Securitymanagement
Samenvattingen boek, integrale beveiliging (Appelman A, 2010)
Hoofdstuk 1, wat is integrale beveiliging?
- Integraal = waaraan niets ontbreekt, alles omvattend in zijn geheel. Integraal wil ook zeggen
dat er een goede samenhang tussen alle getroffen maatregelen aanwezig moet zijn.
- Samenvattend staan een integrale aanpak voor: organisatie breed, samenhangende
maatregelen en een continu proces.
- Beveiliging = veilig maken, onttrekken aan geweld, bedreiging, gevaar of schade.
- In het boek wordt beveiliging gedefinieerd als: het totaalpakket van samenhangende
maatregelen om de continuïteit van de organisatie te waarborgen tegen incidenten die door
kwaadwillende mensen worden veroorzaakt.
- Incidenten = kan veroorzaakt worden door eigen mensen of mensen van buiten (interne en
externe criminaliteit). Dit menselijk handelen kan zich richten op vormen van agressie,
geweld, bedreigingen, ontvreemden, vernielingen of niet integer gedrag.
- Maatregelen = totaalpakket richt zich op preventieve, repressieve en herstellende
maatregelen.
- Continuïteit = beveiligingsmaatregelen worden getroffen om de continuïteit van de primaire
processen van de organisatie te borgen. Primair proces is bij elke organisatie anders.
- Veiligheid = een totaalpakket van samenhangende maatregelen om personen binnen de
organisatie te beschermen tegen gevaarlijke situaties.
- Verschillen:
1. Bij veiligheid staat het individu centraal, bij beveiliging de organisatie.
2. Bij veiligheid gaat het om elke situatie die potentieel gevaarlijk is, denk aan een gladde
vloer, een loshangende draad, verkeerde stoel, bedorven voedsel etc. Bij beveiliging gaat
het om incidenten die moedwillig door mensen veroorzaakt worden met als doel schade
aan te richten.
3. Bij veiligheid gaat het vaak om onbedoelde gevaarlijke situaties, bij beveiliging om
doelbewuste, kwaadwillende ofwel criminele handelingen.
Hoofdstuk 2, risicomanagement, incidenten, schades en statistiek
- Risico = gevaar van schade of verlies, de gevaarlijke of kwade kans of kansen die zich bij iets
voordoen.
- Risico = de waarschijnlijkheid van de gebeurtenis van een ongewenst incident.
, - Risicoanalyse = het startpunt om tot een goed gefundeerd securitymanagement te kunnen
komen.
- Een inschatting maken van de waarschijnlijkheid dat de gesignaleerde risico’s zich zullen
voordoen, hiervoor kan men 3 methoden aanwenden:
1. Maak gebruik van media
2. Eigen incidentenregistratie raadplegen en hieruit te destilleren wat er gebeurt binnen de
eigen organisatie. Voordeel van deze aanpak is dat de incidenten reëel zijn en bekend is
wat de schadelijke gevolgen zijn. Deze methodiek is goed om statistiek in te kunnen
zetten om draagvlak te verkrijgen.
3. Sector breed te inventariseren wat er zoal gebeurt door middel van benchmarking.
Hiermee krijgt men meer voorspellende data dan bij methode 2 omdat er wellicht
incidenttypen tussen staan die nog niet binnen de eigen organisatie hebben
plaatsgevonden maar vanuit de benchmark wel reëel blijken te zijn.
- Risicobeheersing = 2 uitgangspunten van belang. Waarschijnlijkheid dat een incident zich
voordoet en anderzijds de te verwachte schade als gevolg van het incident.
- Incidenten = ongewenst, komen onaangekondigd en leveren schade op.
- Directe schadecomponenten = medewerker ziek, glas kapot, beschadigingen etc.
- Indirecte schadecomponenten = opnemen van schade en de verloren goederen, onderzoek
uitvoeren, foto’s maken en beheren en bijv. informeren van de betrokken afdelingen,
personen en directie etc.
- Andere posten die ook vallen onder indirecte schade zijn: extra bewaking, schoonmaken en
opruimen, noodoplossingen, reputatie- imagoschade.
Hoofdstuk 3, meldingen en stuurinformatie
- 5 maatregelgroepen, MOBEC
1. M = meldingen ofwel stuurinformatie
2. O = organisatorisch
3. B = bouwkundig
4. E = elektronisch
5. C = communicatie & bewustwording
- Om voorkomende incidenten om te zetten naar stuurinformatie is een meetinstrument
noodzakelijk. Kritische meetindicatoren beantwoorden de vragen
1. Van welk type is het incident?
2. Wat is er gebeurd?
3. Waar is het gebeurd?
4. Wanneer is het gebeurd?
5. Waarom is het gebeurd (oorzaak)?
6. Wie waren erbij betrokken?
7. Welke gevolgen/schade heeft het incident?
- Van welk type is het incident? Elk incidenttype wordt een meldtype genoemd, zo kunnen de
incidenten worden geclusterd.
