangen van camera’s. Dat moet je technische maatregelen in een pakket combineren met een goede training voor de ondernemer, want hij moet immers weten wat hij wel en niet met de camerabeelden mag doen, hoe hij juist handelt wanneer zich problemen voordoen, hoe hij een en ander moet opnemen in zijn huishoudelijk reglement, wanneer hij hulp van buitenaf moet inroepen, enzovoort.’

Een ondernemer wil van een scanner geen algemeen advies, hij wil juist antwoord op heel concrete vragen.

Gratis veiligheidsscan Ondernemers binnen een KVO of binnen een prioritaire branche of regio voor de nieuwe aanpak Veiligheid Klei-

kans. Ik raad iedereen aan in ieder geval de veiligheidsscan te laten uitvoeren. Ook nieuw is namelijk dat deze nu gratis wordt en niet van de maxi-

‘We nodigen leveranciers en installateurs uit om mee te denken en te komen met intelligente voorstellen’ ne Bedrijven hoeven overigens niet per se voor een compleet pakket te kiezen. Naast de vaste pakketten komt er een ‘etalage’ met daarin kleinere, losse, goedkopere oplossingen. Ondernemers die geen 1.000 euro kunnen of willen investeren, maar bijvoorbeeld wel een afroomkluis of een mistgenerator willen aanschaffen, worden zo ook ondersteund bij het nemen van dergelijke preventiemaatregelen. Kaptein tot slot: ‘Ik hoop dan ook dat ondernemers binnen KVO-gebieden massaal gebruik gaan maken van deze

male vergoeding van 1.000 euro voor veiligheidsmaatregelen afgaat. Het is hoe dan ook voor elke ondernemer aantrekkelijk om die scan te laten maken. Het advies dat er uitkomt is namelijk altijd waardevol, ook al ga je niet direct een van de pakketten (of losse producten) bestellen.’ ‹‹ * Marc Schapers is redacteur bij het Hoofdbedrijfschap Detailhandel (HBD) Meer informatie: www.hoeveiligisuwzaak.nl/vkb

Security Management nummer 11 november 2012

Over vertrouwen, veranderen en verantwoordelijkheid

Over Het Nieuwe Werken

Donderdag 6 december / NBC Nieuwegein Optimale ICT-middelen, trendy thuiswerkplekken, moderne ﬂexkantoren, variabele werktijden. Veel organisaties zijn inmiddels bekend met Het Nieuwe Werken en passen het al toe. Maar dat gaat niet overal even soepel. Dat is niet zo vreemd, want met een focus op alleen de faciliteiten kom je er niet. Om Het Nieuwe Werken succesvol te maken zijn ook andere zaken belangrijk. Zaken die vooral te maken hebben met een cultuuromslag, waarbij vertrouwen, verandering en verantwoordelijkheid centraal staan. Tijdens dit congres leert u hoe u Het Nieuwe Werken op alle fronten succesvol invoert in uw organisatie!

over

2012 CONGRES Het Nieuwe Werken

INFORMATIE EN AANMELDEN DATUM: donderdag 6 december 2012 LOCATIE: Vergader-en congrescentrum NBC in Nieuwegein PRIJS: €399,- p.p. bij deelname van 1 persoon van één organisatie €349,- p.p. bij deelname van 2 personen van één organisatie €299,- p.p. bij deelname van 3 personen of meer van één organisatie VOORWAARDE: Om te proﬁteren van de korting, moeten de deelnemers zich in 1 keer aanmelden. INFORMATIE: www.overhetnieuwewerken.nl/congres

Bekijk het complete programma en schrijf u in:

www.ohnw.nl/congres

recherche

‘Dat ben ik niet!’ Bij een bedrijf is geld verdwenen uit een geldkistje in een afgesloten kast. Op camerabeelden is te zien hoe iemand zich toegang tot de kast verschaft door deze met een schroevendraaier open te breken en het geld uit het kistje wegneemt. De security-afdeling laat de beelden zien aan een aantal managers en men is het erover eens dat het hier om medewerker X gaat. Deze medewerker wordt op staande voet ontslagen, waarmee de zaak lijkt afgesloten. RENÉ TERWEY *

