SECURITY MANAGEMENT
O NA F H A N K E L I J K VA K B L A D VO O R P RO F E S S I O N E L E B E V E I L I G I N G
SMAC STAAT VOOR DE DEUR
■
W W W. S E C U R I T Y M A NAG E M E N T. N L
CYBER SECURITY: 7 BEDREIGINGEN
THEMA INFORMATIEBEVEILIGING
■
N U M M E R 1 1 N OV E M B E R 201 3
SAMEN VOOR VEILIGHEID
FYSIEKE BEVEILIGING VAN INFORMATIE
De nieuwe high-end PTZ dome range van ABUS Geïntegreerde verwarming
2 of 7 alarm ingangen en 2 alarmuitgangen Weerbestendige camerabehuizing (IP66)
ONVIF compatibel 8 toeren met maximaal 32 preset posities per toer
540 TV lijnen of HD 720p/1080p resolutie
Automatische privézonemaskering
1/3” Progressive Scan CMOS DNR functie voor ruisvrije beelden
20 x autofocus motorzoom objectief 4,3 - 86,0 mm
TVIP81000
TVIP82100
Autoflip functie WDR functie voor tegenlichtcompensatie
TVCC81500
36 x motorzoom objectief
1/4” Sony Super HAD CCD
De nieuwe PTZ dome camera‘s van ABUS Security-Center zorgen voor een volledige en betrouwbare beveiliging van ieder object. Intelligente recorderoplossingen verwerken de beelden live en maken een snelle toegang tot de opgenomen beelden mogelijk. Hoogefficiënte videocompressie zorgt voor een maximale opslagcapaciteit en een uitstekende beeldkwaliteit.
IR-LED‘s voor nachtzicht maximaal 80 meter reikwijdte
Het merk ABUS staat voor kwaliteit en service. Van een goed partnerschap profiteert iedereen. Wat het merk ABUS verenigt is de basis voor goede samenwerking, vertrouwen en continuïteit. Vele tevreden klanten zien dat ook zo.
www.abus.com/nl/partner
ABUS Security-Center BV · Beresteinseweg 4 · 1217 TJ Hilversum · Nederland Tel. +31 35 621 00 61 · +31 35 621 28 97 · info.nl@abus-sc.com
COLUMN
SAMENWERKEN? JA, MAAR…
D
e afgelopen jaren heb ik in deze column en in dit blad frequent aandacht besteed aan samenwerking tussen de verschillende veiligheids- en beveiligingsprofessionals (safety, security, ICT). De noodzaak tot samenwerking en om kennis te nemen van elkaars discipline is volgens mij door allerlei recente ontwikkelingen alleen maar urgenter geworden. Daarom ook in dit nummer weer aandacht voor het onderwerp informatiebeveiliging, waarin Johan de Wit schrijft dat informatie ook door fysieke aanvallen wordt bedreigd en dat het opvallend is dat er desondanks weinig aandacht is voor fysieke maatregelen om dit risico te beperken. Hij stelt dan ook – terecht volgens mij – dat het hoog tijd is (...) om de twee beveiligingswerelden te verbinden.
ARJEN DE KORT HOOFDREDACTEUR SECURITY MANAGEMENT SECURITY MANAGEMENT GROEP
MEER SECURITY MANAGEMENT? VOLG ONS OP TWITTER: WWW.TWITTER.COM/@SECURITY_MGT
En wat te denken van een ander deel van de keten, waar het gaat om samenwerking tussen safety & security? In het tweede artikel in de serie “Samen voor veiligheid” komen de voorzitters van NVVK en ASIS Benelux aan het woord. Zij zien mogelijkheden voor toenadering. Maar die moet komen van de nieuwe generatie van veiligheidsmedewerkers. “Voor jong bloed is het gemakkelijker in te zien dat safety en security hetzelfde realiseren: het beheersen van risico’s.” Maar dat kan dus nog wel even duren... Misschien zou het daarom goed zijn voor de huidige generatie veiligheids- en beveiligingsprofessionals om eens een presentatie van Berthold Gunster bij te wonen. Zelf was ik recentelijk getuige van zijn inspirerende “Ja maar omdenk show”. Daarin onderscheidt hij ja-maar-zeggers: Ja, maar zo werkt het niet. Ja, maar wat als het mislukt. Ja-maar zeggers hebben volgens Gunster de antwoorden en zien de beren op de weg. Daar tegenover ziet hij ja-en-zeggers: Ja, en hoe zorgen we dat het werkt. Ja, en wat als alles lukt. Zij stellen de vragen. Zij zien de beren én de weg.
JA, EN ALS ELKE PROFESSIONAL NU EENS VERDER KIJKT DAN ZIJN EIGEN EILANDJE
Om mij heen hoor ik toch vooral ja-maar-zeggers als het gaat om samenwerken. Ja, maar safety is toch heel wat anders dan security. Ja, maar ict is toch mijn pakkie-an niet. Ja, en als elke veiligheids- en beveiligingsprofessional nu eens verder kijkt dan zijn eigen eilandje. Bijvoorbeeld op het Security Management Congres op 28 november, waar samenwerking de rode draad zal zijn. Volgens mij zou het veel organisaties alleen maar ten goede komen. ■
3
INHOUD
10 Fysieke beveiliging van informatie De gevolgen van aanvallen op en diefstal van mobiele apparatuur worden veelal als ernstig tot zeer ernstig beoordeeld. Zowel het aantal van dergelijke incidenten als de impact ervan zullen naar verwachting in de toekomst toenemen. Toch is er (te) weinig aandacht voor het fysiek beschermen van informatie.
14 7 Trends en bedreigingen Cybercrime staat hoog op de (nationale) agenda. De tactieken die cybercriminelen gebruiken, veranderen met de dag. Welke bedreigingen zijn actueel en welke trends zien we daarbij? Een overzicht.
10
16 Belang van goed gedefinieerde beveiligingsprincipes De werelden van IT en beveiliging groeien naar elkaar toe. Daardoor worden er steeds zwaardere eisen gesteld aan de beveiliging van beveiligingssystemen. Dat is waarom bewezen principes die zijn afgeleid van IT steeds vaker in de beveiligingsindustrie worden toegepast.
20 IB-oplossingen toepasbaar op toegangsbeveiliging Beveiligingssystemen zijn tegenwoordig een integraal onderdeel van het bestaande ICT-netwerk. Oplossingen die in eerste instantie zijn gecreĂŤerd voor netwerkbeveiliging en informatiebeveiliging kunnen daardoor steeds vaker ook worden toegepast op fysieke beveiliging. Zodoende kan de veiligheid optimaal worden gegarandeerd.
16
22 Informatieveiligheid: dat doe je samen Niet alleen gebruikers van informatiebeveiligingsmaatregelen hebben zorgen omtrent informatieveiligheid: ook toeleveranciers hebben dat. Daarom zouden opdrachtgevers en leveranciers op basis van een integrale beveiligingsoplossing met elkaar moeten praten.
24 Informatiebeveiliging in het MKB Ook MKB-bedrijven zijn in hoge mate afhankelijk van hun informatiesystemen. Daarom is het belangrijk om voor deze sector te onderzoeken of zij hun cyber security onder controle hebben.
20
4 | S E C U R I T Y M A N AG E M E N T | 11 2013
ER BESTAAT EEN WATERSCHEIDING TUSSEN FYSIEKE EN INFORMATIEBEVEILIGING
28 Vervolg pilot aanpak horizontale fraude De pilot Gezamenlijke aanpak horizontale fraude waarin politie, Openbaar Ministerie en particuliere onderzoeksbureaus samenwerkten, is positief geëvalueerd en krijgt een vervolg. Een overzicht van de belangrijkste bevindingen.
30 Recept voor hoofdpijndossiers
28
Criminaliteit door werknemers heeft (soms verregaande) consequenties op het functioneren van een bedrijf. Maar hoe pak je dit aan?
34 Samen voor Veiligheid Safety en security staan traditioneel ver van elkaar. Toch zijn er gemeenschappelijke uitgangspunten. In het tweede artikel in deze serie gaan Nico van Roden (NVVK) en Erik de Vries (ASIS) hierover met elkaar in discussie.
30
38 SMAC staat voor de deur Trends als ‘Bring Your Own Device’ en ‘Het Nieuwe Werken’ zorgen voor een flinke uitdaging op het gebied van veiligheid. In dit artikel de nieuwste trend: SMAC - Social Media, Mobile, Analytics & Cloud - en welke gevolgen dit zal hebben op de traditionele wijze van beveiligen.
42 Beveiliging ‘binnen het hek’ Hoe overtuigt de security manager zijn directie dat investeren in beveiliging zinvol en effectief is? De Integrale Beveiligingsaanpak van het CCV kan hierbij van pas komen.
38
47 Omdenken in beveiliging Juist in tijden van crisis hebben klanten behoefte aan een andere benadering. Hoe beveiligingsbedrijven hierop kunnen inspelen bleek tijdens het Trigion congres op 9 oktober. ‘Omdenken’ kan hierbij helpen.
42
En verder ... 3 6 27 50 51 49 53 54
Column Nieuws Gastcolumn Wil van Gemert Recherche Recht Contacten en contracten Young professional: Imke Hermans Colofon
47
5
NIEUWS
Is cyber security wel zo cyber?
VAN 22 NAAR 10 MELDKAMERS Er komt één landelijke meldkamerorganisatie met tien locaties in plaats van de 22 die er nu zijn. De huidige meldkamers worden samen met de meldkamer van de landelijke eenheid politie in Driebergen en de meldkamers van de Koninklijke Marechaussee samengevoegd tot de locaties in Drachten, Apeldoorn, Soest, Haarlem, Amsterdam, Den Haag, Rotterdam, Bergen op Zoom, Den Bosch en Maastricht. De samenvoeging gaat overigens pas in 2017 zijn beslag krijgen. ■
CAO-OVERLEG BEVEILIGING MISLUKT Het overleg tussen vakbonden en werkgevers over een nieuwe cao voor de particuliere beveiliging is mislukt. Omdat de werkgevers geen voorstellen hadden ter verbetering van de cao, wilden de vakbonden niet verder onderhandelen. De huidige cao van 1 juli 2012 voor de beveiligingsbranche liep op 30 september 2013 af. Omdat er geen nieuwe cao is afgesloten zal de oude cao nog een jaar van kracht blijven voor alle bedrijven die lid zijn van de Nederlandse Veiligheidsbranche. ■
6 |
S E C U R I T Y M A N AG E M E N T | 11 2013
Security Management Congres over cyber security Naast de fysieke samenleving is een digitale samenleving ontstaan, waarin we meer en meer afhankelijk zijn van ICT. Daarom is cyber security in toenemende mate van belang. Bent u werkzaam als security manager, IT manager, of security officer? Kom dan op 28 november naar het Security Management Congres in Nijkerk. Keynotes r Wil van Gemert (directeur Cyber Security NCTV): Samenwerken voor een veilige en vitale cyber samenleving r Wim Hafkamp en Wibout de Klijne (Rabobank): Is cyber security wel zo cyber?
r r r r
Lunchprogramma r Live hacking demonstratie door het Deloitte Cyberlympics Hacking team. r Rondetafeldiscussie over Business Continuity Management. Het congres wordt plenair afgesloten door dagvoorzitter Tom van ‘t Hek. r
Parallelsessies r Stuur bedrijfsefficiëntie met geïntegreerde oplossingen r Bring Your Own Device en juridische aspecten r Integratie fysieke en IT/OT security r Is uw beveiligingssysteem wel goed
genoeg beveiligd? Hacking, de 5 P’s in de praktijk Business intelligence videosystemen en de cloud Digitale camerasystemen: kijkt de crimineel met u mee? Hoe fysiek is informatiebeveiliging?
r
r
Het Security Management Congres 2013 wordt georganiseerd door Security Management en ASIS Benelux Chapter. Prijs: 199,- euro. Leden van ASIS Benelux Chapter hebben gratis toegang. Inschrijven: www.securitymanagement.nl/congres ■
Weinig arrestaties met drones De inzet van drones door de politie leidt nauwelijks tot arrestaties. Terwijl de onbemande vliegtuigjes sinds 2009 op meer dan 130 dagen hebben gevlogen, leverde dit hooguit vier arrestaties op. Dat schrijft het AD. Uit gegevens van de politie blijkt ook dat opsporing met drones bij zowel
justitie als politie uit de gratie is geraakt. Zo blijkt uit gespreksnoties met het Openbaar Ministerie (OM) dat men terughoudender is geworden met de inzet van drones vanwege ‘het achterblijven van concrete resultaten’. Ook wordt inmiddels per geval met de Luchtvaartpolitie overlegd of het opsporingsmiddel “proportioneel is”. Er is veel weerstand tegen het gebruik van de dure drones vanwege onder meer privacy-aspecten. De politie zelf wil de resultaten vooralsnog niet kwalificeren. Dat zal gebeuren in een “bredere visie” die volgend jaar af moet zijn. ■
Bedrijven vaak bestolen door eigen personeel Uit onderzoek blijkt dat 36 procent van de ondernemers wordt bestolen door eigen personeel. Dat kost een bedrijf veel geld en stress. Bovendien blijkt dat er weinig over interne criminaliteit - zoals diefstal van geld of goederen en tijd, maar ook fraude met declaraties - gesproken wordt binnen bedrijven. Om hier wat tegen te doen presenteerde het CCV aan de vooravond van de onlangs gehouden Week van de Veiligheid de Veilig Ondernemen Scan. Dit is een korte digitale vragenlijst, waarmee ondernemers gratis en eenvoudig inzicht krijgen in de ver-
schillende criminaliteitsrisico’s voor hun onderneming en het gebouw zoals bijvoorbeeld inbraak, diefstal, en ICT-criminaliteit. Er volgen direct een aantal veiligheids- en beveiligingsmaatregelen die passen bij de risico’s, ook op het gebied van interne criminaliteit. Met deze scan heeft een ondernemer een compleet overzicht wat hij kan doen. Om interne criminaliteit bespreekbaar te maken binnen het team, kunnen ondernemers ook het dilemmaspel inzetten. Zowel de scan als het spel zijn te vinden op de website www.ccv-veiligondernemen.nl. ■
RUIM 200.000 SLACHTOFFERS IDENTITEITSFRAUDE Meer dan 200.000 Nederlanders zijn vorig jaar slachtoffer geworden van identiteitsfraude via internet of betaalof pinautomaten. Het gaat dan om 1,5 procent van de bevolking van 15 jaar en ouder. Dat blijkt uit cijfers van het Centraal Bureau voor de Statistiek. De mensen worden slachtoffer van criminelen die gegevens van een bankpas of creditcard kopiëren bij een betaal- of pinautomaat (skimming), of van oplichters die betalingsinformatie achterhalen via het internet, via bijvoorbeeld gehackte computers of nepwebsites (phishing of pharming). De meeste slachtoffers maken hier melding van bij de bank, een deel stapt ook naar de politie. Skimming komt vaker voor dan phishing, zegt het CBS. Zeven op de tien slachtoffers van identiteitsfraude in 2012 hadden te maken met skimming. De fraude vond in 80 procent van de
gevallen plaats in Nederland. Nederlanders werden in één op de tien gevallen ook slachtoffer in het buitenland. Bij 10 procent kon het CBS niet achterhalen waar de fraude plaatsvond. Mannen blijken iets vaker slachtoffer van identiteitsfraude dan vrouwen. Hoger opgeleiden zijn twee keer zo vaak de dupe als lager opgeleiden en 25- tot 65-jarigen zijn vaker slachtoffer van de fraude dan jongeren tot 25 jaar en ouderen (boven de 65 jaar). ■
BANKEN MOETEN MEER DOEN TEGEN PLOFKRAKEN Banken moeten volgens het Verbond van Verzekeraars meer doen om ramen plofkraken te voorkomen. De verzekeraars willen hierover in gesprek met de banken. Aanleiding zijn de meest recente cijfers van de Nederlandse Vereniging van Banken (NVB), waaruit blijkt dat er in het eerste halfjaar van 2013 93 plof- en ramkraken zijn geweest. In de eerste 6 maanden van vorig jaar waren dat er nog 51. De NVB spreekt van een “forse stijging”. De schade voor verzekeraars bij een plofkraak kan flink in de papieren lopen. De verzekeraars willen dat banken bijvoorbeeld standaard gaan werken met inktpatronen die bankbiljetten bij een plofkraak onbruikbaar maken. Het hoofd criminaliteitsbeheersing van de NVB zegt dat de banken juist veel doen om ram- en plofkraken te voorkomen. ■
7
NIEUWS
MIVD EN AIVD SAMEN IN CYBERTEAM De algemene en militaire inlichtingendiensten (AIVD en MIVD) krijgen een gezamenlijk team dat zich gaat richten op digitale dreigingen. De ‘cyberunit’ zal zich vanaf 1 januari onder meer richten op cyberaanvallen. Ook gaat de dienst het etherverkeer afluisteren. Bij de nieuwe eenheid, die de naam Joint SIGINT Cyber Unit krijgt, komen ongeveer 350 mensen in dienst. Dat zijn medewerkers die nu al voor AIVD en MIVD werken. ■
AANPAK ‘HIGH IMPACT CRIMES’ OP SCHEMA
Weerstand leidt tot geweld bij overvallen Overvallers gaan meestal alleen over tot geweld, als zij denken dat slachtoffers niet ‘meewerken’. Dat signaal is vaak het sein voor hen om tot agressie over te gaan, blijkt uit een woensdag gepubliceerd onderzoek van het Nederlands Studiecentrum Criminaliteit en Rechtshandhaving (NSCR). De NSCR heeft voor deze studie met overvallers zelf gesproken. De onderzoekers concluderen dat de veiligheid van slachtoffers “gebaat is” bij weinig verzet. Om de kans op geweld te ver-
kleinen is het aan te raden om zo veel mogelijk te voldoen aan de eisen van de overvaller. Dit advies komt overigens overeen met de instructies die het winkelpersoneel nu al krijgt. De onderzoekers benadrukken dat het ook voor de overvallers duidelijk moet zijn dat hun eisen worden ingewilligd: “Voorkom zelfs de schijn van verzet”, adviseren ze. “Laat duidelijk zien dat je bereid bent mee te werken aan een snelle afhandeling van de overval.” ■
De aanpak van de zogenoemde High Impact Crimes ligt op schema. Het aantal straatroven is met 10 procent gedaald. Ook waren er minder overvallen. Het aantal woninginbraken bleef ongeveer gelijk. Dat blijkt uit de Korpsmonitor van de politie. De cijfers gaan over de periode juli 2012 tot juli 2013. In die periode waren er 7214 straatroven en 1814 overvallen. Op een paar punten ligt de politie nog niet op schema, zoals bij de doelstelling om dit jaar 15 grote onderzoeken te doen op het gebied van High Tech Crime. ■
NIEUWE LEGITIMATIEPAS PARTICULIERE BEVEILIGERS
