Integrale beveiliging
Hoofdstuk 11: optimaliseren van de beveiliging
11.1: 7-stappenplan op verschillende niveaus:
Het 7-stappenplan kan op 3 niveaus gedaan worden:
1) Operationeel: voor de dagelijkse beveiligingshectiek is het 7-stappenplan
inzetbaar als kwaliteitsinstrument.. Voorbeeld is dat in bepaald gebouw
toename is van beveiligingsincidenten. Werkprogramma’s worden hier dan op
aangepast en er worden personen aangewezen die extra gaan surveilleren;
2) Tactisch: het 7 stappenplan raakt het jaarplan en jaarverslag van de
beveiliging. Aan begin wordt jaarplan beveiliging opgesteld waarin is
meegenomen welke formatie aan mensen noodzakelijk is en welke speerpunt
uit het voorgaande jaar nog niet is afgerond en dat hier dit jaar mee verder
wordt gegaan. Dat wordt voor komende jaar geformuleerd welke onderdelen
van speerpunt op programma staan. Voor het komende jaar moeten afspraken
geëvalueerd zijn en opnieuw invulling krijgen.
Jaar wordt afgesloten met jaarverslag beveiliging waarin voor management
wordt teruggeblikt naar verrichtte activiteiten en waarin verslaglegging wordt
gedaan van voortgang van implementatie van speerpunten van het beleid. Er
wordt gerapporteerd welke onderdelen volgens planning verlopen, welke
vooruit lopen en bij welke vertraging is opgetreden. Ook wordt er financieel
balans opgemaakt.
3) Strategisch: 7-stappenplan is hier op beleidsniveau. Beleidscyclus gelt vaak
voor 4/5 jaar. De geformuleerde speerpunten dienen binnen gestelde termijn
geïmplementeerd te worden (over die 5 jaar). Het is belangrijk goed overzicht
te houden over de verschillende activiteiten die lopen en deze vast te leggen
in jaarplannen en voortgangsdocumenten.
11.2: 2e cyclus van het 7-stappenplan:
Het laatste stap uit het 7-stappenplan kent geen eindpunt en is beginpunt van nieuwe
cyclus. Vooral de eerste 3 stappen gaan qua inhoud steeds veranderen. Na 5 jaar
kunnen er veel gerichter en preciezer maatregelen geformuleerd worden. Dat is het
resultaat en doel van de kwaliteitsgerichte aanpak. De volgende cyclus kan er dan
zo uitzien:
Stap 1: inventariseren: opnieuw wordt gekeken wat de status is van het moment.
Veel belangrijke managementinfo komt beschikbaar uit het SMIS zoals welke
incidenten er geweest zijn en hoeveel ze kosten en of medewerkers binnen
organisatie er goed mee overweg kunnen. Er worden opnieuw interviews, schouwen
en documentenstudie gedaan. Hieruit kan na voren komen of de maatregelen goed
zijn en of er nieuwe vitale onderdelen bijgekomen zijn bij de organisatie.
Om de risico’s uit de interviews te toetsen en maatregelen nauwkeuriger te definiëren
is de stuurinfo uit het SMIS nu goed bruikbaar. Bruikbare analyse uitgangspunten
zijn:
1) Oorzaak-gevolgrelaties
2) Kosten
3) Incidententypen differentiëren vb: diefstal van medewerker, diefstal
derden, diefstal organisatie, poging tot inbraak, bedrijfsspionage enz.
, 4) Geografisch organisaties met meerdere vestigingen kunnen onderzoeken
of er verschillen bestaan tussen de locaties in verschillende regio’s. Dit kan
leiden tot het maken van verschillende risicoprofielen.
Met meerdere vestigingen kan ook geëxperimenteerd worden in maatregelen.
Test maatregel in bepaalde regio. Leidt tot gewenst effect? Hier is sprake van
als kosten maatregelen bij elkaar opgeteld lager zijn dan kosten gevolgen
incidenten. Hierbij vindt een terugkoppeling plaats naar 1 e cyclus: hoe ver
staat het met implementatie en loopt het op koers?
Bij inventarisatie 2e ronde zal blijken dat info op basis waarvan aangepast beleid
geformuleerd wordt veel rijker is geworden. We kunnen maatregelen beter richten en
onderbouwen. Leidt ertoe dat middelen efficiënter kunnen worden ingezet. Naast
interne veranderingen, moet ook gekeken worden naar externe regelgeving.