edewerker X ontkent echter de beschuldigingen van diefstal en vecht zijn ontslag aan. Bij de behandeling van de zaak voor de rechter worden de camerabeelden getoond, waarop te zien is hoe iemand de kast openbreekt en de geldkist pakt. Maar de camera waarmee de beelden zijn opgenomen, hangt circa 30 meter bij de kast vandaan en de beelden zijn niet erg duidelijk. Aan de handelingen is wel het openbreken

een recherchebureau wordt ingeschakeld. Ook het recherchebureau kan op basis van de beelden niet met 100 procent zekerheid zeggen dat medewerker X de dader is. Met speciale videobewerkingsapparatuur worden vervolgens de beschikbare beelden iets verbeterd. Echter, het resultaat is nog steeds niet zodanig dat identificatie mogelijk is. Nadere bestudering van het gehele beeld - tot op dat moment was het onderzoek alleen gericht geweest op

Geef bij een confrontatie niet alle troefkaarten uit handen van de kast en het leeghalen van de geldkist te zien. De rechter kan echter niet met zekerheid zeggen dat de verdachte voor hem ook de man op de videobeelden is. Bovendien ontkent medewerker X dat hij ook maar iets met de diefstal te maken heeft en beweert hij dat hij de persoon op de videobeelden niet is: ‘Dat ben ik niet!’ Feitelijk zijn de videobeelden het enige bewijs van de diefstal. De rechter vindt dit bewijs echter niet overtuigend genoeg.

Aanvullend bewijs Op verzoek krijgt de werkgever de gelegenheid om aanvullend bewijs aan te dragen. Dit is het moment waarop

het gezicht van de dader - wijst uit dat de dader een vrij grof horloge om had. Het horloge was vierkant en veel groter dan ‘normale’ horloges. Vervolgens worden van de overige 31 camera’s die in het bedrijf hangen, de beelden van de betreffende dag geanalyseerd. Hierbij is op de beelden van twee camera’s duidelijk te zien dat medewerker X een groot vierkant horloge draagt. Op een van deze beelden is X duidelijk herkenbaar in beeld, zodanig dat hierover geen enkele twijfel kan bestaan. De combinatie van alle beelden met de analyse van de afmetingen van het horloge worden aangeleverd bij de rechter en op basis hiervan wordt

het ontslag alsnog gegrond verklaard. De security manager en de afdelingshoofden hadden gelijk. X, je bent het wel!

Tips » Toen medewerker X tijdens het eerste confronterende gesprek ontkende, werd hem de video-opname getoond. Hierop kon hij exact zien wat zich had afgespeeld. Maar veel belangrijker: hij kon ook zien wat er niet te zien was! Op basis hiervan bleef hij gewoon ontkennen. » Voor de leiding van het bedrijf was het van begin af aan duidelijk wie de dader was en op basis van de beelden is het ontslag op staande voet verleend. Men had echter verzuimd om ook door de ogen van een onafhankelijke derde – in dit geval de rechter – te kijken. » Ook al lijkt iets geheel duidelijk, zorg er altijd voor dat zo veel mogelijk aanvullend bewijs wordt verzameld en geef bij een confrontatie niet alle troefkaarten uit handen. » Voor wat betreft het camerasysteem: vraag je altijd af of het opgenomen beeld is bestemd voor overzicht of voor identificatie. Beide kan tegenwoordig ook, maar niet met een camera van 250 euro. ‹‹ * René Terwey is directeur van VMB security & solutions te Almere (www.vmbrecherche.nl)

Security Management nummer 11 november 2012

produc ten -/dienstenregister Beveiliging en toegangscontrole

CCTV

Nedap N.V. Security Management Postbus 103 7140 AC GROENLO (T) 0544 471 666 (E) info@nedap-securitymanagement.com (I) www.nedap-securitymanagement.com

Deursloten

Parkeervoorzieningen

Toegangscontrolesystemen

DE PARKEERBEUGEL MET AFSTANDSBEDIENING

072 - 511 59 27 www.privapark.nl

â&#x153; Graag ontvang ik meer informatie over de plaatsingsmogelijkheden in het Producten-/ dienstenregister van Security Management.