CCV WERKT AAN OPVOLGERS BORG
Samen met de politie heeft de Nederlandse Veiligheidsbranche een nieuwe legitimatiepas voor particuliere beveiligers ontwikkeld. De nieuwe pas heeft het formaat van een creditcard en wordt per 1 januari 2014 uitgegeven door bijzondere wetten van één van de tien politie-eenheden. De Nederlandse Veiligheidsbranche is blij met deze ontwikkeling, omdat het aanvraagproces wordt vereenvoudigd en de pas een goed hanteerbaar formaat krijgt. De kosten voor de nieuwe pas worden gelijk aan de huidige kosten voor een pas. ■
Er is al enige tijd discussie over het huidige CCV-certificatieschema BORG Beveiligingsbedrijf 2005/2. Zo zou het onvoldoende aansluiten op marktontwikkelingen, waardoor bijvoorbeeld camerabeveiliging ontbreekt. Daarnaast gaat het schema uit van organisatorische, bouwkundige en elektronische maatregelen terwijl installateurs niet eindverantwoordelijk zijn voor het totale pakket aan maatregelen maar de opdrachtgever daar ook een belangrijke rol in heeft. In de Commissie van Belanghebbenden (CvB) wordt inmiddels gewerkt aan een opvolger voor het schema. Het CCV heeft het model Integrale Beveiligingsaanpak (IBA) ontwikkeld, dat als paraplu dient waaronder certificatie- en inspectieschema’s voor verschillende preventiemaatregelen kunnen worden ondergebracht. Inzet is om nu eerst BORG-opvolgers te maken voor elektronische inbraak- en overvalbeveiliging, voor bouwkundige inbraakbeveiliging en voor camerabeveiliging. Met de medewerking van installateurs, opdrachtgevers en verzekeraars is gepland om dat begin 2014 af te ronden. ■
8 |
S E C U R I T Y M A N AG E M E N T | 11 2013
Durfkapitalist wil splitsing G4S Het Zweedse investeringsfonds Cevian Capital wil dat het internationale beveiligingsbedrijf G4S zijn divisie voor geld- en waardetransport afstoot. Dat meldde The Sunday Times op basis van bronnen. Cevian zou sinds enige tijd de op één na grootste aandeelhouder zijn van het bedrijf. De divisie ‘cash solutions’ is goed voor een kwart van de omzet van G4S en werkt met 2000 gepantserde busjes en 6000 beveiligers. Volgens The Sunday
Times is topman Ashley Almanza echter niet van plan in te gaan op de eis van Cevian en zijn er geen plannen voor een verkoop van het onderdeel. Almanza trad in mei aan en geeft leiding aan een bedrijf met 620.000 werknemers in meer dan 120 landen. G4S heeft de laatste jaren behoorlijke tegenslagen gekend. Zo mislukte een overname in Denemarken na protesten van aandeelhouders, liep de beveiliging van de Olympische Spelen in
Londen in 2012 op een debacle uit en is er een winstwaarschuwing gegeven. Verder gaat G4S gebukt onder een schuld van bijna 2 miljard pond. Cevian zou de op één na grootste aandeelhouder zijn van het bedrijf. Volgens The Sunday Times is Cevian uit Stockholm het grootste activistische investeringsfonds van Europa met een beheerd vermogen van omgerekend 6 miljard euro. ■
GOUD VOOR ETHICAL HACKERS Op 19 september hebben ethical hackers van Deloitte voor de derde maal op rij de Global CyberLympics Security Challenge gewonnen. Deze internationale hackwedstrijd vond plaats tijdens de Hacker Halted conferentie in Atlanta (USA). Het Deloitte Hack.ERS team ging de strijd aan met zeven andere teams uit de gehele wereld. Een tweede Deloitte team nam voor de eerste keer deel, en behaalde de tweede prijs. Met deze internationale hackwedstrijden trainen ethical hackers de eigen vaardigheden op het gebied van hacken. Daarbij gaat het bijvoorbeeld om digitaal forensisch hackonderzoeken, penetratietesten en Computer Network Defense. Het vakgebied van ethical hacking wordt steeds belangrijker bij het vergroten van de cyber security van organisaties. Tijdens het Security Management Congres op 28 november verzorgen Martijn Knuiman (senior manager Cyber Security – Deloitte Risk Services) en Rob Muris (consultant Ethical Hacking en lid van het Deloitte Cyberlympics Hacking team) een live hacking demonstratie. ■
9
THEMA INFORMATIEBEVEILIGING
Fysieke beveiliging van informatie
Fysieke apparatuur, met name mobiele data apparatuur en media, is zeer kwetsbaar voor diefstal. De gevolgen van aanvallen op en diefstal van mobiele apparatuur worden veelal als ernstig tot zeer ernstig beoordeeld. Zowel het aantal van dergelijke incidenten als de impact ervan zullen naar verwachting in de toekomst toenemen. Toch is er (te) weinig aandacht voor het fysiek beschermen van informatie. tekst Johan de Wit
10 |
S E C U R I T Y M A N AG E M E N T | 11 2013
B
ij bedreiging van informatie wordt veel gedacht aan cyber threats. Hoewel er hiervan geen eenduidige definitie bestaat, wordt deze dreiging vaak geassocieerd met digitale dreigingen zoals hacking, spam, phishing en malware. Voor de uitvoering van dit soort digitale aanvallen is fysiek contact niet noodzakelijk en hoeft een aanvaller een organisatie niet fysiek binnen te dringen. Toch heeft iedere informatievoorziening ook fysieke kwetsbaarheden die fysiek aangevallen kunnen worden.
ER BESTAAT EEN WATERSCHEIDING TUSSEN FYSIEKE EN INFORMATIEBEVEILIGING DE PRAKTIJK: FYSIEKE INCIDENTEN MET GEVOLGEN VOOR INFORMATIEBEVEILIGING
DEFENCE IN DEPTH
Tegenwoordig is veel informatie digitaal. Deze informatie wordt verwerkt in informatiesystemen bestaande uit hardware (netwerk, servers, werkplekken e.d.), infrastructuur (energievoorziening, klimaatbeheersing, communicatie verbindingen e.d.), software en de mensen die ermee werken. Vast onderdeel bij beveiligen is het denken in beveiligingsschillen of defence in depth. Dit geldt zowel voor fysieke beveiliging als informatiebeveiliging. Figuur 1 is een afbeelding afkomstig van Microsoft. Duidelijk zichtbaar zijn de twee buitenste schillen, procedures en policies en fysieke beveiliging, die de digitale beveiligingsschillen omgeven.
Er worden vele onderzoeken naar de aard en omvang van informatiebeveiligingsincidenten gedaan. Dit gebeurt door private organisaties werkzaam in de informatiebeveiligingsmarkt, overheden, kennisinstituten en brancheorganisaties. De in dit artikel opgenomen informatie is afkomstig uit 33 onderzoeken die voornamelijk de afgelopen drie jaar zijn uitgevoerd. In het “2012 Global Risks” risico-overzicht opgesteld door het World Economic Forum staan “Cyber threats” in 2012 voor het eerst in de top 5 van meest waarschijnlijke risico’s. Dit is een duidelijke stijging ten opzichte van de eerste rapporten. Ook het
Hoewel bedreigingen voor informatie behoren tot de normale organisatierisico’s en daarmee vallen onder de normale lijnverantwoordelijkheid, wordt informatiebeveiliging toch nog steeds vaak gezien als een verantwoordelijkheid van een IT-afdeling. In tegenstelling tot fysieke beveiliging, waar veelal veel mensen werken met weinig technische kennis, werken op IT-afdelingen juist minder mensen met veel technische kennis. Door de toenemende complexiteit van informatiesystemen zal dit verschil in de toekomst alleen maar verder toenemen. Vanuit IT-afdelingen wordt informatiebeveiliging daardoor te veel gezien als een probleem dat met technologie kan worden opgelost. Het nemen van alleen technische maatregelen is echter onvoldoende.
11
THEMA INFORMATIEBEVEILIGING
Centrum voor Criminaliteitspreventie en Veiligheid (CCV) constateert in 2012 dat de zorg voor ‘digitale criminaliteit’ duidelijk is toegenomen. Hierbij wordt opgemerkt dat de stijging van deze zorg wordt veroorzaakt door een stijgend bewustzijn van deze risico’s. Deze resultaten sluiten aan op het onderzoek dat Security Management jaarlijks uitvoert. In 2011 geven de resultaten in dit onderzoek een duidelijke stijging weer van risico’s met betrekking tot informatie. In het algemeen valt op te merken dat in weinig van de onderzoeken uitvoerig is gekeken naar fysieke dreigingen ten opzichte van informatiesystemen. Dit wordt vooral veroorzaakt doordat de onderzoeken worden uitgevoerd vanuit het werkveld informatiebeveiliging. Er bestaat nog steeds een waterscheiding tussen de vakgebieden fysieke en informatiebeveiliging (zie: Johan de Wit - Informatiebeveiliging en fysieke dreigingen, in: Security Management 10, 2013). DADERS
Uit de verschillende onderzoeken komt duidelijk naar voren dat de dreiging voornamelijk van buiten de organisatie wordt verwacht.
Het Computer Security Institute constateert dat de schade geleden bij informatie security incidenten voor minstens de helft wordt veroorzaakt door externe aanvallers. In het Cybersecuritybeeld Nederland, opgesteld door het ministerie van Veiligheid en Justitie, zijn bij de dreigingsgroepen voornamelijk externe groepen genoemd (zie figuur 2). Pas vanaf het Cybersecuritybeeld 2012 worden ook ‘interne actoren’ in het dreigingsbeeld opgenomen. Afhankelijk van het doel van de aanval en het dadertype zal een aanval gericht of opportunistisch van aard zijn. Uit het onderzoek van Verizon blijkt dat het overgrote deel van de onderzochte aanvallen (83%) tot deze laatste categorie behoort. Deze dadergroep doorzoekt het internet tot ze een bepaalde kwetsbaarheid hebben gevonden en doen dan een aanval. Hoewel gerichte aanvallen minder voorkomen is de dreiging ervan groter. Aanvallers die zeer gericht op zoek zijn naar informatie proberen dat met verschillende aanvallen te bereiken en gaan door tot ze hun doel hebben bereikt. Deze aanvallers zullen desnoods ook fysiek binnendringen. De daderprofielen uit de onderzochte surveys geven geen duidelijk inzicht in de mate waarin de daders virtueel dan wel fysiek binnendringen. MIDDELEN
Een beperkt aantal van de onderzochte surveys gaat nadrukkelijk in op fysieke aanvallen op informatiesystemen. In het onderzoek van Verizon uit 2011 wordt een verdubbeling van fysieke aanvallen op informatiesystemen geconstateerd. Er wordt een duidelijke toename geconstateerd in fysieke aanvallen met als doel het saboteren en skimmen van betalingsapparatuur. Geregistreerde incidenten waarbij een fysieke aanval een rol speelt hebben daarnaast volgens Verizon vrijwel uitsluitend betrekking op ‘user devices’ (PC’s, laptops, tablets, smartphones e.d.). Diefstal van mobiele apparatuur komt volgens de verschillende onderzoeken voor bij tussen de 34 procent en 53 procent van de organisaties. Onderzoek van Price Waterhouse Coopers geeft aan dat grote organisaties hier substantieel meer last van hebben dan kleine organisaties. Uit hetzelfde onderzoek blijkt dat diefstal van mobiele apparatuur vaker door externe actoren gebeurt dan door interne (een verschil van
12 |
S E C U R I T Y M A N AG E M E N T | 11 2013
ER WORDT EEN DUIDELIJKE TOENAME GECONSTATEERD IN FYSIEKE AANVALLEN OP INFORMATIESYSTEMEN
10%). Andere onderzoeken maken opvallend genoeg geen onderscheid tussen interne en externe actoren. Uit een eigen expertconsultatie blijkt dat diefstal van mobiele apparatuur bij vrijwel alle organisaties voorkomt. Uit deze consultatie blijkt echter dat diefstal van mobiele apparatuur door de geconsulteerde experts voornamelijk wordt gezien als een interne dreiging. Hun mening wijkt daarbij af van de uitkomsten van de meeste onderzoeken. SOCIAL ENGINEERING
Verschillende surveys constateren een toegenomen kwetsbaarheid voor social engineering. Onder Social engineering wordt verstaan het manipuleren van mensen om het gedrag te beïnvloeden, hen specifieke acties te laten doen of informatie te laten verstrekken. De manipulatie vindt plaats door vooraf informatie te verzamelen en/of een scenario voor te bereiden. Social engineering wordt zowel gebruikt om fysiek als digitaal binnen te dringen. Door de toenemende vrije beschikbaarheid van persoonlijke informatie op het internet, zoals op bijvoorbeeld sociale netwerksites, kan er meer en meer gedetailleerde informatie over personen, organisaties en situaties worden verzameld. Dit geeft een aanvaller meer mogelijkheden een nauwkeurige en gerichte aanval te ondernemen. Ook de geraadpleegde experts zien een stijging van de dreiging van social engineering. Ze maken zich zorgen over de grote hoeveelheid informatie die via sociale media wordt gedeeld.
paratuur is er geen toegang tot de op deze apparatuur aanwezige informatie. Maatregelen die fysieke diefstal of binnendringen beperken worden nauwelijks beschreven in de onderzoeken en rapporten. Hier is blijkbaar weinig aandacht voor vanuit informatiebeveiliging. De expertconsultatie levert ook hier een vergelijkbaar beeld op; de experts geven aan fysieke toegangscontrole een erg belangrijk onderdeel te vinden van informatiebeveiliging. Toch zijn ook vele experts ervan overtuigd dat de in hun organisatie aangebrachte toegangscontrole niet afdoende is om ongewenste bezoekers buiten te houden. Enige van hen geven zelfs aan dat de aangebrachte systemen vooral zijn bedoeld om te laten zien dat ze ‘iets doen’ terwijl ze weten dat de maatregelen niet toereikend zijn. CONCLUSIES
r Duidelijk is dat informatie ook door fysieke aanvallen wordt bedreigd. Diefstal van mobiele apparatuur wordt daarbij als een van de belangrijkste fysieke risico’s gezien. Het komt veel voor, veroorzaakt veel en ernstige schade. Ook wordt gezien dat dit risico toeneemt. r Opvallend is dat er desondanks in de vele onderzoeken en rapporten over informatiebeveiliging weinig tot geen aandacht is voor fysieke maatregelen om dit risico te beperken. Hoog tijd voor fysieke security managers om de aandacht voor fysieke beveiliging te verhogen en om de twee beveiligingswerelden te verbinden! ■
MAATREGELEN
In de onderzochte surveys wordt maar beperkt aandacht besteed aan maatregelen. Als belangrijkste maatregel om de risico’s van de diefstal van mobiele apparatuur te beperken wordt het encrypten van de informatie die erop staat genoemd. Deze maatregel heeft slechts een mitigerend effect, na diefstal van ap-
Johan de Wit MSSM (Solution Manager Security Solutions,Siemens Nederland). Dit artikel is het tweede van een reeks die wordt geschreven op basis van uitgevoerd onderzoek ter verkrijging van de Master Security Science & Management aan Delft Toptech (TU Delft). Commentaar, reacties en vragen kunt u sturen aan Johan.de.wit@siemens.com
13
THEMA INFORMATIEBEVEILIGING
Cyber security
7 Trends en bedreigingen Cybercrime staat hoog op de (nationale) agenda. De toenemende mediaaandacht voor digitale criminaliteit, de opening van het National Cyber Security Centrum en de stijgende budgetten voor databeveiliging geven aan dat cybercrime een harde realiteit is. En de tactieken die cybercriminelen gebruiken, veranderen met de dag. Welke bedreigingen zijn actueel en welke trends zien we daarbij? Een overzicht. tekst Dirk Geeraerts
1
TOENEMEND GEBRUIK SMARTPHONES EN TABLETS
Het zat er al langer aan te komen: de smartphone is inmiddels populairder dan de traditionele gsm. In combinatie met de tablet betekent dit, dat het makkelijker wordt om thuis of onderweg te blijven werken. Het betekent echter ook dat er meer punten komen voor toegang tot gevoelige bedrijfsdata. Dat zorgt voor potentiële gevaren wanneer de smartphone of tablet verloren raakt of gestolen wordt en daardoor in verkeerde handen terechtkomt. Dit gevaar groeit naarmate de trend van Bring Your Own Device sterker wordt. Steeds meer medewerkers gebruiken hun eigen apparatuur en dat maakt het voor een IT-afdeling steeds moeilijker om er nog controle over te houden.
2
STIJGEND GEBRUIK BREED BE-
S E C U R I T Y M A N AG E M E N T | 11 2013
3
MEER EN GEAVANCEERDERE AANVALLEN
Het karakter van cyberaanvallen verandert in twee richtingen: volume en nauwkeurigheid. Tot enkele jaren geleden waren organisaties en landen vooral bezig met het weren van hackers uit hun netwerken. Aanvallers hebben sindsdien veel geleerd en gebruiken nu bijvoorbeeld zeer gerichte social engineering-aanvallen om de beveiligingsmechanismen aan de rand van het netwerk te omzeilen. Zonder extra lagen van bescherming zijn alle data van een organisatie kwetsbaar wanneer aanvallers die mechanismen eenmaal hebben uitgeschakeld.
SCHIKBARE CLOUD-DIENSTEN
Medewerkers kunnen zo gewend raken aan cloud-diensten voor particulier gebruik, dat zij die ook voor zakelijke doeleinden willen inzetten. IT-afdelingen waarschuwen steeds vaker voor het ‘illegale’ gebruik van dergelijke particuliere cloud-diensten binnen organisaties. Het gaat dan om diensten die vaak als onvoldoende geschikt zijn aangemerkt voor zakelijk gebruik. Ze zijn
14 |
prima voor thuisgebruik, maar bieden over het algemeen niet de beveiliging die nodig is in professionele omgevingen.