Stap 2: definiëren: de fundamenten welke in 1e cyclus zijn opgesteld zijn dienen nu
slecht aangepast te worden. Het opgestelde risicoprofiel wordt aangepast aan hand
van 2e interviews en evaluatie van SMIS. Op basis aangepaste risicoprofiel kunnen
nieuwe speerpunten geformuleerd worden en bestaande lopende aangepast worden.
De volgende zaken worden opnieuw gedefinieerd:
1) Risicoprofiel op basis nieuwe ontwikkelingen en statistiek uit SMIS;
2) Beleidsplan op basis van veranderde risico’s en voortang binnen
speerpunten;
3) SMIS op basis nieuwe incidenttypen, veranderende werkwijzen en
taakgebieden;
4) Formuleren meetbare en controleerbare doelstellingen.
Doelstellingen in beleidsplan worden niet al te precies geformuleerd omdat deze 5
jaar mee gaat. Precieze doelstellingen met kosten-schadeoverzicht staat in
jaarplannen beveiliging.
Stap 3: concluderen: wordt opnieuw match gemaakt tussen stap 1 en 2 uit 2 e
cyclus. Hierbij wordt gekeken welke speerpunten niet of onvolledig gerealiseerd zijn
in 1e beleidscyclus.
Doordat ook bijbehorende kosten incidenten zijn geregistreerd, kan nu op
eenvoudige wijze kosten-batenanalyse worden opgesteld om maatregelen te
onderbouwen.
Stap 4: verbeteren: richt zich in de vervolgcycli op het aanpassen van reeds
getroffen maatregelen en de nieuw geformuleerde aanbevelingen. Er is gedragscode
opgesteld in 1e cyclus. Doordat er ervaring is opgedaan met praktische
toepasbaarheid si mogelijk dat in beleid aanpassing gedragscode is.
Stap 5: selecteren: komt overeen met 5e stap in 1e cyclus. Veel organisaties
besteden externe dienstverlening om de 5 jaar opnieuw aan.
Stap 6: implementeren: komt ook overeen met de 6e stap in 1e cyclus. Kan
bijvoorbeeld zo zijn dat systemen ook op andere locaties geplaatst worden.
Stap 7: borgen: fase van toetsen, controleren, beheren, evalueren en borgen. Deze
stap opent opnieuw een nieuwe cyclus.
Hoofdstuk 11: optimaliseren van de beveiliging
11.1: 7-stappenplan op verschillende niveaus:
Het 7-stappenplan kan op 3 niveaus gedaan worden:
1) Operationeel: voor de dagelijkse beveiligingshectiek is het 7-stappenplan
inzetbaar als kwaliteitsinstrument.. Voorbeeld is dat in bepaald gebouw
toename is van beveiligingsincidenten. Werkprogramma’s worden hier dan op
aangepast en er worden personen aangewezen die extra gaan surveilleren;
2) Tactisch: het 7 stappenplan raakt het jaarplan en jaarverslag van de
beveiliging. Aan begin wordt jaarplan beveiliging opgesteld waarin is
meegenomen welke formatie aan mensen noodzakelijk is en welke speerpunt
uit het voorgaande jaar nog niet is afgerond en dat hier dit jaar mee verder
wordt gegaan. Dat wordt voor komende jaar geformuleerd welke onderdelen
van speerpunt op programma staan. Voor het komende jaar moeten afspraken
geëvalueerd zijn en opnieuw invulling krijgen.
Jaar wordt afgesloten met jaarverslag beveiliging waarin voor management
wordt teruggeblikt naar verrichtte activiteiten en waarin verslaglegging wordt
gedaan van voortgang van implementatie van speerpunten van het beleid. Er
wordt gerapporteerd welke onderdelen volgens planning verlopen, welke
vooruit lopen en bij welke vertraging is opgetreden. Ook wordt er financieel
balans opgemaakt.
3) Strategisch: 7-stappenplan is hier op beleidsniveau. Beleidscyclus gelt vaak
voor 4/5 jaar. De geformuleerde speerpunten dienen binnen gestelde termijn
geïmplementeerd te worden (over die 5 jaar). Het is belangrijk goed overzicht
te houden over de verschillende activiteiten die lopen en deze vast te leggen
in jaarplannen en voortgangsdocumenten.
11.2: 2e cyclus van het 7-stappenplan:
Het laatste stap uit het 7-stappenplan kent geen eindpunt en is beginpunt van nieuwe
cyclus. Vooral de eerste 3 stappen gaan qua inhoud steeds veranderen. Na 5 jaar
kunnen er veel gerichter en preciezer maatregelen geformuleerd worden. Dat is het
resultaat en doel van de kwaliteitsgerichte aanpak. De volgende cyclus kan er dan
zo uitzien:
Stap 1: inventariseren: opnieuw wordt gekeken wat de status is van het moment.