Organisatie Naam

M/V

Ingevulde coupon kunt u sturen naar:

Postbus Postcode Plaats

U kunt ook bellen: (0172) 46 64 71 of mailen: bumalphen@kluwer.nl

Tel. Email

Kluwer t.a.v. Liesbeth van den Hoek Postbus 4 2400 MA Alphen aan den Rijn

Security Management nummer 11 november 2012

recht

Ontslag wegens alcohollucht Een beveiligingsmedewerker van een detentiecentrum ruikt bij de aanvang van zijn dienst naar alcohol. Hij wordt op staande voet ontslagen, maar vecht het ontslag aan. Tevergeefs: de rechter acht voldoende bewezen dat er sprake was van alcohol. ROB POORT *

en beveiligingsmedewerker is sinds november 2006 in dienst bij een particuliere beveiligingsorganisatie en als toezichthouder detentie werkzaam op kamp Zeist. Een collega ruikt in januari 2010, als de man rond 9.30 uur zijn dienst begint, een sterke alcohollucht uit diens mond. Ook twee andere medewerkers hebben twijfels over de conditie van hun collega. Om elke twijfel uit te sluiten vraagt de collega of de groepsleider met de man wil praten.

Ontslag Nog diezelfde ochtend wordt de man door de operationeel manager en de afdelingsdirecteur op staande voet ontslagen. Dit onder verwijzing naar arti-

of het drinken van een blikje energydrank. Ook kan het gaan om acetonlucht, veroorzaakt door een te lage bloedsuikerspiegel.

Oordeel kantonrechter Volgens de werkgever rook de medewerker naar alcohol door gebruik van alcoholhoudende drank. Als dat komt vast te staan, is dat volgens de rechter een dringende reden die ontslag op staande voet rechtvaardigt. De cao verbiedt dit gedrag uitdrukkelijk, en de medewerker heeft een jaar eerder voor hetzelfde feit een waarschuwing gehad. Ook de opdrachtgever (Justitie) van het beveiligingsbedrijf accepteert geen detentietoezichthouders met een alcohollucht. De werkgever moet deze dringende re-

Het had een hoop discussie gescheeld als de bloedtest ter plekke was gedaan kel 6, lid 5 van de CAO Particuliere Beveiliging. Dat luidt: ‘Het is de werknemer nadrukkelijk verboden alcoholhoudende drank (…) direct voor of tijdens de dienst te gebruiken dan wel bij zich te hebben. Het is ook verboden de werkzaamheden met een naar alcohol ruikende adem te verrichten’. Het verzoek van de medewerker om een bloedtest te ondergaan wordt geweigerd, ondanks dat de apparatuur aanwezig is. In de ontslagbrief staat dat hem in 2009 voor eenzelfde overtreding een laatste schriftelijke waarschuwing is gegeven. De medewerker vecht het ontslag aan. Wellicht is de waargenomen lucht veroorzaakt door het gebruik van Listerine

den wel bewijzen en is daar volgens de rechter in geslaagd. Alle getuigen – de groepsleider, de afdelingsdirecteur, de manager en een collega – hebben eensluidend en consistent verklaard dat zij een (sterke) alcohollucht hebben waargenomen. Zowel de afdelingsdirecteur als de manager heeft verklaard dat de werknemer in het ontslaggesprek heeft gezegd: ‘Stom, stom, stom’. Dat is later door hem betwist, maar de rechter acht dit op grond van beide verklaringen wel bewezen. De rechter leidt uit deze uitlatingen af dat de werknemer zich op dat moment realiseerde dat hij in de voorafgaande periode kennelijk zoveel alcohol had gedronken dat dit na zijn aankomst op de werkplek nog te ruiken

was. Ook de collega, met wie de man die dag als eerste contact had, dacht een alcohollucht te ruiken en twee andere collega’s hadden twijfels vanwege zijn houding en gezichtsuitdrukking. Het verweer van de werknemer dat de collega’s wellicht de geur van Listerine hebben geroken, is onvoldoende onderbouwd, evenals zijn stelling dat aceton zou zijn geroken. Hij heeft ook nooit gesteld dat hij aan suikerziekte zou lijden. Volgens de ingeschakelde toxicoloog stijgt de suikerspiegel juist door het drinken van een blikje energiedrank. Over de geweigerde bloedtest oordeelt de rechter dat een dergelijke test inderdaad duidelijkheid had kunnen geven over het precieze bloedalcoholgehalte bij de werknemer. Maar dat geeft nog geen antwoord op de vraag of hij op dat moment (nog) naar alcohol rook. Dat laatste is door de werkgever afdoende bewezen. Daarmee staat vast dat er sprake was van een dringende reden voor ontslag op staande voet. De vorderingen van de werknemer worden afgewezen.