4
ONTEVREDEN WERKNEMERS
Nu de economische crisis steeds meer gevolgen heeft voor individuele werknemers, komen er meer personeelsleden die ontslag krijgen of een loonsverhoging mislopen. Zij zullen niet meteen een cyberaanval uitvoeren, maar kunnen uit wrok of om financiële redenen wel besluiten om gevoelige
Cybercrime is ‘here to stay’ bedrijfsdata te lekken. Dit risico van de kwaadwillende insider is groot als we bedenken dat deze groep mensen veel makkelijker toegang heeft tot bedrijfskritische informatie dan een externe cybercrimineel. Veel bedrijven richten zich nog vooral op de buitenmuren, terwijl het ook nodig is om de toegang tot gevoelige informatie intern te beperken.
5
ACCEPTATIE VAN HACKS
Steeds meer bedrijven erkennen dat het moeilijker wordt om optimale beveiliging te realiseren. Het is een illusie te denken dat het mogelijk is om iedere cybercrimineel uit het netwerk te weren. Terwijl de organisatie nog bezig is het ene gat te dichten, heeft de crimineel alweer een nieuwe opening gevonden. Daarom is het belangrijk te erkennen dat een inbreuk vroeger of later plaatsvindt en dat het dus zaak is datgene te beschermen, wat voor een crimineel het meest interessant is: de data. Door die te versleutelen, heeft een dief er bij een eventueel geslaagde digitale diefstal helemaal niets aan en
zal hij in de toekomst wel twee keer nadenken voor hij kostbare tijd en moeite steekt in een nieuwe aanval.
6
HACKEN VAN ‘DINGEN’
Het ‘Internet of Things’ is in opkomst, wat betekent dat meer en meer apparaten (zoals auto’s, camera’s en brillen) een draadloze verbinding met het traditionele internet krijgen. Dat is goed nieuws voor gebruikers en producenten, omdat dit leidt tot allerlei nieuwe gebruiksmogelijkheden en inzicht geeft in effectief gebruik. Die verbindingen zorgen echter ook voor nieuwe kwetsbaarheden. Zo kan een hacker de besturing van een auto overnemen door met een geslaagde hack via internet toegang te krijgen tot de ingebouwde minicomputers. Het lijkt erop dat ‘thing-hacking’ een van de nieuwe wapens zal zijn in het arsenaal van de cybercrimineel.
ken, zullen die in aantal alleen nog maar toenemen. Bedenk maar eens hoeveel wachtwoorden je zelf dagelijks gebruikt. Die toename betekent dat er een groeiende markt is voor wachtwoorddiefstal. De manier om dit type digitale diefstal tegen te gaan, is multifactor-authenticatie. Daarmee krijg je alleen toegang tot een account door de combinatie van iets wat je weet (zoals een wachtwoord), met iets wat je hebt (zoals een smartphone of token) of iets wat je bent (zoals een vingerafdruk). Dit maakt het voor hackers al een stuk moeilijker om alleen met een wachtwoord toegang te krijgen tot gevoelige data. Cybercriminaliteit is ‘here to stay’. Dat betekent dat elke organisatie altijd alert moet zijn en haar digitale bedrijfsmiddelen even nauwgezet en effectief moet beschermen als haar fysieke. ■ Dirk Geeraerts, Sales Director Benelux bij
7
SafeNet
WACHTWOORDCHAOS
Ondanks toenemende irritatie bij gebruikers over het toenemend aantal wachtwoorden dat ze moeten gebrui-
15
THEMA INFORMATIEBEVEILIGING
Het belang van goed gedefinieerde beveiligingsprincipes
De werelden van IT en beveiliging groeien naar elkaar toe. Daardoor worden er steeds zwaardere eisen gesteld aan de beveiliging van beveiligingssystemen. Dat is waarom bewezen principes die zijn afgeleid van IT steeds vaker in de beveiligingsindustrie worden toegepast. tekst Albert Dercksen
16 |
S E C U R I T Y M A N AG E M E N T | 11 2013
B
eveiliging wordt vaak gezien als een aanbesteding die simpelweg nodig is en nu eenmaal gedaan moet worden. Een uitgave in plaats van een investering. En om die reden vaak onderschat en ondergewaardeerd. Gevolg is dat veel bedrijven pas laat nadenken over hoe de exacte beveiligingsoplossing die zij dienen te implementeren eruit moet zien. Hetzelfde geldt voor andere takken binnen organisaties, zoals IT. Daarom zijn er voor verschillende disciplines ‘principes’ ontwikkeld op basis waarvan besluiten in aankoopprocessen gedaan kunnen worden. Deze principes zijn afgeleid van ‘best practices’ en bieden richtlijnen aan beslissers en installateurs van bedrijfsaanbestedingen. Deze principes verplichten stakeholders om doelen te formuleren en het project al in een vroege fase te definiëren. Om die reden dienen principes als een houvast gedurende het gehele aanbestedingsproces en de implementatie van de gekozen oplossing. ZWAARDERE EISEN
Doordat de werelden van IT en beveiliging naar elkaar toe groeien, door onderwerpen als globalisering en het nieuwe werken en door recente technologische ontwikkelingen, worden er steeds zwaardere eisen gesteld aan de beveiliging van beveiligingssystemen. Dat is waarom bewezen principes die zijn afgeleid van IT steeds vaker in de beveiligingsindustrie worden toegepast. Deze verkregen beveiligingsprincipes worden gedefinieerd als de verzameling van gewenste systeemeigenschappen, gedrag, ontwerp en implementatiewerkwijzen die de kans op bedreigingen en bijbehorende impact, indien zich een bedreiging voordoet, pogen te verkleinen. Beveiligingsprincipes bieden hulp bij het opstellen van eisen, het maken van beslissingen ten aanzien van beveiligingsarchitectuur en implementatie en het ontdekken van mogelijke zwakheden in het systeem (o.a. OWASP). Deze principes ondersteunen beslissers in de wereld van beveiliging om kritisch na te denken over hoe een veilige omgeving gecreëerd kan worden, meteen vanaf het moment dat er een behoefte aan een beveiligingsoplossing wordt geïdentificeerd. Ze dwingen aanbesteders om kritisch te zijn en constant
de genomen beslissingen te verifiëren gedurende het gehele aankoopproces en de implementatie van beveiligingsmaatregelen. BEWEZEN PRINCIPES IN IT-BEVEILIGING
De volgende principes van IT-beveiliging kunnen van toepassing zijn op de selectie en implementatie van fysieke beveiligingsoplossingen, afhankelijk van het type systeem. Pas verdediging in de diepte toe Er dienen meerdere, gelaagde beveiligingsmaatregelen genomen te worden. Niemand mag vertrouwen op één enkel punt van bescherming, publieke toegang tot een beveiligingssysteem moet geïsoleerd zijn van kritische systeemfactoren en fysieke en logische oplossingen moeten zijn gecombineerd. Pas een positief beveiligingsmodel toe In plaats van een zogenoemde “zwarte lijst” te gebruiken, is een witte lijst vereist om gecontroleerde toegang te garanderen. Dit dient gecombineerd te worden met foutvoorkomende standaardinstellingen en minimale aanvalsoppervlakken, zoals het gebruik van voorgedefinieerde opties in plaats van vrije velden voor het invoeren van data. Implementeer een beleid dat het voorkomen van fouten garandeert Zorg ervoor dat alle componenten in een systeem zo min mogelijk privileges hebben. De componenten van een systeem mogen niet meer functionaliteiten bezitten dan strikt noodzakelijk voor het uitvoeren van taken. Alle componenten mogen bijvoorbeeld toegang hebben tot benodigde tabellen in haar eigen database, maar niet tot alle tabellen of tot andere databases. Dit om ongeautoriseerde toegang uit te sluiten. Vermijd beveiliging door onduidelijkheid In een goed ontworpen cryptografisch systeem mogen alleen de sleutels geheim zijn, terwijl alle algoritmes niet verborgen mogen zijn. Om die reden moeten verifieerbare en economisch verantwoorde mecha-
BEVEILIGINGSPRINCIPES BIEDEN HULP BIJ HET OPSTELLEN VAN EISEN 17
Beste beeldweergave Slimme oplossingen
Slimme oplossingen voor dagelijkse IP-videobewaking.
EEN BEVEILIGINGSSYSTEEM ALS GEHEEL DIENT VEILIG TE ZIJN nismes gebruikt worden. En de inspanningen en investeringen moeten opwegen tegen het verkregen niveau van beveiliging. Detecteer inbraken Zorg ervoor dat alle relevante informatie gelogd is, zodat gereageerd kan worden op inbraken zodra ze plaatsvinden. Implementeer daarnaast procedures voor consequent monitoren en het reageren op gebeurtenissen. Vertrouw infrastructuren en dienstverleningen nooit zomaar Omdat elke externe aanbesteding binnen het beleid van de specifieke organisatie moet passen, is verificatie altijd vereist. Om dezelfde reden zouden alle externe systemen voorzichtig behandeld moeten worden en altijd volgens dezelfde standaarden. Stel veilige standaardinstellingen vast Beveiliging mag nooit in gevaar komen door gebruiksvriendelijkheid. Veiligheidsmaatregelen moeten standaard zo hoog mogelijk zijn en het systeem moet dit afdwingen. Tegelijkertijd moet het specifieke gebruikers zijn toegestaan om uitzonderingen te maken, wanneer nodig. Ook dit moet geregeld worden door het systeem. Houd het simpel Terwijl veiligheid nooit onder druk mag komen te staan door gebruiksvriendelijkheid, zal complexiteit beveiliging juist in gevaar brengen. Daarom dienen beveiliging en het complexiteitsniveau – bepaald door gebruiksvriendelijkheid, systeemarchitectuur en mogelijke integraties – in balans te zijn. Een te complex systeem resulteert in te veel afhankelijkheden en dat zal beveiliging in gevaar brengen.
De missie van het systeem moet een aanval overleven Niet elk van de verschillende componenten hoeft een aanval te overleven. Dat wil zeggen: een beveiligingssysteem als geheel dient veilig te zijn, niet elk afzonderlijke onderdeel op zich.
BEVEILIGINGSPRINCIPES TOEPASSEN
Beveiligingsprincipes voegen waarde toe wanneer zij worden geëvalueerd, geïnterpreteerd en toegepast om specifieke problemen te adresseren. Door elk principe te evalueren en te interpreteren worden veel van de bedreigingen voor een beveiligingssysteem ontdekt en kan uiteindelijk een set van beveiligingseisen worden afgeleid. Doel is een complete lijst in kaart te brengen die bestaat uit benodigdheden om een dienst op een veilige manier aan te bieden. Deze complete lijst met vereisten is toegespitst op het probleem dat opgelost dient te worden, namelijk de specifieke beveiligingsdoelstelling. PRINCIPES VOOR ONTWIKKELING
Vanuit een fabrikantperspectief ervaren we dat het toepassen van beveiligingsprincipes niet beperkt moet zijn tot productselectie en implementatie. We passen ze namelijk succesvol toe gedurende de gehele cyclus van productontwikkeling. Het is onze taak ervoor te zorgen dat klanten beveiligingsoplossingen implementeren die tegemoet komen aan hun wensen en eisen, lokale wetten en budget. Vanuit dit perspectief zetten we beveiligingsprincipes in om onze klanten in staat te stellen hun uiteindelijke doelstellingen te behalen; een veilige omgeving te creëren en mensen te volgen en traceren die voet zetten in hun organisatie. De grote uitdaging voor leveranciers van beveiligingsproducten is dat zij oplossingen moeten aanbieden voor veel diverse, soms zelfs tegenstrijdige, eisen van hun klanten. De vraag om commerciële, kant en klare beveiligingsproducten dwingt deze leveranciers om functierijke producten te leveren die aan een breed scala beveiligingsdoelstellingen tegemoet komen. De enige manier om dit op een juiste manier te bereiken, is door producten aan te bieden die uiterst configureerbaar en aanpasbaar zijn. Echter, dit heeft vaak gevolgen voor de beveiliging van het systeem. En daarom is het essentieel dat goed gedefinieerde beveiligingsprincipes inherent zijn aan de ontwikkeling van beveiligingssystemen. ■ Albert Dercksen, R&D director bij Nedap Security Management
19
THEMA INFORMATIEBEVEILIGING
OPLOSSINGEN IB OOK TOEPASBAAR OP TOEGANGSBEVEILIGING Beveiligingssystemen zijn tegenwoordig een integraal onderdeel van het bestaande ICT-netwerk. Oplossingen die in eerste instantie zijn gecreëerd voor netwerkbeveiliging en informatiebeveiliging kunnen daardoor steeds vaker ook worden toegepast op fysieke beveiliging. Zodoende kan de veiligheid optimaal worden gegarandeerd. tekst Arnout van der Vorst
20 |
S E C U R I T Y M A N AG E M E N T | 11 2013
E
en gemeente in de provincie Utrecht heeft voor het stadhuis met een twintigtal verschillende toegangslocaties (zoals fietsenkelder, serverruimte) een toegangscontrolesysteem geïnstalleerd. Medewerkers van deze gemeente gebruiken een DESFire toegangspas om toegang te krijgen tot de locaties waarvoor zij bevoegd zijn. De passen zijn gepersonaliseerd met logo, naam en foto van de medewerker. USER LIFE-CYCLE
De in-, door- en uitstroom van medewerkers heeft gevolgen voor dit systeem voor toegangscontrole. Nieuwe medewerkers moeten meteen de juiste toegang tot het pand of delen daarvan krijgen en het omgekeerde geldt voor vertrekkende medewerkers. Bij veel organisaties is het beheer van de life-cycle van medewerkers een handmatig proces. Zo was dat ook het geval bij deze gemeente. Om het systeem voor toegangscontrole up-to-date te houden wanneer bijvoorbeeld een contract van een ambtenaar eindigde, werd van het HR-systeem PIMS een CSV-bestand uitgelezen en per notificatie e-mail gestuurd naar de afdeling Facilitair. Deze verdeelde de opdracht vervolgens onder de ITbeheerders en applicatiebeheerder van het toegangscontrolesysteem. De applicatiebeheerder zorgde er op zijn beurt voor dat de toegangspas van de vertrek-
kende medewerker op de juiste datum werd gedeactiveerd. AUTO PROVISIONING
Omdat deze procedure veel handmatige acties vereiste en omdat er veel afdelingen bij waren betrokken, zat er vaak veel tijd tussen de mutatie van de medewerker (uitstroom of doorstroom) en de benodigde actie in het toegansgcontrolesysteem. Daarom besloot de gemeente deze procedure te automatiseren met Identity Management software. Deze software werd tenslotte al ingezet om netwerkaccounts voor medewerkers te beheren, zodat informatiebeveiliging gegarandeerd kon worden. Met de Identity Management software worden wijzigingen in het HR-systeem (in/uit dienst, functiewijzigingen, wijzigingen in contactgegevens) direct en foutloos doorgevoerd in het netwerk. Daardoor is op de eerste werkdag van een medewerker het user account aangemaakt met de juiste security-instellingen conform het functieprofiel en aanwezig op alle platformen en applicaties die binnen de gemeente aanwezig zijn. Merijn Snikkers, als implementatieconsultant van Tools4ever betrokken bij het project: “Naast de koppeling tussen het HR-systeem PIMS en het netwerk, werd nu ook een bi-directionele koppeling gemaakt tussen het HR-systeem en het toegangscontrolesysteem. Die koppeling zorgt voor synchronisatie van de gegevens tussen beide systemen.
RBAC ook ingezet voor fysieke toegangscontrole
Merijn Snikkers: “Naast de koppeling tussen het HR-systeem PIMS en het netwerk, werd nu ook een bi-directionele koppeling gemaakt tussen het HR-systeem en het toegangscontrolesysteem.”
Een wijziging in PIMS leidt dus naast een actie in het netwerk ook per direct tot een actie in het toegangscontrolesysteem. Bijvoorbeeld, wanneer een nieuwe medewerker wordt opgevoerd in het personeelssysteem zorgt de software ervoor dat de gebruiker ook in het toegangssysteem wordt aangemaakt. Daarnaast worden toegangspassen tijdig afgesloten wanneer het contract van een medewerker eindigt.” Wanneer organisaties niet afhankelijk willen zijn van de informatie uit het HR-systeem is het mogelijk om een zogenaamde noodprocedure in te bouwen. “Een manager kan bijvoorbeeld via een portal per direct een medewerker en zijn toegangspas deactiveren en de toegang per direct ontzeggen of juist open zetten”, aldus Snikkers. SMOELENBOEK
Naast het automatisch beheren van de gehele life-cycle van een medewerker en het activeren en blokkeren van toegangspassen, kan de Identity Management software informatie uit het toegangscontrolesysteem halen. Daardoor kunnen passen toegekend worden aan een Active Directory gebruiker. En kan informatie over de fysieke aan- of afwezigheid van een medewerker real-
time worden verwerkt in bijvoorbeeld een online smoelenboek. Zo kunnen medewerkers van elkaar zien of hij/zij aanwezig is en indien gewenst op welke locatie de medewerker zich bevindt. ROLE BASED ACCESS CONTROL
De Identity Management software biedt nog meer functionaliteiten die vooral te maken hebben met het toekennen van autorisaties/rechten. Veel organisatie zijn stappen aan het maken met Role Based Access Control (RBAC), ofwel het toekennen van autorisaties op basis van functie en rol. RBAC geeft aan welke resources in het netwerk voor een medewerker beschikbaar zijn, in relatie tot de rol die een medewerker in de organisatie vervult. Bij de invoering van RBAC worden op basis van de gegevens in het personeelssysteem (functie, afdeling, locatie en kostenplaats) rollen gedefinieerd. Naast toegang tot het netwerk kan RBAC echter ook ingezet worden voor fysieke toegangscontrole. Snikkers: “Wanneer alle gegevens van medewerkers in kaart zijn gebracht in een zogenaamde RBAC-matrix, kan deze informatie worden uitgelezen door de Identity Management software en kunnen naast netwerkrechten ook
autorisaties voor fysieke locaties automatisch worden toegevoegd aan een account. Wanneer een medewerker op de helpdesk bijvoorbeeld een functie krijgt op de afdeling IT-beheer, krijgt hij automatisch toegang tot de serverruimte omdat deze autorisatie voor deze functie is bepaald in de RBAC-matrix. De autorisaties die de medewerker niet langer nodig heeft, worden automatisch ingenomen.” Het implementeren van RBAC is een complex proces. Het startpunt is het inventariseren van alle in de organisatie aanwezige applicaties, afdelingen, functies, rollen en rechten binnen een rol en functie. Al deze informatie wordt gebruikt om zogenaamde basisrollen in te richten, waarmee de handmatige toekenning door ICT vervangen kan worden. Bij indiensttreding of functiewijziging raadpleegt de IAM-software de RBAC tabel voor de bij een rol behorende autorisaties. De software kent de autorisaties direct toe of kan deze ter verdere aanvulling de goedkeuring voorleggen aan de juiste manager bijvoorbeeld met behulp van een workflow management portal. ■ Arnout van der Vorst is Managing Consultant bij Tools4ever
21
THEMA INFORMATIEBEVEILIGING
Informatieveiligheid: dat doe je samen De meeste opdrachtgevende organisaties worden volwassener met de tijd – soms door schade en schande wijs geworden. Een toenemend aantal, ook wat kleinere organisaties heeft een security officer. Maar in bijna alle gevallen heeft deze functionaris geen eigen budget en is ondergebracht bij de afdeling Automatisering. tekst Hans Labruyère
22 |
S E C U R I T Y M A N AG E M E N T | 11 2013
D
agelijks heeft een security officer te maken met een organisatie die het onderwerp liever ziet gaan dan komen. Dat het moet, maakt nog niet dat men ook wil... JE WEET NIET WAT JE NIET WEET (EN WILT...)
