nummer 1/2, januari/februari 2013
ONAFHANKELIJK VAKBLAD VOOR PROFESSIONELE BEVEILIGING
www.securitymanagement.nl
Security Management Survey 2012/2013
Verdere integratie van risicodisciplines Kengetallen voor beveiliging
Gebruik sociale media in fraudeonderzoeken
Camerabewaking en de cloud
CardAccess. Uw toegang tot de toekomst. CardAccess is het perfecte toegangscontrolesysteem waarmee elk
loze integratie met inbraakdetectie, videobewaking en tijdregistratie,
bedrijf klaar is voor de toekomst. De SQL-database kunt u onge-
laat u real-time zien wie er in welk gebouw is en is compatibel met
limiteerd opsplitsen en u kunt zowel via telefoonverbindingen als
elke smart card- en biometrie technologie. En door de modulaire
via TCP/IP communiceren met uw Local of Wide Area Network.
opbouw groeit het systeem moeiteloos met u mee.
Daarmee heeft u optimale beheersing over alle bedrijven in uw pand of over alle panden in uw bedrijf, waar ook ter wereld.
Meer informatie over het beveiligingssysteem voor uw toekomst?
CardAccess biedt u bovendien alle benodigde software voor naad-
Bel dan ARAS Security op 0416 - 32 00 42 of kijk op www.aras.nl.
CardAccess 3000 is een product van ARAS Security
groeit met u mee.
Onafhankelijk vakblad voor professionele beveiliging Security Management, onafhankelijk vakblad voor professionele beveiliging, is een uitgave van Vakmedianet bv. Vakmedianet legt de gegevens van abonnees vast voor de uitvoering van de (abonnements)overeenkomst. De gegevens kunnen door Vakmedianet, of zorgvuldig geselecteerde derden, worden gebruikt om u te informeren over relevante producten en diensten. Indien u hier bezwaar tegen heeft, kunt u contact met ons opnemen. Hoofdredacteur Arjen de Kort (arjendekort@vakmedianet.nl) Eindredactie Monique van der Woude Redactieadres Pr. Margrietlaan 3, Postbus 448, 2400 AK Alphen aan den Rijn Telefoon (088) 58 40 918 Uitgever Ruud Bakker Marketing Juliette Lammers (juliettelammers@vakmedianet.nl) Advertentieverkoop Richard van Dijk: 06 - 33031474, richardvandijk@vakmedianet.nl Marion Smits: 06 - 52867200, marionsmits@vakmedianet.nl Abonnementen Vragen over abonnementen kunt u richten aan de Klantenservice, tel. 088 5840 888, klantenservice@vakmedianet.nl. De abonnementsprijs is € 129,– (exclusief btw) per jaar. Studenten betalen € 55,– (inclusief btw). Prijzen zijn inclusief verzend- en administratiekosten. Losse verkoopprijs € 19,– per nummer, exclusief 6% BTW. Een abonnement kan op elk moment ingaan. Op elk tweede en volgende abonnement ontvangt u 25% korting. U ontvangt 10 nummers per jaar. Opzeggen kan schriftelijk tot drie maanden voor de nieuwe jaargang bij B + B Vakmedianet, Postbus 2238, 5600 CE Eindhoven. Adreswijzigingen (met de oude adresgegevens) doorgeven aan B + B Vakmedianet, Postbus 2238, 5600 CE Eindhoven. Bankrelatie: ING Bank 65.23.73.763 Copyright Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand of openbaar gemaakt in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of op enige andere manier, zonder voorafgaande toestemming van de uitgever. Op alle uitgaven van B + B Vakmedianet zijn de algemene leveringsvoorwaarden van toepassing, gedeponeerd ter griffie van de Rechtbank te ‘s-Gravenhage op 22 oktober 2012 onder depotnummer 66/2012. Disclaimer Alle in Security Management opgenomen informatie is met de grootste zorgvuldigheid samengesteld. De juistheid en volledigheid kunnen echter niet worden gegarandeerd. B + B Vakmedianet en de bij deze uitgave betrokken redactie en medewerkers aanvaarden dan ook geen aansprakelijkheid voor schade die het directe of indirecte gevolg is van het gebruik van de opgenomen informatie. B + B Vakmedianet is aangesloten bij Het Oplage Instituut (HOI) Partners Axis Communications, Trigion, Securitas, G4S Beveiliging, Nedap, ARAS Security, Bosch Security Systems Opmaak en DTP Euradius Basisvormgeving Verheul Media Supporters, Alphen aan den Rijn Druk: Koninklijke Van Gorcum, Assen ISSN 1386-0941
www.securitymanagement.nl
Verhuftering
co lu m n
Om te beginnen wil ik u een heel goed 2013 toewensen. Wat aan de late kant, maar niet minder gemeend en wel zo netjes. Te meer daar deze column in het teken staat van een ontwikkeling van de laatste jaren – en volgens sommigen zelfs van de laatste decennia – namelijk de verhuftering van de samenleving. Sinds de door oud-premier Balkenende aangezwengelde normen & waarden discussie staat dit onderwerp volop in de belangstelling, zeker in relatie tot de problematiek van agressie & geweld tegen hulpverleners. De afgelopen jaarwisseling kende op dat vlak weer talrijke incidenten (ruim 8000). Een teleurstellend resultaat gezien de speciale campagne in de aanloop naar Oud & Nieuw en het al sinds 2007 lopende programma Veilige Publieke Taak, gericht op terugdringing van agressie & geweld tegen hulpverleners. Het recentelijk door de Nederlandse Veiligheidsbranche gepresenteerde onderzoek ‘Veilige beveiligers’ zoekt aansluiting bij dit programma. Het lezenswaardige onderzoek brengt de geweldsproblematiek tegen beveiligers gedetailleerd in kaart en maakt een vergelijking met andere beroepen. Zo blijken beveiligers (65%) qua slachtofferschap redelijk in de buurt te komen van de politie (73%), maar zij kunnen niet tippen aan de koploper: treinpersoneel (93%). Verder is het triest te moeten lezen dat 1 op de 10 beveiligers wekelijks met agressie & geweld wordt geconfronteerd. Maar in het licht van de genoemde verhuftering, waarbij ‘onze’ ego’s botsen met alles wat neigt naar autoriteit, is dit niet vreemd. ‘We’ accepteren immers steeds minder te worden aangesproken op ‘ons’ gedrag en reageren dat af op degene die gewoon zijn werk doet. Soms is dat een conducteur, soms een beveiliger. Voorzitter van de Nederlandse Veiligheidsbranche Laetitia Griffith pleitte er bij de presentatie van het onderzoek voor om agressie tegen beveiligers net zo zwaar te bestraffen als tegen hulpverleners en vraagt het openbaar ministerie om bij agressie & geweld tegen beveiligers zwaardere straffen te eisen. Het is begrijpelijk dat zij opkomt voor haar mensen, zeker daar waar beveiligers in het publieke domein werken. Maar verder is het volgens mij toch vooral de verantwoordelijkheid van de werkgever om voor een veilige werkomgeving van zijn werknemers te zorgen (Arbowet). En dan is er geen verschil tussen een beveiliger die wordt uitgescholden, of mijn collega die aan de receptie wordt geïntimideerd door een boze buurtbewoner die zich beklaagt over de parkeeroverlast van onze bedrijfsauto’s. Dus werkgevers – ook in de beveiliging – pak uw verantwoordelijkheid. Arjen de Kort Hoofdredacteur Security Management
Security Management Groep Meer Security Management? Volg ons ook op Twitter: www.twitter.com/@Security_Mgt Security Management nummer 1/2 januari/februari 2013
3
Onafhankelijk vakblad voor professionele beveiliging
10 Security Management Survey 2012/2013 In de vorige editie van de Security Management Survey werd geconcludeerd dat de kloof tussen klassieke beveiliging en ICT-security kleiner was geworden. Deze trend heeft zich het afgelopen jaar doorgezet, inclusief een vervaging van de grenzen tussen security en aanverwante risicodisciplines: de schotten tussen deze disciplines doen er in de security praktijk van 2013 steeds minder toe blijkt uit de Security management Survey 2012/2013.
22 Kengetallen voor beveiliging
Om beveiliging stuurbaar te maken moet een organisatie beschikken over een security managementsysteem, waardoor volgens de Plan Do Check Act cyclus wordt gewerkt. Om deze stappen te kunnen doorlopen dienen incidenten structureel te worden vastgelegd. Er is nu een methodiek waarmee kengetallen voor beveiligingsincidenten zijn vast te stellen.
32 Gebruik van sociale media in fraudeonderzoeken Via sociale media delen gebruikers informatie met familie, vrienden, collega’s en onbekenden. Vaak delen ze meer dan ze zelf weten. Ideaal voor bedrijven die zo gemakkelijk hun doelgroep beter leren kennen. Ook in fraudeonderzoeken spelen sociale media tegenwoordig een steeds grotere rol. De vraag is: hoe?
4
Security Management nummer 1/2 januari/februari 2013
16 Beveiligers vaak slachtoffer van geweld
Tweederde van de beveiligers in Nederland is het afgelopen jaar slachtoffer geworden van geweld of agressie, blijkt uit onderzoek van de Nederlandse Veiligheidsbranche. Die wil dat agressie tegen beveiligers net zo zwaar wordt bestraft als tegen hulpverleners.
17 Veiligheid door integriteit
Een organisatie omvat vaak diverse eenheden en lagen. Hoe gaan die met elkaar om en wat is de koppeling tussen deze organisatie-onderdelen in het kader van risicobereidheid en risicomanagement?
26 Gewapend met gezond verstand
Persoonsbeveiliging is ook in Nederland intussen geen onbekend verschijnsel meer, hoewel cijfers hierover bijna niet voorhanden zijn. In de beveiligingsbranche is persoonsbeveiliging meestal een onderdeel binnen een breder palet aan veiligheidsdiensten.
28 Managen integer gedrag van medewerkers
De economische recessie zorgt voor grote veranderingen en onrust binnen veel organisaties. Bedrijven reageren momenteel vooral op de veranderende economie en markten. Maar ze zouden ook oog dienen te hebben voor de veranderingen op het gebied van bewustzijn en integriteit. Het nieuwe Integriteit Management Model kan daarbij behulpzaam zijn.
34 Camerabewaking en de cloud
Wat zijn de trends en de kansen in de camerabewakingsindustrie die in 2013 een belangrijke rol zullen spelen? Experts verwachten dat met name cloud computing een game changer zal zijn.
En verder 3
colofon
3
column
6
nieuws
31
gastcolumn Erik de Vries
41
preview ZorgTotaal
42
recherche
43
recht
44
contacten en contracten
46
young professional
36 Hoe bescherm je een bedrijf tegen hackers?
Cybercrime is een groeiend probleem en kost het Nederlandse bedrijfsleven en de overheid tientallen miljoenen euro’s per jaar. Voor 2013 verwachten experts in cybercrime een stijging van duidelijk gerichte aanvallen in de richting van de overheid en vooraf zorgvuldig uitgekozen bedrijven. Hoe kan de huidige security manager zorgen voor een optimale en zo veilig mogelijke ICT-omgeving?
38 De meldkamer: instrument om de organisatie te optimaliseren In de praktijk blijkt dat meldkamers worden gebouwd, omdat iedereen in de organisatie er wel van overtuigd is dat die meldkamer onmisbaar en noodzakelijk is. Vervolgens wordt een meldkamerapplicatie gekocht die de centralisten wel aanspreekt, de techniek wordt er bij bedacht en de meldkamer is een feit. Bart van Hasselt is van mening dat deze aanpak onjuist is en legt uit hoe het anders kan.
Bezoek de Security Management dossiers Op www.securitymanagement.nl staan vier dossiers met informatie – nieuws, achtergrondartikelen, columns - over brandveiligheid, cctv, toegangscontrole, en informatiebeveiliging. Neem eens een kijkje, alle informatie is gratis toegankelijk! Coverfoto: Shutterstock
Security Management nummer 1/2 januari/februari 2013
5
nieuws
Meer bevoegdheden boa’s OV Amsterdamse en Rotterdamse boa’s Openbaar Vervoer van het GVB en de RET hebben meer bevoegdheden gekregen. Een boa kan nu zelf een verdachte van agressie en geweld aanhouden, overdragen aan de politie en een proces-verbaal opmaken. De boa’s voeren dagelijks kaartcontroles uit om zwartrijden tegen te gaan. Ook treden ze op bij vervuiling en overtredingen van de huisregels, zoals voeten op de bank. De boa’s zijn soms zelf slachtoffer van agressie en geweld tijdens de uitoefening van hun publieke taak. De vervoerbedrijven zijn blij met de uitbreiding van bevoegdheden. Tot nu toe konden medewerkers namelijk niet meer doen dan de politie om assisten-
tie vragen. Ter bescherming van (overheids) functionarissen met een publieke taak heeft het ministerie van Veiligheid en Justitie extra strafrechtartikelen beschikbaar gesteld aan de boa om effectief te kunnen optreden wanneer zij worden geconfronteerd met agressie en geweld tijden de uitoefening van hun publieke taak. Waar de bevoegdheden eerder vrijwel alleen artikelen uit de Wet personenvervoer kende, zijn daar nu extra artikelen uit het Wetboek van Strafrecht aan toegevoegd. Dit zijn onder meer artikel 267 (belediging), artikel 285 (bedreiging) en artikel 300 (mishandeling).
Aantal overvallen blijft dalen Het aantal overvallen in Nederland is vorig jaar gedaald tot ruim 1980. Het gaat om een afname van 13 procent ten opzichte van 2011. Vergeleken met 2009 daalde het aantal overvallen met bijna 32 procent. Het aantal ouderen dat thuis werd overvallen, steeg wel. Vorig jaar waren het er 200, 12 procent meer dan een jaar eerder. Het aantal overvallen op supermarkten nam licht toe. Overvallen op juweliers en woningen namen in 2012 ten opzichte van 2011 af met respectievelijk 35 en 10 procent. Ook tankstations (-12 procent), tabakszaken (-16 procent) en horecagelegenheden (-8 procent) werden minder vaak overvallen.
VNG: ‘Boa en politie moeten naast elkaar werken’ Het onderscheid tussen boa en politie moet blijven bestaan. Een ontwikkeling naar gemeentepolitie is onwenselijk. Dat stelt de Vereniging van Nederlandse Gemeenten (VNG) in haar document ‘Visie boa in de openbare ruimte’. ‘De boa is een op zichzelf staand beroep, met een andere positie in de samenleving dan de politie. Boa en politie moeten naast elkaar werken, niet in plaats van elkaar worden ingezet. Capaciteit van de politie in de wijk dient te worden gewaarborgd als achtervang voor het belangrijke werk van de boa’, aldus Annemarie Jorritsma, voorzitter van de VNG.
De boa is er om te handhaven op veiligheid en leefbaarheid. Hij moet interveniëren, maar ook stevig optreden tegen veelvoorkomende aantastingen van leefbaarheid in de buurt, zoals te vroeg buitengezet huisvuil, zwerfafval en parkeerovertredingen. Het bevoegdhedenpakket van de boa moet logischer en samenhangend zijn. Het kan wat gemeenten betreft worden uitgebreid met optreden tegen lichte verkeersovertredingen. Optreden tegen criminaliteit behoort juist niet tot de taken van de boa. ‘Dit hoort bij onze politie. Het vraagt om heel andere bevoegdheden en bijbehorende opleidingseisen en vaardigheden. Laten we geen dingen dubbel organiseren in dit land’, aldus Jorritsma.
Visie boa in de openbare ruimte
Rijkssteun voor verbetering bedrijventerreinen blijft De Rijksoverheid blijft ondernemers steunen die samen de kwaliteit van hun bedrijventerrein of winkelgebied willen verbeteren. Minister Kamp van Economische Zaken wil het experiment met de Bedrijven Investeringzones (BIZ), dat inmiddels 4 jaar loopt, permanent maken.
6
Dat schrijft Kamp in een brief aan de Tweede Kamer. Door het BIZ-experiment kunnen ondernemers makkelijker samen afspraken maken over afvalinzameling, het aanbrengen van extra verlichting en het verbeteren van de beveiliging. In grote en in kleine gemeenten, op bedrijventerreinen en in winkelgebieden zijn tot nu toe 112 in-
Security Management nummer 1/2 januari/februari 2013
vesteringszones opgericht. Ruim 80 meer dan werd verwacht. Vaak stranden de plannen, omdat een of enkele ondernemers niet willen meewerken. Met behulp van de BIZ-regeling kan aan alle ondernemers een gemeentelijke heffing worden opgelegd om verbeteringen te betalen. Meer informatie: www.biz-nl.nl
nieuws
Opstelten: ‘Ethisch hacken niet altijd meer strafbaar’ Hackers die computers van bedrijven binnendringen, hoeven van minister Opstelten van Veiligheid en Justitie niet per se meer vervolgd te worden. Tenminste, als ze dit doen om lekken in het systeem bloot te leggen en daar het bedrijf ook op wijzen. De hackers gaan wat betreft Opstelten vrijuit als ze geen veranderingen aanbrengen in het systeem, geen gegevens downloaden, en het lek direct melden bij het bedrijf zonder meteen de media op te zoeken. Dat zijn enkele uitgangspunten bij
de zogenoemde ‘Leidraad voor responsible disclosure’ die minister Opstelten naar de Tweede Kamer heeft gestuurd. Dit kader is bedoeld als een handreiking om het mogelijk te maken dat kwetsbaarheden in ICT-systemen en producten op een verantwoorde manier worden gemeld en afgehandeld. Met de handreiking kunnen organisaties een eigen beleid op het gebied van responsible disclosure opstellen. Opstelten kondigt in de Kamerbrief ook aan dat hij de toepassing van het kader binnen de rijksoverheid zal bevorderen.
Kabinet maakt flexibel cameratoezicht mogelijk Gemeenten mogen straks ook mobiele camera’s inzetten om de openbare orde in de publieke ruimte te handhaven. De maatregel ondersteunt de aanpak van tijdelijke, maar hardnekkige overlast door hangjongeren, drugsdealers, straatrovers en zakkenrollers. Gebleken is dat gemeenten behoefte hebben aan een meer flexibele inzet van cameratoezicht om tegen ordeverstoringen in probleemgebieden effectiever en gerichter op te kunnen treden. Dit staat in een wetsvoorstel van minister Opstelten van Veiligheid en Justitie, waarmee de ministerraad heeft ingestemd. Nu mogen gemeenten alleen nog vaste camera’s plaatsen. Ze worden gebruikt voor statisch en langdurig toezicht op plekken met een verhoogde kans op verstoringen van de openbare orde, bij-
voorbeeld winkelstraten of uitgaansgebieden. De vaste camera’s zijn nuttig, maar niet snel inzetbaar voor bestrijding van zich verplaatsende overlast. Daarom heeft het kabinet besloten de huidige regeling uit te breiden en ook het gebruik van mobiele camera’s toe te staan.
Flexibel cameratoezicht levert ook tijdswinst op, omdat niet meer voor elke verplaatsing een aparte procedure hoeft te worden gevolgd. De burgemeester wijst, nadat de gemeenteraad hem die bevoegdheid heeft verleend, een gebied aan waarbinnen mobiele camera’s kunnen worden geplaatst of verplaatst. Dat gebied mag niet groter zijn dan strikt noodzakelijk voor de handhaving van de openbare orde, bijvoorbeeld een plein of enkele straten. Borden moeten het publiek informeren over het toezicht met camera’s. De burgemeester trekt de gebiedsaanwijzing in als het cameragebruik niet meer nodig is. Het wetsvoorstel is voor advies naar de Raad van State gestuurd. De tekst van het advies en van het wetsvoorstel worden openbaar bij indiening bij de Tweede Kamer.
Introductie keurmerk Horecabeveiliging De Nederlandse Veiligheidsbranche introduceert het keurmerk Horecabeveiliging. Volgens Laetitia Griffith, voorzitter van de Nederlandse Veiligheidsbranche, waren zowel horeca-ondernemers als beveiligingsbedrijven toe aan een dergelijk initiatief. ‘Het keurmerk bevordert de zelfregulering in de sector van horecabeveiliging.
Reeds eerder is de screening en opleiding van beveiligingsmedewerkers verbeterd. Met het keurmerk Horecabeveiliging kan een beveiligingsbedrijf laten zien dat hij die professionele partner is die de horeca-exploitant een stap verder kan brengen bij het oplossen van zijn veiligheidsvraagstukken’, aldus Griffith. Het keurmerk borgt de kwaliteit, betrouwbaarheid en integriteit van de
dienstverlening van beveiligingsbedrijven. Keurmerkhouders worden jaarlijks getoetst door een onafhankelijke certificatieinstelling, zowel op kantoor als op de locaties waar de beveiligingswerkzaamheden worden uitgevoerd.
Security Management nummer 1/2 januari/februari 2013
7
nieuws
Pincrimineel live in beeld bij politie
(Advertentie)
SECURITY IS ART
It needs prac,ce to do it right!
Haal meer effec,viteit uit uw beveiliging door geoefende beveiligers. De volgende Train de trainer Oefenleider voor objectbeveiligers staat gepland op 20 maart. Meld u nu aan.