Aantekening De werkgever weet hard te maken dat de werknemer naar alcohol rook. Ondanks de lezing van de rechter dat een bloedtest niet zoveel zegt over de hoeveelheid alcohol in de uitademingslucht, had het een hoop discussie kunnen schelen als de test wel ter plekke was gedaan. ‹‹ (Kantonrechter Amersfoort, 13 juli 2012, LJN: BX3500) * mr. ing. R.O.B. Poort is jurist en veiligheidskundige (www.bureaupoort.nl)

Security Management nummer 11 november 2012

contacten en contracten

Mail uw informatie (met jpg-foto) voor deze rubriek naar adekort@vakmedianet-alphen.nl

Opleidingscentrum Peelbergen geopend Op 7 en 8 september vond de officiële opening plaats van het nieuwe opleidingscentrum Peelbergen in Sevenum. Het opleidingscentrum bevindt zich in een bedrijfshal van 1.000m2 met daarin een decor van een authentiek oud-Hollandse straat en een stadsplein met veertien gebouwen.

hangen, zoals agressie, overval- en communicatietrainingen. Com-Connect Digitale Opsporing houdt zich buiten de opleidingen bezig met forensisch ICT-onderzoek en heeft een eigen bedrijfsrechercheafdeling. In het nieuwe kantoor is dan ook plaats voor een modern forensisch laboratorium waar alle denkbare IT-gerelateerde forensische onderzoeken op een veilige manier kunnen plaatsvinden.

De kantoren van eigenaar Com-Connect zijn gesitueerd in een ruim 500 m2 kantoorgebouw dat voor de bedrijfshal is gelegen. Com-Connect heeft zich als particulier opleidingsinstituut gespecialiseerd in opleidingen voor (semi)overheden, maatschappelijke instellingen en bedrijven en verzorgt een groot aantal opleidingen, cursussen en trainingen op het gebied van opsporing, veiligheid en security en zaken die hiermee samen-

De directie van Com-Connect bij de opening (v.l.n.r.): Wilfred van Roij, Paul de Vlieger, Ad van Bussel.

Keurmerk Beveiliging voor ISA en DSP

SK FireSafety Group neemt Noha over

De afgelopen maanden is het Keurmerk Beveiliging versie 3 van de Nederlandse Veiligheidsbranche behaald door International Security Agency (Amsterdam) en DSP Security & Services Volkel).

Het Nederlandse SK FireSafety Group (SK) heeft van UTC Climate, Controls & Security, Noha Norway AS (NOHA) overgenomen. SK voegt het Noorse Noha toe aan haar Products en Oil & Gas activiteiten.

Van den Broek naar Profi-Sec Per 1 september is Eric van den Broek in dienst getreden als hoofd HR van beveiligingsorganisatie Profi-Sec Security. Van den Broek heeft veel ervaring in diverse managementfuncties op het gebied van P&O, onder meer bij CSU Security en de CSU Holding.

Janssen naar MPL Bas Janssen is per 9 september sales manager voor MPL Alarm & Communicatie, een functie waarin hij verantwoordelijk is voor de salesdoelstellingen van de nieuwe alarmcentrale van het Barneveldse bedrijf.

Saxion levert nieuwe CPO’s Dertien studenten van Saxion hebben het CPO-examen afgelegd: Koen Bergmans, Bjørn Brinkman, Jeroen Frijters, Herman Hoekstra, Larissa

Huijmans, Anyka Hunting, Patrick Knol, Frank Nijsink, Joey Post, Robbert van Velsen, Jaap Verhees, Vera van Voorst en Colin Westerink. (Advertentie)

Bedrijfsrecherche 2.0. Meer Weten? Bel voor een afspraak tel 085 - 489 02 06

Onderzoekt bedrijfsfraude en integriteitsrisico’s

Integrity Experience

www.signum-interfocus.nl 50

Security Management nummer 11 november 2012

contacten en contracten

Certificaat sociaal ondernemen voor Trigion Na actief te hebben bijgedragen aan een landelijke methode om socialer ondernemen te (h)erkennen, is beveiligingsorganisatie Trigion gecertificeerd conform de Prestatieladder Socialer Ondernemen (PSO).