- Wat is er gebeurd? Is de basisvraag van elk onderzoek
- Waar is het gebeurd? Locatie van het incident geeft bruikbare informatie, zo kun je
bijvoorbeeld nagaan op welke afdeling de meeste fraudegevallen plaatsvinden.
- Wanneer is het gebeurd? Tijdstip kent vele analysemogelijkheden, kijken we naar de
jaarstatistiek, maandstatistiek, weken of dagen?
- Waarom is het gebeurd (oorzaak)? De oorzaak van het voorval is ook noodzakelijk om zo
herhaling te kunnen voorkomen.
- Wie waren erbij betrokken? Wie moet van het voorval in kennis gesteld worden? Zijn er
getuigen of mogelijke daders? Etc.
, - Meldingsbereidheid, het doen van een melding moet laagdrempelig zijn, mag niet te veel tijd
kosten en men moet er iets voor terug krijgen.
Hoofdstuk 4, organisatorische beveiligingsmaatregelen
- Groep met organisatorische maatregelen valt in 2 delen uiteen ->
1. Menselijke inzet vanuit de eigen organisatie om beveiligingswerkzaamheden uit te voeren
en technische systemen te beheren en onderhouden
2. Aan de andere kant omvat het een groot aantal documenten met plannen, wetten, visies,
afspraken en procedures die op de beveiliging van toepassing zijn.
- Beleidsplan = hierin staan de formele uitgangspunten, dit vormt de kapstok waaraan de
verdere uitwerking van de beveiliging kan worden opgehangen. Beleidsplan moet een aantal
jaar mee kunnen gaan en de koers voor beveiliging aangeven op hoofdlijnen. Mag dus niet
ellenlang en zeer gedetailleerd zijn.
- Beleidsplan = gaat om de uitgangspunten van beveiliging, het managementstandpunt en de
visie die de organisatie voor ogen heeft bij de waarborging van de continuïteit van de
bedrijfsprocessen.
- Zaken die sowieso in het beveiligingsbeleidsplan thuishoren zijn:
1. Relatie naar de algemene beleidsvisie van de hele organisatie
2. Van toepassing zijnde wetten, normen en richtlijnen
3. Toewijzing financiële middelen en mankracht
4. Benoeming van een eindverantwoordelijke voor beveiliging
5. Positionering van de beveiligingsfunctie binnen de organisatie
6. Globale opbouw van de beveiligingsorganisatie
7. Interne communicatie inzake beveiliging
8. Opleidingen en trainingen
9. Borging beveiligingsniveau en het voeren van een (PDCA) kwaliteitsaanpak
10. De uit te voeren maatregelen voor de komende 5 jaar vormgeven in speerpunten van
beleid
11. Het te implementeren security managementsysteem d.m.v. het 7-stappenplan om tot
invulling van het beleid te komen
- Voor elk reëel bevonden risico de afweging maken om het te accepteren, te vermijden, te
verzekeren of te beveiligen.
- Onderdelen risicoprofiel =
1. Indeling naar gebieden (waar vindt de risico plaats?)
2. Indeling potentiele daders (komt de dreiging van binnenuit of buitenaf?)
3. Nadere uitleg ofwel scenario geven van de onderscheiden potentiele incidenten.
- Vervolgens kijken naar prioriteitsvolgorde (geen 1 organisatie kan alle risico’s in 1 keer beter
beheersbaar maken).
- Het is cruciaal dat het risicoprofiel gedragen wordt door de organisatie. Het mag geen gevoel
zijn van een aantal mensen van de afdeling Beveiliging of van het facilitair bedrijf.
- Zodra het risicoprofiel gereed is kunnen de maatregelen om de dreigingen tegen te gaan
geformuleerd worden.
- Regels en voorschriften = hetzelfde, het zijn bepalingen waarnaar men zich richten moet
- Richtlijnen = aanwijzingen voor te volgen gedrag of handelswijze, ze zijn vrijblijvender dan een
voorschrift of regels
- Procedure = een manier van doen, optreden ofwel een methode
- Protocol = een geheel van regels en afspraken voor het uitwisselen van gegevens tussen
programma’s, computers of netwerken