Voor vragen, aanmelding en overige opleidingen, bezoek onze website of bel met Jan van Twillert
OrcaSecure BV Tel: 030-‐7670076 info@orcasecure.org www.orcasecure.org
Wie zich bezighoudt met criminele activiteiten bij pinautomaten van ABN Amro, is sinds kort live te volgen bij de politie. Die krijgt de beelden van plofkrakers en skimmers dan namelijk onmiddellijk doorgeseind via videobeelden, heeft de bank bekendgemaakt. Minister Ivo Opstelten (Veiligheid en Justitie) en ABN Amro-topman Gerrit Zalm sloten onlangs de eerste pinautomaat aan op het landelijke Live View-videosysteem van de politie in Den Haag. Het is de eerste bank die wordt aangesloten op dit nieuwe opsporingssysteem. Dit jaar worden er in totaal 100 pinautomaten aangesloten, daarna wordt het systeem verder uitgerold. Waar de opsporingssystemen worden geplaatst, wil ABN om veiligheidsredenen niet zeggen. Volgens een woordvoerster van ABN kan er met het systeem veel tijd worden gewonnen en vergroot het de pakkans. ‘Zodra er iets gebeurt, kan de politie bijvoorbeeld meteen een agent inschakelen die in de buurt is’, aldus de zegsvrouw. Andere banken zoals Rabobank en ING zeggen te overwegen om hun pinautomaten te beveiligen met Live View. Live View is niet helemaal nieuw. Opstelten introduceerde het systeem in juni vorig jaar al voor winkels en horecaondernemingen.
Zes op tien brandmeldingen loos alarm De brandweer is vorig jaar ruim 66.000 keer voor niets uitgerukt na een brandmelding. Zes op de tien brandmeldingen zijn loos alarm, zo blijkt uit cijfers die het CBS. De meldingen komen meestal binnen via een brandmeldinstallatie. Voor het eerst sinds 2008 steeg het aantal gevallen van loos alarm. In 2011 zijn bij de brandweer 155.000 meldingen binnengekomen: 107.000 brandmeldingen en 48.000 verzoeken tot hulpverlening. Het totale aantal
8
meldingen is met 2 procent gestegen ten opzichte van 2010. De brandweer wil het aantal valse meldingen binnen 5 jaar met 50 procent terugdringen. De Brandweerstatistiek 2011 geeft onder andere een overzicht van de verschillende activiteiten van de Nederlandse brandweer in dat jaar. Hierbij wordt onder andere gekeken naar het aantal meldingen wegens brand of hulpverlening, de aard hiervan en de locatie. De Brandweerstatistiek 2011 is te vinden op www.cbs.nl
Security Management nummer 1/2 januari/februari 2013
Taken brandweer naar veiligheidsregio Alle taken van de brandweer worden met ingang van 1 januari 2013 door de veiligheidsregio uitgevoerd. Er zal geen gemeentelijke brandweer meer zijn. Daarnaast worden alle taken op het terrein van de fysieke veiligheid gebundeld in 1 organisatie, het Instituut Fysieke Veiligheid (IFV). Het IFV wordt bestuurd door de voorzitters van de 25 veiligheidsregio’s. Het instituut deelt onder meer informatie en expertise, beheert materieel en telecomvoorzieningen en houdt zich bezig met opleidingen.
nieuws
Cameratoezicht op Schiphol gaat door Op Schiphol blijven nog tot de zomer van 2016 camera’s hangen. Het cameratoezicht op en rond de luchthaven helpt de marechaussee vooral om verdachten in beeld te krijgen, blijkt uit een evaluatie van de gemeente Haarlemmermeer. ‘In driekwart van de gevallen worden incidenten of verdachten vastgelegd op beeld’, aldus burgemeester Theo Weterings van Haarlemmermeer. De marechaussee kan hierdoor sneller mensen aanhouden of de beelden gebruiken voor de opsporing van verdachten. De criminaliteit is de afgelopen jaren redelijk stabiel gebleven, blijkt uit de evaluatie. Schiphol heeft vooral te maken met zakkenrollerij en bagagediefstal, winkeldiefstal en ripdeals, zoals drugstransacties. Sinds 2009 hangt er een groot aantal bewakingscamera’s op Schiphol, onder meer in de aankomst- en vertrekhallen, in Schiphol Plaza en bij de taxistandplaatsen. Medewerkers van de marechaussee bekijken de beelden 24 uur per dag.
Kleinere bedrijven beschikken niet over continuïteitsplan Twintig procent van de bedrijven met meer dan 1000 werknemers beschikt niet over een plan dat voorziet in de continuïteit van de onderneming na een calamiteit. Bij de bedrijven tot tien werknemers is dit percentage zelfs 80 procent. Dit blijkt uit onderzoek van Siemens Nederland. Opmerkelijk is daarbij dat bijna 60 procent van diezelfde grote bedrijven vindt dat zij (nog) meer zouden moeten doen om hun continuïteit te waarborgen, terwijl een zelfde percentage van de kleine bedrijven dat niet nodig vindt. Het onderzoek is uitgevoerd onder het management van de gebruikers van gebouwen- en infratechnologie naar hun structurele en planmatige aanpak van business continuity. Conclusie: hoe groter het bedrijf, hoe meer aandacht er is voor business continuity. Er zijn ook verschillen per branche. Een risi-
hiervan zijn datacenters, operatiekamers en cleanrooms. Voor bedrijven van iedere omvang weegt het beschermen van het productieproces zwaarder dan het beschermen van assets en imago. Het volledige rapport is op te vragen via: www.siemens.nl/BCMonderzoek covolle sector als de luchtvaart geeft aan dat er niet meer hoeft te worden gedaan om de business continuity te verhogen. Dit in tegenstelling met de petrochemie waar 80 procent, en defensie en transport & logistiek waar zelfs 100 procent vindt dat er meer aan gedaan mag worden. Naast IT-security (hoogste score), brandveiligheid en toegangsbeveiliging/security, scoort ook klimaatbeheersing hoog op de ladder van business continuity als het gaat om gebouwgebonden technologie. Soms zelfs hoger dan security, met name bij de 1000-plus bedrijven. Voorbeelden
Adverteerdersindex ARAS Security Axis Communications Delft Toptech DHM Security Instituut Honeywell Security Group ILOQ Benelux Nedap Security Management OrcaSecure Zorgtotaal
Security Management nummer 1/2 januari/februari 2013
2 48 18 13 20 18 13 8 47
9
onderzoek
Security Management Survey 2012/2013
Verdere integratie van risicodisciplines De vorige editie van de Security Management Survey maakte inzichtelijk dat de kloof tussen klassieke beveiliging en ICT-security kleiner was geworden. Deze trend heeft zich het afgelopen jaar doorgezet, inclusief een vervaging van de grenzen tussen security en aanverwante risicodisciplines: de schotten tussen deze disciplines doen er in de securitypraktijk van 2013 steeds minder toe. Dennis De Hoog Ma, Msc & sebastiaan barlagen Msc *
C
OT Instituut voor Veiligheidsen Crisismanagement, an Aon company (COT) en Security Management doen sinds 2010 periodiek onderzoek naar de actuele stand van security management in Nederland. Met dit onderzoek beogen de onderzoekers actuele patronen, trends en ontwikkelingen op het gebied van security management te identificeren. De afgelopen maanden vond er opnieuw uitgebreid surveyonderzoek plaats. Bijna honderd respondenten (N=99) verleenden medewerking. Net als in eerdere jaren is de variëteit onder de populatie deelnemende security professionals groot. Zij zijn werkzaam voor een divers aantal organisaties, verspreid over het bedrijfsleven en de (semi)publieke sector. Bovendien zijn de ondervraagde security professionals afkomstig uit een grote variëteit aan sectoren. Uitkomsten moeten ook in dat licht worden bezien. In dit artikel delen wij de belangrijkste uitkomsten van dit onderzoek. We doen dit tegen de achtergrond van de resultaten van 2010 en 2011.
Profiel security professional Het profiel van de security professional kent weinig veranderingen. Het leeu-
10
wendeel van de ondervraagden is man (95%). Hiermee schommelt het percentage vrouwelijke deelnemers aan het survey. Dit was in 2010 4,1% in 2011 5,7% en in 2012 5%. De gemiddelde leeftijd van de deelnemende security professional is 47 jaar, hij is gemid-
en is security een staf- of beleidsverantwoordelijkheid. Deelnemers geven aan dat zij in de regel beschikken over voldoende personeel om de gestelde security taken en doelstellingen uit te kunnen voeren. De afgelopen jaren bleek security dominant
Security wordt in toenemende mate beleidsmatig benaderd deld hoger opgeleid en heeft een HBO- of universitair diploma. Met gemiddeld meer dan zeventien jaar ervaring in het securityveld, beschikt de security professional over ruime werkervaring. 33,3% van de respondenten werkt voor een (semi)overheid. 66,7% voor een bedrijf.
Invulling functie/plaats in de organisatie Steeds minder deelnemende security professionals hebben security als nevenfunctie (9%). Steeds vaker zijn security professionals volledig voor hun taken vrijgemaakt (‘dedicated’ in 74% van de gevallen). De securityfunctie krijgt overwegend invulling op leidinggevend niveau. In een kwart van de gevallen geldt dit niet,
Security Management nummer 1/2 januari/februari 2013
ondergebracht bij facilitaire zaken. Dit geldt ook in 2012, zij het in mindere mate (34%). Security wordt ten opzichte van eerdere jaren vaker op stafniveau (32%) of bij Operations ondergebracht (20%). De security professional lijkt steeds vaker verantwoordelijk voor andere, aanverwante, risicodisciplines. Zo blijkt dat disciplines als risicomanagement (algemeen), ICT-secrity, safety, crisismanagement vaker onder verantwoordelijkheid van de security manager vallen. Verder wordt er vaker dan voorheen samengewerkt met collega’s van andere risicodisciplines. Dat geldt bijvoorbeeld ook voor Business Continuity Management, Compliance en Arbo/gezondheid.
onderzoek onderzoe
Profiel Security Manager Kenmerken
Commitment Het algemene belang van security neemt niet af. 86% van de ondervraagden geeft namelijk aan dat hun organisatie security belangrijk vindt. Er is dus nog steeds voldoende commitment. In tegenstelling tot eerdere jaren, geldt voor deze editie dat het percentage organisaties waar de eindverantwoordelijkheid voor security helder is belegd, is afgenomen. Waar in 2011 slechts 5% van de deelnemers te kennen gaf dat de eindverantwoordelijkheid niet helder is belegd, zo geldt dit nu voor 12%. Tevens geldt deze editie voor minder organisaties een expliciete verantwoordelijkheid voor security op het niveau van de Raad van Bestuur. Van 20% in 2011 naar 15% in 2012. De eindverantwoordelijkheid is in 42% van de gevallen op directieniveau en in 29% op managementniveau belegd. De ondervraagden zijn overigens wel van mening dat de eindverantwoordelijkheid hoog genoeg is belegd (80%).
Strategie & beleid In tegenstelling tot 2011, toen wet- en regelgeving het meest bepalend was, zijn de algemene organisatiedoelstelling de belangrijkste aanjager voor de richting en invulling van de securitystrategie (73%). De organisatiedoelstellingen worden gevolgd door wet- en regelgeving (68%), risico-analyses (55%) en druk van buiten (21%). Het is veilig om te stellen dat security professionals
2012
Geslacht
Mannelijk (95 %)
Leeftijd
47,4 jaar
Opleidingsniveau
HBO (57,6 %)
Ervaringsjaren
16,6 jaar
Functieniveau
Management (algemeen)
Functie
Herkenbaar als security verantwoordelijke en ‘dedicated’
Taakveld
Primair fysieke & elektronische beveiliging
Plaats in de organisatie
Facility management (34,3%)
Personeel
Voldoende om de gestelde taken (76,8%) / ambitie (67,6%) uit te kunnen voeren
Budget
Dit jaar niet betrouwbaar vast te stellen. Bedroeg in 2011 € 1.800.000
voor strategiebepaling meerdere van deze bronnen benutten. In bijna 85% van de gevallen is er sprake van een uniform securitybeleid. Dit percentage is hoger dan in eerdere jaren. Ditzelfde geldt voor de controle op de uitvoering van beleid. Executie van securitybeleid wordt in bijna 75% van de gevallen actief gecontroleerd. Frappant is ook de toename in het aantal professionals dat aangeeft te beschikken over een security managementsysteem (62%). Hieruit leiden wij af dat security in toenemende mate beleidsmatig wordt benaderd en wordt gemonitord vanuit principes van planning & control.
Budget Helaas is het gemiddelde securitybudget dit jaar niet betrouwbaar vast te stellen. Wij volstaan daarom met het herhalen van wat hierover eerder is vastgesteld. In 2010 bedroeg het gemiddelde budget € 1.800.000,- en in 2011 € 1.880.000,-. Wat wij dit jaar in dit verlengde voor het eerst hebben onderzocht is de budgetverantwoordelijkheid. Hieruit blijkt dat deze vrij hoog in de organisatie is belegd. In meer dan 40% van de gevallen ligt deze verantwoordelijkheid op directieniveau. Opvallend daarbij is dat in 10% van deze gevallen meerdere directeuren beslissen over het securitybudget en de allocatie daarvan. In 26% van de gevallen is de deelnemende security professional hier zélf voor verantwoordelijk. Net als in voor-
bije jaren het geval was, wordt security in 52% van de gevallen beschouwd als investering, niet als kostenpost. Voor 20% van de deelnemers geldt het tegenovergestelde: hun organisatie beziet security als een kostenpost. De overige deelnemers geven te kennen dat de organisatie hier neutraal tegenover staat.
Derden 19% van de ondervraagden geeft aan geen budget te hebben voor derden c.q. om aan derden te besteden. Voor 42% geldt dat tot 20% van het budget aan derden wordt besteed. 14% besteedt tot 40% van het budget, 6% tot 60% van het budget, 10% tot 80% van het budget en in 5% van de gevallen wordt tot 100% van het budget aan derden besteed. Wat kopen organisaties hiervoor in? In de meeste gevallen objectbewaking (66,7%), gevolgd door rechercheonderzoek (26,3%), cameratoezicht (24,2%) en audits (23,2%). 15% van de respondenten geeft aan tevens te investeren in externe ondersteuning op het gebied van ICT-security. Hieruit leiden we af dat derden ook in 2012 een zeer belangrijk onderdeel uitmaken van het instrumentarium van de security manager – zij het met de nodige verschillen.
Security awareness De mate waarin deelnemers het securitybewustzijn van hun organisatie inschatten verschilt weinig ten opzichte
Security Management nummer 1/2 januari/februari 2013
11
»
onderzoek
Securityrisico’s Top 10 securityrisico’s 2010
Top 10 securityrisico’s 2011
Top 10 securityrisico’s 2012
1. 2. 3. 4. 5. 6. 7.
1. 2. 3. 4. 5. 6.
1. 2. 3. 4.
Diefstal Onbevoegde aanwezigheid Ongewenst gedrag Agressie en geweld Fraude Vandalisme Lekken of manipuleren van informatie 8. Ongewenste intimiteiten 9. Hacking + overval (gedeelde negende plaats) 10. Terrorisme
van de resultaten van voorbije jaren. Het grootste aandeel (38%) schat deze ‘neutraal’ in. Een kleine 25% als ‘laag’. Iets meer dan 35% schat het securitybewustzijn in als hoog tot zeer hoog. Ten opzichte van 2011 is het bewustzijn stabiel. Ten opzichte van 2010 is er sprake van een afname. De respondenten is gevraagd om een lijst met securityrisico’s in de juiste prioriteitsvolgorde te zetten. Hieruit is net als in voorgaande jaren een gewogen top 10 van securityrisico’s voor alle deelnemers gedestilleerd. Voor zes van de tien risico’s geldt dat deze eenzelfde plaats innemen als in 2011. De top 3 wordt wederom aangevoerd door ‘Diefstal’, ‘Informatiediefstal’ en ‘Agressie en geweld’. ‘Vandalisme’ daalt ten opzichte van 2011. ‘Lekken of manipuleren van informatie’ stijgt, wat ook geldt voor ‘Hacking’. ‘Bewuste negatieve continuïteitbeïnvloeding’ verdwijnt uit de top 10 en wordt vervangen door nieuwkomer ‘Arbeidsonrust’. Net als voor de securityrisico’s is er tevens een top 10 van meest voorko-
Diefstal Informatiediefstal Agressie en geweld Vandalisme Fraude Lekken of manipuleren van informatie 7. Hacking 8. Bedrijfsspionage 9. Bewust toebrengen van imagoschade 10. Bewuste negatieve continuïteitsbeïnvloeding
mende soorten security incidenten. Hierbij voeren ‘Diefstal’ en ‘Agressie en geweld’ wederom de top 10 aan. ‘Lekken of manipuleren van informatie’ stijgt aanzienlijk. ‘Hacking’ schuift één plaats op naar boven. Uit deze stijging kan afgeleid worden dat dit type incidenten in 2012 gemiddeld vaker is voorgevallen. Datzelfde geldt omgekeerd voor typen incidenten met een dalende trend. Voor vijf
typen incidenten is sprake van een daling. De grootste daler is ‘Bewust toebrengen van imagoschade’. ‘Arbeidsonrust’ is de enige nieuwe binnenkomer in de top 10. Ondervraagden schatten dus niet alleen het risico op ‘Arbeidsonrust’ hoger in. Kennelijk is in hun werkpraktijk een toename van dit type incidenten waarneembaar.
Top 10 security-incidenten 2011
Top 10 security-incidenten 2012
1. 2. 3. 4. 5. 6. 7.
1. Diefstal = 2. Agressie en geweld = 3. Lekken of manipuleren van informatie ↑ 4. Vandalisme ↓ 5. Fraude ↓ 6. Informatiediefstal ↓ 7. Hacking ↑ 8. Arbeidsonrust NIEUW 9. Bewust toebrengen van imagoschade ↓ 10. Ongewenste intimiteiten ↓
12
Schade door security-incidenten is dit jaar als onderwerp aan het survey toegevoegd. Deelnemers kregen enkele vragen voorgelegd over hun beeld bij het aantal schaden en de daarmee gepaard gaande kosten. 28,3 % van de deelnemers gaf aan te weten wat de schade van security-incidenten was, uitgedrukt in euro’s per jaar. Voor de resterende 71,7% geldt dat zij geen feitelijk inzicht hebben in de financiële
Arbeidsonrust is nieuwkomer in de top 10 securityrisico’s
Security-incidenten
Diefstal Agressie en geweld Vandalisme Fraude Informatiediefstal Bewust toebrengen van imagoschade Lekken of manipuleren van informatie 8. Hacking 9. Ongewenste intimiteiten 10. Intimidatie
Diefstal = Informatiediefstal = Agressie en geweld = Lekken of manipuleren van informatie ↑ 5. Fraude = 6. Hacking ↑ 7. Vandalisme ↓ 8. Bedrijfsspionage = 9. Bewust toebrengen imagoschade = 10. Arbeidsonrust NIEUW
Security Management nummer 1/2 januari/februari 2013
impact van security-incidenten. Daarnaast werd deelnemers gevraagd of zij de omvang van de schade wilden inschatten. Meer dan de helft van de ondervraagden deed dit niet. Van de deelnemers die deze informatie wel verstrekten, heeft zo’n 20% naar schatting op jaarbasis minder dan € 25.000,- schade. Nog 16% heeft naar schatting tot maximaal € 100.000,schade. 13% geeft aan op jaarbasis meer dan € 100.000,- schade te lijden.
Registreren, leren, trainen & testen De overgrote meerderheid van de ondervraagden registreert security-incidenten (inclusief ‘bijna-incidenten’). 57% doet dit consequent. 28% registreert wel, maar naar eigen inschatting nog niet consequent genoeg. 11% registreert niet consequent en heeft geen aandacht voor bijna-incidenten. Slechts 4% registreert in het geheel niet. Verreweg de meeste ondervraag-
Als security uw verantwoordelijkheid is, neem dan geen risico. Security Redefined Wanneer het aankomt op security systemen, leveren de meeste gerenommeerde producenten gewoon goed werk. Niet meer en niet minder. Maar als u kiest voor de technologische marktleider in security management, zit u nóg rustiger en veiliger in uw bureaustoel. Nedap’s AEOS maakt security beter beheersbaar door functionaliteiten als toegangscontrole, inbraak en video binnen één applicatie te combineren. Dit maakt security management lonend, rapporteren een plezier en bezoekersmanagement makkelijk. Benieuwd hoe we dat doen? Bezoek www.nedap-securitymanagement.com
10-01-13 13:51:15
20130110 a5 no1 Security Mgt.indd 1
DHM Security inStituut
www.DHM.nl
Vergroot in 2013 uw carrière mogelijkheden en schrijf u in Voor de * Post hbo registeroPleiding dhm security management. sinds 1994 gecertificeerd door de stichting Post hbo nederland.; of * een “dhm bijscholingscursus”, wanneer u meer dan Vijf jaar geleden de dhm cursus met succes Volgde; of * de oPleiding “dhm securityValideur”, indien u de juiste toePassing Van de haagse methodiek (dhm) wil beoordelen en Valideren; of * laat een “dhm imPlementatietraining” Voor uw medewerkers organiseren. Zie de website Voor Verdere informatie.
