Fysieke beveiliging, ict-beveiliging, en persoonlijke veiligheid zijn organisatiorisch meestal strikt gescheiden terwijl operationeel die gebieden allang elkaar overlappen. De grenzen tussen deze 'zuilen' zijn door het steeds mobieler worden van de werkplek en informatie vervlogen en kunnen niet meer los van elkaar gezien worden. Er is dus zeker een effectiviteits, een efficientie en een financieel voordeel te halen.
Tot nog niet zo lang geleden werden fysieke beveiliging en informatiebeveiliging als twee totaal verschillende vakgebieden bestempeld. En nog steeds zijn bij veel organisaties technische ict-beveiliging, informatiebeveiliging, fysieke beveiliging en persoonlijke veiligheid, als waren het religies, strikt van elkaar gescheiden waarbij ‘gemengde huwelijken’ uit den boze zijn. Daarbij zijn de verantwoordelijke managers ondergebracht onder afzonderlijke organisatorische afdelingen en putten ze uit verschillende financiële budgetten. Met het steeds mobieler worden van de werkplek, gedreven door het gebruik van pda’s, laptops, thuiswerken, enzovoorts, schuiven de grenzen tussen de disciplines meer en meer naar elkaar toe. Sterker nog binnen elke organisatie of bedrijf hebben deze grenzen elkaar operationeel al lang overlapt.
De ontwikkeling van ‘Het Nieuwe Werken’ heeft nog niet overal geleid tot ‘Het Nieuwe Beveiligen’. Door het mobieler worden van de werkplekken en de informatie ontstaat het gevaar dat de toepasbaarheid van het geldende conventionele beleid ter discussie staat. Ter illustratie: als een medewerker met zijn laptop het gebouw uitloopt valt dat dan onder de eisen en richtlijnen van informatiebeveiliging of fysieke beveiliging van middelen. Een vergelijkbare discussie ontstaat bij de definiëring van kritische ruimtes in een gebouw waar gewerkt wordt met vertrouwelijke informatie. Het classificeren van deze ruimtes komt vanuit het informatiebeveiligingsbeleid maar de realisatie van maatregelen wordt weer door het facilitairbedrijf of fysieke beveiliging gerealiseerd. Wie heeft dan de verantwoordelijkheid voor de toetsing van de fysieke maatregelen en het in control zijn?
De disciplines fysieke beveiliging, informatiebeveiliging en de daaraan gerelateerde processen zijn allen ondersteunend aan de primaire bedrijfsprocessen van een organisatie. De uitvoering van een risicoanalyse moet dan ook tot doel hebben het kritische bedrijfsproces volledig in kaart te brengen, de assets te classificeren en de risico’s te benoemen. Of die risico’s zich nu bevinden op het gebied van informatiesystemen of fysieke locatie maakt eigenlijk niet zo heel veel uit. Het doel is om te zorgen voor zoveel mogelijk continuïteit van het bedrijfsproces. In de risicoanalyses die binnen beide stromingen nu worden uitgevoerd komen wederzijdse onderwerpen al aan de orde. Bijvoorbeeld risico’s voor het bedrijfsproces vanuit factoren als toeleveranciers, afnemers, personeel, fraude, et cetara. Een samenvoeging van deze activiteiten lijkt dan de efficiëntie en effectiviteit te verhogen.
Het toepassen van een integrale aanpak in beveiliging levert aanwijsbare financiële en efficiëntie voordelen op. Dubbel uitgevoerde activiteiten en tegenstrijdige maatregelen of voorschriften worden hiermee voorkomen evenals discussies over verantwoordelijkheden. Binnen het bedrijfscontinuïteitsproces bestaat de integrale aanpak al veel langer. ‘Vroeger’ werd nog meestal gesproken over calamiteitenuitwijk en werd het doel, het weer in productie krijgen van het bedrijfsproces, nogal eens uit het oog verloren. Bovendien ligt de nadruk nu meer op het voorkomen van calamiteiten en pas daarna op het herstel. Uit politieke afwegingen is het verstandig de afdeling te positioneren in de staf of het bedrijfsbureau van een organisatie.