Op 28 september heeft Trigion het certificaat ontvangen van de Stichting in-Return Nederland (SIRN) en TNO, de initiatiefnemers van de PSO. De PSO meet hoeveel een bedrijf bijdraagt aan werkgelegenheid voor mensen met een kwetsbare arbeidsmarktpositie. Het doel van de ontwikkelpartners is om via de toepassing van de PSO meer mensen duurzaam aan het werk te krijgen. Niet alleen heeft Trigion actief bijgedragen aan de ontwikkeling van de PSO, inmiddels is het ook het eerste beveiligingsbedrijf van Nederland dat gecertificeerd is conform de richtlijnen. Volgens Clement Dekker, manager

Nab naar ISS

Kwaliteit van Trigion, snijdt het mes aan twee kanten: ‘Commercieel is het interessant, bijvoorbeeld in aanbestedingen van overheden, het versterkt ons imago en levert een onderscheidend vermogen ten opzichte van onze concurrenten. Tegelijkertijd wordt onze dienstverlening nog beter, omdat we tijd en energie steken in deze medewerkers. Ze kunnen hun werk uiteindelijk beter doen.’

Clement Dekker neemt het PSO-certificaat in ontvangst.

Facilicom sluit contract met VNG Facilicom Facility Solutions (FFS), onderdeel van Facilicom Services Group, en de Vereniging van Nederlandse Gemeenten (VNG) ondertekenden op 25 september een samenwerkingsovereenkomst. FFS gaat voor het kantoor van de VNG alle facilitaire werkzaamheden vervullen op het gebied van schoonmaak, gebouwbeheer en -onderhoud, catering, beveiliging en receptie- en chauffeursdiensten. Het contract tussen FFS en de VNG heeft

een looptijd van drie jaar met de mogelijkheid tot drie keer een verlenging van een jaar.

Samenwerking G4S en Dräger G4S en Dräger hebben op 26 september een samenwerkingsovereenkomst getekend om een totaaloplossing aan te kunnen bieden aan bedrijven in de petrochemische industrie bij het ondersteunen van grote turnarounds (TA’s) en stops. G4S is sterk in het leveren van gespecialiseerde veiligheidsprofessionals en Dräger is marktleider in het leveren van safetymiddelen.

EVVA en Salto Systems beëindigen samenwerking

G4S cash heropent vestiging Capelle Na een flinke verbouwing is op 21 september de waardetransportvestiging van G4S in Capelle aan den IJssel feestelijk heropend. Vanuit de vestiging in Capelle vinden zowel alle geld- en waardelogistieke activiteiten als de geldverwerking van G4S plaats voor zuidwest-Nederland. Hoewel het gebouw in Capelle dateert uit 1999, bleek eind vorig jaar dat de vestiging te klein was ge-

Simon Nab is per 1 november als senior (Bid & Tender) accountmanager begonnen bij ISS. Binnen de beveiligingsdivisie is hij verantwoordelijk voor de aanbestedingstrajecten. In deze functie zal Nab nauw samenwerken met commercieel directeur Jan van Dijk op het gebied van marketing, lobby en business development.

worden. Omdat het gebouw zelf nog voldeed aan de eisen van deze tijd, besloot G4S het pand grondig te verbouwen. De verbouwing is aangegrepen om het pand te voorzien van de nieuwste veiligheidsvoorzieningen en om verbeteringen aan te brengen in het interne logistieke proces. In totaal heeft G4S zes vestigingen voor waardetransport door heel Nederland.

Fabrikanten EVVA Sicherheitstechnologie en Salto Systems hebben besloten hun samenwerking per eind 2012 te beëindigen. Hiermee komt een einde aan een periode van twaalf jaar verkoop van Salto-producten door EVVA Nederland. Vanaf 1 januari 2013 zullen de verkooporganisaties in Nederland, België en Duitsland gescheiden van elkaar opereren en zal Salto de verkoop van Salto-producten in deze landen van EVVA overnemen.

Security Management nummer 11 november 2012

y o ung prof e ss ional

Daniël de Jong Leeftijd: 24 Functie: Project Manager bij Avaq Groep / co-founder van Appcident

Persoonlijk In steekwoorden omschrijf ik mezelf als: creatief, doorzetter, ambitieus, ondernemend, sociaal, nieuwsgierig, ordelijk, integer, onafhankelijk, fantasierijk en loyaal.

is. Veiligheid wordt meer en meer een paraplubegrip. De expertises zullen meer divers worden, waardoor de noodzaak voor een integrale aanpak zal toenemen.