DHM.indd 1
30-01-13 15:56
onderzoek
Security Management Benchmark 2012/2013 1. 2. 3. 4. 5.
6. 7. 8. 9.
10.
Het securitybewustzijn is hoog, in het bijzonder ook voor cyberrisico’s. Er is management commitment voor security tot op het hoogste niveau. De eindverantwoordelijkheid voor security is op directie of bestuursniveau belegd. De functionele verantwoordelijkheid voor security is belegd bij een volledig vrijgemaakte (‘dedicated’) security verantwoordelijke. De securityverantwoordelijke is verantwoordelijk voor verschillende taakgebieden gericht op het beschermen van de belangen van de organisatie, waaronder: fysieke en elektronische beveiliging, persoonsbeveiliging, incident- en crisismanagement, risicomanagement, brandpreventie en business continuity management. Er is voldoende (ingehuurde) capaciteit om de securitytaken uit te kunnen voeren en securitydoelen te verwezenlijken. Security is ingebed in een managementsysteem en de adequate uitvoering wordt gecontroleerd met behulp van audits en realistische beveiligingstests. De organisatie weet welke impact security-incidenten hebben in termen van schade. Security-incidenten worden consequent geregistreerd en (schriftelijke) geëvalueerd. Evaluatie van incidenten leidt tot aanpassing van het risicoprofiel of veiligheidsmaatregelen. De organisatie wordt gericht getraind en beoefend in het omgaan met en reageren op security dreigingen en incidenten.
den evalueert incidenten schriftelijk. Dit varieert van bijvoorbeeld 22% die 1 tot 20% van de jaarlijks voorgevallen incidenten op schrift evalueert, tot 29% die aangeven 80 tot 100% van de incidenten schriftelijk te evalueren. Voor slechts 8% van de deelnemende professionals geldt dat zij nooit schriftelijk evalueren.
prestaties meer dan een ‘7’. Voor de resterende 30% geldt dat zij hun prestaties een ‘8’ of hoger geven. Het beeld dat ondervraagden hebben bij de ‘volwassenheid’ (‘maturity’) van hun security management is eveneens over-
Bijna 50% geeft bovendien aan op basis van de evaluaties te komen tot een bijstelling van het risicoprofiel en/of de veiligheidsmaatregelen van de organisatie. Ook geeft ruim 70% van de ondervraagden aan met enige regelmaat audits uit te voeren en/of realistische beveiligingstests te verrichten. Een kleine 70% geeft tevens aan de voorbereiding van de organisatie op security incidenten te versterken middels gerichte trainings- en oefenactiviteiten.
Prestaties & volwassenheid Zoals inmiddels gebruikelijk, hebben wij respondenten opnieuw gevraagd om het ‘eigen vlees’ te keuren. Deze keuring leert dat minder dan 10% van de deelnemers de securityprestaties van de eigen organisaties als onvoldoende beoordeelt. Net als afgelopen jaar beoordeelt de overige 90% de prestaties als voldoende. 20% geeft een ‘6’ als rapportcijfer. Ruim 40% geeft de eigen
14
Security Management nummer 1/2 januari/februari 2013
wegend positief. Een kleine 25% schat de volwassenheid in op het niveau ‘beginnend’. Ruim 62% beschouwt het volwassenheidsniveau van de eigen organisaties als gevorderd. 12% schat het eigen niveau in op vergevorderd.
Economische crisis Wij interesseren ons al enige jaren voor de (mogelijke) effecten van de economische crisis voor het vakgebied. Derhalve is respondenten dit jaar gevraagd of zij menen dat het veiligheidsniveau van hun organisatie verslechtert, bijvoorbeeld door bezuinigingen. Meer dan de helft van de respondenten herkent zich hier niet in. Niettemin geeft een grote groep ondervraagden (48%) te kennen dat zij wel een verslechtering zien. Gekoppeld aan de opkomst van ‘Arbeidsonrust’ in zowel de risico als de incidenten top 10, lijkt het aannemelijk dat in 2012 negatieve effecten van de economische crisis voor de security professional merkbaar zijn geworden.
Cybersecurity In reactie op de stelling ‘Cybercrime is de grootste securitydreiging voor mijn organisatie’ gaf 58% aan zich hier niet in te herkennen. Voor de overige 42%
onderzoek
geldt evenwel dat zij cybersecurity voor hun organisatie als belangrijkste dreiging typeren. Er blijkt in de praktijk nauwelijks verschil te bestaan tussen de algemene security awareness en cybersecurity awareness. Het cybersecurity bewustzijn is ongeveer gelijk aan het algemene en wordt zelfs iets hoger ingeschat (hoog tot zeer hoog: 43%). Wel moet hierbij worden opgemerkt dat de security professional de cybersecurity awareness voor ‘neutraal’ typeert.
mark voor security management in Nederland. Omdat we het onderzoek dit jaar voor de derde keer op rij uitvoeren, zijn we in staat om deze benchmark steeds beter te onderbouwen. Uitgangspunt bij het vaststellen van de benchmark is de ‘top 20’. Dit is de verzameling van deelnemende security professionals die de security performance van hun organisatie een 8 of hoger geven (op een schaal van 1 tot 10). Tevens schatten zij het volwassenheids-
Grenzen tussen security en aanverwante risicodisciplines vervagen Waar we in 2010 nog spraken van een ‘waterscheiding’ tussen klassieke security en ICT-security, constateerden wij in 2011 een afname hiervan. Toen bleek de security professional in 20% van de gevallen ook verantwoordelijk voor ICT-security, in tegenstelling tot de 2% in 2010. Op basis van de resultaten van dit survey zien we dat deze trend zich beperkt doorzet tot 22%. Daarnaast zien we dat er door respondenten überhaupt intensiever wordt samengewerkt met ICT. Waar we vorig jaar nog constateerden dat deze samenwerking opvallend genoeg gering was, zien we dat 50% van de respondenten nu actief met ICT samenwerkt. Algemeen durven wij daardoor de stelling aan dat als gevolg van de opkomst en toegenomen bewustwording van cyberrisico’s, de waterscheiding plaats maakt voor een meer geïntegreerd security concept. Eén die ‘klassieke’ fysieke en elektronische security meer en meer verknoopt met security in de digitale wereld.
Benchmark 2012/2013 De afgelopen jaren is een aanzet gedaan voor het vaststellen van dé bench-
niveau van hun security management in als ‘vergevorderd’. Bij het vaststellen van de benchmark is gekeken naar wat de top 20 doet om security management invulling te geven. De benchmark is opgebouwd uit tien thema’s, die samen een kwalitatief hoogwaardig security management tot gevolg hebben.
Tot slot Afgaande op de resultaten van dit derde Security Management Survey wordt duidelijk dat security management in Nederland zich verder professionaliseert. De organisatorische randvoorwaarden voor adequaat security management lijken overwegend op orde. Security heeft een vaste plek op de agenda, geniet management commitment, is gebaseerd op organisatiedoelstellingen en krijgt vorm met behulp van een managementsysteem, voldoende personeel, ondersteuning door derden, et cetera. Tevens wordt duidelijk dat er steeds meer aandacht is voor de kwaliteit van security management. De uitvoering van beleid wordt actief gemonitord, de
Security Management Survey 2012/2013: opvallende resultaten • E r bestaan onder security professionals zorgen over de effecten van de economische crisis. • Cybercrime wordt door meer dan 40% van de ondervraagden als meest voorname dreiging gezien. • Er is nog weinig zicht op de werkelijke impact van security-incidenten in termen van schade. • De integratie van security management en andere disciplines wordt steeds belangrijker.
Disclaimer • D e resultaten zijn afhankelijk van de door de ondervraagden aangeleverde gegevens. • De beleving (‘perceptie’) van ondervraagden staat centraal. • De resultaten zijn primair van toepassing op de groep deelnemende security professionals (n=99). • Voorzichtigheid is geboden bij het generaliseren van de uitkomsten.
effectiviteit van maatregelen getoetst. Verder worden incidenten geregistreerd en geëvalueerd en worden geleerde lessen benut voor optimalisatie. Het meest opvallende resultaat is waarschijnlijk nog dat de grenzen tussen security en aanverwante disciplines lijken te vervagen. Of het nu gaat om integratie van ‘klassieke’ en ‘digitale’ veiligheid, de aansluiting op algemeen risicomanagement of crisismanagement, duidelijk is dat de schotten tussen deze disciplines er in de securitypraktijk steeds minder toe doen. Tegelijkertijd roepen de resultaten van dit jaar ook weer nieuwe vragen op. Verhoudt de professionalisering en optimalisatie van security management zich tot de economische crisis? Kan de security professional investeringen wel onderbouwen of opbrengsten identificeren als er geen goed zicht bestaat op de impact en schade van security incidenten? Maar ook: wordt het oordeel dat de security professional aan het eigen werk verbindt ook breder in de eigen organisatie gedeeld? Wij hopen daarom dat u ook in de toekomst samen met het COT en Security Management wilt blijven zoeken naar antwoorden op deze en andere vragen. « * Dennis de Hoog Ma, Msc en Sebastiaan Barlagen Msc werken voor COT Instituut voor Veiligheids- & Crisismanagement, an Aon company (www.cot.nll). Gezamenlijk zijn zij verantwoordelijk voor de strategische security dienstverlening van het COT. Mail eventuele vragen of suggesties naar aanleiding van dit artikel naar: d.dehoog@cot.nl
Security Management nummer 1/2 januari/februari 2013
15
securit y
Beveiligers vaak slachtoffer van geweld Twee derde van de beveiligers in Nederland zijn het afgelopen jaar slachtoffer geworden van geweld of agressie, blijkt uit onderzoek van de Nederlandse Veiligheidsbranche. Die wil dat agressie tegen beveiligers net zo zwaar wordt bestraft als tegen hulpverleners.
V
ooral winkelsurveillanten en toezichthouders op straat, zoals straatcoaches en verkeersregelaars, werden in 2012 geconfronteerd met geweld, intimidatie of discriminatie. Het onderzoek ‘Veilige Beveiligers’, dat medio januari werd gepresenteerd, is gedaan in opdracht van de Nederlandse Veiligheidsbranche, onder de paraplu van het Sociaal Fonds Particuliere Beveiliging, en uitgevoerd door DSP-groep. In totaal zijn bijna 800 beveiligers geïnterviewd. Beveiligers met een publieke taak moeten dezelfde steun krijgen als hulpverleners, vindt de brancheorganisatie. Welke invloed of gevolgen heeft dit voorval gehad (n=493) Deze vraag is alleen gesteld aan respondenten die het laatste jaar zelf slachtoffer werden % per antwoord meerdere antwoorden mogelijk heb er vrijwel geen last van gehad heb me gekwetst, gespannen of gestrest gevoeld ben met minder plezier naar mijn werk gegaan
75% 14% 9%
sliep slechter
8%
heb fysieke gevolgen ondervonden heb thuis minder goed kunnen functioneren heb mijn werk (tijdelijk) minder goed kunnen doen heb materiele schade gehad heb me willen ziekmelden, niet gedaan wilde van baan veranderen
4%
heb me (tijdelijk) ziek gemeld
2%
diagnose PTSS
1%
ander negatief gevolg
6%
16
3% 3% 3% 3% 3%
Mensen die agressief zijn tegen hulpverleners worden zwaarder gestraft. Volgens het Openbaar Ministerie vallen beveiligers ook onder dat regime. ‘In de praktijk zie je dat onvoldoende terug; wordt er tegen agressors niet altijd een hogere straf geëist en opgelegd’, stelt de brancheorganisatie. Zeker 25 procent van de ondervraagden heeft maandelijks te maken met (verbaal) geweld, een tiende zelfs wekelijks. Beveiligers die achter een balie werken, hebben het minst te maken met scheldkanonnades. ‘Vergeleken met vijftien andere beroepsgroepen met een publieke taak is het slachtofferpercentage onder beveiligers iets hoger dan gemiddeld’, aldus de onderzoekers. Beveiligers geven aan geen persoonlijke gevolgen te verbinden aan agressie en geweld. Drie op de vier slachtoffers geeft aan dat het voorval geen gevolgen voor ze had. Anderen rapporteren stress, minder plezier in het werk, slechter slapen of (andere) fysieke gevolgen. Die gevolgen zijn meestal van korte duur. Een belangrijke aanbeveling uit het onderzoek is dat de leiding van beveiligingsbedrijven naar hun eigen medewerkers, opdrachtgevers en publiek duidelijker uitdragen wat hun norm van onacceptabel gedrag is en wanneer deze wordt overschreden. Voorzitter van de Nederlandse Veiligheidsbranche Laetitia Griffith: ‘We gaan de komende jaren nog duidelijker aangeven wat wel en niet kan. Is er sprake van schade, dan gaan we die door voegingen in strafzaken via de rechter verhalen op de dader. Ook ga ik met het Openbaar Ministerie in gesprek om bij geweld en agressie te-
Security Management nummer 1/2 januari/februari 2013
Veilige beveiligers Een onderzoek naar agressie en geweld tegen beveiligers
Sander Flight Manja Abraham
gen beveiligers in de strafeis zichtbaarder en nadrukkelijker een zwaardere straf te eisen. Net als bij agressie en geweld tegen hulpverleners.’ Met deze extra maatregelen beoogt de Nederlandse Veiligheidsbranche een steviger aanpak van agressie en geweld tegen beveiligers. De Nederlandse Veiligheidsbranche vertegenwoordigt de markt van particuliere beveiliging, evenementen- en horecabeveiliging, recherche en geld- en waardetransport. Leden van de branche zijn gezamenlijk goed voor meer dan 90 procent van de totale omzet (1,48 miljard euro). De bedrijven bieden innovatieve diensten aan die gericht zijn op het vergroten van de veiligheid in Nederland. Het rapport ‘Veilige beveiligers – een onderzoek naar agressie en geweld tegen beveiligers’, Sander Flight en Manja Abraham (DSP-groep), is te downloaden op: www.veiligheidsbranche.nl «
risicomanagement
Risicomanagement: een kwestie van samenspel
Veiligheid door integriteit Een organisatie omvat vaak diverse eenheden en lagen. Hoe gaan die met elkaar om en wat is de koppeling tussen deze organisatie-onderdelen in het kader van risicobereidheid en risicomanagement? Hans Vermeeren *
V
oor goed risicomanagement binnen een organisatie geldt een aantal randvoorwaarden. De leidinggevende neemt een reeks beslissingen om risicomanagement te faciliteren, zoals het invullen van de risicobereidheid voor de organisatie en voor elke medewerker afzonderlijk. Daarmee wordt de beslisruimte voor medewerkers afgebakend. De medewerker moet vervolgens terugkoppeling geven over de manier waarop het beleid uitpakt in de praktijk. Zo blijkt hoe effectief de
invulling van het begrip risicobereidheid op organisatieniveau is. De manager beslist bijvoorbeeld dat op een specifieke manier met bedrijfsgevoelige informatie moet worden omgegaan, en dat voor het werken op hoogte strikte voorschriften zijn waar men zich aan moet houden. De manager laat de medewerkers echter vrij in de inrichting van de werkplek, de keuze van werkmethoden, het nemen van pauzes en het hanteren van hulpmiddelen of gereedschappen. Bij het weke-
Bonusregelingen als risicofactor » Voorbeeld 1: bedrijfsgroei In bijna alle grote bedrijven gelden bonusregelingen voor de top van de organisatie, waarbij de bonus in veel gevallen de hoogte van het vaste salaris kan overstijgen. De koppeling van deze bonussen aan zaken als de groei van het bedrijf leidt nogal eens tot riskant gedrag op het terrein van fusies en overnames. » Voorbeeld 2: verkoopcijfers In bedrijven die auto’s, consumentenelektronica en dergelijke verkopen, is het gebruikelijk om de verkoopcijfers te stimuleren door middel van bonusregelingen voor verkopers. Dit leidt nogal eens tot uitgesproken oncollegiaal gedrag (ieder voor zich), het onheus bejegenen van klanten om verkoop te forceren, en het aanbieden van samengestelde pakketten die weliswaar de verkoop stimuleren maar de bedrijfsresultaten niet ten goede komen. » Voorbeeld 3: productievolumes In de productie wordt soms met bonussen gewerkt om een bepaald volume te halen binnen een bepaalde deadline om een (grote) klant tevreden te stellen of te houden. Dit leidt bijna steevast tot improvisatie, tot een riskantere manier van werken en tot een grotere kans op ongevallen.
lijkse werkoverleg kunnen medewerkers hun ervaringen in het omgaan met risico’s uitwisselen en elkaar tips geven. De manager moedigt de medewerkers aan om te praten over mislukkingen, incidenten of bijna-incidenten. In individuele gesprekken stelt de manager onderwerpen op het gebied van veiligheid aan de orde en vraagt naar bevindingen van de medewerkers. Daarnaast is het van belang dat medewerkers communiceren met hun leidinggevenden en collega’s over hun eigen risicogerelateerde beslissingen en de uitwerking daarvan. Dat is niet alleen nodig om van elkaar te kunnen leren, maar ook om de leidinggevende in staat te stellen het risicomanagement van elke medewerker waar nodig bij te sturen. Pas als al deze heen- en terugkoppelingen gerealiseerd zijn, wordt een organisatie in samenhang bestuurd en is een verbetercyclus mogelijk. Bovenstaand beeld gaat uit van een enkelvoudige organisatie met twee lagen (manager en medewerkers). Veel organisaties zijn echter complexer: ze bestaan uit meerdere eenheden en hebben meer dan twee lagen. In zulke organisaties speelt risicomanagement in elk van de eenheden en lagen een rol. Voor een goed bestuur van de hele organisatie is het dan niet alleen van belang hoe het risicomanagement verloopt, maar ook hoe de koppeling tus-
Security Management nummer 1/2 januari/februari 2013
17
»
IK BEN REVOLUTIONAIR iLOQ is ‘s werelds eerste digitale cilinder met eigen energievoorziening. Zonder batterijen. Zonder bekabeling. Wij bieden een sluitsysteem met een flexibel en veilig toegangsmanagement, met aanzienlijk lagere onderhoudskosten ten opzichte van elektromechanische systemen. www.iLOQ.com
Naritaweg 165, 1043 BW Amsterdam, Netherlands m. +31 (0)623 441 670, f. +358 40 3170 201
Start volgende leergang 15 mei 2013
“Security manager met oog voor veiligheid”
Master of Security Science & Management Bent u een professional of consultant op het gebied van veiligheid en terrorismebestrijding, dan biedt Delft TopTech u de kans om uw expertise naar een hoger niveau te tillen. De Masteropleiding Security Science & Management integreert verschillende perspectieven en benaderingen in één opleiding, en biedt u een kader om adequaat om te gaan met security uitdagingen in alle mogelijke sectoren. De opleiding onderscheidt zich hiermee van eenzijdige benaderingen vanuit de technische of management hoek. Het is een tweejarige parttime opleiding voor professionals die hun baan willen combineren met postacademisch onderwijs. Het masterdiploma wordt toegekend door de internationaal toonaangevende Technische Universiteit Delft. Voor meer informatie bel Vera Balledux, 015 278 40 39 of kijk op www.delfttoptech.nl/security.
risicomanagement
sen de verschillende eenheden en lagen van de organisatie is geregeld. Het samenspel tussen de verschillende eenheden en lagen wordt corporate governance genoemd.
Organisatiedoelen
Collegialiteit en rivaliteit In een organisatie die bestaat uit meerdere eenheden en lagen geldt dat elke laag de (risico)ruimte bepaalt van de laag daaronder, volgens het hiërarchisch principe. Daarnaast is het nodig dat elke laag, conform het rapportageprincipe, naar de laag daarboven een terugkoppeling geeft zodat die de effectiviteit van zijn handelen kan beoordelen. Als beide principes goed worden uitgevoerd, is een effectieve koppeling tussen de twee lagen gerealiseerd. Bestaat een laag uit meerdere eenheden, dan is het de vraag hoe die met elkaar omgaan. Willen zij leren van elkaar? Worden er ervaringen uitgewisseld, zowel onderling als met de laag erboven? Is er collegialiteit en respect, of is er sprake van rivaliteit en concurrentie? In de dagelijkse praktijk bestaat er altijd een zekere spanning tussen collegialiteit en rivaliteit, en de laag daarboven kan de balans tussen beide stevig beïnvloeden. Daarnaast is ook de bedrijfsstrategie van belang; de manier waarop de organisatie als geheel wordt geacht zijn doelen te realiseren. De strategie bepaalt voor een deel of eenheden elkaar vooral als collega’s beschouwen, of juist als concurrenten.
Risicobereidheid
Strategie
Lange termijn Duurzaamheid
tuatie is goede corporate governance niet mogelijk. Iets anders dat van belang is voor de corporate governance, is welke doelen de organisatie stelt en hoe deze zich verhouden tot de duurzaamheid op lange termijn. Een sterke focus op snelle winstmaximalisatie zal bijvoorbeeld vaak ten koste gaan van de duurzaamheid – en zelfs van de continuïteit van de organisatie – op lange termijn.