Het is dan ook geen wonder dat de laag net onder dat management in veel gevallen informatiebeveiliging vooral doet omdat het moet. Maatregelen kosten geld. Naleven van maatregelen is negatief, dus dat willen we niet benadrukken. Bovendien: IT lost het wel op. Not My Problem. Medewerkers op de werkvloer hebben een andere rol: zij staan dicht bij de risico’s van alledag en hebben vaak best inzicht in ‘hun stukje van de taart’, maar missen het totaal overzicht. Bovendien is ‘er altijd wel iemand die dit probleem voor me oplost’ of is er is altijd wel iemand die niet wil meewerken’. Not My Problem. Als leverancier zien we dat klanten onze producten afnemen, maar er in de praktijk onvoldoende mee doen: één element van informatiebeveiliging wordt ingevuld – maar een aantal andere blijft liggen. Een penetratietest wordt eens per jaar uitgevoerd. De rapportage gaat naar de Automatisering. De aangetroffen kwetsbaarheden worden besproken met Applicatiebeheer en Infra, en opgelost met de eerstvolgende change. De proceseigenaar is van dit alles niet op de hoogte: haar of zijn proces draait
goed, de problemen die er zijn worden belegd waar ze thuishoren. Not My Problem. Maar ook Automatisering weet niet wat ze niet weet: deze afdeling heeft niet het totaal overzicht wat de proceseigenaar wel heeft. Kan niet inschatten wanneer een risico een dreiging wordt. Levert geen input over niet-ICT zaken. En zo wordt het proces Onbewust-Onbekwaam… INTEGRAAL
Wat zou het heerlijk zijn als opdrachtgevers en leveranciers op basis van een integrale beveiligingsoplossing met elkaar konden praten over dit soort onderwerpen. Wat zou het fijn zijn als je een volwassen relatie met een leveranciers hebt die is gebaseerd op jouw beveiligingsdoelstellingen, op jouw bedrijfscontinuïteit, op jouw dreigingen en risico’s. En niet op diensten van de leveranciers. Wat zou het fijn zijn als je een leverancier had die informatiebeveiliging voor je uit handen neemt – omdat je zelf de capaciteit daarvoor niet hebt, en omdat je weet dat het totale spectrum van bescherming van informatie in goede handen is… HAALBAAR
Een dergelijke service zou verschillende elementen moeten hebben. Natuurlijk moet er beleid zijn, met bijbehorende plannen. Er moet communicatie zijn, het beleid moet worden gecontroleerd, en eventueel bijgesteld.
Integrale veiligheid wordt ook voor kleinere organisaties een haalbaar begrip
(Nul)metingen en toetsen op verschillende vlakken horen er natuurlijk bij: op het gebied van Techniek met behulp van audits en/of pentesten, van Organisatie met behulp van audits, workshops en kennis overdracht, en de factor Mens door middel van interviews, peilingen, vooropgezette incidenten, workshops en bijeenkomsten. Natuurlijk moet het meetbaar zijn. Je wilt weten wat het oplevert. En als je op een dergelijke manier met je leveranciers in gesprek kunt gaan, krijg je een heel andere relatie met een ander resultaat. Dan wordt ‘integrale veiligheid’ ineens ook voor kleinere organisaties een haalbaar begrip – in plaats van een ver-weg onderwerp op een congres... WONEN
Stel je veiligheid voor in je privésituatie: wat is veiligheid voor jou? Op je gemak in je lekkere stoel, thuis, in een huis dat de regen en de wind buitenhoudt. Een huis dat voldoet aan jouw eisen qua veiligheid. Voor de één zal dat een fijn klein houten huisje zijn, voor de ander een bunker met alles erop & eraan. Waar het hier om gaat, is dat je jouw veiligheidshuis voor je ziet. Als je dat voor je ziet, zul je beseffen dat er een plan moet komen om het huis te bouwen volgens jouw ideeën en eisen. Je kunt niet gewoon stenen
op elkaar gaan stapelen. Hoe eenvoudig je huis ook is: er moet fundering komen. Je kunt niet zonder logistiek: wanneer heb je wat nodig en wie zorgt daarvoor tegen welke investering? En goede mensen heb nodig: vaklui die je om een boodschap kunt sturen. En dat gaat niet over geld: dat gaat over vertrouwen. ANDERS
De service doet ongeveer het bovenstaande. In plaats van losse producten te leveren aan de security officer of het hoofd ICT gaan we in gesprek met de hele organisatie over integrale veiligheid. Vervolgens leveren we diensten die noodzakelijk zijn om de beveiligingsdoelen te behalen. Zo veel en zo vaak als nodig. Niets nieuws maar we doen het anders. Anders omdat het uitgangspunt anders is: het gaat onze klant niet om het verkrijgen van één dienst of product, het gaat onze klant vooral om continuïteit. En ook continuïteit in veiligheid. Het is hier niet relevant of de penetratietest een of drie keer wordt uitgevoerd: het gaat om het beoogde resultaat. Dat hoeft niet duurder te zijn: ik hoef in dit voorbeeld niet voor elke pentest een intake te doen, en ook niet steeds een uitgebreide rapportage op te leveren: het gaat immers niet om een dik rapport maar om het
behalen van jouw beveiligingsdoelstellingen. Samen besparen we daarmee kosten. Oude wijn in een nieuwe zak, zie ik je denken. Maar die biedt wat de andere zakken tot nu toe aan jou niet konden bieden: zorgeloosheid, voorspelbaarheid, zekerheid. Tegen vaste inspanning, voorzien van commitment op de juiste plaatsen en met een meetbaar resultaat. VOORBEELD
Nog een voorbeeld. Een grote internetwinkel die diensten en producten van derden verkoopt heeft maar drie beveiligingsdoelstellingen: (1) de website moet beschikbaar blijven,(2) de wetgeving moet worden gerespecteerd en (3) privacyregels voor personeel en cliënten mogen niet worden geschonden. Alle andere informatiebeveiligingsincidenten kunnen ze dragen als het ze overkomt.... Nadat die doelstellingen zijn gedefinieerd en geformaliseerd, schrijven we een Plan van Aanpak, gebaseerd op die specifieke organisatie. Vervolgens gaan we samen aan de slag. Want veiligheid, dat doe je niet alleen. Dat kan alleen maar samen. ■ Hans Labruyère is directeur van LBVD
23
THEMA INFORMATIEBEVEILIGING
IB in het MKB Ook MKB-bedrijven zijn in hoge mate afhankelijk van hun informatiesystemen. Daarom is het belangrijk om voor deze sector te onderzoeken of zij hun cyber security onder controle hebben. tekst Frits Roelfsema en Marcel Spruit
I
n dit artikel willen wij de volgende vragen beantwoorden: Wat zijn de belangrijkste incidenten waardoor MKB-bedrijven worden getroffen? Welke maatregelen hebben bedrijven getroffen om deze risico’s te beheersen? Zijn deze maatregelen effectief? Wat adviseren wij MKB-bedrijven op het gebied van cyber security? De antwoorden op deze vragen zijn ook relevant voor
24 |
S E C U R I T Y M A N AG E M E N T | 11 2013
security managers die werkzaam zijn bij bedrijven die tot het MKB worden gerekend. Immers, de verantwoordelijkheid voor informatiebeveiliging zit vaak in hun takenpakket. BELANGRIJKSTE INCIDENTEN
(Stroom)storingen, diefstal, inbraak, phishing, infecties door malware, defecten aan de infrastruc-
tuur, aanvallen van buitenaf, en diefstal van gegevens door personeel of ketenpartners/concurrenten worden door MKB-bedrijven in diverse onderzoeken genoemd als de belangrijkste incidenten waardoor zij worden getroffen. Een klein deel van de bedrijven geeft aan nooit incidenten meegemaakt te hebben. In een recent onderzoek in de bouwsector gaven MKB-ondernemers de volgende incidenten aan:
Spam Malware/Virus Diefstal Phishing Spookfacturen Privacy Hackers (Stroom)storingen Gegevensverlies Niet ingevuld Totaal
Aantal 10 12 8 8 6 5 7 6 6 16 84
Bij een belangrijk deel van grote MKB-bedrijven wordt cyber security ingericht op basis van best practices, zoals standaarden van de ISO 27000 serie. Deze best practices beschrijven de stappen die in het kader van cyber security zouden moeten worden genomen. In de praktijk neemt niet elke organisatie deze stappen.
Percentage (%) 11,9 14,3 9,5 9,5 7,1 6,0 8,3 7,1 7,1 19,0 100,0
MAATREGELEN
r Om goed op een stroomstoring te kunnen reageren, wordt er een noodstroomvoorziening aangelegd. r Om gegevensverlies zoveel mogelijk te voorkomen, wordt gebruik gemaakt van wachtwoorden en worden regelmatig back-ups gemaakt. r Met het installeren van speciale software wordt geprobeerd infecties door malware te voorkomen. r De digitale ‘voordeur’ wordt dichtgehouden door installatie van een firewall. r Veel bedrijven trainen hun medewerkers om ze risicobewust te maken. r Door een deel van de MKB-bedrijven wordt aan fysieke toegangsbeveiliging gedaan. r Soms worden er in arbeidscontracten voorwaarden opgenomen om het meenemen van gevoelige bedrijfsinformatie tegen te gaan.
Figuur 1. Stappen die in het kader van cyber security door bedrijven genomen moeten worden. (Bron: I. de Koning, 2012 Risicomanagement van informatiesystemen in het MKB). GETROFFEN MAATREGELEN EFFECTIEF?
Het lijkt erop dat in de praktijk de getroffen maatregelen onvoldoende effectief zijn, omdat het aantal gemelde incidenten blijft toenemen. We moeten hierbij wel de kanttekeningen maken dat de hoeveelheid IT die wordt toegepast sterk is gegroeid, hetgeen in absolute zin tot meer incidenten zal leiden. Daarnaast blijkt uit verschillende onderzoeken dat bedrijven die meer maatregelen nemen om de informatiebeveiliging te verbeteren meer incidenten melden. In het onderzoek in de bouwsector is het volgende verband geconstateerd.
25
THEMA INFORMATIEBEVEILIGING
DE RISICO’S EN DE TE NEMEN MAATREGELEN MOETEN IN BALANS ZIJN
teveel gehinderd door de (overbodige) maatregelen. De risico’s die het bedrijf kan en wil lopen en de te nemen maatregelen moeten in balans zijn.
Figuur 2. Verband tussen cyber security niveau en de frequentie van cyberincidenten (n = 24). (Bron: R. van Eijk, 2013 Cyber security in het MKB). Veel MKB-bedrijven besteden IT uit, omdat zij over onvoldoende deskundigheid beschikken. Deze bedrijven geven bij onderzoeken aan dat zij geen beveiligingsmaatregelen nemen, maar doen dit indirect omdat de IT-dienstverlener wel maatregelen zal nemen. Hierover moeten dan wel goede afspraken met de leverancier worden gemaakt. De eigen medewerkers, de IT-gebruikers, blijven in de organisatie achter en voor het veilig werken van deze mensen is cyber security ook verantwoordelijk. Een deel van de cyber security blijft dus bij de organisatie zitten. De kwetsbaarheid van IT-systemen wordt verder vaak veroorzaakt door fouten in de gebruikte software. De genomen maatregelen zijn dan ook niet effectief. Bij implementatie van nieuwe IT-ontwikkelingen werken de maatregelen vaak ook niet meer. MKB-bedrijven kunnen moeilijk maatregelen nemen tegen onzichtbare risico’s, waardoor de kans op incidenten groter zal worden.
In de praktijk kan hiervoor gebruik worden gemaakt van modellen en internationale standaarden. Dit zijn hulpmiddelen om het risicobeleid te ondersteunen. De stappen die moeten worden genomen, zijn hiervoor genoemd. Het werken met de bestaande modellen is voor MKBbedrijven veelal te bureaucratisch en te gedetailleerd. Bovendien kost het teveel tijd en geld. Er is een light versie nodig voor het MKB die goed aansluit bij de bestaande werkwijze in de organisatie. De informatiekwaliteit is afhankelijk van de beschikbaarheid, integriteit en continuïteit van de informatie. Voor elke MKB-ondernemer kan de nadruk van deze kwaliteitsbegrippen op een ander niveau liggen. Voor de ene onderneming is beschikbaarheid belangrijk, bijvoorbeeld een groothandel die online zijn producten verkoopt, en voor de andere onderneming is de integriteit belangrijker. Dit laatste geldt bijvoorbeeld voor een advocatenkantoor. Het is belangrijk dat bedrijven zorgen voor risico awareness in de organisatie en een aantal van de volgende beveiligingsmaatregelen toepassen:
IN BALANS
Bedrijven en organisaties die de risico’s op het gebruik van digitale informatiesystemen willen beheersen, moeten daarvoor in risico’s denken. Onacceptabele risico’s moeten direct worden aangepakt. Maar hierin moet niet te enthousiast worden doorgeschoten. De organisatieprocessen worden dan
26 |
S E C U R I T Y M A N AG E M E N T | 11 2013
Frits Roelfsema MSc, onderzoeker bij het lectoraat Cyber Security & Safety en programmaleider Cyber Security Management bij De Haagse Hogeschool, f.j.roelfsema@hhs.nl
Dr. Marcel Spruit, lector van het lectoraat Cyber Security& Safety van De Haagse Hogeschool.
COLUMN
NAAR EEN HOGER NIVEAU VAN CYBER SECURITY!
D
e afgelopen jaren hebben ons steeds meer zicht gegeven op de dreigingen in het digitale domein. Daarbij is er ook sprake van nieuwe uitdagingen. Ons dagelijkse leven is immers in toenemende mate verweven met het digitale domein. Daarom zal er voortdurend moeten worden gezocht naar een goede wisselwerking tussen veiligheid, vrijheid en maatschappelijke groei. Dit vraagt iets van ons allemaal. Van de overheid, van het bedrijfsleven én van ICT-gebruikers thuis. Om in een snel veranderende digitale wereld bij te blijven is er onverminderd noodzaak om gezamenlijke inspanningen te leveren om Nederland digitaal veilig te houden. De eerste Nationale Cyber Security Strategie legde daarvoor het fundament. Met de tweede editie die eerder deze maand is verschenen wordt dit verder uitgebouwd en versterkt. De menselijke component is en blijft juist bij cyber security de kritieke factor. Te vaak moeten we constateren dat op veel plaatsen in de samenleving nog een schrijnend gebrek aan bewustzijn voor de eigen en andermans digitale veiligheid bestaat. Daarom hebben zowel bedrijfsleven als overheid eerder deze maand met succes de handen in elkaar geslagen in de campagne Alert Online, waarbij er een sterke impuls is gegeven aan het cyber security bewustzijn in Nederland. Daarnaast is het zaak om de blik blijvend vooruit te richten om Nederland leidend te laten zijn op het terrein van cyber security. In de afgelopen jaren hebben we dat o.a. laten zien door een sterke publiek-private samenwerking. Maar ook met de totstandkoming van de leidraad responsible disclosure en het betrekken van de community van ethische hackers is Nederland wereldwijd toonaangevend. De nieuwe strategie gaat door op die weg. We maken de beweging van PPS naar PPP, oftewel van Partnership en samenwerken naar Participatie. Dat betekent dat we wederzijds meer van elkaar mogen verwachten en elkaar ook mogen aanspreken op het realiseren van concrete resultaten. Dat vraagt uiteraard een stevig commitment van de overheid. Daar waar dat nodig is zal de overheid meer sturend optreden en de eigen capaciteiten versterken. Ook zal ingezet worden op betere risico-analyses, veiligheidseisen en informatiedeling. Juist om daar waar nodig een bijdrage te kunnen leveren aan de digitale veiligheid van ons land. Tot slot zal ingezet worden op de Taskforce Cyber Security Onderwijs om ervoor te zorgen dat Nederland nu en in de toekomst kan beschikken over opgeleide mensen, van elementaire ICT gebruikers tot aan hoogwaardige professionals. Dergelijke investeringen en keuzes vereisen awareness op het hoogste niveau in de organisatie. Cyber security is integraal onderdeel van het bedrijfsproces. Daarom is het van belang elkaar in die boardroom aan te spreken op resultaten en de weg naar participatie te kiezen. Zo bereiken we het gewenste niveau van cyber security. ■
WIL VAN GEMERT IS DIRECTEUR CYBER SECURITY VAN DE NATIONAAL COÖRDINATOR TERRORISMEBESTRIJDING EN VEILIGHEID (NCTV) EN KEYNOTE SPREKER TIJDENS HET SECURITY MANAGEMENT CONGRES OP 28 NOVEMBER.