De security manager verdwijnt, omdat ... Opleiding Na de Havo studeerde ik bouwkunde (architectuur 1ste fase) in Groningen. Na afronding hiervan kreeg ik de mogelijkheid om aan het werk te gaan bij de Avaq Groep (veiligheidszorg en criminaliteitsbeheersing) in combinatie met de studie Integrale Veiligheidskunde (deeltijd, Utrecht).

zijn functie anders zal worden ingevuld. Door de toename van kennis komen er nieuwe functies en worden bestaande functies verder uitgediept. Het takenpakket van de security manager zal hierdoor veranderen: wat voorheen een deeltaak van de security manager was, wordt een nieuwe functie.

Social media Waarom keuze voor security? De reden voor mijn keuze ligt in de toekomst: als afgestudeerd bouwkundig ingenieur wil ik me na mijn opleiding Integrale Veiligheidskunde richten op het raakvlak van bouwkunde en veiligheid. Twee sectoren die mijns inziens nog te veel onafhankelijk van elkaar opereren.

Binnen onze werkmaatschappijen ben ik verantwoordelijk voor de online content. Naast onze websites maken wij intensief gebruik van verschillende social media. Intern hebben wij duidelijke afspraken over de do’s en don’ts wat betreft social media. Als relatief kleine organisatie is het voor ons belangrijk om gevonden te worden, waarbij social media een goed middel zijn.

Carrière

Securitytrends

Als project manager ben ik verantwoordelijk voor verschillende in- en externe (deel)projecten, zoals Appcident en de online uitstraling van Avaq Groep. Ook ondersteun ik de ontwikkeling van risico-inventarisaties & evaluaties en beveiligingsbeleidsplannen en maak ik ontruimings- en veiligheidstekeningen.

» ICT wordt (is) een belangrijk integraal onderdeel van security en dit zal alleen maar toenemen. » Differentiatie van het vakgebied, nieuwe expertises. » Management wordt zich steeds meer bewust van de rol van veiligheid als er gesproken wordt over bedrijfscontinuïteit.

Wat ik heb geleerd van mijn manager …

Over vijf jaar ben ik …

Ik ben goed in het ontwikkelen van nieuwe ideeën, maar ik moet werken aan de overgang van idee naar toepasbaar plan. Verder heb ik door beter te luisteren gemerkt dat de toepasbaarheid van mijn ideeën sneller tot stand kan komen.

Mijn ambitie is om met nieuwe producten en met een creatieve/innovatieve invalshoek om te gaan met veiligheidsvraagstukken. Met als uitgangspunt dat ik ‘leuke’ dingen wil doen. Mijn definitie van ‘leuk’ is hier een opsomming van allerlei begrippen, zoals ontwikkeling, creatief, innovatief, vooruitgang en ruimdenkend. Daarnaast wil ik veiligheid en bouwkunde dichter bij elkaar brengen. Ik zou hierin een adviserende rol willen spelen en het leuk vinden om te worden uitgenodigd als spreker op allerlei bijeenkomsten.

Wat mijn manager van mij heeft geleerd ... Mijn manager denkt door mij minder in de traditionele rol van security manager. Door mijn andere kijk op veiligheidsvraagstukken komen we nu soms tot andere oplossingen.

Security management ontwikkelt zich tot … een onderdeel van de integrale oplossing als er gesproken wordt over veiligheid. Waren traditionele security en safety voorheen aparte expertises, nu vragen ze steeds vaker om een integrale aanpak, waarbij ICT een belangrijk ‘nieuw’ onderdeel

Security Management nummer 11 november 2012

In deze rubriek aandacht voor jonge securityprofessionals. Zij komen aan het woord over hun opleiding, hun carrière, het vakgebied en hun ambities. Aanmelden van personen voor deze rubriek kan bij de redactie: adekort@vakmedianet-alphen.nl

Advantage Line van Bosch Beveiligings- en audio toepassingen voor kleine en middelgrote ondernemingen

Een reeks beveiligings- en audioproducten van hoge kwaliteit voor een scherpe prijs. De Advantage Line producten zijn gemakkelijk

installeren

hebben

een

eenvoudige

configuratie en bediening. De producten zijn ideaal voor diverse

toepassingen

kleine

middelgrote

onder-

nemingen, zoals winkels, supermarkten, kantoren en scholen. Meer informatie: www.boschsecurity.nl of via telefoonnummer 040-2577200.