De strategie bepaalt of eenheden elkaar beschouwen als collega’s of concurrenten Uit oogpunt van risicomanagement is het gewenst dat eenheden en lagen goed en open met elkaar communiceren. Ook voor een effectieve invulling en uitwerking van het begrip risicobereidheid in de praktijk is een continue dialoog over risico’s vereist. Daar begint het leervermogen van de organisatie, en daar beginnen de verbetercycli. Verder is er een directe relatie tussen risicobereidheid en bedrijfsstrategie: beide moeten met elkaar in balans zijn. Een geringe risicobereidheid gaat bijvoorbeeld niet samen met een strategie die grote risico’s impliceert. In zo’n si-
Codes Goede corporate governance is afhankelijk van vier organisatieoverstijgende begrippen: bedrijfsdoelen, strategie, risicobereidheid en duurzaamheid op lange termijn. Al deze zaken moeten bovendien met elkaar in balans zijn. De kwaliteit van de corporate governance – en daarmee het risicomanagement – wordt verder bepaald door de interactie tussen de eenheden en lagen binnen de organisatie. Een laatste belangrijk aspect is dat elke laag en elke eenheid actief meewerkt. Corporate governance is een systeem dat niet kan
functioneren als één van de onderdelen ontbreekt of onvoldoende is ingevuld. Dan ontstaat schade voor medewerkers, klanten, stakeholders (aandeelhouders, openbaar bestuur) en omgeving. Het feit dat Nederland verschillende codes kent voor goed ondernemingsbestuur (waarvan de code-Tabaksblat de bekendste is) maakt duidelijk hoezeer de kwaliteit van de corporate governance samenhangt met de kwaliteit en integriteit van bestuurders en medewerkers. Die vertaalt zich onder andere in de manier waarop de verantwoording aan commissarissen en stakeholders plaatsvindt en de mate waarin de organisatie zich aan gemaakte afspraken (contracten, vergunningen) houdt. De invulling en uitwerking van corporate governance vertelt iets over de integriteit van de organisatie.
Uitgangspunten Voor de vormgeving van corporate governance is nog een aantal andere dingen noodzakelijk: » Screenen en monitoren van medewerkers en bestuurders Screening moet niet alleen gebeuren bij indiensttreding, er moet ook periodieke monitoring plaatsvinden,
Security Management nummer 1/2 januari/februari 2013
19
»
Toegang met visie
Honeywell NetAXS-123 met video biedt écht betaalbare beveiliging Bij de volgende aanvraag voor een klein, betaalbaar toegangscontrolesysteem met integratie van een video-oplossing, kunt u de klant NetAXS-123 met Video Add-On aanbevelen. Het is ideaal voor toepassingen op een, twee of drie deuren en biedt nu ook gebeurtenisgebaseerd opnemen van video, zonder de noodzaak van een NVR of DVR. Live of opgenomen video bekijken, is naadloos geïntegreerd in de NetAXS-123 web-interface en minimaliseert zo de operationele kosten. Installatie is eenvoudig – inpluggen, instellen en klaar. Het maakt niet uit of het een nieuw systeem betreft of een upgrade, kies Honeywell NetAXS-123 met video. Eenvoudig. Schaalbaar. Flexibel. En nu nóg beter met Video Add-on. Ga naar www.easyaccesscontrol.com of scan de QR-code.
Tel.: +31 (0)88 2345 400
Voor meer informatie: www.adiglobal.com/nl
eventueel naar aanleiding van waarschuwingssignalen als veranderende gedragspatronen of drastische wijzigingen van de privésituatie (schulden, scheiding, overlijden). Bij mo-
» Controle op de balans tussen organisatiedoelen, strategie, risicobereidheid en duurzaamheid op lange termijn Dit is niet alleen maar een taak voor de raad van commissarissen,
Sterke focus op snelle winstmaximalisatie gaat vaak ten koste van duurzaamheid nitoren gaat het niet alleen om de waarneming maar ook om begeleiding, coaching, training en het houden van functionerings- en loopbaangesprekken. » Congruentie in organisatiebeleid, taken en verantwoording Als het organisatiebeleid bijvoorbeeld uitgaat van risicomijdend gedrag en veilig werken, dit vervolgens in de op gedragen taken tot uitvoering moet worden gebracht, naast het halen van productie doelen, en de af te leggen verantwoording gaat allen over productie, dan is er iets mis.
» Afspraken over communicatie Interne communicatie moet zorgen voor helderheid en eenduidigheid. Externe communicatie moet de buitenwereld een duidelijk beeld laten zien van de organisatie en het beleid.
maar ook voor de directie, ondernemingsraad en de manager die zich bezig houdt met het integraal managen van risico’s.
» Duidelijke afbakening tussen lagen van de organisatie Daarbij gaat het om de vraag waar elke laag zich mee bezig houdt, met name op risicogebied. Hoe liggen de verantwoordelijkheden en bevoegdheden? Zijn deze op elkaar afgestemd? » Laat de hiërarchie los Als het om risico’s gaat, gedraagt de organisatie zich als een netwerk van gelijkwaardige personen. Management by walking around is een makkelijke manier om het netwerkprincipe te verwezenlijken.
Tot slot Corporate governance vormt de basis voor goed risicomanagement en de juiste invulling van risicobereidheid door alle lagen van de organisatie heen. Het is de moeite waard om vraagstukken ten aanzien van risico en risicobeheersing ook eens langs deze lijn te benaderen. Dat kan licht werpen op een aantal onvermoede bronnen of oorzaken van risico’s. « * Hans Vermeeren is als docent verbonden aan Master in Management of Integrated Hazard-Risk (Delft Toptech).
Security Management nummer 1/2 januari/februari 2013
21
securit y
Kengetallen voor beveiliging Om beveiliging stuurbaar te maken moet een organisatie beschikken over een security managementsysteem, waardoor volgens de Plan Do Check Act cyclus wordt gewerkt. Om deze stappen te kunnen doorlopen dienen incidenten structureel te worden vastgelegd. Er is nu een methodiek waarmee kengetallen voor beveiligingsincidenten zijn vast te stellen. Arjen AppelmAn *
B
innen veel organisaties bestaat de behoefte beveiliging beter stuurbaar te maken. Zeker ten tijde van bezuinigingen is het waardevol de toegevoegde waarde van beveiliging aantoonbaar te maken. Om beveiliging stuurbaar te maken moet de organisatie beschikken over een security management systeem, waardoor volgens de bekende Plan Do Check Act cyclus wordt gewerkt. Het meetbaar en stuurbaar maken zit in de stappen Check en Act. Om deze stappen goed te kunnen doorlopen dienen incidenten structureel te worden vastgelegd. Een organisatie die hier al geruime tijd er-
stallen van beamers dan stond er in ons overzicht een beperkte kostenpost van 6400 euro. Niet echt een bedrag waar een Raad van Bestuur wakker van ligt. Keken we beter naar het incident dan bleek de geregistreerde schade van 800 euro bij lange na niet voldoende te zijn’. Graven vervolgt: ‘Na zo’n diefstal zijn er altijd mensen vanuit de organisatie betrokken; de schoonmaak om de boel op te ruimen, beveiliging om het incident vast te stellen en anderen te informeren, ICT en inkoop voor een nieuwe beamer, de hoogleraar of arts omdat hij de beamer niet kan gebruiken en ga zo
Kengetallen zijn een belangrijk onderdeel van de totale schade van een incident varing mee heeft is het UMC St Radboud. Will Graven, operationeel manager beveiliging van het UMC St Radboud en de Radboud Universiteit, heeft een methodiek ontwikkeld waarmee kengetallen voor beveiligingsincidenten zijn vast te stellen.
Kengetallen Op de vraag waarom kengetallen belangrijk zijn antwoordt Graven: ‘Onder kengetallen verstaan wij in dit verband vaste schadecomponenten die aan elk voorkomend incident toegewezen kunnen worden. In de praktijk zie ik veel dat bij een diefstal van een beamer alleen de kosten van de beamer worden geregistreerd. Had je in een jaar 8 dief-
22
maar even door. Als je daarbij optelt dat processen stilvallen door het gemis van de beamer dan stijgen de kosten verder. En juist met deze, veel hogere, schadeposten onder de arm is het mogelijk het hogere management te overtuigen van het nut om preventieve maatregelen te nemen.’
De volgende vraag richt zich op de wijze waarop generieke kengetallen te destilleren zijn. Kijken we naar de veelheid van schadecomponenten uit bovenstaand voorbeeld dan lijkt dat lastig. ‘Dat klopt’, geeft Graven toe, ‘dat is precies de reden waarom dit onvoldoende wordt meegenomen. Het is daarbij niet mogelijk om alle kostencomponenten in kengetallen te vatten. Vooral excessen die voorkomen laten we buiten onze kengetallen en zullen altijd apart toegevoegd moeten worden. Voor het voorbeeld van de gestolen beamer kunnen we een gemiddelde berekenen. Gaat dit gepaard met veel schade aan gevel, ruimte of meubilair dan zal dit separaat opgenomen moeten worden. In het geval van de beamer kan het gaan om vernielingen aan een deur, een ophangsysteem, plafond, vloer, enzovoort.’
Opzet ontwikkeling kengetallen ‘indirecte schade’ Graven is in 2010 een onderzoek gestart met twee studenten van de Avans Hogeschool (opleiding Integrale Veiligheidskunde) om voor veel voorkomen-
Meewerken aan meer kengetallen? Met de kengetallen voor schade van het UMC St Radboud is een eerste stap gezet om de incidentenregistratie te verrijken met waardevolle managementinformatie. Er zal veel onderzoek moeten plaatsvinden om tot een meer complete en generiek toepasbare methodiek te komen die door hoofden beveiliging en security managers gebruikt kan worden. Indien lezers suggesties, opmerkingen of anderszins een bijdrage willen leveren aan een verdere uitwerking van kengetallen voor schades dan kunnen zij contact opnemen met a.appelman@aessecurity.nl.
Security Management nummer 1/2 januari/februari 2013
securit y
de incidenten kengetallen te ontwikkelen. Een kengetal bestaat in grote lijnen uit twee componenten: het deel dat bestaat uit de veelvuldig voorkomende indirecte schadecomponenten en dat deel dat bestaat uit veelvuldig voorkomende directe schadecomponenten. Het UMC St Radboud beschikt over een professioneel incidentenregistratiesysteem dat de twee schadeonderdelen apart vastlegt en vervolgens in alle managementoverzichten cumulatief meeneemt. Hiermee is aan een belangrijke basisvoorwaarde voldaan om kengetallen effectief in te kunnen zetten. Gestart is met drie incidenttypen, te weten diefstal, verbale en fysieke agressie. In het kengetal voor indirecte schade zijn de werkzaamheden meegenomen die ondernomen moeten worden nadat het incident heeft plaatsgevonden (de zogenaamde afwikkeling van het incident). Van alle drie de incidenttypen zijn 40 voorvallen uitvoerig geanalyseerd en zijn alle afwikkelstappen in een schema opgenomen (zie figuur).
Incidenttype: Fysieke Agressie
4.0 Terugkoppeling meldkamer
2.0 Beveiliging gaat met 2 beveiligers ter plaatse - te voet - te fiets - auto
1.0 Melding binnen bij meldkamer op 5x5
In bijgaande tabel zijn voor de ‘rode’ werkzaamheden de functie, activiteit, aantal minuten en brutoloon opgenomen. Totaal leiden alle deelposten voor fysieke agressie tot een kengetal indirecte schade van 1782,90 euro. Graven heeft zijn registratiesysteem vervolgens zo ingesteld dat dit bedrag bij een geregistreerd voorval van fysieke agressie automatisch vastgelegd wordt. Uit de figuur blijkt dat het rode pad in het geval van ‘fysieke agressie’ maar een klein deel van alle mogelijke werkzaamheden beslaat. In het geval van
3.0 Beveiligers nemen contact op met de melder
4.1 Rapportage
6.0 Preventief aanwezig op de afdeling 2 beveiligers
7.3 Facilitair ondersteuning via Servicedesk V&L - schoonmaak - intern transport
7.4 Maatschappelijke ondersteuning - AMD - bedrijfsarts - geestelijke verzorging - tolk
7.0 Repressief (deescalerend) optreden - Agressie Fysiek
7.5 Vakspecialist - Stafmedewerker Beveiliging - AMD - Staf. Cal. - Juridische zaken
8.0 Ondersteuning door de meldkamer
9.0 Terugkoppeling meldkamer
14.0 Stafmedewerker - onderzoek - rapport - adviesvoorstel
14.2 Betrokkenen ontvangt en leest onderzoek/ advies
15.0 Rapport versturen naar management
16.2 Opvolging voorstel
14.4 Opvolging advies
8.4 Afhandeling volgens eigen procedure
11,0 Teamleiding beoordeeld rapportage
16.0 Ontvangen voorstel procedure aanpassing
8.2 Politie arriveert ter plaatse
8.3 Beveiliger geeft bijzonderheden door en assisteert politie
10.0 Rapportage
14.1 Onderzoek/ advies versturen naar betrokkenen
14.3 Geen opvolging advies
4.2 Teamleiding beoordeeld rapportage
8.1 Externe ondersteuning -Politie 7.1 Ondersteuning door de meldkamer
7.2 Technische ondersteuning via Servicedesk V&L - bouwkundige voorzieningen - technische dienst
4.3 Frontoffice verwerkt/ verstuurd rapportage
7.6 Separeren
7.7 Arbeidsverstoring
Rode pad Door de schema’s van alle 40 incidenten over elkaar te leggen, wordt zicht verkregen op die activiteiten die altijd uitgevoerd moeten worden. Zie de rode vakken in de figuur, het zogenaamde rode pad voor fysieke agressie. Deze activiteiten zijn vervolgens verder geanalyseerd. Bekeken is: door wie worden zij uitgevoerd, hoeveel tijd (in minuten) is hiermee gemoeid en tegen welk uurtarief staat deze functionaris op de loonlijst van de organisatie. Door dit in een overzicht te zetten en de kosten per activiteit bij elkaar op te tellen (zie tabel) wordt een kengetal verkregen.
4.4 Melder ontvangt en leest rapportage
securit
12.0 Frontoffice verwerkt/ verstuurd rapportage 12.1 Melder ontvangt en leest rapportage
16.1 Geen opvolging voorstel
10.1 Er wordt aangifte gedaan bij de politie door betrokkenen/ staf medewerker 16.2.1 Begeleiding uitvoering Procedure aanpassing
14.4.1 OBE-maatregel uitvoeren
14.4.2 Stafmedewerker begeleid in- uitvoering
een ernstiger fysiek incident zullen er dan ook veel meer schadeposten zijn dan bij een ‘kleiner’ voorval van fysieke agressie.
Opzet ontwikkeling kengetallen ‘directe schade’ De gevolgde werkwijze voor het kengetal ‘indirecte schade’ kan ook gevolgd worden om een kengetal voor directe schade vast te stellen, alhoewel een opmerking te maken valt. Voor directe
schade is geen rode lijn te ontwikkelen, maar kunnen van een groot aantal (bijvoorbeeld 40) incidenten alle directe schadecomponenten verzameld worden. Door deze vervolgens te totaliseren en te delen door 40 is een kengetal beschikbaar. Een werkwijze die werkt voor veelvoorkomende diefstallen is een top 10 samen te stellen van veel gestolen goederen. Door hiervan eenmalig uit te zoeken wat een gemiddelde prijs is (beamer 800 euro, laptop 600 euro,
Security Management nummer 1/2 januari/februari 2013
23
»
securit y
Incidenttype: Agressie fysiek Tijdspad nr. Functie 1.0 Medewerker meldkamer 1.0 Medewerker meldkamer 2.0 Medewerker beveiliging 3.0 Medewerker beveiliging 7.0 Medewerker beveiliging 7.7 Melder/ afdeling 9.0 Medewerker beveiliging 9.0 Medewerker meldkamer 10.0 Medewerker beveiliging 11.0 Teamleiding beveiliging 12.0 Medewerker frontoffice 12.0 Medewerker frontoffice 12.1 Melder/ afdeling
Activiteit Opnemen melding Oproepen Beveiliging Ter plaatse gaan Contact opnemen met melder Repressieve werkzaamheden Arbeidsverstoring Terugkoppeling meldkamer Terugkoppeling/ ondersteuning Rapportage Beoordelen rapportage Verwerken rapportage Versturen rapportage Ontvangen en lezen rapportage
Schaal 5 5 5 5 5 8 5 5 5 8 6 6 9
Loon € 43,90 43,90 43,90 43,90 43,90 56,70 43,90 43,90 43,90 56,70 45,80 45,80 63,97
Tijd 5,00 2,00 8,00 4,00 34,00 1800,00 4,00 2,00 15,00 10,00 5,00 5,00 10,00
Totale gemiddeld aantal minuten besteed aan het incident Kengetal indirecte schade fysieke agressie (gemiddeld aantal bestede minuten * uurtarief)
mobiele telefoon 200 euro) wordt bij het registratieproces veel tijd bespaart. Er hoeft immers niet uitgezocht te worden bij verschillende afdelingen wat de prijs zou moeten zijn van het gestolen voorwerp. Terugkomend op het voorbeeld van Graven: ‘binnen het UMC St Radboud zijn voor de directe kosten eenzelfde aantal incidenten geanalyseerd. In ons geval is directe schade bij fysieke agressie gelijk aan de schade aan inventaris die plaatsvindt. Denk aan een stoel die wordt weggegooid, een bakje met papier, een plant etc. Ook hier komen excessen voor die vele ma-
meer gecompenseerd door andere voorvallen). Het kengetal directe schade voor fysieke agressie is 277,57 euro.
Kengetallen totaliseren Door het kengetal voor indirecte schade op te tellen bij het kengetal directe schade, ontstaat voor fysieke agressie het kengetal ‘schade fysieke agressie’. Totaal is dit kengetal 2060,47 euro per incident. Dit schadebedrag kan dus bij ieder voorval van fysieke agressie automatisch geregistreerd worden. Eventuele afwijkende zaken kunnen dan aanvullend geregistreerd worden.
Kengetallen zijn essentieel om te komen tot kosten-batenanalyses voor beveiliging len meer schade opleveren dan de meeste andere voorvallen. Deze hebben we bewust buiten beschouwing gelaten, maar kunnen op het moment dat we meer voorvallen hebben best meegenomen worden (uitschieter wordt dan
Andere toepassingen Graven heeft naast de drie genoemde incidenttypen ook een kengetal ontwikkeld voor assistentieverleningen bij nodeloze alarmmeldingen. De campus
Integrale beveiliging: meten = weten Dat je moet meten om te weten welke kant je de beveiliging het beste op kan sturen, is al langer algemeen bekend. In de praktijk blijkt het meten van de schadelijke gevolgen van een incident echter best lastig en tijdrovend te zijn. Will Graven zet een eerste stap om te komen tot het opzetten van kengetallen voor beveiliging op dit gebied. Door deze methodiek te volgen is het voor elke organisatie mogelijk om veel efficiënter de schadeposten toe te voegen aan incidentenregistratiesystemen. Hiermee wordt een betere onderbouwing verkregen om aan te tonen wat de toegevoegde waarde van beveiliging is. Ten tijde van bezuinigingen en toenemende concurrentie zeker van belang.
24
Security Management nummer 1/2 januari/februari 2013
1904
€ € € € € € € € € € € € €
Kosten 3,66 1,46 5,85 2,93 24,88 1.701,00 2,93 1,46 10,98 9,45 3,82 3,82 10,66
€
1.782,90
van het ziekenhuis en universiteit beslaat in totaal zo’n 170 gebouwen waar veel inbraakdetectiesystemen en andere beveiligingssystemen zijn geplaatst. Veel van deze systemen leveren nodeloze meldingen als gevolg van openstaande deuren, ramen en gebruikersfouten. Omdat de afdeling op deze meldingen veel uitrukt is het zinvol ook hier kengetallen te ontwikkelen. Kostenoverzichten kunnen hier leiden tot inzicht in de meest voorkomende locaties en het (dis)functioneren van systemen. Gebruikers van gebouwen kunnen vervolgens beter overtuigd worden van een zorgvuldiger gebruik van de systemen of de leveranciers kunnen worden aangesproken op de kosten die het disfunctioneren van systemen met zich meebrengen. Passen zij hun werkwijze c.q. de systemen niet aan dan kunnen de kosten doorberekend worden. Een andere toepassing is het ontwikkelen van kengetallen voor het uitvoeren van neventaken. Op het moment dat beveiliging veelvuldig wordt ingezet voor het halen en brengen van goederen, frequent openen en sluiten van deuren op verzoek van medewerkers, dan is het zinvol om aan deze taken kostencomponenten te koppelen. Vaak heeft men binnen de organisatie geen flauw idee dat de inzet van beveiligers ook geld kost en dat zij bij het uitvoeren van neventaken minder tijd beschikbaar zijn voor het uitvoeren van de primaire beveiligingstaken. « * Arjen Appelman is directeur van Aes Security Management
produc ten -/dienstenregister Beveiliging en toegangscontrole
CCTV
Nedap N.V. Security Management Postbus 103 7140 AC Groenlo (T) 0544 471 666 (F) 0544 464 255 (I) www.nedap-securitymanagement.com
CCTV
Security Management Advisering
Deursloten
“goed voorbereid op alle risico’s” Postbus 182, 1230 AD Loosdrecht Frans Visser 06 - 511 187 66 Wil van de Ven 06 - 104 674 57 Mail: info@visservdven.nl Web: www.visservdven.nl
✁ Graag ontvang ik meer informatie over de plaatsingsmogelijkheden in het Producten-/ dienstenregister van Security Management.