WE MAKEN DE BEWEGING VAN PPS NAAR PPP
27
PARTICULIERE RECHERCHE
De pilot Gezamenlijke aanpak horizontale fraude waarin politie, Openbaar Ministerie en particuliere onderzoeksbureaus samenwerkten, krijgt een vervolg. Dat zei staatssecretaris Fred Teeven van Veiligheid & Justitie op 11 oktober op een bijeenkomst van de Nederlandse Veiligheidsbranche. tekst Arjen de Kort
“Wordt vervolgd” “We zijn op de goede weg”, hield staatssecretaris Fred Teeven zijn gehoor van particulier onderzoekers voor op een bijeenkomst van de sectie POB van de Nederlandse Veiligheidsbranche op 11 oktober jl. in de Caballero Fabriek in Den Haag, waar het evaluatierapport “Samen opgespoord?” werd gepresenteerd. En met een knipoog naar de historische omgeving van de voormalige sigarettenfabriek citeerde Teeven de dichter Levi Weemoedt: “Ik zag een cursus stop
met roken, en heb er veel van opgestoken.” Waarbij dat laatste wat hem betreft zeker op de pilot betrekking had. Zo was voor hem een positieve opsteker dat de pilot ervoor had gezorgd dat het traditionele wij-zij denken tussen justitie en onderzoeksbureaus was omgebogen naar echte publiek-private samenwerking. “Er is nu sprake van bekend maakt bemind”, aldus Teeven. Maar hij stelde ook vast dat het feit dat er veel minder zaken in de pilot zijn behandeld dan verwacht, wat hem betreft een teleurstellend resultaat is, waardoor de validiteit van de pilot enigszins onder druk staat. Daar tegenover staat dan wel weer een hoger afhandelingspercentage van de ingebrachte zaken dankzij het voorwerk van de onderzoeksbureaus. Al met al toonde de staatssecretaris zich dan ook gematigd positief over de resultaten van de pilot en zag hij voldoende aanknopingspunten voor een vervolg om de mogelijkheden van de samenwerking op het terrein van fraude verder te onderzoeken. Daarin zal dan wel moeten worden gekeken naar verbreding, zowel wat betreft de soorten fraude als het aantal politieregio’s. In een reactie toonde Arie Duijndam, voorzitter van de sectie POB zich zeer verheugd over deze beslissing van de staatssecretaris om de samenwerking te vervolgen.
Staatssecretaris Fred Teeven (Veiligheid & Justitie): “Er is nu sprake van bekend maakt bemind.” (Foto: Henk de Graaf)
28 |
S E C U R I T Y M A N AG E M E N T | 11 2013
NATIONAAL NIVEAU
Frans Heeres, politiechef Oost-Brabant bij de Nationale Politie toonde zich namens de politie ook positief
Conclusies Peter Wilms van Ape onderzoek & advies presenteerde de belangrijkste conclusies uit het eindrapport. Centrale vraag Welke bijdrage kunnen POB’s leveren aan de opsporing en vervolging van fraude in de pilotcategorieën?
Frans Heeres (politiechef Oost-Brabant bij de Nationale Politie) wil tot goede afspraken komen met de branche als het gaat om informatie-uitwisseling tussen politie en onderzoeksbureaus. (Foto: Henk de Graaf)
over de opgedane ervaringen met de pilot en was dan ook blij met de beslissing van de staatssecretaris voor een vervolg. Daarin zou Heeres graag tot goede afspraken willen komen met de branche als het gaat om informatie-uitwisseling tussen politie en onderzoeksbureaus. Wat hem betreft is dit in het kader van de nieuwe Wet Politiegegevens zeker mogelijk, mits dit zorgvuldig gebeurt. Tevens liet Heeres weten dat het vervolg van de pilot binnen de politie anders zal worden georganiseerd. Daar waar de eerste pilot op regionaal niveau is opgepakt, zal het vervolg op nationaal en strategisch niveau worden opgepakt. ■
Pilot gezamenlijke aanpak horizontale fraude ■ De proef vond plaats in vier politieregio’s en richtte zich op een beperkt aantal delicten in de periode van 1 mei 2012 tot 30 april 2013. ■ Er deden negen onderzoeksbureaus met een keurmerk van de Nederlandse Veiligheidsbranche mee. ■ De focus lag specifiek op de bestrijding van horizontale fraude, zoals ladingdiefstal, phishing, heling en diefstal bij bedrijven door het eigen personeel.
Kwantitatief De resultaten van de pilot wijzen in de richting van een bescheiden kwantitatieve bijdrage door POB’s (in termen van aantal zaken). ■ Vooraf bestond de verwachting dat pilot zou leiden tot een groot aantal onderzoeksrapportages van POB’s. Deze verwachting is niet bewaarheid. ■ Doelstelling was om 20 zaken in de pilot te behandelen; uiteindelijk zijn in de pilot 10 zaken aangegeven met de ‘juiste delict/regio’ combinatie. ■ Onderzoeksresultaten tonen aan dat zowel aangifte- als afhandelingspercentage substantieel hoger was tijdens de pilot dan in de periode daarvoor. Het aangiftepercentage steeg van 25 naar 73 procent; het afhandelingspercentage ging van 42 naar 60 procent. Kwalitatief De onderzoeken van POB’s hebben toegevoegde waarde voor de politie bij de opsporing en vervolging. De meerwaarde en de kwaliteit van de onderzoeken van POB’s kan worden vergroot door verdere institutionalisering van de samenwerking. ■ POB’s krijgen niet standaard terugkoppeling van de politie over de kwaliteit van hun onderzoeksrapportage. ■ Een vast aanspreekpunt bij de politie lijkt te hebben gewerkt. ■ De waarde van de onderzoeken van POB’s kent zijn grenzen; er zijn binnen de bestaande wet- en regelgeving altijd nog aanvullende werkzaamheden van de politie nodig. Bron: Samen opgespoord? - samenvatting eindrapport pilot samenwerking particuliere onderzoeksbureaus met politie en OM.
29
PARTICULIERE RECHERCHE
Vroeg of laat wordt iedere onderneming ermee geconfronteerd: interne incidenten waar men niet op gerekend had, zoals agressie op de werkvloer, (seksuele) intimidatie, diefstal. Uit onderzoek van Ernst & Young uit 2009 blijkt dat gemiddeld tussen de 50 en 65 procent van de in het onderzoek ondervraagde ondernemingen te maken heeft gehad met diefstal door eigen personeel. Deze vormen van criminaliteit door werknemers hebben consequenties op het functioneren van een bedrijf. Maar hoe pak je dit aan? tekst Piet van Gelder en Bregje De Lannoy-Walenkamp
Recept voor hoofdpijndossiers 30 |
S E C U R I T Y M A N AG E M E N T | 11 2013
In strategisch en in juridisch opzicht is een objectieve aanpak het beste
E
en medewerker die wordt verdacht van een incident is vaak iemand van wie je dit als laatste had verwacht. Veelal is er sprake van een langdurig dienstverband, gaat het om een hardwerkende medewerker waar niets op aan te merken lijkt. Er wordt dan gezegd: “Voor hem/haar zou ik mijn hand in het vuur hebben gestoken.” Teleurstelling in de medewerker en emoties liggen voor de hand, los van het financiële nadeel en/of de gevolgschade door aantasting van het goede bedrijfsimago. Zaken waar een ondernemer wakker van kan liggen en die hem letterlijk hoofdpijn bezorgen: Hoe kon het gebeuren? Hoe pak ik dit aan? Welke gevolgen heeft dit voor mij en mijn bedrijf? De term ‘hoofdpijndossier’ is niet voor niets gekozen! HOE PAK JE EEN HOOFDPIJNDOSSIER AAN?
Grote bedrijven – banken, verzekeraars, supermarktketens – hebben hier meestal wel beleid op ontwikkeld. Daarbij is voor een ieder duidelijk hoe de onderneming dergelijke incidenten aanpakt, welke bevoegdheden, rechten en plichten bij een eventueel onderzoek gelden. Dit soort ondernemingen heeft vaak een aparte afdeling voor de afhandeling van incidenten. Kijkend naar kleine of middelgrote ondernemingen, dan is er over het algemeen veel minder of soms helemaal niets geregeld of vastgelegd. Als zich dan iets voordoet, dan komt zo’n melding van een incident terecht bij de eigenaar van het bedrijf of – in geval van een wat grotere onderneming – bij de facilitaire afdeling en/of bij HRM. Door het ontbreken van beleid op dit gebied wordt er ad hoc gereageerd op een incidentmelding. En dat is niet altijd de beste reactie! Maar wat is dan wel het beste medicijn voor de aanpak van hoofdpijndossiers: zelf aan de slag, de politie inschakelen, of een particulier onderzoeksbureau inhuren?
WELKE MEDICIJN WERKT HET BESTE?
Zelf aan de slag In strategisch maar ook in juridisch opzicht is een objectieve en vooral onbevooroordeelde aanpak het beste. De vraag is: kan een onderneming dat zelf? Het antwoord: ja, tot op zekere hoogte. Natuurlijk zijn er ondernemers die de deskundigheid en vaardigheid bezitten. Anders beschikken zij wellicht over een HRafdeling die dit kan. Als zij dankzij Fact Finding een juridisch goed dossier kunnen opbouwen, dan is dat uitstekend. De bijwerking In de praktijk blijkt dat objectief en onbevooroordeeld onderzoek doen lastiger is dan gedacht. Bovendien ontbreekt vaak simpelweg de tijd om dit zorgvuldig en grondig te doen. Ook spelen emoties hier een belangrijke rol bij. De remedie Maak direct bij de start van het onderzoek de afweging: kan ik voldoende tijd en mankracht vrijmaken om de zaak objectief en zorgvuldig aan te pakken? Schakel op het juiste moment in het proces externe deskundigheid in, bijvoorbeeld een particulier recherchebureau en/of een arbeidsjurist. Politie inschakelen Een optie is aangifte doen bij de politie. Hoewel wij hier zeker voorstander van zijn, moet u zich er terdege van bewust zijn dat de politie haar eigen agenda en beleid heeft. De bijwerking Als de politie al bereid is om de aangifte op te nemen en een onderzoek in te stellen, dan heeft u zelf niet
31
Wees voorbereid op het onverwachte! 2-daagse cursus Oefenleider voor Objectbeveiligers (RHSOI) Diploma Predictive Profiling (CSP) 2-daagse training Proactief Beveiligen Bekijk ons volledige aanbod op onze website.
OrcaSecure BV Tel: 030-7670076 info@orcasecure.org www.orcasecure.org
POST-HBOOPLEIDING OP HET GEBIED VAN SECURITY VOLGEN? KOM NAAR DE HAAGSE HOGESCHOOL c Cyber Security Management (NIEUW) c Internet Security c Security & Organisaties c Security & Recht Meer info? ’ ’ “ ’’ b KNA GLDM FFQ LJ dehaagsehogeschool.nl/post-hbo
Security Redefined De beveiliging van het bedrijf is uw verantwoordelijkheid. Medewerkers, maar ook klanten vertrouwen erop dat u zorg draagt voor een veilige omgeving. Dit is niet eenvoudig, aangezien beveiligingstechnologie vaak complex en plezier en bezoekersmanagement makkelijk? Dit is precies wat Nedap’s eeuw dat functionaliteiten als toegangscontrole, inbraak en video binnen Bezoek ons via www.nedapsecurity.com
handen. Samen met het recherchebureau kan worden bepaald wat er met de gevonden resultaten gebeurt. Zo kan bijvoorbeeld worden voorkomen dat er zaken in de publiciteit komen die schadelijk voor de onderneming kunnen zijn. Daarnaast is het mogelijk om afspraken te maken over het tijdsbestek waarbinnen het onderzoek moet worden uitgevoerd en welke soorten (technisch) onderzoek uitgevoerd gaan worden. Tot slot krijgt de onderneming door het inschakelen van een particulier recherchebureau een deskundig rapport in handen, op basis waarvan u zelf kan bepalen welke sancties worden getroffen tegen de persoon om wie het gaat. Dat rapport kan ook in een eventuele procedure worden ingebracht als bewijs.
meer in de hand wat er gaat gebeuren en wanneer. U geeft als het ware de regie uit handen. De politie verstrekt aan derden geen nadere informatie. Die mág zij zelfs niet geven. Dat betekent dus dat een onderneming zelf verantwoordelijk is voor een goede dossieropbouw rondom het incident. En dan wordt het nog lastig om – los van het strafrechtelijke deel – in het civiel recht voldoende bewijs te verzamelen om tot een ontslag te komen. De remedie Het kan dus verstandig zijn om het moment van aangifte nog even uit te stellen in het belang van de eigen dossieropbouw. Particulier recherchebureau inhuren Particuliere recherchebureaus moeten opereren binnen de kaders van de Wet Particuliere Beveiligingsorganisaties en Recherchebureaus (WPBR). In deze wetgeving staan onder andere de eisen beschreven die worden gesteld aan dit soort organisaties en bureaus. Bij inhuren is het belangrijk om vooraf te controleren of het particuliere recherchebureau voldoet aan alle eisen (vergunningen, legitimatiebewijzen, gedragscode(s), enz.) die hiervoor gelden. Hoewel het geld kost, heeft het inschakelen van zo’n bureau zeker voordelen. U houdt zelf de regie in
De bijwerking Voor particuliere recherchebureaus geldt de privacygedragscode. Deze gedragscode bevat normeringen over de omgang met persoonsgegevens, plichten van de onderzoeker, rechten van de onderzochte persoon, soorten onderzoek, enzovoort. In deze gedragscode zitten verplichtingen voor het particulier recherchebureau die mogelijk niet in het belang zijn van de onderneming. Neem bijvoorbeeld de verplichting dat een recherchebureau een betrokkene achteraf in kennis moet stellen van het feit dat er in opdracht van de werkgever een observatie is gedaan naar zijn reilen en zeilen. De remedie Neem als onderneming zelf goed kennis van de gedragscode, wanneer u overweegt een particulier recherchebureau in te huren. Door kennis van de rechten en plichten uit de gedragscode kan beter bepaald worden wat het juiste moment is om een bureau in te schakelen. Leg hoe dan ook de wijze waarop interne incidenten worden onderzocht vast in een reglement. Dit reglement moet voor alle betrokkenen inzichtelijk zijn zodat als zich een incident voordoet, het voor een ieder duidelijk is of kan zijn op welke wijze zo’n incident wordt aangepakt. Als er een ondernemingsraad is, stem dit dan ook daar mee af. ■ Piet van Gelder heeft een politie-, recherche- en fraudeonderzoekachtergrond en verzorgt o.a. trainingen fraude awareness, security awareness en onderzoeksvaardigheden. Bregje De Lannoy-Walenkamp is trainer schriftelijke communicatie. Samen hebben zij de training Fact Finding ontwikkeld.
33
SECURITY
Samen voor Veiligheid
Harmonisatie van safety en security? Safety en security staan traditioneel ver van elkaar. Toch zijn er gemeenschappelijke uitgangspunten. Dit is het tweede artikel van een serie waarin vertegenwoordigers vanuit beide domeinen hierover met elkaar in discussie gaan. tekst Coen van Gulijk
D
it is het tweede deel van een serie artikelen die een dialoog verslaan tussen verschillende veiligheidsdomeinen: security en safety. De discussie gaat tussen Erik de Vries, voorzitter van het Benelux Chapter van ASIS International, een beroepsvereniging voor security professionals en Nico van Roden, voorzitter van de Nederlandse Vereniging van Veiligheidskundigen (NVVK), een beroepsvereniging voor Arbo-deskundigen en veiligheidskundigen. KWADE OPZET
Erik de Vries is voorzitter van het Benelux Chapter van ASIS International.
34 |
S E C U R I T Y M A N AG E M E N T | 11 2013
Traditioneel wordt gestart met een discussie over de begrippen safety en security. Voor Van Roden is de discussie over safety een wederkerend ritueel binnen de NVVK: “Het gaat bij ons vooral om het voorkomen van ongewenste gebeurtenissen, het gaat over instrumenten en methodieken en gelukkig gaat het ook over mensen die nodig zijn om veiligheid te borgen.” Het samenspel van die elementen zijn de kapstok voor safety. De Vries reageert direct: “Ongewenste gebeurtenissen is precies hetzelfde als wat wij bij ASIS zouden zeggen. Maar bij ons staat beschermen tegen kwade opzet centraal,” zegt hij, “en kwade opzet is een heel specifiek concept.” Het uitschakelen van een veiligheidsmaatregel door een medewerker is geen kwade opzet, stelen of een terroristische aanslag plegen zijn dat wel. Het verschil tussen opzet en kwade opzet lijkt subtiel maar is fundamenteel, omdat de oorzaak vaak niets te maken heeft met het primaire proces van de organisatie. “Daarom zoeken wij vaker naar externe risico’s. De consequenties voor
“Voor jong bloed is het gemakkelijker in te zien dat safety en security aan het einde van de rit hetzelfde realiseren”
het bedrijf zijn vaak hetzelfde. Het maakt voor een ondernemer niet uit of je door de kat of door de hond gebeten wordt; die wil het probleem gewoon opgelost zien.” Hij licht dat verder toe: “In het kader van die discussie geef ik vaak aan dat er geen verschil is tussen safety en security, het gaat om risico’s en het gaat om beheersen van die risico’s.” PRISM EN DE DAMSCHREEUWER
Gedurende de discussie wordt duidelijk dat de onderwerpen die safety en security professionals bespreken sterk verschillen. Twee voorbeelden zijn PRISM en de Damschreeuwer. In security is PRISM, het spionageprogramma van de Amerikaanse NSA, een belangrijk discussieonderwerp. Dit heeft er volgens De Vries mee te maken dat IT-security een belangrijk thema is voor security managers. In de safety gemeenschap wordt PRISM echter nauwelijks besproken. Van Roden: “Het is iets wat de grote boze buitenwereld doet en dat is heel vervelend, big brother is watching you, maar het wordt niet geadresseerd als een veiligheidsonderwerp.” In de safety omgeving wordt wel gesproken over de Damschreeuwer. Hier ontwikkelde een probleem met een security oorzaak zich in een safety probleem: hoe gaan we om met de paniek en heeft de organisatie dit planmatig beoordeeld, hoe past dit in het planmatige veiligheidsplan en is het opgenomen in risicoanalyses? Het is een maatschappelijk issue, waarover in het NVVK domein sociale veiligheid veel gesproken wordt. Het incident met de Damschreeuwer wordt in
het security domein daarentegen in het geheel niet besproken. Toch zouden safety en security specialisten zich hier kunnen vinden, vinden beide heren. Zo ziet De Vries hier vooral meerwaarde bij de discussie over risicoanalyses: “Bij security starten we tegenwoordig veel meer met een risicoanalyse en daarmee bewegen we richting preventie.” Van Roden ziet vooral meerwaarde in de beheersing van de crisis terwijl deze zich ontvouwt: “Crisis handling is veel sterker ingebed in het security domein dan in het traditionele veiligheids- en Arbo-domein.” TOILETROLLEN EN SCHOENVETERS
Er is ook een wezenlijk verschil als het gaat om de ondergrens van safety en security. “Als iemand 100 euro steelt, gaat het bedrijf niet failliet maar toch is het een security kwestie,” zegt De Vries. “Als je bij een beveiligingsbedrijf werkt en je steelt toiletrollen dan wordt je ontslagen. Het feit dat je steelt zegt iets over je integriteit. Dat betekent voor security dat de kleinste incidenten worden gezien als signalen van ontwrichting van dagelijkse werkzaamheden.” In security gaat het dus om het principe van het stelen, niet over de toiletrollen zelf. “Voor safety is de ondergrens een lastige,” zegt Van Roden. Die discussie wordt vooral duidelijk als het gaat om schoenveters. “Daar spreek ik mensen op aan. Het gaat daarbij om de persoon zelf die zichzelf schade kan doen maar de persoon kan ook in een processtap vallen waardoor het een safety issue wordt. Schoenveters zijn echter zelden onderdeel van een safety risico-analyse en in dat opzicht is er sprake van een ondergrens.