Plaatsing binnen informatiemanagement of facilitaire afdeling zou weerstand kunnen oproepen vandaar dat een ‘neutrale’ en onafhankelijke positie niet onverstandig is. Een nauwe samenwerking met deze afdelingen blijft uiteraard onverminderd noodzakelijk. De integrale aanpak moet ook zichtbaar terugkomen in het beveiligingsbeleid en beveiligingsplannen. Op het niveau van de implementatieplannen kan best onderscheid gemaakt worden tussen bijvoorbeeld plannen voor ict maatregelen en voor toegangsbeveiliging maar allen moeten uiteindelijk zijn afgeleid van het overkoepelende integrale beveiligingsbeleid. Verantwoordelijk voor het beleid is de (corporate) security manager. Pas als alle verantwoordelijkheden en activiteiten op het gebied van risico’s en beveiliging, fysiek en ict, aangestuurd worden vanuit een centrale afdeling of management, uiteraard met voldoende mandaat, is het mogelijk om effectief en succesvol risico management in te voeren.
Je hebt gelijk dat beveiliging en veiligheid effectief en efficient georganiseerd moet worden en dat dit niet altijd het geval is.
Je pleit voor een model met een gecentraliseerde organisatie. Dit kan een goed model zijn voor sommige bedrijven, maar is niet voor iedereen effectief en efficient. Een geografisch verspreide organisatie kan kiezen dit per locatie op te zetten. Samenwerkingsverbanden of outsourcing van activiteiten kan ook vergen dat voor een ander organisatiemodel gekozen wordt.
In alle gevallen hoort het model wel voor iedereen duidelijk te zijn, met bepaalde verantwoordelijkheden, en logisch voor de business.
Peter,
Interessant artikel en het sluit helemaal aan op de verschillende whitepapers die wij hierover inmiddels ook gepubliceerd hebben.
Waar we naar toe moeten is van een zogenaamde “rule based” benadering naar een meer “operational risk based” benadering (om uiteindelijk te belanden in een “enterprise risk based” benadering). Het gaat uiteindelijk om de continuiteit van de organisatie die grofweg bereikt wordt door: kosten en omzet.
Op deze wijze moet integrale beveiliging niet gezien worden als een hiërarchische organisatorische aanpak maar als een onderdeel van de totale bedrijfsvoering. Als we de parallel trekken met kwaliteitsmanagement dan blijft de huidige organisatie gewoon in stand (facility management het facilitaire/fysiek gedeelte en ICT het IT/informatiebeveiligingsgedeelte).
Waar het in mijn ervaring nog veelal mis loopt is dat beveiliging (integraal, fysiek of informatie maakt niet uit) bepaald wordt door ofwel facility management of IT (afhankelijk van de organisatie). Daarbij wordt de missie van de organisatie, die bereikt wordt door de primaire en secundaire bedrijfsprocessen, nog wel eens uit het oog verloren. Logisch want facility of ICT hebben vaak andere doelen.
Kijken we naar de zogenaamde “trias politica” dan hebben we hier de mismatch. Er dient namelijk een wetgevende of beleidsmakende macht te zijn naast een controlerende en uitvoerende macht.
Beleidsmakend moeten we het niet meer hebben over beveiligingsmaatregelen (rule based) maar over een integrale aanpak op basis van operationele risico’s als afgeleide van de bedrijfsrisico’s (enterprise risk). De controlerende macht is dan de audit afdeling terwijl de uitvoerende machten facility management en ICT zijn.
De beveiligingsaanpak die we uiteindelijk hanteren moet haar bijdrage leveren aan het bereiken van de missie en de doelstellingen van de organisatie. Beveiliging is ondersteunend en voor het merendeel van de organisaties niet het doel maar één van de middelen om het echte doel te bereiken.