Organisatie Naam
M/V
Ingevulde coupon kunt u sturen naar:
Postbus Postcode Plaats
U kunt ook bellen: 088 - 584 09 66 of mailen: richardvandijk@vakmedianet.nl
Tel. Email
25
Vakmedianet t.a.v. Richard van Dijk Postbus 448 2400 AK Alphen aan den Rijn
Security Management nummer 1/2 januari/februari 2013
Security Management nummer 00 maand 2013
25
securit y
De ideale persoonsbeveiliger
Gewapend met gezond verstand Persoonsbeveiliging is ook in Nederland geen onbekend verschijnsel meer, hoewel cijfers hierover om begrijpelijke redenen niet voorhanden zijn. In de beveiligingsbranche is persoonsbeveiliging meestal een onderdeel binnen een breder palet aan veiligheidsdiensten. Wim van GroeneWoud *
H
et is moeilijk een afspraak te maken met het management van RAD. Het bedrijf is gevestigd in New York en het Europese kantoor is gevestigd in Hilversum. Van hieruit vindt de coördinatie van activiteiten plaats, maar het is geen plek waar het management dagelijks achter het bureau te vinden is. Persoonsbeveiligers zijn ‘on the spot’, want de klant verwacht 24/7-bescherming. ‘Onze beveiligers vliegen met onze klanten de hele wereld over. Veel tijd voor een privé leven is er niet, in een privé jet wel. Het is een intensief vak, dat je niet lang volhoudt. Onze klanten zijn veeleisend.’ Aan het woord is Norman Oosterbroek, managing partner van RAD Securities, een bedrijf dat zich heeft toegelegd op persoonsbeveiliging.
Ervaring maakt het verschil RAD is begonnen en succesvol in Amerika. Het bedrijf beveiligt vele wereldsterren, maar ook zakenmensen van grote ondernemingen. Wat trekt Amerikanen aan in Nederlandse beveiligers? Oosterbroek: ‘Waarschijnlijk de Hollandse nuchterheid, wij laten ons
niet zo gauw gek maken. Tweede belangrijke punt is de uitstekende opleiding van Nederlandse beveiligers. De DKDB-opleiding en de gespecialiseerde opleiding van Defensie geven onze beveiligers een achtergrond die ver uitsteekt boven die van de gemiddelde ‘bodyguard’. Onze mensen beschikken over de juiste achtergrond en ervaring, dankzij hun ervaring in arrestatieteams of bij special forces van het leger. Beveiligen leer je niet met een schriftelijke cursus. En ook een goed getraind lichaam op de sportschool is niet voldoende om te excelleren in dit vak. Daar horen trainingen bij waarin je daadwerkelijk oefent met dreigingen. Het is een way of life, een bepaalde manier van kijken naar je omgeving. Attent op het onverwachte. En we zorgen ervoor dat onze beveiligers hun vaardigheden onderhouden. Je moet altijd scherp blijven.’
diefstalrisico en zal vrij eenvoudig afwijkend gedrag herkennen. Zo is het ook met de douane en de beveiliging op luchthavens. Voor persoonsbeveiligers is dat niet anders. Oosterbroek: ‘Vreemde gedragingen leer je herkennen. Onze opvatting houdt ook in dat de omgeving deel uitmaakt van het beveiligingsprotocol. Dat geldt vooral voor de zakelijke markt. Een secretaresse zal nooit informatie geven over de agenda van haar baas. Discretie dus. Maar ook de familie betrekken we bij het beveiligingsprotocol. We geven de
Afwijkend gedrag waarnemen We weten dat dreiging in een vroegtijdig stadium te herkennen is. Tenminste, als je er oog voor hebt. Menig winkelier is intussen alert op het
Kerngegevens » Bedrijf: RAD Security (Reliable, Alert en Discreet). » Vestigingen: New York, Hilversum. » Klantenkring: Wereldwijd zowel corporate klanten, als welgestelde particulieren en artiesten.
26
Security Management nummer 1/2 januari/februari 2013
Norman Oosterbroek: ‘Wil je de persoonsbeveiliging goed doen, dan kan het bijna niet anders dan dat je je specialiseert.’
securit y
naaste gezinsleden opleiding, regels en beperkingen, adviezen over hoe ze moeten leven. Ze gaan bijvoorbeeld niet elke dag dezelfde route, kinderen hebben niet zelf een huissleutel. Routine is het grootste gevaar in de veiligheid van onze klanten.’
Competenties De veeleisende klant stelt hoge eisen aan zijn beveiligers. Allereerst op vaktechnisch gebied. Zeker vanuit de corporate klanten gaat er vaak een zorgvuldige selectie vooraf aan de keuze van het bedrijf dat zij inschakelen voor de persoonsbeveiliging van hun CEO of andere belangrijke functionaris. Oosterbroek: ‘Voor onze Nederlandse relaties is het belangrijk dat wij beschikken over een ND-vergunning van het ministerie van Veiligheid en Justitie. Verder vertellen wij altijd aan onze relaties welke opleiding onze beveiligers hebben. Zonder uitzondering zijn ze door de overheid getraind in terreurbestrijding en hebben ze een brede kennis op het gebied van logistiek, rijvaardigheid,
Er is altijd meer dan één auto, altijd met donker glas. ken, waarin stap voor stap de routing wordt bepaald en de betrokken partijen hun rol kennen. Elk teamlid kan het draaiboek inzien en in nood kan er snel opgeschaald worden. Belangrijke gegevens als adressen en telefoonnummers van ziekenhuizen, hulpdiensten en overheidsinstanties krijgen een plek in dit draaiboek. We doen altijd een
‘Routine is het grootste gevaar in de veiligheid van onze klanten’ planning en beschikken ze over psychologisch inzicht. Ook dat laatste is belangrijk, want beveiliging doet natuurlijk ook het nodige met de klant. Ben je bekend of ben je rijk, of ben je het allebei, dan hebben ze eigenlijk altijd te maken met bedreigingen. Het is onze taak om na te gaan of deze serieus zijn, uit welke hoek ze komen en onze maatregelen te treffen om onze klant optimaal te beveiligen.’
Nauwgezette voorbereiding Veel reizen betekent ook veel regelen. ‘Onze taakopvatting over persoonsbeveiliging is dat we juist in de voorbereiding eventuele risico’s kunnen verkleinen of elimineren’, vertelt Oosterbroek. ‘We plannen de reis, boeken geschikte hotels, regelen lokaal vervoer, maken gebruik van ons netwerk aan chauffeurs met actuele wegenkennis en ervaring in persoonsbeveiliging en nog veel meer. Ook de restaurantkeuze is belangrijk met het oog op veiligheid. We maken complete draaiboe-
voorverkenning en bekijken de situatie vanuit de optiek van een kwaadwillende. Hierop treffen we onze voorzorgsmaatregelen. De voorverkenners laten niets aan het toeval over en weten zelfs bij wijze van spreken de naam van de bestuursvoorzitter van het lokale ziekenhuis. Dit alles gebeurt zonder dat de cliënt het merkt.’
Raad van Commissarissen Er is ook altijd een back up plan. Er is bijvoorbeeld altijd meer dan één auto, altijd met donker glas. ‘Bedenk dat je altijd verzeild kunt raken in iets wat niet voor onze VIP bedoeld is. Een demonstratie, een vechtpartij, een opbreking of iets anders onverwachts. Dit speelt vooral in de begeleiding van onze zakelijke relaties naar risicovolle gebieden. Het is vaak de Raad van Commissarissen of een ander toezichthoudend orgaan van het bedrijf dat erop staat de CEO te laten begeleiden door persoonsbegeleiders. In principe is de doelgroep dezelfde als voor de Kidnap and Ran-
som-verzekering. Denk dan aan bedrijven in de Forbes-500. Hier zie je ook een overeenkomst met de particuliere markt. Het is vaak de ‘partner van’ die aandringt op beveiliging, zoals in de zakelijke omgeving het vaak een collega bestuurslid is of een toezichthouder.’
Waarom persoonsbeveiliging? Waarom zou voor een vergaande specialisatie van persoonsbeveiliging worden gekozen? Zijn andere vormen van beveiliging minder belangrijk? Oosterbroek: ‘Wil je de persoonsbeveiliging goed doen, dan kan het bijna niet anders dan dat je je specialiseert. Wij stellen ons op als de regisseur op veiligheidsgebied en het is goed mogelijk dat we hierbij andere disciplines inschakelen. Daarvoor kiezen we dan alleen gerenommeerde bedrijven die tot de top behoren in hun vakgebied. We zijn ons er altijd van bewust dat er een afbreukrisico is. Als wij een partij inschakelen die zijn werk niet goed doet, dan straalt dat op ons af. Daar zijn we dus bijzonder zorgvuldig in. Je hebt tenslotte maar één gek nodig, denk maar aan de moord op John Lennon, de ontvoering van en moord op Gerrit-Jan Heijn, en de moord op Pim Fortuyn. Bovendien is het essentieel om de technologische ontwikkelingen bij te houden, dus daar hebben wij specialistische bedrijven voor geselecteerd, anders loop je achter. Wij werken voor de top en wij kiezen voor de top en krijgen daardoor het vertrouwen van onze cliënten.’ « * Wim van Groenewoud werkt bij Fidicom
Security Management nummer 1/2 januari/februari 2013
27
risicomanagement
Integriteit Management Model
Managen integer gedrag De economische recessie zorgt voor grote veranderingen en onrust binnen veel organisaties. Bedrijven reageren momenteel vooral op de veranderende economie en markten. Maar ze zouden ook oog moeten hebben voor de veranderingen op het gebied van bewustzijn en integriteit. Het nieuwe Integriteit Management Model kan daarbij behulpzaam zijn. Maarten IJzerMans *
I
ntegriteit is hard nodig, gezien de alarmerende cijfers; 25 procent van de managers staat niet afwijzend tegenover omkoping als het bedrijfsrendement ermee gediend is, 1.26 miljard euro criminele schade bij retail (1.300 euro per werknemer), 2 procent van de medewerkers heeft wel eens bedrijfsgeheimen verkocht … Om nog maar te zwijgen van de vele voorbeelden van integriteitschendingen die in de media worden behandeld. Wanneer medewerkers proberen door de mazen van het net te glippen, wordt security beleid hard geconfronteerd met haar grenzen. De hard controls zijn prachtig, maar ze werken alleen goed als de medewerkers ‘meewerken’. Veel security managers zijn zich hiervan bewust, maar tot heden lukte het niet om veel enthousiasme te mobiliseren voor ‘ontwikkelen van soft controls’ zoals integer gedrag en betrokkenheid (security awareness).
Huidig beleid van correctie en preventie werkt niet goed Bedrijven richten zich van oudsher voornamelijk op correctie/sanctie bij schendingen en op preventieve maatregelen, Uit vele onderzoeken blijkt dat deze niet voldoende geborgd worden. Zwak punt is dat het thema niet leeft bij de medewerkers. Het beleid werkt vooral niet, doordat leidinggevenden niet actief medewerkers durven aan te spreken op gedrag. Daarnaast zijn de maatregelen vooral gericht zijn op externe criminele dreiging. Dit terwijl de meeste schendingen worden gepleegd door eigen medewerkers. De security manager moet derhalve verder kijken dan preventieve maatregelen en op zoek gaan naar sturing op integer gedrag. Dat kan hij echter niet alleen, daarvoor moet hij optrekken met de leiding van de organisatie.
Hard controls genoeg, soft controls blijven achter De afgelopen jaren heeft integriteit wel
Risico’s onderkennen Kijk ’s ochtends een kwartier naar de poortjes voor pascontrole. Drie mensen komen binnen op de pas van een ander. De een omdat hij zijn eigen pas in een ander kostuum heeft laten zitten, de ander omdat haar pas in de auto uit haar tas is gevallen. De derde persoon liet de pas naast de auto vallen bij het uitstappen op het parkeerterrein. Met name in dat laaste geval kan de pas door kwaadwilligen gevonden en gebruikt worden. Probleem is niet zozeer het verliezen van de pas, maar het feit dat het niet gemeld wordt bij de portier. De risico’s worden niet onderkend.
28
Security Management nummer 1/2 januari/februari 2013
meer aandacht gekregen, maar de aanpak blijft voornamelijk gericht op voorkomen van schendingen door het inbrengen van extra controlemaatregelen. Veel organisaties denken dat gedragscodes en reglementen wel afdoende werken. De realiteit is dat veel medewerkers een gedragscode hebben ondertekend, maar dat ze zich er niet door laten leiden, laat staan dat ze zich ermee verbonden voelen. Hierdoor is dit middel niet meer dan een juridische borging geworden, voor het geval de organisatie een sanctie wil inzetten.
Overkill aan hard controls werkt negatief Daarbij wordt onderschat dat deze control-aanpak een negatieve lading geeft aan het onderwerp integriteit. Überhaupt is integriteit in veel organisaties beladen; denk maar aan de klokkenluiders. Als je begint over integriteit, reageren medewerkers vaak met de vraag of je ze soms niet vertrouwt. Dit resulteert weer in een zeer terughoudende houding bij chef en staf om dit onderwerp goed aan te pakken.
Integriteitsbeleid kan juist veel opleveren Een gemiste kans, aangezien een effectieve aanpak van integriteit juist veel kosten kan besparen. De aanpak van integriteit gaat in onze optiek dan niet over het aanpakken en voorkomen van schendingen, maar over het verbeteren van een open cultuur en het versterken
risicomanagement risicomanagemen
van medewerkers van een positieve houding: het bevorderen van teamcohesie en teameffectiviteit.
‘Gewoon goed’ door positieve cultuur, niet door negatieve aanpak Met deze gedachte in het achterhoofd heeft Hoffmann Bedrijfsrecherche in samenwerking met Stichting Good en NextHRM het Integriteit Management Model ontwikkeld. Het Integriteit Management Model (IM Model) gaat uit van een bedrijfsmatige benadering. Centraal staat niet
slotte lopen ze de 400 meter samen veel sneller dan elke loper afzonderlijk – en dat mèt het stokje. Deze benadering levert meetbare resultaten op, ook financieel.
De integrale aanpak met het IM Model: bedrijfsproject Bij het IM Model is integriteitsbeleid vergelijkbaar met alle andere vormen van beleid: inzicht, visie, doelen, strategie, beleid, aanpak en instrumenten; en dan implementeren. Voor veel mensen die bij integriteit betrokken zijn klinkt dit vreemd. Men is gewend aan een ge-
Een effectieve aanpak van integriteit kan veel kosten besparen bestraffen van schendingen, maar bereiken dat iedereen zijn werk gewoon goed doet. Dat gaat niet vanzelf, maar het is nu goed haalbaar. Door gericht integriteitsbeleid gaan medewerkers zich betrokken voelen, ze tonen inzet en werken goed samen. Conflicten lost men constructief op, vertragingen tracht men samen te voorkomen en kwaliteit te verbeteren. Mentaal verzuim en ziekteverzuim nemen af.
Effecten IM Model-aanpak Klassiek integriteitsbeleid (correctie/ preventie) richt de focus op schendingen en dit leidt tot negativiteit, passiviteit en risicomijdend gedrag. Positief integriteitsbeleid bevordert via de genoemde verbeteringen niet alleen het werkklimaat, maar ook de kosten baten balans: het kan grote besparingen opleveren. En het kan winst opleveren als ook in externe relaties ‘steeds beter’ het adagium wordt. Denk aan de estafette: eerst loopt elke loper sneller dan de vier samen met het stokje. Maar door veel analyse en oefening leert men samen ‘steeds beter’ lopen. Ten-
fragmenteerde benadering: een paar keer per jaar is integriteitsbeleid in focus; verder alleen op de achtergrond en alleen bij een paar specialisten. Het is dus wennen aan een systematische aanpak die allen in de organisatie betrekt en aanspreekt. Gedragen door teamleiders, gesteund door stafafdelingen, geïnspireerd door de top.
Kenmerken van het IM Model: conform de bekende integriteitsvragen Integriteit is en blijft een complex begrip. Daarom zijn de basisaspecten van ‘integriteit bevorderen’ gevat in een model. Door het model kan men ingewikkelde zaken toch goed samen gaan bespreken, begrijpen en beïnvloeden.
Met één duidelijk doel: om te bereiken dat bij alle medewerkers ontwikkeling plaatsvindt van persoonlijke houding, professionele verantwoordelijkheid en omgaan met positie-macht; stap-nastap, jaar-na-jaar. Door risico-management, impuls-controle, compliance (je voegen naar iets) en betrokkenheid. Gericht op het ‘produceren’ van bedoelde resultaten voor ‘het geheel’ van de belanghebbenden. Efficiënt en gecontroleerd bereikt door beleid, organiseren, structuur en management van mensen. Aangestuurd door de leiding, met een rationele aanpak en een uitdagende, begrijpelijke visie. Kortom: een beleidsmatige aanpak gericht op persoonlijke betrokkenheid en ontwikkeling.
Leidinggevende die boven de fregels staat? In het bedrijf gaat een memo rond dat niemand geschenken van cliënten aan mag nemen. Het is rond kerst. Enkele dagen later staat de directeur zijn auto vol te laden met vele flessen wijn die hem als relatiegeschenk zijn toegezonden. Hij creëert daarmee tenminste de schijn dat hij boven die regel verheven staat.
Security Management nummer 1/2 januari/februari 2013
» 29
risicomanagement
Complex, maar ook eenvoudig Integriteit blijft een complexe zaak, maar leren werken met het Integriteit Management Model is vrij eenvoudig. Betrokkenen verbazen zich dat ‘werken aan integriteit’ niet meer zo moeilijk is. Geen nieuwe moeilijke dingen leren: maar ‘gewoon goed’ of ‘steeds beter’.
die voortbouwt op de ervaringen met het INK-Managementmodel (vandaar de naam). Wie het INK-model kent, zal prettig verrast zijn hoe simpel het bevorderen van ‘integrale integriteit’ aansluit bij het bevorderen van integrale kwaliteit. Zelfde methode, zelfde ‘knoppen’, en ook vijf ‘paradigma’s’ of
De security manager moet gaan sturen op integer gedrag Geen mentale operatie, maar vragen bespreken in je team. Niet één dag van de integriteit, maar soms dagelijks, soms weken niet, en alleen wanneer het terzake is.
De basis van het IM Model Het Integriteit Management Model is een zorgvuldig uitgewerkte benadering
ambitieniveaus die ‘eenheid van visie’ mogelijk maken. Tot heden lukte het niet om veel enthousiasme te mobiliseren voor ‘ontwikkelen van soft controls’ zoals een integere houding en betrokkenheid (security awareness). Met het IM Model lukt dat juist heel goed. Daarmee wordt het mogelijk de integrale systeemkant
Laissez faire gedrag in teams versus elkaar aanspreken Bij een productiebedrijf wordt een grote fraude ontdekt. In latere workshops met teams op de werkvloer blijken veel mensen signalen te hebben gezien. Deze signalen zijn echter niet doorgegeven, omdat de leidingegevenden daar niet voor openstonden. Effect: mensen vinden dat leidinggevenden dan maar zelf de misstanden moeten zien.
30
Security Management nummer 1/2 januari/februari 2013
van risicomanagement te combineren met een degelijke benadering voor ‘beleid voor professionele verantwoordelijkheid’. Goed te begrijpen, goed uit te leggen, en goed uit te voeren. « * Maarten IJzermans is unit manager Consultancy & Opleidingen bij Hoffmann Bedrijfsrecherche.
gastcolumn
Security lessen uit de natuur teren om gedrag te voorspellen en wist wat de juiste reactie was. En hij eiste naleving van afspraken. Als metafoor naar beveiliging hebben we het dan over het actief bezig zijn kennis en inlichtingen te verzamelen om security op die plaatsen, mensen of processen te richten, waar het op dat moment echt nodig is. Tegelijkertijd moet het duidelijk zijn welk scenario wordt gevolgd om te kunnen opschalen. Kortom, doe minder, maar denk na over scenario’s voor als het er echt op aankomt.
Terwijl ik dit schrijf kom ik net terug van een game drive tijdens een safari in Zuid Afrika. Nog onder de indruk van de communicatie tussen olifanten en de intimiderende beveiliging door een olifantenmoeder voor haar kalf. En met bewondering voor de kundigheid van onze gids die voortdurend bezig was gedragingen van dieren in te schatten om op die manier over onze veiligheid te waken. Nu gaat deze column niet over olifanten, maar er is een treffende gelijkenis met security. Focus op echte risico’s Ook in beveiliging moet het gaan om het inschatten van gedrag en weten hoe te reageren. In mijn praktijk zie ik daar echter schokkend weinig van. Teveel wordt er vertrouwd op techniek of de aanwezigheid van beveiligers. Opmerkingen als ‘er hangen hier toch camera’s’ worden gezien als afdoende antwoord op beveiligingsrisico’s. We hebben het geregeld, we geven er een hoop geld aan uit, dus wat wil je nog meer? Maar de echte risico’s en het inspelen op dreigende signalen komt nauwelijks aan de orde.