35
SECURITY
Het is dan de keuze van het individu of de onderneming om aandacht aan schoenveters te besteden.” NORMENKADERS
Belangrijke verschillen tussen safety en security worden vooral duidelijk in de normenkaders voor de vakgebieden. “Security is lang een kosten-baten probleem geweest,” aldus De Vries. “Dus restrisico’s zijn een keuze van het bedrijf.” Als bedrijf ben je niet verplicht om wat aan security te doen; uitzonderingen daargelaten. “Als een bedrijf een derving van 1% acceptabel vindt dan is dat een interne aangelegenheid, maar een sterftecijfer van 1% in een bedrijf mag je niet acceptabel vinden”, zegt hij. Safety heeft een wet in de hand en dat geeft een heel sterk normenkader. Van Roden onderstreept dat: “Bij Arbo of bij veiligheid wordt een wet of een norm gepakt en die normenkaders beginnen allemaal met
Samen voor veiligheid Safety en security staan traditioneel ver van elkaar maar er zijn belangrijke gemeenschappelijke uitgangspunten waarover discussie zinvol is. Daarom wordt een serie artikelen gepubliceerd over een dialoog tussen de veiligheidsdomeinen safety en security. Het centrale motto is Samen voor Veiligheid. Het doel van deze serie is om beoefenaars van deze verschillende veiligheidsdomeinen door middel van discussie dichter bij elkaar te brengen. Bekende en minder bekende beoefenaars zullen aan de hand van stellingen en vragen de komende maanden hun ideeën presenteren. Van de discussies wordt verslag gedaan in de vakbladen Arbo en Security Management.
36 |
S E C U R I T Y M A N AG E M E N T | 11 2013
een risicoanalyse.” Verder is ook in de wet verankerd wat een veiligheidskundige is en wat een preventiemedewerker. Dat sterke normenkader zorgt ervoor dat safety diep ingebakken is in organisaties. Voor security is geen duidelijk wettelijk kader en dat maakt de positie ingewikkelder. Om die reden heeft ASIS eigen standards & guidelines en certificatieschema’s ontwikkeld waarlangs security medewerkers zich kunnen afmeten. De Certified Protection Professional of CPP is zo’n kwalificatie. Omdat ASIS een wereldwijde organisatie is, heeft die kwalificatie meerwaarde in het domein. “Een security manager met een CPP kwalificatie verdient doorgaans meer dan een security manager zonder die kwalificatie,” licht De Vries toe, “en de kwalificatie moet worden onderhouden met re-certificering.” Maar toch is dat normenkader minder sterk dan verankering in de wet. Het is een ambitie van ASIS om dergelijke kwalificaties een in de regelgeving verankerde status te geven, maar daarvoor is volgens De Vries nog een lange weg te gaan. In de praktijk wordt er natuurlijk wel geleerd van safety: soms helpt safety security om een normenkader te ontwikkelen. Safety mensen werken hier echter beperkt aan mee, security wordt nog vaak gekenschetst als uniformen met emblemen; dat geeft een negatief beeld in het safety domein. TOENADERING
Beide voorzitters zien dat er op dit moment beperkt sprake is van actieve toenadering vanuit NVVK en/of ASIS. Die toenadering is wel een aantal keer besproken, maar heeft uiteindelijk nooit tot een duurzaam resultaat geleid. De Vries: “In security is de focus nu sterker op de toenadering tussen IT-security en security management, omdat dit in de nabije toekomst - of eigenlijk nu al - tot het takenpakket van de security manager gaat horen.” Van Roden wijst op een ander probleem: “Er is sprake van een verschil in waardering voor elkaars vakgebied. Er is vanuit security meer begrip voor safety dan andersom. Het is daarom niet eenvoudig om een security medewerker een duidelijke plaats te geven ten
“Er is geen verschil tussen safety en security, het gaat om beheersen van risico’s”
Nico van Roden is voorzitter van de Nederlandse Vereniging van Veiligheidskundigen (NVVK).
opzichte van een safety medewerker die een wettelijke status heeft. Daarnaast zijn er grote organisatorische verschillen in de positie van security medewerkers in verschillende organisaties wat de plaatsing ten opzichte van safety medewerkers verder bemoeilijkt.” Toch zien beide heren mogelijkheden voor toenadering. Ten eerste worden mogelijkheden gezien op het gebied van sociale veiligheid. “Sociale veiligheid is één van de vijf domeinen van de NVVK,” legt Van Roden uit. “Het richt zich op de sociale omgeving waarmee security onlosmakelijk verbonden is.” De link is er vooral op het gebied van openbaar vervoer en publieke ruimte en is daarmee ook een security
thema. Andere onderwerpen zijn transportveiligheid en vitale infrastructuur; ook daar kunnen safety en security met elkaar in discussie gaan. De meeste meerwaarde voor toenadering zit hem echter niet in discussie, maar in de nieuwe generatie van veiligheidsmedewerkers. Hiermee doelen zowel Van Roden als De Vries op de instroom van jonge studenten veiligheid. De Vries: “Voor jong bloed is het gemakkelijker in te zien dat safety en security aan het einde van de rit hetzelfde realiseren: het beheersen van risico’s.” ■ Coen van Gulijk is universitair docent, Safety Science Group, TU Delft
37
BEVEILIGING
SMAC staat voor de deur ‘Bring Your Own Device’ en ‘Het Nieuwe Werken’ weerspiegelen nieuwe trends op het gebied van arbeid en organisatie en worden gedreven door technologische vooruitgang. Ze zorgen voor niet eerder beschikbare mogelijkheden, maar ook voor een flinke uitdaging op het gebied van veiligheid. Dit artikel wil inzicht geven in de nieuwste trend: SMAC - Social Media, Mobile, Analytics & Cloud - en welke gevolgen dit zal hebben op de traditionele wijze van beveiligen.
S
ocial networking bestaat grofweg uit twee trends. De eerste trend heeft betrekking op de medewerker zelf. De grenzen tussen werk en privé vervagen en er is een grotere behoefte aan arbeidsflexibiliteit. De tweede gaat over het gebruik van (social) media, zoals Linkedin, Facebook, Twitter, enzovoort, door bedrijven om consumenten te benaderen en bedrijfsdoelstellingen te behalen. Zo heeft op dit moment 75 procent van de bedrijven via Facebook interactie met haar klanten of medewerkers. Bedrijven zoals ING en Deloitte hebben hier handig op ingesprongen om de stem van de klant te kunnen horen. Deloitte heeft door de inzet van social media de omzet echt doen verhogen.
tekst Bram de Bruijn MSc
De enorme invloedssfeer van social media is ook op ander gebieden te zien. We kunnen bijvoorbeeld de impact op politiek gebied tijdens de ‘Arabische lente’ voor de geest halen. Of wat te denken van het totaal uit de hand gelopen feestje in Haren. Hoewel er via social media veel kwaad aangericht kan worden, is de security manager die stelt dat het gebruik van social media niet wenselijk is binnen zijn bedrijf volledig uit de tijd en positioneert hij zich hiermee buiten het primaire proces. MOBILE
Mobile staat voor het feit dat werknemers en klanten altijd en overal informatie over een organisatie of product of dienst willen en kunnen opvragen.
38 |
S E C U R I T Y M A N AG E M E N T | 11 2013
Onder deze noemer wordt door sommige trendwatchers ook de trend van globalisering gevangen. Werk is steeds mobieler geworden. Het is belangrijk dat we dagelijks over de wereld alle relevante informatie beschikbaar moeten hebben. Maar anders nog is het gebruik van smartphones als consument. In de toekomst is een mobieltje een creditcard met een antenne. De Rabobank experimenteert al met het betalen met je mobieltje. Voor security managers is het lastig om voor deze trend naar mobiliteit en mobile devices de risico’s te kunnen inschatten. Zij moeten van een aanpak die gericht is op het vermijden van mobiliteit, toe naar een aanpak die zich richt op het faciliteren, adopteren en assimileren ervan. Identity management en context-bewuste security zijn hierbij cruciaal. ANALYTICS
Analytics refereert aan de wereld van business intelligence (BI), predictive analysis, performance management en Big Data. Zo zei Edwards Deming ooit: “In God we trust, all others bring data”. Organisaties nemen steeds minder beslissingen op het onderbuikgevoel en willen vooral kunnen sturen op data. De nieuwste technologie maakt het ook mogelijk om ‘on demand’ data naar voren te halen die relevant kan zijn voor de bedrijfsvoering. De worsteling nu is een weg te vinden in deze data en op relevantie te presenteren. Functies gericht op het structureren en kunnen
Security is a science, not an art
filteren van deze informatie ontstaan dan ook steeds meer. Elke manager wil een dashboard zien om op te kunnen sturen. Maar ook security managers en inkopers gaan mee in die trend. De filosofie dat een security manager, bijvoorbeeld op ervaring een risico kan inschatten, is dan niet echt meer reëel. Beslissers willen data zien die iets zeggen over mogelijke risico’s en het effect van eventuele maatregelen. Security is a science, not an art. CLOUD
En dan is daar tot slot ook nog de cloud. Om het simpel te houden: cloud-technologie is het opslaan en toegankelijk maken van data vanaf elk device, vanaf elke plek, op elk moment. Cloud-technologie is geen opslag op een bestaande locatie, maar data wordt ‘verknipt’ opgeslagen op het internet. De herkomst van data is onduidelijk. Dat hoeft ook niet want er is sprake van een inwilliging van de functionele eis: de software is werkzaam op de ‘computer’ waar de
gebruiker dat wil. Data wordt daarmee lastig ‘te beveiligen’ op een traditionele manier. De trend is dat de eindgebruiker zelf kiest voor cloud-diensten zonder dat de IT-afdeling daar zicht op heeft. Iedereen kent wel het gebruik van Google Docs, Wetransfer, Gmail of Dropbox voor bedrijfsgegevens. SMAC
Social, Mobile, Analytics, Cloud, alle vier de termen worden actueler. De relevantie van ieder onderwerp afzonderlijk staat in schril contrast tot de inzet van de combinatie. Door het strategisch inzetten van de SMAC-elementen ontstaat een krachtig nieuw digitaal business model, waarmee bedrijven zichzelf kunnen transformeren. In diverse onderzoeken over trends in ‘new business’ wordt SMAC gezien als de toekomstige manier van ‘business interaction’ tussen alle stakeholders van een organisatie, zonder hiërarchie en transparant, maar dus ook voor een belangrijk deel oncontroleerbaar.
De macht en invloed van deze ontwikkelingen (SMAC) zijn dermate groot dat we kunnen spreken van een postindustrieel tijdperk, waarin een switch ontstaat van productfocus naar servicefocus en inmiddels niet meer zo ver weg: een product-service focus. Een voorbeeld hiervan is het laten toetsen van je bloed via een smartphone (met een klikdevice). waarvan de analyse vervolgens direct naar de arts gaat ter beoordeling. De arts geeft vervolgens advies. Een interessante ontwikkeling om zorg op afstand mogelijk te maken en de oplopende kosten voor deze sector te kunnen drukken. Veiligheidstechnisch natuurlijk een interessant vraagstuk. Een toekomstige gedachte? Het is al realiteit. Veiligheid wordt dan echt een topprioriteit. Maar nu het opmerkelijke. Beveiligen was eerst het beschermen van goederen en gebouwen door het gebruik van hekwerken en slagbomen. Vervolgens is er nu sprake van het beschermen van systemen door vooral IT-maatregelen en controlemechanismen, wat compliance oplevert. Het is aantoonbaar dat er iets aan gedaan is, maar niet zozeer daadwerkelijke bescherming biedt; een schijnveiligheid? Maar wat kan een security manager doen om in lijn met de SMAC-trend toch een veilige werkomgeving te creëren? In het tweede deel van dit artikel dat zal worden gepubliceerd in Security Management 2013, nummer 12, wordt hierop ingegaan. ■ Bram de Bruijn Msc is business developer bij Securitas.
39
ADVERTORIAL
focus op facility
F E I T E L I J K E I N F O R M AT I E I S W I J Z E R A A D G E V E R
De relevantie van Nsecure Nsecure is wars van tradities en daarmee onderscheidend in zijn aanpak. Een aanpak waarbij men het vraagstuk veiligheid bij opdrachtgevers op een compleet andere manier invult. Nsecure kiest voor een integrale aanpak waarbij feitelijke informatie een wijze raadgever is.
C
reëren van resultaat; dat is Nsecure. Het is waar het bedrijf uit Barendrecht voor staat dankzij de innovatieve kijk waarop zij verbindingen legt tussen technologie en de mens. Toegangsbeheer, video-observatie, het handelen van beveiligingsbeambten en receptionisten worden met elkaar verbonden via intelligente software. Basis voor deze integratie is een analyse van het bestaande beleid en bedrijfsprocessen van de opdrachtgevers.
Onderscheidend “Wat is beveiligen? Een camera ophangen en beveiligers instrueren? Nee, slimme toepassing van technologie opent een wereld van effectiviteit en resultaat”, zegt commercieel manager Dennis de Hoog van Nsecure. Toch zijn er volgens hem nog veel bedrijven die veiligheid traditioneel benaderen. “Ons doel is het creëren van een zo veilig mogelijke omgeving bij opdrachtgevers, waarbij de mens centraal staat. foc us o p fa c i li t y n ove mb e r 2013
40
De route die wij uitstippelen om dit te bereiken wordt door de markt als onderscheidend ervaren. Wij sturen op basis van feitelijke informatie. Realtime.” In Barendrecht is een control centrum ingericht waar Nsecure-medewerkers 24 uur per dag met behulp van overzichtelijke dashboards, systemen van opdrachtgevers monitoren en analyseren. De Hoog: “Is er iets mis of dreigt er iets mis te gaan, dan wordt dat direct opgemerkt. Daarop wordt actie ondernomen, vaak op afstand. Een optimale beschikbaarheid is hiermee gewaarborgd en het leidt ook tot besparing van kosten.” Het principe ‘voorkomen is beter dan genezen’ is volgens de commercieel manager van toepassing.
Balans “Bestaande traditionele SLA’s worden met onze aanpak omgezet in prestatieovereenkomsten, waarbij
goede afspraken worden vastgelegd, zonder te veel technisch jargon. Informatie en proactiviteit gaan hier hand in hand.” Dit wordt onderstreept door het brede klantportfolio van Nsecure. Van grote industriële bedrijven tot ziekenhuizen en verzekeraars; ze hebben allemaal ervaren dat de aanpak van Nsecure werkt. En, zo stelt De Hoog, Nsecure gaat daarbij altijd voor een langdurige samenwerking. “We leren hierdoor bedrijven goed kennen. We weten wat er speelt, wat hun unieke karakter is en hoe de processen in detail zijn ingericht. Dit helpt om zaken te optimaliseren zodat er een perfecte balans ontstaat tussen veiligheid en effectiviteit”, weet De Hoog.
Gastvrij Beveiliging werpt vaak en ten onrechte barrières op. Het maakt bedrijven slecht toegankelijk, minder gastvrij en dus minder efficiënt. De Hoog: “Wij ontwikkelen en implementeren
Dennis de Hoog: “Wij ontwikkelen en implementeren juist oplossingen die én de veiligheid bevorderen én leiden tot de juiste resultaten.”
Contactgegevens Nsecure B.V. Lübeck 1 2993 LK Barendrecht Tel: (0180) 65 66 66 E-mail: info@nsecure.nl Internet: www.nsecure.nl
juist oplossingen die én de veiligheid bevorderen én leiden tot de juiste resultaten.” En het analyseren en adviseren van Nsecure beperkt zich niet alleen tot de veiligheidsvoorzieningen. “Bedrijven treffen doorgaans allerlei preventiemaatregelen, zoals toegangsbeheer,
“Hoe gaat dat normaal gesproken? Er worden SLA’s afgesproken voor de langere termijn. Dit alles op basis van de op dat moment geldende feiten. Maar bedrijven zijn dynamisch. Ontwikkelingen als Het Nieuwe Werken, waarin de flexibiliteit van werknemers centraal staat,
‘Slimme toepassing van technologie opent een wereld van effectiviteit en resultaat’ video-observatie en fysieke barrières. Dergelijke voorzieningen geven ook inzichten, bijvoorbeeld in de bezettingsgraden van locaties. Informatie die voor diverse facilitaire processen relevant kan zijn. Zo kunnen hier bijvoorbeeld de schoonmaakwerkzaamheden op worden afgestemd”, vertelt De Hoog. Dit voorkomt volgens hem onnodige inzet van uren en diensten.
heeft effect op de bezettingsgraden van locaties. Deze zijn op bepaalde dagen en uren minimaal. Kortom, is de verhouding met facilitaire voorzieningen nog wel zo optimaal? Dat maakt Nsecure inzichtelijk via dashboards”. Een voorbeeld hiervan noemt De Hoog ook. “Eén van onze opdrachtgevers heeft dagelijks te maken met een grote bezoekers-
stroom. Wens was om de entree rust uit te laten stralen. Om dit te creëren werd ervoor gekozen de bezetting van servicemedewerkers aan te passen. De entree werd weliswaar een oase van rust, maar uit onze analyse bleek dat de bezoekersaantallen te hoog waren ingeschat. Ja, dan is het doel van rust creëren wel bereikt, maar tegen onnodig hoge kosten.”