Veel belangrijke managementinfo komt beschikbaar uit het SMIS zoals welke
incidenten er geweest zijn en hoeveel ze kosten en of medewerkers binnen
organisatie er goed mee overweg kunnen. Er worden opnieuw interviews, schouwen
en documentenstudie gedaan. Hieruit kan na voren komen of de maatregelen goed
zijn en of er nieuwe vitale onderdelen bijgekomen zijn bij de organisatie.
Om de risico’s uit de interviews te toetsen en maatregelen nauwkeuriger te definiëren
is de stuurinfo uit het SMIS nu goed bruikbaar. Bruikbare analyse uitgangspunten
zijn:
1) Oorzaak-gevolgrelaties
2) Kosten
3) Incidententypen differentiëren vb: diefstal van medewerker, diefstal
derden, diefstal organisatie, poging tot inbraak, bedrijfsspionage enz.
, 4) Geografisch organisaties met meerdere vestigingen kunnen onderzoeken
of er verschillen bestaan tussen de locaties in verschillende regio’s. Dit kan
leiden tot het maken van verschillende risicoprofielen.
Met meerdere vestigingen kan ook geëxperimenteerd worden in maatregelen.
Test maatregel in bepaalde regio. Leidt tot gewenst effect? Hier is sprake van
als kosten maatregelen bij elkaar opgeteld lager zijn dan kosten gevolgen
incidenten. Hierbij vindt een terugkoppeling plaats naar 1 e cyclus: hoe ver
staat het met implementatie en loopt het op koers?
Bij inventarisatie 2e ronde zal blijken dat info op basis waarvan aangepast beleid
geformuleerd wordt veel rijker is geworden. We kunnen maatregelen beter richten en
onderbouwen. Leidt ertoe dat middelen efficiënter kunnen worden ingezet. Naast
interne veranderingen, moet ook gekeken worden naar externe regelgeving.
Stap 2: definiëren: de fundamenten welke in 1e cyclus zijn opgesteld zijn dienen nu
slecht aangepast te worden. Het opgestelde risicoprofiel wordt aangepast aan hand
van 2e interviews en evaluatie van SMIS. Op basis aangepaste risicoprofiel kunnen
nieuwe speerpunten geformuleerd worden en bestaande lopende aangepast worden.
De volgende zaken worden opnieuw gedefinieerd:
1) Risicoprofiel op basis nieuwe ontwikkelingen en statistiek uit SMIS;
2) Beleidsplan op basis van veranderde risico’s en voortang binnen
speerpunten;
3) SMIS op basis nieuwe incidenttypen, veranderende werkwijzen en
taakgebieden;
4) Formuleren meetbare en controleerbare doelstellingen.
Doelstellingen in beleidsplan worden niet al te precies geformuleerd omdat deze 5
jaar mee gaat. Precieze doelstellingen met kosten-schadeoverzicht staat in
jaarplannen beveiliging.
Stap 3: concluderen: wordt opnieuw match gemaakt tussen stap 1 en 2 uit 2 e
cyclus. Hierbij wordt gekeken welke speerpunten niet of onvolledig gerealiseerd zijn
in 1e beleidscyclus.
Doordat ook bijbehorende kosten incidenten zijn geregistreerd, kan nu op
eenvoudige wijze kosten-batenanalyse worden opgesteld om maatregelen te
onderbouwen.
Stap 4: verbeteren: richt zich in de vervolgcycli op het aanpassen van reeds
getroffen maatregelen en de nieuw geformuleerde aanbevelingen. Er is gedragscode
opgesteld in 1e cyclus. Doordat er ervaring is opgedaan met praktische
toepasbaarheid si mogelijk dat in beleid aanpassing gedragscode is.
Stap 5: selecteren: komt overeen met 5e stap in 1e cyclus. Veel organisaties
besteden externe dienstverlening om de 5 jaar opnieuw aan.
Stap 6: implementeren: komt ook overeen met de 6e stap in 1e cyclus. Kan
bijvoorbeeld zo zijn dat systemen ook op andere locaties geplaatst worden.
Stap 7: borgen: fase van toetsen, controleren, beheren, evalueren en borgen. Deze
stap opent opnieuw een nieuwe cyclus.