Durven kiezen Te vaak kiezen organisaties de gemakkelijkste – maar vaak de duurste – weg om security op alles tegelijk te richten. Denk daar eens aan als u op een luchthaven door de security controle moet. Iedereen snapt ook wel dat 99 procent van de passagiers de controle zinloos ondergaat. Maar de alternatieven zijn lastiger uit te leggen. Daarom iedereen er maar aan onderwerpen, dan ben je ingedekt. Bij veel organisaties is het niet anders. We zijn zo risicomijdend geworden dat het om moed (en goed advies) vraagt om te durven kiezen iets niet te doen.
De security professional moet als gids optreden voor de organisatie
Balans ambitie en risico Ik help organisaties structureel na te denken over wat men nu eigenlijk wil of moet beveiligen (ik noem dat de ambitie). En dat het zinvoller is tijd en geld te besteden aan cultuur, beïnvloeding van gedrag en een slimme aanpak, dan aan steeds meer maatregelen. Dat is ook nog eens goedkoper. Ik zeg niet dat alle beveiligingsmaatregelen overboord moeten. Zeker niet! Maar wat vaak ontbreekt is de verbinding tussen de strategie van een organisatie (security ambitie), de sturing door security professionals, de uitvoering op de werkvloer en een slimme interactie tussen organisatie, techniek en mensen. En het ontbreekt vaak aan gezond verstand om over echte risico’s na te denken. Heel weinig zie ik organisaties – net als mijn gids – bezig met security signalen. Scenario-denken De door mij bewonderde gids kon feilloos signalen interpre-
Security professional als gids Ik zie het als de rol van security professionals innovatieve (organisatorische) maatregelen te vinden, en niet steeds meer maatregelen te stapelen. Gebaseerd op het bedrijfsproces en de ambitie. Natuurlijk vanuit een gedegen opleiding, kennis en ervaring. En een stevig security netwerk. De security professional moet als gids optreden voor de organisatie. Geen risico-fobie als het niet nodig is, maar escaleren door signalen te herkennen. Net als bij olifanten. Want een olifant is vooral bedreigend als hij in ‘must’ is. En trouwens, een olifant past toch niet in een security tourniquet. Erik de Vries CPP is directeur/eigenaar van DutchRisk bv. Hij adviseert organisaties over de organisatorische aanpak van security en crisismanagement en geeft regelmatig workshops over security strategie.
Security Management nummer 1/2 januari/februari 2013
31
social media
Sociale media in fraudeonderzoeken Via sociale media delen gebruikers allerlei informatie met familie, vrienden, collega’s en onbekenden. Vaak delen ze meer dan ze zelf weten. Ideaal voor bedrijven die zo gemakkelijk hun doelgroep beter leren kennen. Ook in fraudeonderzoeken spelen sociale media tegenwoordig een steeds grotere rol. De vraag die centraal staat in dit artikel is: hoe kunnen sociale media gebruikt worden in fraudeonderzoeken? Robin VollebRegt, JeRoen Hobo en beRend beRendsen *
I
edere dag worden we geconfronteerd met het fenomeen ‘sociale media’. De tweets, LinkedIn invitations, Yammer-berichten en Facebookupdates komen voorbij op de PC, smartphone of tablet.
Wat zijn sociale media? De meningen zijn verdeeld over wat sociale media nu eigenlijk zijn. In dit artikel bedoelen we met sociale media web-based services die het voor de gebruikers mogelijk maken om online communities te vormen en zelfgecreeerde content te delen. Oftewel het zijn open en gesloten platformen op het internet waarbij de gebruikers informatie, in de meest brede zin, met elkaar delen. Waarbij de lezer ook de mogelijkheid heeft om zelf te reageren of informatie toe te voegen. Sociale netwerken en social communities maken ook deel uit van sociale media. Bij sociale netwerken dient de gebruiker meestal een profiel aan te maken. Social communities zijn sites waarop mensen dezelfde interesse, aandachtsgebied of hobby delen. Informatie delen via sociale media Informatie delen via sociale media kan heel onschuldig zijn. De gebruiker doet er wel goed aan zich te realiseren voor wie de informatie toegankelijk is en wat er met de informatie gedaan kan worden. Een onschuldig berichtje op
32
Hyves of Twitter, dat opgevangen wordt door een persoon met verkeerde intenties, kan vervelend aflopen. Zo kunnen inbrekers dankbaar gebruik maken van het bericht ‘ik ga straks op vakantie!!!’. Daarnaast blijft alle informatie die gedeeld wordt op internet voor altijd op het internet zwerven. Dit klinkt nogal verstrekkend maar ligt wel dicht bij de werkelijkheid. Menig sociaal netwerk stelt dat de informatie altijd eigendom van de gebruiker blijft en op verzoek wordt verwijderd. De gebruiker kan informatie die hij heeft geplaatst op zijn profiel (laten) verwijderen maar informatie die eenmaal openbaar is geweest of op het internet is verschenen, is zeer moeilijk te verwijderen. De gebruiker heeft namelijk geen controle over wat er met de geplaatste informatie gebeurt in de periode dat het online heeft gestaan. Berichten, documenten en beeldmateriaal kunnen gekopieerd en opnieuw gedeeld zijn op het world wide web. Vanaf daar begint die informatie een eigen leven te leiden en is het uitermate moeilijk om die te verwijderen.
Hoe verloopt fraudeonderzoek? De aanleiding voor een fraudeonderzoek is een vermoeden of signaal van fraude. Fraude is volgens de definitie in de Van Dale ‘bedrog bestaande uit vervalsing van administratie of ontduiking
Security Management nummer 1/2 januari/februari 2013
van voorschriften’. Het begrip fraude is niet gedefinieerd in het strafrecht. Een van de weinige wettelijke definities van fraude is opgenomen in de Wet toezicht accountsorganisaties. Bij een vermoeden of signaal van fraude kan onder andere gedacht worden aan een tip van een klokkenluider, afwijkend declaratiegedrag van een medewerker, onverklaarbare missende geldstromen of ongewoon hoge of onverwachte winsten of verliezen. Als er een vermoeden van fraude is, dan moet binnen de organisatie worden besloten welke stappen ondernomen gaan worden. Eerst moet worden bepaald of de organisatie het onderzoek
social media
naar de fraude zelf wil uitvoeren, het onderzoek door een derde uitgevoerd moet worden en/of er aangifte wordt gedaan. De eerste stap van het fraudeonderzoek is het bepalen wat de onderzoeksvraag c.q. de reikwijdte van het onderzoek gaat worden. Vervolgens dient de onderzoeker het toetsingskader te bepalen. Het toetsingskader fungeert als norm waar de feitelijke bevindingen tegen afgezet worden. Oftewel: is het onderzochte geoorloofd gezien de wet- en (interne) regelgeving? Het toetsingskader bepaalt tevens de omvang van het onderzoek voor de onderzoeker en dient voor de lezer als een referentiekader van het onderzoek. Daarna begint het verzamelen van de relevante informatie voor het onderzoek. De informatie kan worden aangeleverd door de opdrachtgever van het onderzoek, getuigen of de betrokkene zelf. Daarnaast zijn er diverse onderzoeksmiddelen om informatie te vergaren voor het onderzoek, zoals interviews, observaties, documentreview en openbronnenonderzoek. Na de inventarisatie van de normen en het uitvoeren van het onderzoek dient de onderzoeker de verkregen gegevens te analyseren. De analyse dient om te bepalen of de onderzoeksvraag vanuit de verkregen bevindingen beantwoord kan worden. De onderzoeker zal in de rapportage moeten vastleggen hoe tot de rapportage is gekomen en welke overwegingen zijn gemaakt. Ook in de rapportage moet goed zijn vastgelegd wat de bronnen zijn van de informatie. De afronding van het onderzoek bestaat uit de rapportering van de onderzoeksbevindingen. Vervolgens dient het onderzoeksrapport ter wederhoor te worden voorgelegd aan de betrokkene. Het doel hiervan is dat de betrokkene een reactie kan geven op het rapport. Na wederhoor kan de onderzoeker het rapport afronden en naar de opdrachtgever zenden.
Openbronnenonderzoek Onder open bronnen wordt verstaan: bronnen die voor iedereen vrij toegankelijk zijn, al dan niet tegen betaling. Voorbeelden hiervan zijn het register van de Kamer van Koophandel, het Ka-
daster, Experian enzovoort. Om het verschil aan te duiden: gesloten bronnen zijn alleen toegankelijk op grond van een in de wet geregelde bevoegdheid. Het gaat hierbij onder andere om justitiële, politiële en fiscale bronnen. De informatie die kan worden opgevraagd bij de bronnen, hoeft niet altijd correct te zijn. Afhankelijk van de bron kan de betrouwbaarheid worden ingeschat. De informatie van de Kamer van Koophandel en het Kadaster zijn betrouwbaarder dan bijvoorbeeld de zoekresultaten van Google.
Sociale media in fraudeonderzoek Dat sociale media ongekend populair zijn, weten we allemaal, net zoals de grote hoeveelheden persoonlijke informatie die worden gedeeld op deze netwerken. Maar hoe is deze informatie te gebruiken in een fraudeonderzoek? Het is van belang op te merken dat het onderzoek van sociale media gezien kan worden als een specifiek onderdeel van het openbronnenonderzoek. Wat hiervoor is beschreven over openbronnenonderzoek is tevens van toepassing op het onderzoek van sociale media. Daarnaast moet er bij het betrekken van sociale media in een onderzoek een aantal belangrijke uitgangspunten in acht worden genomen. Bruikbare informatie van sociale media Het is op sociale netwerken normaal om een profiel aan te maken waarop de gebruiker laat zien wie hij is en soms zelfs waar hij is of was. Dit wordt gedaan door informatie op het profiel te plaatsen die beschikbaar is voor andere gebruikers. De basisinformatie die wordt geplaatst bestaat, buiten de naam, veelal uit demografische informatie (leeftijd, geslacht en locatie) en dit wordt veelal aangevuld met de verschillende interesses die een persoon heeft. Zoals hiervoor aangegeven zijn de persoonlijke gegevens veelal voor iedereen die een account heeft op dat netwerk zichtbaar en vaak ook voor mensen die geen account hebben.
blemen waar de onderzoeker al snel tegen aanloopt. De informatie is niet altijd betrouwbaar en kan dus niet dienen als hard bewijs. Iedereen kan een profiel aanmaken zonder dat een identiteitscontrole plaatsvindt. Dit maakt het moeilijk aantoonbaar waar de informatie op het sociale netwerk daadwerkelijk vandaan komt. Het is belangrijk om de verkregen informatie altijd te verifiëren. Het liefst bij de vermoedelijke bron zelf. Indien de informatie betrekking heeft op de betrokkene in een onderzoek, dan kan het verifiëren plaatsvinden in een interview of bij het ter wederhoor voorleggen van het rapport.
Conclusie Via sociale media is veel informatie beschikbaar. Informatie die op het eerste gezicht triviaal is, kan voor een fraudeonderzoek doorslaggevend blijken te zijn. De mate waarin gebruikgemaakt kan worden van sociale media is afhankelijk van het soort fraude dat onderzocht wordt en hoe vrijgevig de te onderzoeken persoon is met het delen van zijn (privé)gegevens. Veelal kan een blik werpen op iemand zijn sociale netwerken geen kwaad en doorgaans neemt dit ook weinig tijd in beslag, terwijl er wel veel nuttige informatie mee verkregen kan worden. De onderzoeker zelf dient zich echter ook te realiseren hoe traceerbaar zijn handelingen zijn en hoe hij hiermee wenst om te gaan (zowel zakelijk als privé). Al met al biedt het onderzoeken van sociale media veel aanknopingspunten voor een fraudeonderzoek. De onderzoeker heeft er een bruikbare bron bij! ‹‹ * De auteurs zijn werkzaam als (senior) consultant bij Deloitte Forensic & Dispute Services in Amstelveen. Dit artikel is een bewerking van het hoofdstuk ‘Gebruik van sociale media in fraudeonderzoeken’ dat is gepubliceerd in: Jaarboek Beveiliging Totaal 2013 (Vakmedianet, ISBN 978 94 6215 007 2).
sociale media als bewijs Toch zijn er bij het vergaren van informatie op sociale media een aantal pro-
Security Management nummer 1/2 januari/februari 2013
33
cc t v
Trends CCTV 2013
Camerabewaking en de cloud Wat zijn de trends en de kansen in de camerabewakingsindustrie die in 2013 een belangrijke rol zullen spelen? Experts verwachten dat met name cloud computing een game changer zal zijn. En wat zijn hierbij de succesbepalende factoren? Rishi Lodhia, Edwin RooboL *
V
ideo as a Service (VaaS) – of wel video in de cloud – maakt de laatste jaren een stormachtige groei door. De verwachting is dat dit de komende jaren versneld zal doorzetten. IMS, wereldwijd onderzoeksbureau voor de elektronica industrie, stelt dat deze markt nog volop in ontwikkeling is en groeipotentie heeft voor VaaS-leveranciers. Hierbij kan onder andere worden gedacht aan aanbieden van cloud based video content analyse. Of aan de distributie van videobeelden voor toezichtdoeleinden via de cloud, waardoor deze waar ook ter wereld kunnen worden uitgekeken. In dit artikel worden de trends om in 2013 rekening mee te houden op een rijtje gezet.
edge storage, vooral interessant bij gebruikers die slechts een beperkt aantal camera´s gebruiken. Deze markt kenmerkt zich momenteel door analoge camera’s met recorder.
Cloud diensten moeten een hoge mate van betrouwbaarheid hebben Er zijn twee belangrijkste redenen edge storage aan te bieden voor dit marktsegment. Allereerst het feit dat edge storage de functionaliteit van de recorder naar de camera brengt, waardoor
Omarmen cloud Een van de duidelijkste trends in de markt die een grote impact op video surveillance heeft, is het voluit omarmen van cloud computing en de daaraan gerelateerde diensten. Een trend die zich in andere ICT-segmenten natuurlijk al eerder openbaarde en nu ook duidelijk zijn weg gevonden heeft naar de videobewakingsmarkt.
Opslag Een belangrijke tweede trend die experts zien is de verandering en uitbreiding van de mogelijkheden voor videoopslag. Een van de mogelijkheden is
34
een recorder in zijn geheel niet meer nodig is. Ten tweede is edge storage een aanvulling op de cloud. Het is een ideale back-up voor de cloud wanneer er zich
Security Management nummer 1/2 januari/februari 2013
bijvoorbeeld verbindingsproblemen voordoen. Bovendien is het geschikt voor locaties waar de bandbreedte onvoldoende is, of als alternatief of vervanging van een recorder.
cc t v
Mobiliteit Een derde trend is mobiliteit. In de consumentenmarkt is ‘anywhere, anytime’ het adagium. Mensen communiceren voortdurend en zijn altijd online. Er bestaat de behoefte, of sterker nog de verwachting dat diensten altijd en overal bereikbaar zijn. Zo ook video surveillance in de zakelijke markt. Vanuit ontwikkelingsperspectief proberen ontwikkelaars dit met partners technisch mogelijk te maken met de juiste mate van betrouwbaarheid en veiligheid voor het beveiligingsproces van de gebruiker. Vanuit het perspectief van de gebruiker biedt het voordelen voor beveiligingsmedewerkers die, wanneer nodig, eenvoudig toegang kunnen krijgen tot real-time beveiligingsbeelden.
Succesbepalende factoren Vanzelfsprekend zijn er nogal wat aspecten van invloed op het succes van cloud computing in de camerabewakingsindustrie. Hierbij zijn drie zaken te onderscheiden die het verdere succes bepalen.
Betrouwbaarheid In de eerste plaats moeten cloud diensten een hoge mate van betrouwbaarheid hebben. Dit is niet alleen belangrijk voor het succes van cloud diensten zelf, maar ook een vereiste om te worden beschouwd als een gelijkwaardig
ningen van fabrikanten van het product en partners die ‘anywhere, anytime’ services bieden, zorgen dat de gebruikservaring en -verwachtingen samenkomen. Het zou niet uit moeten maken waar de gebruiker zich bevindt en welk device hij voor handen heeft. Daarnaast moet je eenvoudig met één login toegang kunnen krijgen tot live en opgenomen beelden van relevante beveiligingscamera’s.
Gebruiksgemak Het derde aspect dat van invloed is op het succes van de cloud is het gebruiksgemak van bewakingsoplossingen in de cloud. Het gebruiksgemak voor het kanaal en eindgebruikers moet zo groot mogelijk zijn. Dit kan bijvoorbeeld door
Belangrijke trend is uitbreiding van de mogelijkheden voor video-opslag alternatief voor de traditionele surveillance oplossingen voor de gebruiker. Hierbij is samenwerking met de juiste partners van groot belang. Gezamenlijke inspanningen zijn belangrijk voor de gebruikservaring, van zowel de fabrikant van het product als de dienstverlener. Je moet streven naar het hoogste kwaliteitsniveau.
Beschikbaarheid Beschikbaarheid is een tweede belangrijk aspect. De gecombineerde inspan-
beschikbare plug & play mogelijkheden die voor handen zijn in de markt. Een intuïtieve en gebruiksvriendelijke interface kan ervoor zorgen dat gebruikers het snel oppakken.
speelt een aantal factoren een rol. Zo is er de strijd tussen fabrikanten van IP camera’s met betrekking tot megapixels, hoewel het aantal megapixels als zodanig niets zegt over de kwaliteit of bruikbaarheid. Echte kwaliteit (of bruikbaarheid) is afhankelijk van de combinatie van verschillende factoren (licht, frames per seconde, afstand, enz.) en de specifieke situatie die van toepassing is voor de gebruiker. Verder wordt HDTV meer en meer gemeengoed in de videobewakingsindustrie. Het geeft een uitstekende beeldkwaliteit in vergelijking met analoge CCTV-systemen. Een camera die voldoet aan de SMPTE standaarden geeft HDTV-kwaliteit en biedt alle voordelen van HDTV wat betreft resolutie, kleurweergave en frames per seconde.
Lightfinder technologie Tenslotte is de Lightfinder technologie een belangrijke ontwikkeling. In vergelijking met elke analoge camera, geeft deze technologie een betere beeldkwaliteit in situaties met weinig licht, zelfs met beelden in kleur. Dit resulteert in grote voordelen ten aanzien van de bruikbaarheid van beelden. «
Focus op beeldkwaliteit Eén van de voorspellingen die IMS voor 2012 heeft gedaan, was de hernieuwde focus op de beeldkwaliteit van IP-camera’s. Ook wel ‘image usability’ genoemd. Voor 2013 zal deze trend doorzetten. Wat beeldkwaliteit betreft,
* Rishi Lodhia is CEO van Cameramanager.com. Edwin Roobol is regional director bij Axis Communications Middle Europe.
Security Management nummer 1/2 januari/februari 2013
35
informatiebeveiliging
Hoe bescherm je in 201 tegen hackers? Cybercrime is een groeiend probleem en kost het Nederlandse bedrijfsleven en de overheid tientallen miljoenen euro’s per jaar. Voor 2013 verwachten experts in cybercrime een stijging van duidelijk gerichte aanvallen in de richting van de overheid en vooraf zorgvuldig uitgekozen bedrijven. Hoe kan de huidige security manager zorgen voor een optimale en zo veilig mogelijke ICT-omgeving? Wilfred van roij * IT-audit Een IT-audit door middel van een Penetration Test, ook wel bekend als een Pen Test, is een poging om toegang te krijgen tot uw beveiligde computersystemen of netwerken, vaak uitgevoerd
gen waarin de risico’s worden belicht. En ook al is er een beleid dat het meenemen van een eigen tablet of laptop uitdrukkelijk verbiedt, wees je er als organisatie van bewust dat de huidige smartphone geen telefoon meer is,
Smartphone is geen telefoon, maar een computer waar je toevallig ook mee belt door een speciaal hiervoor ingehuurd bedrijf. Het doel van de test is om kwetsbaarheden in kaart te brengen en met de gevonden zwakten toegang te krijgen tot het netwerk of computersysteem. Een IT-audit zal dan ook standaard opgenomen moeten zijn in het (digitaal) beveiligingsbeleid van 2013.
Regels omtrent BYOD ‘Bring your own device’ (BYOD) heeft het afgelopen jaar een grote vlucht genomen. Mensen hebben meer gadgets dan ooit te voren en gebruiken hun eigen smartphone, tablet en zelfs laptop binnen het bedrijfsnetwerk. Dit kan leiden tot grote problemen en vormt een nieuwe uitdaging voor IT-beheerders en security managers. Gezien deze problematiek achtte de Europese Unie het in november 2012 nodig om een speciaal rapport uit te bren-
36
maar een computer waar je toevallig ook mee kunt bellen.
De menselijke factor Al heeft een bedrijf de beste beveiligingstechnologie die er bestaat, zijn alle werknemers zo geïnstrueerd dat ze voor ze naar huis gaan alle gevoelige bedrijfsinformatie veilig opbergen, en is er ook nog 24 uur per dag fysieke bewaking in en rondom het bedrijfsgebouw, toch blijft een bedrijf nog altijd zeer kwetsbaar. Waarom? Omdat de menselijke factor in de totale beveiliging – en dus ook in de informatiebeveiliging – altijd de zwakste schakel zal blijven. Veel ICT-professionals en beveiligingsexperts vinden dat ze aanvallen op het bedrijfsnetwerk en dus ook de diefstal van bedrijfsinformatie vrijwel onmogelijk hebben gemaakt, omdat ze stan-
Security Management nummer 1/2 januari/februari 2013
daard beveiligingsmiddelen zoals firewalls, virusscanners en detectiesystemen optimaal gebruiken. Maar wie denkt dat deze middelen voldoende zijn voor échte veiligheid, neemt genoegen met schijnveiligheid.