Integrale visie Een integrale visie op veiligheid en de processen daaromheen; het is hoe Nsecure werkt. De Hoog vergelijkt het wel eens met het maken van een brood. “Je hebt meel, water, gist en zout, maar dat betekent nog niet dat je een brood hebt. Daarvoor moet je kennis hebben en de ingrediënten met elkaar mengen, in de juiste hoeveelheid naar de wensen van de klant. Want dat is altijd ons uitgangspunt. Wij verschaffen informatie op basis van klantenwensen. Dat maakt ons relevant.” ● focus op fa c i l i ty novem b er 2 0 1 3
41
PREVENTIE
Beveiliging ‘binnen Hoe overtuigt de security manager zijn directie dat investeren in beveiliging zinvol en effectief is? De Integrale Beveiligingsaanpak (IB-aanpak) van het CCV kan hierbij van pas komen. Deze aanvulling op het Keurmerk Veilig Ondernemen (KVO) gaat over criminaliteitspreventie in en aan het pand en richt zich specifiek op de individuele ondernemer. tekst Willem van Oppen
A
l vijftien jaar bestaat het Keurmerk Veilig Ondernemen, dat gaat over publiek-private samenwerking aan veiligheid in de openbare ruimte op een bedrijventerrein of in een winkelgebied. De aanpak van het KVO is aantoonbaar effectief: waar ondernemers samenwerken met gemeente, politie, brandweer en andere lokale partner, daalt de criminaliteit tegen het bedrijfsleven. Het KVO heeft betrekking op de veiligheidssituatie in het openbaar en semi-openbaar gebied, ‘buiten het hek’. Het ontbrak echter tot nu toe aan een vrijwillig instrument waarmee ondernemers hun eigen beveiligingsituatie, dus ‘binnen het hek’ konden verbeteren. Daarom ontwikkelde het CCV in 2012 (onder de werktitel Model ICB) de Integrale Beveiligingsaanpak. MARKT
Betrokkenheid van ondernemers bij de veiligheid in en om hun bedrijf is een must. Als het ging om veiligheid deed de overheid vroeger bijna alles. Maar midden jaren 80 van de vorige eeuw kwam daar met de nota “Samenleving en Criminaliteit” een kentering in. Rond de eeuwwisseling stimuleerde de overheid publiek private samenwerking in de veiligheidszorg. Zo werd in 2001 onder meer het KVO geïntroduceerd. Tegenwoordig streeft de overheid naar “privaat wat kan, en publiek wat moet” (vrij naar het rapport van de Commissie Dekker). De beleving van vroeger dat de politie wel komt als het alarm afgaat, is niet meer van deze tijd. De ondernemers moeten het echt ook zélf doen. Met de verschuiving van overheid naar markt is het
42 |
S E C U R I T Y M A N AG E M E N T | 11 2013
het hek’
‘Als ondernemer krijg je het onveiligheidsrisico er automatisch bij’ integrale oplossingen aangeboden worden. Daarbij worden installaties voor bijvoorbeeld brandveiligheid, inbraakalarmering, toegangscontrole en ontruiming in één systeem gecombineerd. Juist bij deze integrale oplossingen is een grondige analyse vooraf noodzakelijk om tot de beste keuzes te komen. Uiteindelijk levert dat een kostenbesparing op. En dat is mooi meegenomen in een economisch jaargetij waarin het woord ‘bezuiniging’ nog vaak zal vallen.
nodig dat de ondernemer een stevige plek krijgt in de veiligheidszorg en zijn rol oppakt. Hij moet kunnen ontdekken wat hij níet weet en vervolgens weten hoe hij een juist advies over criminaliteitspreventie en brandbeveiliging kan krijgen. Want als je ondernemer wordt, krijg je het onveiligheidsrisico er automatisch bij. De IB-aanpak van het CCV biedt de ondernemer - en de security manager die hem helpt - een vorm van zelfhulp om passende maatregelen te kunnen kiezen. DIAGNOSE-RECEPTMODEL
Belangrijke kenmerken van de IB-aanpak zijn de cyclische aandacht voor beveiliging, de risicogerichte aanpak, en het BIO-principe. De IB-aanpak legt grote nadruk op de diagnose van onveiligheidsproblemen en biedt hulp bij het samenstellen van het recept waarmee de problemen kunnen worden aangepakt. Onderdeel van de aanpak is de afstemming van het beveiligingsconcept op de actuele kenmerken van het betreffende gebouw en de activiteiten in en rondom het gebouw. Bij de keuze voor een combinatie van beveiligingsmaatregelen komen daardoor op een efficiënte manier alle belangrijke facetten aan bod. Bij het volgen van het stappenplan ontstaat een beveiligingsplan dat het risico op de geïnventariseerde dreigingen tot een aanvaardbaar niveau terugbrengt. Het beveiligingsplan gaat uit van het zogenaamde BIO-pricipe: veiligheid ontstaat door de juiste combinatie van Bouwkundige, Installatietechnische en Organisatorische maatregelen. Dat sluit aan op de trend in de beveiligingswereld dat steeds meer
ZES STAPPEN
De IB-aanpak is zowel in nieuwe als in bestaande situaties een praktisch hulpmiddel. Voor een continue borging van de integrale beveiliging is een regelmatige herhaling van de IB-aanpak essentieel. Hiervoor worden de volgende zes stappen gevolgd: 1. een analyse van de risico’s op criminaliteit 2. keuze van het maatregelenpakket, en vastlegging van a. de uitkomst van de risicoanalyse b. de keuze voor de maatregelen c. specificaties en kwaliteitseisen voor de maatregelen in een Integraal Plan 3. uitvoering en controle van het kwaliteitsniveau van de individuele maatregelen 4. beoordeling van de samenhang van de maatregelen 5. gebruiksfase van het gebouw en de beveiligingsmaatregelen 6. actualisatie van het Integraal Plan Dit artikel beperkt zich tot een korte uitleg over stap 1 en 2.a. RISICO-INVENTARISATIE
Voor veel ondernemers is het niet eenvoudig om de juiste beveiligingsmaatregelen te kiezen. Beveiliging behoort nu eenmaal niet tot hun primaire proces. Maar de consequenties van onveiligheidsproblemen voor de bedrijfsvoering kunnen verstrekkend zijn. De hovenier van wie een maaimachine wordt gestolen heeft last van de diefstal, maar vooral van omzetverlies gedurende de weken die het kost om een nieuwe machine geleverd te krijgen. De IB-aanpak helpt om onder meer het diefstalrisico te inventariseren, zodat
43
SECUVAK
Venray 19, 20 en 21 november 2013 Openingstijden 14.00 - 22.00 uur
Dé vakbeurs vo o r d e c o mp l e te v eilig h eid s - en b ev eilig in g s b r a n ch e
Beurs bezoeken? openingstijden
Vraag eenvoudig gratisuur 14.00 –uw 22.00 entreebewij(s)(zen) aan. - Ga naar www.evenementenhal.nl/secuvak-ve - Vul onderstaande registratiecode in:
8130003404 Evenementen ANSPO
* KLEI
N
TR
IN C LU
S IE F
*
HARDENBERG GORINCHEM VENRAY
Evenementenhal Venray De Voorde 30 5807 EZ Venray T 0478 - 51 97 90 E venray@evenementenhal.nl I www.evenementenhal.nl
RT
HAL
PLEIN
Entree (2 personen) Gratis parkeren Verzorgde catering Toegang v.a. 18 jaar Inclusief kennisprogramma
IK BEN REVOLUTIONAIR iLOQ is ‘s werelds eerste digitale cilinder met eigen energievoorziening. Zonder batterijen. Zonder bekabeling. Wij bieden een sluitsysteem met een flexibel en veilig toegangsmanagement, met aanzienlijk lagere onderhoudskosten ten opzichte van elektromechanische systemen. www.iLOQ.com
iLOQ Benelux Rietbaan 2, 2908 LP Capelle a/d IJssel. m. +31 (0)623 441 670, f. +358 40 3170 201
2112_iLOQ_ad_opdrachtbevestiging_190x135_V2.indd 1
1/9/13 2:06 PM
de ondernemer een afgewogen keus kan maken tussen accepteren, verminderen of uitbesteden (verzekeren) van het risico. Sinds juni 2013 is er speciaal voor ondernemers de Veilig Ondernemen Scan. Een initiatief zonder commercieel oogmerk van Detailhandel Nederland, Transport en Logistiek Nederland (TLN), Koninklijke Horeca Nederland, het ministerie van Veiligheid en Justitie, de politie, het Verbond van Verzekeraars en het CCV, te vinden op de gelijknamige website (www.veiligondernemenscan.nl). Met behulp van deze scan kunnen grote en kleine ondernemers zelf een risico-inventarisatie doen en wordt snel en eenvoudig duidelijk waar een ondernemer al goed tegen gewapend is, en voor welke risico’s hij nog maatregelen zou kunnen nemen. De scan biedt per geïnventariseerd risico een advies voor het treffen van organisatorische, bouwkundige en/of installatietechnische maatregelen. Natuurlijk is het ook mogelijk om andere methodes van risicoanalyse te gebruiken. Voor bedrijven met een hoog risico op criminaliteit biedt de Veilig Ondernemen Scan wellicht te weinig houvast. In gevallen waarin de risicoanalyse gedetailleerd moet worden uitgevoerd of als er sprake is van onalledaagse beveiligingssituaties, is het verstandig om een gespecialiseerde beveiligingsadviseur in te schakelen. INTEGRAAL PLAN
Op basis van de risicoanalyse ontstaat een Integraal Plan waarin de ondernemer de maatregelen vastlegt die hij heeft gekozen op basis van het resultaat van de risicoanalyse. Hiermee ontstaat een beveiligingsplan dat het risico op de geïnventariseerde dreigingen tot een aanvaardbaar niveau terugbrengt.
Risico
Hacking computer-
Voorbeeld: uit de Veilig Ondernemen Scan blijkt dat het bedrijf risico’s heeft op het gebied van hacking van het computersysteem en inbraak in het bedrijfspand. Met behulp van de IB-aanpak komt de ondernemer tot de conclusie dat hij de volgende maatregelen zou moeten nemen (zie ook onderstaande tabel). De ondernemer heeft een goede firewall en een malwarescanner, maar heeft nog niet nagedacht over de vraag wat hij moet doen als zijn systeem is gehackt. Hij besluit om hiervoor een offerte op te vragen bij een ICT-bedrijf. Het bedrijf beschikt over een inbraakalarm met doormelding naar de PAC. De ondernemer is zelf het eerste waarschuwingsadres. Verder loopt de ondernemer elke dag een sluitronde. Voor wat betreft het hang- en sluitwerk is hij echter niet zeker van zijn zaak. Hij besluit om een bouwkundig beveiligingsbedrijf om een offerte te vragen. EFFECTIEVE MIX
Leidend voor de ondernemer is de vraag: draagt de investering bij aan mijn primair proces? Wordt wat ik fabriceer of verkoop beter door mijn investering? Is het goed voor mijn klanten, levert het een betere winkelbeleving op, of neemt de zekerheid dat ik tijdig kan leveren er mee toe? Kortom: lost mijn investering een probleem op? De IB-aanpak biedt handvatten voor die afweging en maakt een sluitend plan mogelijk voor het oplossen van onveiligheidsproblemen met een effectieve mix van maatregelen. ■
Willem van Oppen, adviseur Conformiteitschema’s bij het CCV in Utrecht
Maatregelen in de preventiefase
signaleringsfase
reactiefase
nazorgfase
I: firewall
I: virus- of
O: ICT-bedrijf inscha-
O: nagaan hoe het gebeurd is, en
malwarescanner
kelen voor herstellen
maatregelen treffen om herhaling
systeem
te voorkomen Inbraak
B: hang- en
I: inbraakalarm,
O: alarmopvolging
O: aangifte doen, nagaan of er
sluitwerk
abonnement PAC
door bewakings-
maatregelen nodig zijn om herha-
dienst/zelf kijken na
ling te voorkomen
O: sluitronde
melding door PAC
Integrale beveiligingsaanpak op basis van risicoanalyse. I, O, en B staan voor Bouwkundige, Installatietechnische en Organisatorische maatregelen.
45
28 november 2013 | Hart van Holland, Nijkerk
Thema: Cyber Security Vervagende grenzen in veiligheid Hoe vergroot u de digitale veiligheid van uw organisatie? En hoe werkt u hierbij samen als ‘fysieke’-beveiliger en ‘informatie’-beveiliger? Tijdens het Security Management Congres 2013 krijgt u antwoord op deze vragen. Stel zelf uw persoonlijke congresmiddag samen door een keuze te maken uit de diverse kennissessies. Voor wie? Bent u werkzaam als security manager, IT manager, of security officer en wilt u meer weten over Cyber Security? Kom dan op 28 november naar het Security Management Congres in Nijkerk. Meer informatie en inschrijven:
www.securitymanagement.nl/congres Organisatie
Hoofdsponsor
Sponsoren
CONGRES
OMDENKEN IN BEVEILIGING Veiligheid en beveiliging staan al jaren hoog op de agenda bij veel organisaties. En juist in tijden van crisis hebben klanten behoefte aan een andere benadering, waarop beveiligingsbedrijven moeten inspelen. Hoe? Tijdens het Trigion congres op 9 oktober bleek dat ‘omdenken’ hierbij kan helpen. tekst Arjen de Kort
E
llen Groenewoudt, algemeen directeur van Trigion kon op 9 oktober zo’n 200 relaties verwelkomen in de Hermitage in Amsterdam. De bezoekers werd een interessant en afwisselend programma geboden rondom het thema ‘Omdenken in beveiliging’. Het Schiedamse beveiligingsbedrijf had voor dit thema gekozen, omdat de uitdaging in deze economisch lastige tijden voor zowel klant als leverancier niet zozeer ligt in het verbeteren van traditionele processen en patronen, maar veel meer vraagt om een andere benadering. Of het nu gaat om uitdagen, loslaten en vertrouwen van leveranciers, of om integreren van fysieke en digitale beveiliging, of stimuleren van innovatie door samenwerking, het gaat daarbij steeds meer om een andere benaderingswijze. BEST VALUE PROCUREMENT
Jeroen van de Rijt (senior consultant Scenter) en Sander Bastianen (senior inkoper NS) schetsten aan de hand van het nieuwe beveiligingscontract van NS hoe prestatie-inkoop voor zowel leverancier als klant tot een bevredigende uitkomst kan leiden, met onder andere partnership als resultaat. (In Security Management 2013, nummer 7/8 kunt u het volledige verhaal van Sander Bastianen lezen.)
Richard Franken, directeur van Hoffmann Bedrijfsrecherche (tweede van rechts) overhandigt de Cyber Security Award.
CYBER CRIME
Vervolgens ging Bas de Vogel (unitmanager ICT security bij Hoffmann) in op de belangrijkste trends in cyber crime. Zo werd in 2012 ongeveer 40 procent van de Nederlandse bedrijven geconfronteerd met een of andere vorm van cyber criminaliteit. Volgens De Vogel komt cyber crime dan ook steeds dichterbij voor bedrijven en zouden ze hierop moeten anticiperen door hun personeel hiervan meer bewust te maken. Met deze boodschap in het achterhoofd was het dan ook geen verrassing dat de Hoffmann Cyber Security Award
2013 vervolgens werd uitgereikt aan de Schiphol Group voor zijn awareness campagne cyber security. JA-MAAR
Na een presentatie van Joris den Bruinen, adjunct-directeur van The Hague Security Delta, werd de middag op inspirerende en interactieve wijze afgesloten door Berthold Gunster, grondlegger van het “Ja-maar” concept. Hij nam de zaal mee in zijn filosofie van “omdenken”, waarbij je van een probleem een mogelijkheid maakt. ■
47
PRODUCTEN EN DIENSTEN Beveiliging en toegangscontrole
Opleidingen
Nedap Security Management Postbus 103 7140 AC GROENLO (T) +31 544 471 111 (E) info@nedapsecurity.com (I) www.nedapsecurity.com
Toegangscontrolesystemen
Security Management Advisering
“goed voorbereid op alle risico’s” Postbus 182, 1230 AD Loosdrecht Frans Visser 06 - 511 187 66 Wil van de Ven 06 - 104 674 57 Mail: info@visservdven.nl Web: www.visservdven.nl
✁ Graag ontvang ik meer informatie over de plaatsingsmogelijkheden in het Producten-/ dienstenregister van Security Management.