De nieuwe hacker is vaak een social engineer Social engineering is een techniek waarbij een computerkraker een aanval op computersystemen tracht te ondernemen door de zwakste schakel in de computerbeveiliging, namelijk de mens, te kraken. De aanval is erop gericht om vertrouwelijke of geheime informatie los te krijgen, waarmee de hacker dichterbij het aan te vallen object kan komen.
Misleiding Om deze vertrouwelijke of geheime informatie in bezit krijgen, gebruikt de social engineer misleiding. Een social engineer beschikt meestal over zeer goede sociale vaardigheden en is zo vriendelijk en behulpzaam dat de meeste werknemers blij zijn dat ze hem of haar zijn tegengekomen. Social engineers zijn charmant, beleefd en aimabel en weten meestal snel het vertrouwen van hun slachtoffer te winnen. Zodra een social engineer het voor elkaar krijgt zijn slachtoffer te misleiden, te beïnvloeden of te manipuleren zodat deze gevoelige informatie prijsgeeft, is
informatiebeveiliging
13 een bedrijf
doordrongen zijn dat er gewetenloze criminelen bestaan die misleiden en psychologisch manipuleren. De crimineel die vroeger zijn activiteiten op de hoek van de straat of in een donkere plek achter in een café ontplooide, heeft die plek tegenwoordig vaak verruild voor een plaats thuis achter de computer.
Hoe dan wel? Zonder getrainde en alerte werknemers die goed ontwikkelde procedures en protocollen naleven is het dan ook geen kwestie van óf, maar van wannéér een hacker en/of social engineer waardevolle bedrijfsinformatie van een bedrijf in handen zal krijgen. Het is geen overdreven luxe om ten minste veertig procent van het veiligheidsbudget in te zetten voor het bevorderen van waakzaamheid van werknemers. Wachten op een aanval van een social engineer of hacker om pas daarna aan de slag te gaan met procedures en trainingen is geen optie.
Conclusie In 2013 zal de prioriteit binnen de totale bedrijfsbeveiliging dan ook moeten liggen bij de security awareness van het gehele personeel en dus ook zeker bij de digitale bewustwording van de individuele werknemer.
er geen technologie op deze wereld die een bedrijf – en dus de cruciale bedrijfsinformatie – kan beschermen.
Beleid en Gedragsregels Elk bedrijf moet een beleid hebben dat beschrijft wat gebruikers van het bedrijfsnetwerk wel en niet mogen doen. Wacht niet af wat werknemers gaan doen om dan pas beperkingen op te leggen. Wees proactief en breng deze regels bij iedereen onder de aandacht. Besteed specifieke aandacht aan regels die gelden op het digitaal security gebied.
Gedragsregels De enige echte effectieve manier om de bedreiging van social engineers te ver-
minderen en het ‘risico’gedrag van eigen werknemers te verminderen, is een reeks technologische middelen gecombineerd met beveiligingsprocedures die gedragsregels en protocollen vastleggen,
Samenvattend: zorg als security manager in 2013 voor: » een jaarlijkse terugkerende (externe) IT-audit; » een duidelijk beleid bij gebruik van BYOD; » een up to date internet en e-mail protocol; » en bevorder de digitale waakzaamheid en bewustwording. «
Wees proactief en breng de regels bij iedereen onder de aandacht plus een goede digitale awareness training en voorlichting voor alle werknemers. Alleen getrainde, waakzame en zorgvuldige werknemers kunnen bedrijfsinformatie écht beveiligen. Iedereen binnen een bedrijf moet ervan
* Wilfred van Roij is directeur digitale opsporing, projectleider internet rechercheren en fraude-onderzoek bij Com-Connect.
Security Management nummer 1/2 januari/februari 2013
37
techniek
De meldkamer: instrum organisatie te optimalise In de praktijk blijkt dat meldkamers worden gebouwd, omdat iedereen in de organisatie er wel van overtuigd is dat die meldkamer onmisbaar en noodzakelijk is. Vervolgens wordt een meldkamerapplicatie gekocht die de centralisten wel aanspreekt, de techniek wordt er bij bedacht en de meldkamer is een feit. Bart van Hasselt is van mening dat deze vaak gehanteerde aanpak onjuist is. Bart van Hasselt *
D
e bouw van een meldkamer begint met een grondige analyse van de bedrijfsprocessen van een organisatie, is mijn stellige overtuiging. Belangrijk is daarbij dat er een duidelijke visie bestaat over de manier waarop de organisatie in het ideale geval zou moeten functioneren. En uiteraard een visie over welke rol de meldkamer moet spelen in de aansturing van de primaire bedrijfsprocessen. Nadat de processen optimaal zijn ingericht, is het pas tijd om na te denken over de rol van de meldkamer, welke functionaliteit de applicaties moeten hebben en welke techniek toegepast
moet worden om de rol van de meldkamer optimaal in te kunnen zetten.
Goed beveiligd Mijn stelling is dat wanneer je de bedrijfsprocessen en de risico’s die je
De nieuwe meldkamer maakt gebruik van universele meldtafels loopt waardoor processen niet meer goed zouden kunnen functioneren goed kent, je dan per definitie goed be-
Voorbeeld meldkamer Een grote mensenorganisatie stelde de vraag of, waarom en hoe zij een verouderde meldkamer moesten faceliften. Al snel bleek dat er een paar zaken belangrijk waren bij de overweging of de meldkamer herbouwd moest worden of dat de meldkamertaak op een andere manier kon worden opgevangen: 1. Het was niet duidelijk wat het meldkamerpersoneel nu eigenlijk precies aan meldkamertaken verrichtte. Na een analyse van de werkzaamheden bleek dat 90 procen van het werk bestond uit het oplossen van problemen rond de parkeergarage. Medewerkers die illegaal een plaatsje probeerden te verschaffen voor zichzelf. Bezoekers die niet waren aangemeld. Advies: scherp de regels aan en handhaaf ze vervolgens. Geen meldkamertaak.
38
veiligd bent. Je hebt dan namelijk afgewogen welke risico’s je wilt aanvaarden en welke risico’s je wilt verkleinen door maatregelen te nemen. Opdrachtgevers realiseren zich vaak dat een nieuwe meldkamer noodzakelijk is,
Security Management nummer 1/2 januari/februari 2013
maar waarom de meldkamer nodig is en wat de meldkamer dan precies gaat doen, is niet helemaal duidelijk (zie ka-
2. De systemen die op de meldkamer waren aangesloten bleken verouderd te zijn. De grootste investering die gedaan moest worden had eigenlijk niets met de meldkamer te maken, maar met de sensoren die het monitoren mogelijk maken. Advies: vervang de systemen en sluit ze aan bij een externe particuliere alarmcentrale. 3. Een belangrijke overweging om de meldkamer te handhaven was de behoefte om 24/7 een bezetting in het kantoor te hebben. Advies: Dit is ook te regelen zonder meldkamer. Wanneer de meldkamerfunctie wordt uitbesteed kan met een enkele bezetting ’s nachts worden volstaan. Algemene conclusie op basis van de analyse van de bedrijfsprocessen was dat de meldkamer een grote kostenpost blijkt te zijn en eigenlijk overbodig is.
techniek
m ent om de ren der, voorbeeld 1). Vaak bestaat er wel een idee over hoe de meldkamer ingericht moet worden en welke software gebruikt moet worden en welke technische systemen aangesloten moeten zijn. In feite wordt het proces van onder naar boven afgelopen. Men kijkt wat er is en op basis daarvan wordt de meldkamer gebouwd. De beste aanpak om te komen tot een optimaal functionerende meldkamer is het proces om te draaien. Te beginnen op het hoogste procesniveau en vast te stellen wat de organisatie nu eigenlijk precies doet. Welke processen absoluut noodzakelijk zijn voor de organisatie om te kunnen functioneren. Vaak heeft men ook al een idee welke problemen er op kunnen treden in de processen waardoor de boel fout gaat lopen. En daar moet je op focussen als je de organisatie goed wilt monitoren.
Verschillende bedrijfsonderdelen, verschillende informatiebehoeften In grote, complexe organisaties blijkt dat er veel verschillende bedrijfsonderdelen zijn die met verschillende behoef-
gebeurt. Ten eerste kan het tot gevolg hebben dat de verschillende partijen - in grote complexe organisaties hebben die partijen ook allemaal een eigen meldkamer - elkaar tegenwerken. Tegengestelde doelstellingen leiden ook tot elkaar tegenwerkende acties. Daarnaast zijn deze verschillende bedrijfsonderdelen en partijen vaak bezig om eigen systemen in te richten die hen van informatie voorzien. Zo kan
Meldkamers krijgen de rol van centrale aansturing van de organisatie ten en doelstellingen naar dezelfde processen kijken. Met andere woorden, ze kijken naar dezelfde informatie maar doen er iets anders mee. De ene meldkamer kijkt naar safety-processen, de tweede naar security-processen en de derde kan naar specifieke logistieke processen binnen de organisatie kijken. Het is belangrijk te realiseren dat dit
het zijn dat er camera’s zijn geïnstalleerd door de ene partij die niet werken op hetzelfde technische platform als dat van een andere partij. Binnen één organisatie komen dan twee verschillende camerasystemen voor die niet onderling gedeeld kunnen worden.
Het is daarom belangrijk vast te stellen: 1. Wat de informatiebehoefte van de verschillende partijen is? 2. Wat de verschillende partijen met die informatie doen? 3. Welke techniek wordt toegepast door de verschillende partijen om de status van de processen te meten?
De rol van de meldkamer Er bestaan verschillende soorten meldkamers die elk op een andere manier werken. In grote lijnen zou je kunnen zeggen dat meldkamers de volgende acties ondernemen: 1. Meldkamers reageren op alarmmeldingen. Dit zijn geconstateerde afwijkingen van een van tevoren vastgestelde norm. 2. Meldkamers begeleiden vaak acties die in het veld worden ondernomen naar aanleiding van alarmen. Het zogenaamde dispatching. 3. Meldkamers krijgen steeds vaker de rol van centrale aansturing van de organisatie. In deze hoedanigheid
Security Management nummer 1/2 januari/februari 2013
39
techniek
vervult de meldkamer een pro-actieve rol, waarbij ingegrepen wordt in processen nog voordat er een alarm op kan treden. Dit is de regiefunctie.
De ideale oplossing De ideale oplossing om de organisatie optimaal aan te kunnen sturen is het creëren van een centrale meldkamerorganisatie, waarin de meldkamers van alle verschillende bedrijfsonderdelen worden ondergebracht. Het gecoördineerd aansturen van de operatie zal een enorme efficiëntieslag opleveren. Zaken die geregeld moeten worden zijn de huisvesting voor de nieuwe meldkamer, de techniek die gebruikt gaat worden en zo mogelijk nog belangrijker, welk samenwerkingsmodel wordt gehanteerd zodat alle partijen op een goede manier met elkaar kunnen samenwerken. In de praktijk blijkt dat er vaak ongelofelijk veel systemen gebruikt worden om informatie uit de bedrijfsprocessen te extraheren. Vaak is een behoorlijke besparing te realiseren door met een stofkam door deze systemen heen te lopen en te beoordelen of die informatie niet op een andere manier geregistreerd kan worden. Ook de doublures worden er op die manier vrij snel uitgehaald. De nieuwe meldkamer maakt gebruik van universele meldtafels. Het maakt niet uit wat voor systemen worden aangesloten. Door gebruik te maken
Voorbeeld inventarisatie informatiebehoefte Een organisatie in de transportsector stelde de vraag op welke manier de security meldkamer vorm gegeven moest worden. De oude meldkamer was verouderd en voldeed niet meer aan de eisen van de huidige tijd. Al snel bleek dat de vraag om een nieuwe meldkamer een grotere vraag was dan gedacht, omdat er zoveel partijen bij betrokken waren die er allemaal iets van vonden. De werkgroep die zich met het vraagstuk bezig hield, realiseerde zich dat het belangrijk was alle 20 partijen bij de gedachtenvorming te betrekken. Dit bleek echter al snel te ontaarden in een Poolse landdag waar geen touw aan vast te knopen was. Om te achterhalen welke behoefte elke partij had, werd een matrix gemaakt in Excel waarin op de horizontale as de verschillende hoofdprocessen van de organisatie waren gezet. Op de verticale as waren alle fysieke plaatsen van de organisatie op een rij gezet waar die processen plaatsvonden. Met name de grenzen van de verschillende compartimenten waren belangrijk. Vervolgens is aan alle 20 partijen gevraagd welke informatie ze voor welk proces op welke locatie nodig hadden om hun werk goed te kunnen doen. Deze aanpak heeft geleid tot een lange lijst van wensen en eisen. Door die lijst op volgorde van prioriteit te zetten, kwam de werkgroep uiteindelijk tot een lijst van projecten die uitgevoerd moesten worde, zodat elke partij optimaal gebruik kon maken van de uitgerolde techniek. Elke meldkamer maakt nu gebruik van dezelfde sensoren. De volgende stap is dat al die verschillende meldkamers ook in één fysieke ruimte worden ondergebracht, zodat de synergie tussen de verschillende partijen optimaal is. Met name belangrijk, omdat de verschillende partijen naar dezelfde processen kijken, maar ieder met eigen (tegenstrijdige) doelstellingen.
2. Inventariseer welke bedrijfsonderdelen welke informatiebehoefte hebben.
Samenvoegen meldkamers is efficient en kostenbesparend van een tussenschil zijn alle systemen universeel aan te sluiten.
Aanpak Aan de hand van een stappenplan kan de aanpak van een project voor de realisatie van een nieuwe meldkamer worden bepaald. 1. Inventariseer de processen. Het inventariseren van de belangrijkste primaire processen die bepalen of een organisatie goed functioneert en haar doelstellingen weet te behalen, is een bedrijfskundige exercitie.
40
organisatie. In de praktijk zal blijken dat er in de voorbereidingstijd eerst heel wat weerstand opgeruimd moet worden bij de verschillende spelers in het project. Naarmate het project vordert, zullen er steeds meer deelprojecten gaan ontstaan die allemaal vanuit het programmamanagement aangestuurd moeten worden.
Eindresultaat
3. Inventariseer welke systemen worden gebruikt om de meldkamers van informatie te voorzien. 4. Ontwikkel een universele meldtafel waar alle spelers gebruik van kunnen maken. 5. Ontwikkel een samenwerkingsmodel waarin vastgelegd is op welke manier de verschillende partijen met elkaar samenwerken en elkaar van informatie voorzien.
Nadat de bouw van een nieuwe meldkamer is gerealiseerd die het mogelijk maakt de primaire bedrijfsprocessen van de organisatie proactief aan te sturen, zal blijken dat met de organisatie een enorme efficiencyslag is gemaakt. Niet de samenvoeging van meldkamers op zich is kostenbesparend, maar juist de integrale aansturing is waar de winst zit. «
De doorlooptijd van zo’n project is afhankelijk van de complexiteit van de
* Bart van Hasselt is senior consultant bij Total Sigma (www.totalsigma.nl)
Security Management nummer 1/2 januari/februari 2013
vakbeur s
De complete zorgsector onder één dak Van gastvrijheid en voeding tot schoonmaak en veiligheid: de vakbeurs Zorgtotaal biedt een compleet overzicht van de nieuwste ontwikkelingen in de zorgwereld. Zorgtotaal vindt plaats van 13 tot 15 maart in de Jaarbeurs Utrecht. ‘Het is dé beurs op zorggebied.’ Aline de Bruin
Z
orgtotaal is de grootste zorgbeurs van Nederland. De beurs wordt één keer per twee jaar gehouden. ‘Er zijn niet voldoende nieuwe ontwikkelingen op zorggebied om elk jaar een gevarieerd programma aan te bieden’, zegt beursmanager Evert Jan Bos. ‘Eén keer per twee jaar een beurs houden is voldoende: zo blijft het evenement speciaal en is het mogelijk om een groot platform te bieden.’
Overzichtelijk Het aanbod is opgedeeld in vier sectoren: Verpleging/Medisch, Revalidatie, Voeding en Facilitair. Iedere exposant wordt ingedeeld in de relevante sector. Evert Jan Bos: ‘Op die manier is het beursaanbod overzichtelijk voor bezoekers. Voor de sector voeding moeten ze bijvoorbeeld in Hal 9 zijn. Daar staan alle bedrijven op dat gebied bij elkaar.’ Voor informatie over bijvoorbeeld technologie, zorgspecifieke software en domotica kunnen bezoekers terecht op de beurs Zorg & ICT, die gelijktijdig wordt gehouden met Zorgtotaal. Bezoekers hebben toegang tot beide beurzen. ‘Dat is een bewuste keuze’, aldus de beursmanager. ‘Het onderwerp van Zorg & ICT sluit erg aan bij wat wij doen. Voor bezoekers is het fijn dat ze meteen kunnen doorlopen en op die manier ook op de hoogte zijn van de nieuwste technologische ontwikkelingen. Voor het overzicht hebben we een gezamenlijke plattegrond en een beursapp.’
Gastvrijheid en veiligheid Naast de indeling in sectoren zijn er ook een aantal beursthema’s opgesteld: gastvrijheid, veiligheid en ergonomie. De thema’s zijn gekozen naar aanleiding van onderzoek onder zorgprofessionals. ‘Gastvrijheid is een onderwerp dat nu erg speelt. Er is meer aandacht voor de wensen van patiënten en bewoners; ziekenhuizen en zorginstellingen onderscheiden zich in toenemende mate door hun gastvrijheid. Daar kan vaak nog een slag worden gemaakt.’ Naast gastvrijheid is er aandacht voor veiligheid en ergonomie. ‘Het gaat daarbij niet alleen om de veiligheid van de patiënt, maar ook om die van het personeel. Zo komt het onderwerp van agressie tegenover medewerkers aan de orde. Daarnaast worden op de beurs een aantal ergonomische innovaties getoond, van tilliften tot aangepast meubilair.’ Bezoekers kunnen een veiligheidstour maken om de nieuwste ontwikkelingen op het gebied te zien. Daarnaast kunnen ze een route volgen langs de genomineerde bedrijven voor de Innovatie Awards. Die Awards worden uitgereikt in de themacategorieën.
Kennis delen Zorgtotaal biedt ook een inhoudelijk programma met lezingen, demonstraties en simulaties. In het Skills Lab is het mogelijk om met de hulp van simulaties vaardigheden te testen. Verder vinden in het Verenigingstheater lezingen plaats over verschillende onderwerpen.
‘De zorg is voor bedrijven interessant om in te investeren vanwege de steeds groeiende markt,’ zegt beursmanager Evert Jan Bos. Hij belooft dat de bezoekers van Zorgtotaal in één dag op de hoogte zijn van alle nieuwe ontwikkelingen in de zorg. ‘Het belangrijkste doel van de beurs is dat iedereen van elkaar leert en kennis uitwisselt. Op die manier krijgen bezoekers een compleet beeld van wat er speelt in de zorgwereld. Zorgtotaal heeft zich ontwikkeld tot dé beurs op zorggebied.’ «
Zorgtotaal vindt plaats op woensdag 13 maart van 10.00 uur tot 17.00 uur, donderdag 14 maart van 10.00 uur tot 17.00 uur en vrijdag 15 maart van 10.00 uur tot 16.00 uur in de Jaarbeurs Utrecht. Na online registratie is de toegang gratis. Met de toegangsbadge heeft u ook toegang tot de vakbeurs Zorg & ICT. Kijk hier voor meer informatie: www.zorgtotaal.nl
Security Management nummer 1/2 januari/februari 2013
41
recherche
Frauderen met een mobieltje De mobiele telefoon blijkt steeds vaker een uitstekend hulpmiddel bij het uitvoeren van (interne) fraude. Drie praktijkgevallen laten zien waartoe een beetje bereik kan leiden. RENÉ TERWEIJ *
Audio-apparatuur Bij een groot transportbedrijf worden regelmatig spullen uit vrachtwagens gestolen. De buit is omvangrijk, omdat de wagens altijd dure audio-apparatuur bevatten. Toch blijft het een vreemde zaak dat de dieven steeds weer de juiste vrachtauto weten te vinden, want de planning bij het transportbedrijf is zodanig dat de chauffeur 2 uur voor vertrek nog niet weet waar hij naar toe moet, laat staan dat hij weet wat hij gaat vervoeren. Kennelijk is er intern iemand die weet op welke rit de dure apparatuur is ingedeeld. Na 11 diefstallen besluit de directie een recherchebureau in te schakelen. De rechercheurs beginnen met zo veel mogelijk data verzamelen om te analyseren of er overeenkomsten tussen de verschillende diefstallen kunnen worden gevonden. Daaruit komt naar vo-
vertrek zijn er bij het transportbedrijf 21 medewerkers ingelogd die theoretisch de lading van de vrachtauto’s kunnen bekijken. Alle telefoongegevens van zowel de vaste als de mobiele lijnen van deze medewerkers worden geanalyseerd. Hieruit blijkt dat er 1 medewerker is die in alle gevallen (mobiel) contact heeft gehad met hetzelfde telefoonnummer. Soms per sms en soms via een gesprek. Na confrontatie blijkt inderdaad dat hij de tipgever aan de dieven was.