Organisatie Naam Postbus Postcode Plaats Tel. Email
48 |
S E C U R I T Y M A N AG E M E N T | 11 2013
M/V
Ingevulde coupon kunt u sturen naar:
Vakmedianet t.a.v. Richard van Dijk Postbus 448 2400 AK Alphen aan den Rijn U kunt ook bellen: 088 - 584 09 66 of mailen: richardvandijk@vakmedianet.nl
CONTACTEN EN CONTRACTEN
NIEUWE VOORZITTER VAKGROEP BEVEILIGING Fred van Poelgeest is de nieuwe voorzitter van de Vakgroep Beveiliging van Uneto-VNI. Hij volgt Rien van der Linden op, die per 1 september zijn voorzitterschap heeft neergelegd wegens het bereiken van het maximaal aantal zittingstermijnen. Bij de overdracht van het voorzitterschap heeft het bestuur van de vakgroep aan Van der Linden een bijzonder mandaat afgegeven om zorg te dragen voor een goede afwikkeling van het BORG-dossier. ■
SMIT MANAGER MARKETING & COMMUNICATIE SECURITAS Catriene Smit is in dienst getreden bij Securitas Nederland als Manager Marketing & Communicatie. Smit (35) is afkomstig van Unilever. Bij Securitas gaat zij zich met name richten op het verstevigen van de positionering als aanbieder van integrale veiligheidsoplossingen. Daarnaast ligt de focus op het genereren van leads in zowel de zakelijke als particuliere markt. ■
STEVENS SENIOR CORPORATE SECURITY OFFICER ING Per 1 november is Theo Stevens benoemd tot senior Corporate Security Officer ING Insurance & Investment Management. In deze functie is hij verantwoordelijk voor physical security van alle labels wereldwijd en de personal security van de Raad van Bestuur. Stevens was hiervoor werkzaam als Portfolio Manager Security van ING Insurance & Investment Management. ■
SHELL TEKENT VIJFJARIG WERELDWIJD CONTRACT MET G4S G4S blijft de komende vijf jaar verantwoordelijk voor de safety en security dienstverlening voor Shell in meer dan 30 landen. Daarnaast blijft G4S verantwoordelijk voor het opleiden van de BHVorganisatie. De overeenkomst is getekend voor de duur van 5 jaar met de optie tot 2 verlengingsjaren. ■
EKEROT CEO MOBOTIX Ralf Hinkel heeft per 1 oktober het voorzitterschap van de Raad van Bestuur van Mobotix overgedragen aan Magnus Ekerot. Ekerot was verkoopdirecteur (CSO) en wordt in zijn nieuwe functie als CEO verantwoordelijk voor de afdelingen Verkoop en Marketing. Ekerot was eerder werkzaam bij displayproducent Beijer Electronics Products AB en cameraproducent Axis Communications AB. ■
FAIR GROEP NEEMT PROTECT EYE OVER Fair Groep heeft Protect Eye Nederland overgenomen. Met deze stap versterkt Fair Groep haar positie als top-10 beveiligingsbedrijf in Nederland en meer in het bijzonder haar positie in Midden Nederland. ■
WIDUP PRESIDENT ASIS INTERNATIONAL Richard E. Widup, CPP, volgt per 1 januari 2014 Geoffrey T. Craighead, CPP op als president van ASIS International. De volledige ASIS Board Management Committee bestaat uit vijf leden. Daarnaast opereert de uit drie leden bestaande Board of Directors, waarin Godfried Hendriks, CPP, als nieuw lid is gekozen. ■
Buck Jüch, Ruud Verstraten, Berdie Kamperman, André Bakker (v.l.n.r.)
49
RECHERCHE
ZO SIMPEL KAN HET ZIJN IN DE RECHERCHEPRAKTIJK ONDERZOEKEN WE DE GEVOLGEN VAN HET OPENBAREN VAN RISICO’S, WAARTEGEN NIET OF IN ONVOLDOENDE MATE BEVEILIGINGSMAATREGELEN ZIJN GENOMEN. René Terwey
KLUIS René Terwey, directeur VMB security & solutions te Almere (www.vmbrecherche.nl)
De kluis van een hotel weegt 200 kilo en is met chemische ankers vastgezet in de vloer. De kans dat iemand ermee vandoor gaat is minimaal. Er is 1 sleutel van de kluis en die ligt in het 2e bakje op het bureau van de directeur. ‘Slechts’ 12 medewerkers weten hiervan. Na een congres is er 30.000,- euro in kas. Een van de medewerkers realiseert zich dat dit wel erg veel is en besluit de sleutel te verplaatsen naar het 3e bakje, zodat niet iedereen er bij kan. De volgende dag is de kluis leeg: een typisch voorbeeld van het niet goed inschatten van het risico van interne diefstal. Alleen door een zeer toevallige samenloop van omstandigheden kon de diefstal worden opgelost. ALARMSYSTEEM
Vaak wordt fors geïnvesteerd in alarmsystemen. Medewerkers krijgen codes om het systeem uit te schakelen en deze worden vaak gedeeld. In een winkel wordt ’s nachts het alarm met een ‘geldige’ code uitgeschakeld en na een half uur weer ingeschakeld. De winkel wordt leeggehaald. De volgende dag blijkt dat de code is gebruikt van een medewerker die al 2 jaar uit dienst is. Door analyse van alle in- en uitschakelingen kon worden vastgesteld dat 1 week voor de inbraak de betreffende code 2 keer was uitgeprobeerd. Hieruit is vast komen te staan wie de dader was. Hij bekende en gaf aan de code een keer te hebben afgelezen toen zijn ex-collega deze intoetste. De investering in een alarmsysteem is dus waardeloos als de procedures met betrekking tot het uitgeven van codes niet goed is.
DE VOLGENDE DAG IS DE KLUIS LEEG
KASOPMAAK
Een manager is verantwoordelijk voor het opmaken van de kas. Samen met een medewerker moet er voor de afstort worden getekend. De afstort gaat in een gesloten envelop in de kluis. Na 2 weken liggen er 11 enveloppen in de kluis. Bij het opmaken van de afstort voor de geldloper wordt een verschil ontdekt. In 11 dagen hebben verschillende mensen toegang gehad tot de kluis. Het achterhalen van de dader was niet meer mogelijk. Het advies: zorg voor een afstortkluis die niet door medewerkers zelf geopend kan worden. Zo simpel kan het zijn. Dit zijn zo maar een paar voorbeelden uit de recherchepraktijk en juist aan deze simpele zaken moet veel aandacht worden geschonken om de risico’s te beperken of, liever nog te elimineren. ■
50 |
S E C U R I T Y M A N AG E M E N T | 11 2013
RECHT
POLITIEMAN AAN DE DRUGS EEN RECHERCHEUR WORDT ONTSLAGEN WEGENS VERDENKING VAN HANDEL IN DRUGS. HET ONTSLAG WORDT TOT AAN DE HOOGSTE (BESTUURS)RECHTER ALS TERECHT AANGEMERKT. Rob Poort
Een rechercheur, belast met de aanpak van georganiseerde hennepteelt, wordt in augustus 2011 door twee politieambtenaren in het centrum van Amsterdam meegenomen wegens verdenking van handel in drugs. Na onderzoek volgt onvoorwaardelijk ontslag. Bezwaar is vergeefs en de rechercheur stapt naar de rechtbank. Die verklaart het beroep ongegrond, omdat voldoende aannemelijk is dat de rechercheur op de openbare weg cocaïne of een daarop gelijkend middel heeft gebruikt. De werknemer gaat in hoger beroep.
Mr. ing. R.O.B. Poort is jurist en veiligheidsdeskundige. (www.bureaupoort.nl)
PLICHTSVERZUIM
De Centrale Raad van Raad overweegt dat de rechercheur schuldig is aan plichtsverzuim. Uit zijn verklaring blijkt dat hij wist dat het om verdovende middelen ging. Volgens de Raad is het in het openbaar gebruiken van drugs, of een daarop gelijkende stof, te zien als zeer ernstig plichtsverzuim. Daaraan is onvoorwaardelijk strafontslag niet onevenredig. Hoewel het buiten werktijd plaatsvond, heeft het wel zijn weerslag op het functioneren en aanzien van het politiekorps. Daarbij geldt bovendien dat juist deze rechercheur belast was met de aanpak van georganiseerde hennepteelt. Zelf betoogt hij niet strafbaar te zijn, omdat de Algemene Plaatselijke Verordening (APV) op het punt van drugsbezit onverbindend zou zijn. Maar voor het ambtenarentuchtrecht gelden andere regels dan in het strafrecht. Dat geen strafrechtelijke sanctie is opgelegd maakt het plichtsverzuim niet minder ernstig. Daar komt bij dat dit soort gedrag ook op grond van de Opiumwet is verboden. Dat zijn collega’s hun onverminderde vertrouwen in hem hebben uitgesproken, verandert daar niets aan, net als de ernstige (financiële) gevolgen die het strafontslag heeft. Het hoger beroep wordt verworpen.
IN HET OPENBAAR GEBRUIKEN VAN DRUGS MOET WORDEN GEZIEN ALS ZEER ERNSTIG PLICHTSVERZUIM
AANTEKENING
Het gaat er in dit soort zaken om of het plichtsverzuim aan de werknemer valt toe te rekenen en of de opgelegde straf niet onevenredig is. Zowel rechtbank als Raad zijn van oordeel dat het in het openbaar gebruiken van drugs, of een daarop gelijkende stof, moet worden gezien als zeer ernstig plichtsverzuim. Gezien de aard en ernst van de gedragingen en de – terecht – aan politieambtenaren gestelde eisen van betrouwbaarheid en integriteit is het onvoorwaardelijk strafontslag dan ook niet onevenredig. Het ontbreken van specifieke regels, waarin drugsgebruik verboden wordt op straffe van ontslag, is volgens de rechters niet per se nodig. Maar het is wel handig als ze er zijn! ■ Centrale Raad van Beroep, 15 augustus 2013, ECLI:NL:CRVB:2013:1423
51
Noteer alvast in uw agenda:
Veilig, gezond en herkenbaar werken
Safety&Health@work is de plek om: YZ aVVihiZ kZgc^Zjl^c\Zc! verbeteringen en innovaties op het gebied van veilig, gezond en herkenbaar werken te ervaren ]dd\lVVgY^\Z `Zcc^h de iZ doen en te leren ^che^gVi^Z iZ `g^_\Zc iZ cZilZg`Zc oV`Zc iZ YdZc
Om veilig te kunnen werken moeten organisaties ervoor zorgen dat gevaren en risico’s tijdens het werk zo efficiënt mogelijk worden beheerst. Tijdens dit event komen alle partijen bij elkaar die bij het managen van veiligheidsen gezondheidsrisico’s tijdens het werk betrokken zijn. De nieuwste aanpakken, visies, technieken en producten op het gebied van veilig, gezond en herkenbaar werken worden gepresenteerd door kennispartijen, bedrijven en standhouders. Naast de stands op de beursvloer is er een doorlopend programma met gratis kennissessies van hoog niveau, toegespitst op verschillende thema’s en disciplines. Daarnaast zijn er op de beursvloer activiteiten en workshops waarbij het accent vooral ligt op de uitvoering en toepassing van al die kennis in de praktijk. Wat zijn de nieuwste ideeën en voorbeelden op het gebied van risicomanagement tijdens het werk, van persoonlijke beschermingsmiddelen en (bedrijfs)kleding?
Safety&Health is een initiatief van:
In samenwerking met:
P P M
een initiatief van:
1SFWFOUJF 1SPKFDU .BOBHFNFOU
www.safetyandhealthatwork.nl
YOUNG PROFESSIONAL
PERSOONLIJK
Ik ben enthousiast, gedreven, leergierig en sta graag klaar voor anderen. Zo ben ik in mijn vrije tijd maatje bij het project “slachtoffers van mensenhandel”. Ik ben opgegroeid in het Noord-Limburgse plaatsje Broekhuizen, woon inmiddels in Utrecht en werk nu in Maastricht.
IMKE HERMANS Leeftijd: 24 Functie: medewerker Security bij WML
OPLEIDING
Integrale Veiligheid en Forensica, Criminologie en Rechtspleging. De keuze voor security is nooit een bewuste geweest. Na het afronden van mijn opleidingen ben ik er eigenlijk vanzelf ingerold. CARRIÈRE
In deze rubriek aandacht voor
Momenteel ben ik medewerker Security bij WML (Waterleiding Maatschappij Limburg). In deze functie ben ik op tactisch/operationeel niveau verantwoordelijk voor de uitvoering van het security beleid en crisismanagement, zodat de randvoorwaarden gecreëerd en geborgd zijn veilig drinkwater te leveren in een veilige omgeving. Daarnaast ben ik voluntair bij de politie in Utrecht.
jonge securityprofessionals. Zij komen aan het woord over hun opleiding, carrière, vakgebied en ambities. Aanmelden van personen voor deze rubriek bij: arjendekort@vakmedianet.nl
WAT IK HEB GELEERD VAN MIJN MANAGER…
Ik steek iedere dag veel op van de manier waarop mijn managers weloverwogen keuzes maken. Zij laten daarbij geen enkel aspect onbelicht. Ik blijf het knap vinden hoe ze hoofdzaken van bijzaken weten te onderscheiden. WAT MIJN MANAGER VAN MIJ HEEFT GELEERD…
is dat het vakgebied security buitengewoon serieus moet worden genomen. Hij staat open voor nieuwe inzichten. Bovendien is het plezierig te merken dat hij mijn plannen serieus neemt en mij de volle verantwoordelijkheid geeft om ze uit te voeren..
manager niet alleen steeds meer kennis nodig van ICT-zaken maar moet hij ook steeds meer weten van maatschappelijke veranderingen.
SECURITY MANAGEMENT ONTWIKKELT ZICH TOT…
een volwaardige pijler in het bedrijf waar ik nu werk. Vreemd is dat niet, want drinkwater is een belangrijke levensbehoefte en het proces van het maken van drinkwater moet met grote zorgvuldigheid gebeuren.
LinkedIn gebruik ik om op de hoogte te blijven van de laatste ontwikkelingen binnen het vakgebied.
DE SECURITY MANAGER VERDWIJNT...
■
en gaat op in een groter geheel. Het vakgebied is namelijk gevoelig voor maatschappelijk ontwikkelingen. Zo zie je bijvoorbeeld dat er binnen security steeds meer aandacht komt voor ICT-aspecten. De security manager zoals we die nu kennen wordt een manager die in staat is om diverse disciplines in te schakelen om zo diverse problemen het hoofd te bieden. Zo heeft een security
■
SOCIAL MEDIA
SECURITY TRENDS
Cyber security (awareness) Toenemende burgerparticipatie ■ Trends waarbij privacy van burgers meer en meer onder spanning komt te staan OVER 5 JAAR…
ben ik een enthousiaste adviseur op het gebied van safety en security. ■
53
SECURITY MANAGEMENT
ONAFHANKELIJK VAKBLAD VOOR PROFESSIONELE BEVEILIGING ■
WWW.SECURITYMANAGEMENT.NL ■
Colofon
Adverteerdersindex
Security Management, onafhankelijk vakblad voor professionele beveiliging, is een uitgave van Vakmedianet bv. Vakmedianet legt de gegevens van abonnees vast voor de uitvoering van de (abonnements) overeenkomst. De gegevens kunnen door Vakmedianet, of zorgvuldig geselecteerde derden, worden gebruikt om u te informeren over relevante producten en diensten. Indien u hier bezwaar tegen heeft, kunt u contact met ons opnemen.
Abus Security Center Axis Communications Bosch Security Systems Evenementenhal Hardenberg Haagse Hogeschool ILOQ Benelux Nedap N.V Security Management OrcaSecure Trigion
Hoofdredacteur Arjen de Kort (arjendekort@vakmedianet.nl) Eindredactie Monique van der Woude Redactieadres Pr. Margrietlaan 3, Postbus 448, 2400 AK Alphen aan den Rijn. Telefoon (088) 58 40 918 Uitgever Geert van den Bosch (geertvandenbosch@vakmedianet.nl)
2 55 18 44 32 44 32 32 56
Marketing Juliette Lammers (juliettelammers@vakmedianet.nl) Advertentieverkoop Marion Smits: 06 - 52867200, marionsmits@vakmedianet.nl Abonnementen Vragen over abonnementen kunt u richten aan de Klantenservice, tel. 088 5840 888, klantenservice@ vakmedianet.nl. De abonnementsprijs is € 129,– (exclusief btw) per jaar. Studenten betalen € 55,– (inclusief btw). Prijzen zijn inclusief verzend- en administratiekosten. Losse verkoopprijs € 19,– per nummer, exclusief 6% BTW. Een abonnement kan op elk moment ingaan. Op elk tweede en volgende abonnement ontvangt u 25% korting. U ontvangt 10 nummers per jaar. Opzeggen kan schriftelijk tot drie maanden voor de nieuwe jaargang bij B + B Vakmedianet, Postbus 2238, 5600 CE Eindhoven. Adres wijzigingen (met de oude adres gegevens) doorgeven aan B + B Vakmedianet, Postbus 2238, 5600 CE Eindhoven. Bankrelatie: ING Bank 65.23.73.763 Copyright Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand of openbaar gemaakt in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of op enige andere manier, zonder voorafgaande toestemming van de uitgever. Op alle uitgaven van B + B Vakmedianet zijn de algemene leveringsvoorwaarden van toepassing, gedeponeerd ter griffie van de Rechtbank te ‘s-Gravenhage op 22 oktober 2012 onder depotnummer 66/2012. Disclaimer Alle in Security Management opgenomen informatie is met de grootste zorgvuldigheid samengesteld. De juistheid en volledigheid kunnen echter niet worden gegarandeerd. B + B Vakmedianet en de bij deze uitgave betrokken redactie en medewerkers aanvaarden dan ook geen aansprakelijkheid voor schade die het directe of indirecte gevolg is van het gebruik van de opgenomen informatie. B + B Vakmedianet is aangesloten bij Het Oplage Instituut (HOI) Partners Axis Communications, Trigion, Securitas, G4S Beveiliging, Nedap, ARAS Security, Bosch Security Systems Opmaak en DTP Publish Impulse Group - Cross Media Solutions Basisvormgeving MAT GRAFI SCH ONT WERP B NO ,
Den Haag
Coverontwerp Mr. Richardson
S E C U R I T Y M A N AG E M E N T
Thema Toegangscontrole Relatie tussen security management en fact finding Onderzoek effectiviteit meten menselijk toezicht SMAC staat voor de deur - deel 2 Deze aankondiging is onder voorbehoud.
Druk: Koninklijke Van Gorcum, Assen ISSN 1386-0941
54 |
Binnenkort in Security Management
| 11 2013
De deur staat altijd voor u open
Iedereen waardeert een vriendelijke ontvangst bij het betreden van een kantoor. Maar gastvrijheid mag niet ten koste gaan van veiligheid. Dat weten wij van Trigion maar al te goed. Daarom zetten wij altijd de juiste mensen in. Vriendelijke, uitstekend opgeleide en doortastende professionals. Wij zoeken proactief naar nieuwe oplossingen voor een gastvrije ontvangst ĂŠn efficiĂŤnte bescherming van mensen en eigendommen. Onze opdrachtgevers waarderen dat. Dat blijkt niet alleen uit onze klanttevredenheidsonderzoeken maar ook uit onze langdurige relaties. Omdat we doen wat er van ons verwacht wordt. En eigenlijk net iets meer dan dat. Wilt u weten wat Trigion voor uw organisatie kan betekenen? Kijk voor meer informatie op www.trigion.nl of bel (010) 298 11 33.
Trigion. Toonaangevend in veiligheid
De juiste mensen op de juiste plek