Tablets Een ander voorbeeld betreft de diefstal van tablet computers uit een logistiek centrum. Voor medewerkers is het vrijwel onmogelijk om deze ongezien naar buiten te krijgen. Iedereen moet namelijk door een metaaldetector, voordat men naar huis gaat.
Het wordt wel heel eenvoudig om instructies te geven bij een inbraak ren dat inlogcodes bij het transportbedrijf wel worden gelogd, maar handelingen in het systeem niet. Dat betekent dat in de periode van 2 uur voor het vertrek van de vrachtauto iemand vanuit het systeem informatie moet opvragen, of dat de chauffeur zelf bij de diefstal betrokken is. De kans dat een chauffeur betrokken is, is echter klein omdat het met een uitzondering steeds een andere chauffeur betreft. Medewerkers loggen bij aanvang van hun dienst in en blijven gedurende de gehele dienst ingelogd. In de 2 uur voor
42
Een medewerker had hierop iets verzonnen. Hij haalde onder werktijd de tablet uit de verpakking en verstopte deze in het toilet. Tijdens een pauze haalde hij de tablet weer op en ging de afgesloten binnenplaats op. Hier schoof hij de tablet onder het hek door en liet via zijn mobieltje een vriend weten dat het gestolen goed kon worden opgehaald.
Geldcassette Het kan echter nog erger. Zo wordt in een afgesloten parkeergarage de geldcassette uit een parkeerautomaat gesto-
Security Management nummer 1/2 januari/februari 2013
len. Echter zonder een enkel spoor van braak. Bestudering van de bewakingscamera’s gaf het volgende beeld. Omstreeks 03.15 uur komt een man al bellend de parkeergarage binnen. Hij loopt rechtstreeks naar de ruimte waar de medewerkers van de parkeergarage werken. Deze ruimte is afgesloten en staat onder alarm. De persoon opent de deur en schakelt het alarm uit. Vervolgens opent hij een sleutelkastje en haalt daar een sleutelbos uit. Hierna gaat hij al bellend naar de parkeerautomaat en opent deze. Ook hier wordt het alarm middels een code uitgeschakeld. De geldcassette wordt verwijderd en de automaat wordt weer netjes afgesloten. Vervolgens wordt de sleutelbos teruggehangen en de betreffende ruimte wordt weer keurig op alarm gezet. Exact 19 minuten later loopt de betreffende persoon, nog steeds met de telefoon aan zijn oor, de parkeergarage uit. Er is maar een conclusie mogelijk: tijdens de gehele actie is hij duidelijk geinstrueerd door iemand die ter plaatse heel goed bekend was!
Tip Wees u bewust van de mogelijkheden van mobieltjes. En met de nieuwste functies als facetime wordt het bovendien wel heel eenvoudig om met beeld en geluid instructies te geven bij een inbraak. ‹‹ * René Terwey is directeur van VMB security & solutions te Almere (www.vmbrecherche.nl)
recht
Schending privacy werknemer Een bedrijfsrecherchebureau onderzoekt in opdracht van een organisatie de laptops van enkele medewerkers wegens verzending van een anonieme e-mail. Later blijkt dat, ondanks gedane toezeggingen, ook privébestanden zijn onderzocht. Een werknemer klaagt met succes het recherchebureau aan wegens onrechtmatige schending van de privacy. ROB POORT *
E
en werknemer heeft van augustus 1991 tot en met 31 december 2008 gewerkt bij een internationale vakorganisatie voor onderwijspersoneel. Het hoofdkantoor van de organisatie staat in Brussel. De werknemer heeft als taak het ondersteunen van vakorganisaties in ontwikkelingslanden en het vertegenwoordigen van de organisatie bij internationale bijeenkomsten. Hij verblijft daarvoor vaak in het buitenland en heeft van zijn werkgever een laptop gekregen.
zou blijken uit het jaarboek dat op zijn laptop is aangetroffen. De arbeidsovereenkomst tussen de werknemer en de vakorganisatie wordt op 31 december 2008 met wederzijds goedvinden beëindigd. Vervolgens begint de werknemer een rechtszaak wegens onrechtmatige daad tegen het recherchebureau. Hij stelt dat het bureau ten onrechte kennis heeft genomen van de inhoud van dagboeknotities en andere persoonlijke documenten die op zijn laptop stonden en dat het bureau
Controle werkgever zakelijk e-mailverkeer tot op zekere hoogte toegestaan Tijdens een congres in Berlijn in juli 2007 is vanaf een anoniem e-mailadres een mailtje gestuurd aan de deelnemers van het congres, waarin de algemeen secretaris van de vakorganisatie werd beschuldigd van malversaties. In een vergadering op het kantoor in Brussel in september 2007 over deze kwestie hebben diverse medewerkers, waaronder de betreffende werknemer, hun laptop ingeleverd, zodat een door de werkgever ingeschakeld recherchebureau onderzoek zou kunnen doen naar de herkomst van het anonieme e-mailbericht. Daarbij is toegezegd dat geen privébestanden zullen worden onderzocht. De werkgever schrijft op 31 oktober 2007 aan de werknemer dat hij valse beschuldigingen heeft geuit jegens de algemeen secretaris en anderen over fraude en financieel wanbeleid. Dat
deze informatie ook heeft doorgespeeld aan de werkgever. Als gevolg daarvan is de relatie met de werkgever zodanig verstoord geraakt dat de arbeidsovereenkomst is beëindigd.
Aansprakelijk De rechtbank stelt vast dat het recherchebureau aan de werkgever heeft meegedeeld dat het IP-adres waarvan de anonieme e-mail was gestuurd niet op de laptop van de werknemer is aangetroffen en dat dus niet kan worden vastgesteld dat hij degene zou zijn geweest, die de e-mail heeft gestuurd. Wel heeft het recherchebureau de werkgever meegedeeld dat diverse trefwoorden uit de e-mail voorkomen in het jaarboek van de werknemer. Het gaat hier om een soort dagboek dat hij bijhield en dat na het kopiëren en onderzoeken van de harde schijf van
diens PC, integraal aan de werkgever is verstrekt. Volgens de rechtbank blijkt nergens uit dat het recherchebureau toestemming van de werknemer had om ook zijn persoonlijke bestanden te onderzoeken. Het feit dat hij in opdracht of op verzoek van de werkgever zijn laptop heeft afgestaan voor onderzoek kan niet worden beschouwd als zijn toestemming voor het verwerken van diens persoonsgegevens. Het recherchebureau had zich dan eerst uitdrukkelijk van diens toestemming moeten vergewissen. Omdat dit niet is gebeurd en het recherchebureau ook nog eens die onrechtmatig verkregen persoonsgegevens aan de werkgever heeft doorgegeven, is het recherchebureau aansprakelijk voor de door de werknemer geleden schade. De hoogte van de schade zal later in een aparte procedure nader worden vastgesteld.
Aantekening Controle van de werkgever op het zakelijk e-mailverkeer is tot op zekere hoogte toegestaan. Daarbij moeten de privégegevens van de werknemer wel worden ontzien. Dat geldt ook voor een recherchebureau dat door de werkgever is ingeschakeld om de herkomst van ongewenste mail te onderzoeken. ‹‹ Rechtbank Lelystad 4 juli 2012, JAR 2012, 285 * mr. ing. R.O.B. Poort is jurist en veiligheidskundige (www.bureaupoort.nl)
Security Management nummer 1/2 januari/februari 2013
43
contacten en contracten
Mail uw informatie (met jpg-foto) voor deze rubriek naar arjendekort@vakmedianet.nl
IDA-2012 voor Berndt Rif
Certificering NEN 4400-1 voor DSP Security
De INCI-DETAR Award 2012 (IDA2012) is door het bestuur van stichting Sern toegekend aan Berndt Rif. Rif is momenteel werkzaam bij De Nederlandsche Bank en krijgt de Award vanwege zijn verdiensten voor de beveiligingsbranche.
DSP Security is sinds november 2012 NEN 4400-1 gecertificeerd. NEN 4400-1 (Uitleners en (onder)aannemers - Eisen aan en beoordeling van verplichtingen uit arbeid - Deel 1: Eisen aan in Nederland gevestigde ondernemingen) moet het inlenen van arbeid en uitbesteden, (onder)aannemen van werk gemakkelijker en
fraudebestendiger maken. NEN 4400-1 geeft eisen waaraan het uitzendbureau of de (onder)aannemer moet voldoen. NEN 4400-1 stelt strenge eisen aan personeels- en loonadministratie. Ook geeft NEN 4400-1 criteria om te beoordelen of een organisatie aan alle gestelde eisen voldoet.
ADT wordt Tyco Integrated Fire and Security
Europees Chapter security & safety gezondheidzorg
ADT Fire & Security Benelux heet voortaan Tyco Integrated Fire and Security. De naamswijziging is onderdeel van de afsplitsing die Tyco op 1 oktober 2012 heeft voltooid om qua marktaandeel de grootste brandveiligheids- en beveiligingsmaatschappij ter wereld te worden.
Vanuit de International Association for Healthcare Security & Safety (IAHSS) is een nieuw Chapter opgericht om de ontwikkeling van beveiliging en veiligheid in de gezondheidszorg in Europa te promoten en te ondersteunen. Daarnaast heeft dit Chapter tot doel om security en safety professionals binnen de gezondheidszorg in Europa met elkaar te verbinden op zowel nationaal als internationaal niveau. Informatie over IAHSS en het Europese Chapter: Jos Maas, j.maas@bernhoven.nl, of via www.IAHSS.org.
De Award wordt jaarlijks uitgereikt aan personen die zich hebben ingezet voor de professionalisering van het beveiligingsvak. De afgelopen jaren is de Award onder andere uitgereikt aan Hans Leijendekkers, Jan Keulemans, Richard Franken, Armand van Bercheycke en Joost Cornet.
Nieuw uniform voor medewerkers Securitas De 5.000 operationele medewerkers van Securitas krijgen een nieuw uniform. De uitstraling van de kleding wordt vernieuwd en is volledig in lijn met de wereldwijde huisstijl. De herkenbaarheid van het personeel wordt daarmee verder vergroot. Het nieuwe uniform oogt moderner, zit beter en krijgt een andere kleurstelling.
Cameramanager.com verhuisd Met ingang van 2 januari heeft Cameramanager.com de locatie in Almere verlaten en zijn intrek genomen in een pand aan de Hogehilweg 19, 1101 CB Amsterdam. Het telefoonnummer (+31(0)88-0068450 ) en de e-mailadressen zijn ongewijzigd.
44
Tyco Integrated Fire and Security in de Benelux is onderdeel van de bedrijfsvoering van Continental Europe en biedt oplossingen en producten voor klanten in vele markten, waaronder facility management, de commerciële sector, overheidsinstellingen, gezondheidszorg, detailhandel, olie en gas, transport en logistiek, vastgoed en het MKB.
Van Lier CTO bij Securitas Met ingang van 1 januari 2013 is Marc van Lier gestart als Chief Technology Officer (CTO) bij Securitas. Deze nieuwe functie is onderdeel van de strategie van Securitas wereldwijd om meer de focus te leggen op het creëren van innovatieve, technologische oplossingen.
Van Lier is als CTO verantwoordelijk voor de meldkamer operatie in Geldrop en zal zich bezig gaan houden met het uitbreiden van de omzet aan technologische klantspecifieke oplossingen.
Security Management nummer 1/2 januari/februari 2013
Siemens draagt deel alarmafhandeling over aan Securitas De Particuliere Alarm Centrale (PAC) van Siemens Building Technologies in Zoetermeer draagt een deel van haar aansluitingen voor klassieke alarmafhandeling over aan Securitas in Geldrop.
Het betreft hier de aansluitingen die via installateurs bij Siemens zijn ondergebracht en de aansluitingen van klanten die alleen een standaard doormelding hebben. Het Customer Service Center Siemens, de nieuwe naam van de Siemens PAC in Zoetermeer, gaat zich volledig richten op klanten waar het borgen van bedrijfscontinuïteit van essentieel belang is.
Start nieuwe aanpak Veiligheid Kleine Bedrijven Op 9 januari gaf minister Opstelten van Veiligheid en Justitie het startschot voor de nieuwe aanpak Veiligheid Kleine Bedrijven, waarmee ondernemers worden geholpen hun zaak zo goed mogelijk te beveiligen tegen overvallen, diefstal, inbraak, agressie en andere delicten.
Het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) voert de nieuwe aanpak uit in opdracht van het ministerie van Veiligheid en Justitie. Meer informatie over de nieuwe aanpak Veiligheid Kleine Bedrijven is beschikbaar via www.hoeveiligisuw-
zaak.nl/vkb; of lees het artikel ‘Nieuwe aanpak VKB’ in Security management 2012, nr. 11.
Onno Peer (directeur CCV), eigenaresse Beach Boetiek Margreet Drinkwaard, en minister Ivo Opstelten (v.l.n.r.) bij de start van de nieuwe aanpak. (Foto: CCV)
Fusie Smart en SecuritySupport Per 1 februari is Security Projects gestart. De nieuwe organisatie is ontstaan uit een fusie tussen Smart Security Consultancy en SecuritySupport. Security Projects is een professioneel consultancy bureau op het gebied van risk management. Meer informatie: www.securityprojects.nl, info@securityprojects.nl, of telefoon: 088 - 888 21 42.
Sherman Bonofacio (rechts) en Ton Vink tekenen de fusieovereenkomst.
Zeegers chairman EISN
Van Ewijk naar Cortex
Mike Zeegers is per 1 december 2012 de nieuwe chairman van de Europese Energy Information Security Network (EISN). Hij volgt Reinder Woldring op. EISN is een publiek-privaat netwerk voor het delen van informatie, kennis en ervaring op het terrein van security van de vitale infrastructuur. Leden zijn met name afkomstig uit de energiesector (elektriciteit, olie, gas).
Ed van Ewijk is per 1 januari 2013 benoemd tot manager specialistische rij-opleidingen en trainingen bij beveiligingsbedrijf Cortex. Van Ewijk heeft gedoceerd bij diverse instituten op het gebied van SRO en was de afgelopen 8 jaar werkzaam bij Interseco.
Voskamp Groep neemt Safarm Beveiliging over De Voskamp Groep heeft Safarm Beveiliging in Baarn overgenomen. Safarm is al meer dan 30 jaar een vooraanstaande speler in de beveiligingswereld en heeft als specialisme het beveiligen van bedrijven, retail organisaties en particulieren. In 2007 nam de Voskamp Groep reeds het beveiligingsbedrijf Emka uit Soest
over. Emka behoort tot de beveiligingsdivisie van de Voskamp Groep en levert een totaal pakket voor beveiligingen en toegangsbeheer voor particulieren, bedrijven, woningstichtingen en zorginstellingen. Safarm en Emka zijn per 1 januari samengevoegd tot Emka Safarm Beveiligingen, gevestigd in Soest.
Geslaagden ISM 34 ISM 34 is op 16 en 23 november afgesloten met het examen. Voor het eerst in de geschiedenis van de ISMcursus heeft een cursist een 10 behaald. Een prestatie waarvoor Ron Hoogerwaard van G4S Cash Solutions Belgium ook genomineerd wordt voor de Sern-studiebeurs 2012. Naast Hoogerwaard zijn ook de volgende deelnemers geslaagd: André van Adrichem (ATN Bewaking), Richard Böcker (Universitair Medisch Centrum Groningen), Harry van Houten (Proseco), Matthé Kamerling, Edward van Riet (ministerie van Defensie), Dennis Roossien (Universitair Medisch Centrum Groningen), Peter van der Spek (Kuwait Petroleum Europoort), Marco Zoet.
Unilever kiest Nedap Unilever heeft Nedap gekozen als leverancier van haar wereldwijde oplossing voor fysieke toegang. AEOS, de beveiligingsoplossing van Nedap, sluit aan op de vereisten van Unilever op het gebied van flexibiliteit, schaalbaarheid en gebruiksvriendelijkheid. De beoogde scope is het beveiligen van 20.000 deuren in meer dan 800 Unilever vestigingen over de hele wereld, inclusief videobewaking. Nedap biedt een wereldwijd support model voor implementatie en onderhoud van AEOS middels een wereldwijd dekkend netwerk van Business Partners.
Nieuwe CPO’s Op 11 januari zijn de volgende kandidaten geslaagd voor het CPO examen: Roeland de Boeck, Rob van Erve, Jolanda Gulmans, Rob Jansen, Paul Janssen Bouwmeester, Monique Ooijens, Roger Rousch, Alexander Sturing, Lenneke van der Tol, Maurits Zollner.
Security Management nummer 1/2 januari/februari 2013
45
young profes siona l
Rob Kampschöer Leeftijd: 26 Functie: Asset Protection Manager
Persoonlijk
De security manager verdwijnt niet, omdat…
Ik woon in Venlo. Onlangs ben ik vader geworden van ons dochtertje Zoë. Nu onderga ik niet alleen mijn ontwikkeling als young professional, maar ook als kersverse vader.
steeds meer bedrijven inzien dat security management een vak apart is, een specialisme. Dit blijkt uit bijvoorbeeld de ontwikkeling van diverse (security)opleidingen. Hiermee creëren de opleidinginsinstituten een aanbod van experts, die aansluit op de vraag van de markt. De kans is groot dat ook het werkveld of de eigenschappen van de ‘traditionele’ security manager licht verandert. Een belangrijke eigenschap zal daarbij altijd centraal staan, dat is integriteit.
Opleiding Ik heb Integrale Veiligheid gestudeerd (2008) in ‘s-Hertogenbosch. De keuze voor een opleiding en uiteindelijk een baan in de security branche klinkt cliché, maar security heeft mij altijd al aangetrokken. Gedurende mijn opleiding en loopbaan ben ik het als een uitdaging gaan zien om passende oplossingen te bieden voor veiligheidsvraagstukken. De allermooiste oplossingen vind ik de relatief goedkopere oplossingen, waaruit het meeste rendement wordt gehaald. Soms is de oplossing simpeler dan men denkt.
Carrière Ik ben begonnen als junior security consultant. Via een functie als account manager en een baan in de rampenbestrijding en crisisbeheersing, heb ik uiteindelijk gekozen voor een baan in de retail en met name loss prevention. In mijn huidige functie draag ik zorg voor de veiligheid van onze medewerkers, klanten, gebouwen en goederen in meerdere winkels. De verdeelsleutel ligt ongeveer op 90% security en 10% safety. Een groot deel van mijn werkzaamheden bestaat uit onderzoeken van verliezen: zowel interne als externe diefstal, maar ook fraude.
Wat ik heb geleerd van mijn manager Rust en kalmte bewaren. In sommige gevallen heb je geen invloed op bepaalde zaken. Het heeft dan ook absoluut geen zin om je daar dan over druk te maken. Focus liever op de punten die je wel kunt beïnvloeden.
Wat mijn manager van mij heeft geleerd Dat je een medewerker/manager die met volharding en plezier zijn werk doet en die zelf nog in een ‘learning process’ zit, wel degelijk de verantwoordelijkheid kunt geven over grote projecten en deelgebieden. Weliswaar zullen er foutjes zijn, maar die kunnen perfect geëvalueerd en besproken worden.
46
Security Management nummer 1/2 januari/februari 2013
Social media Persoonlijk maak ik gebruik van Linkedin, Facebook en Twitter. De eerste gebruik ik strikt zakelijk, de andere twee met name privé. In relatie tot mijn werk gebruik ik social media met name voor opsporings- en onderzoeksdoeleinden.
Security trends
» »
»
De modus operandi van winkeldieven verandert. Steeds meer diefstallen zijn ‘on demand’, ofwel winkeldieven die aan de hand van vooraf opgestelde boodschappenlijstjes bepaalde producten stelen. De integratie van (opsporings-)technieken en systemen. Camerasystemen worden gekoppeld aan EAS-systemen; deze gaan opnemen wanneer er een alarm gaat. Kassasystemen worden weer gekoppeld aan diverse databases (waarop alle handelingen op de kassa te analyseren zijn). De systemen leveren sec data aan, maar gecombineerd geven ze inzicht in diefstallen en fraude. Door de economische recessie bezuinigen veel bedrijven op security en worden bepaalde projecten niet uitgerold of uitgesteld.
Over 5 jaar ben ik … nog meer internationaal werkzaam en verantwoordelijk voor het security beleid & loss prevention van meerdere Europese vestigingen. In deze rubriek aandacht voor jonge securityprofessionals. Zij komen aan het woord over hun opleiding, hun carrière, het vakgebied en hun ambities. Aanmelden van personen voor deze rubriek kan bij de redactie: arjendekort@vakmedianet.nl
HĂŠt platform voor professionals in de zorg
13 - 15 maart 2013 Jaarbeurs Utrecht www.zorgtotaal.nl Met uw badge heeft u ook toegang tot het gelijktijdige
Gratis toegang? Ga naar www.zorgtotaal.nl
Mediapartners: #ztt13