Wie heeft er nog zicht op de veranderende beveiligingsvoorschriften

1. Voorschriften en regelgeving beveiliging dynamisch, maar onnavolgbaar

1.1 Beveiligingsplannen

Nog complexer wordt het, als men naar de diverse testmethoden kijkt. Ook deze veranderen bijna dagelijks en schetsen bovendien in bijna alle gevallen een verkeerd beeld. Dat een niet adequaat beveiligingsplan het gevolg is, zal niemand verbazen.
Een falend beveiligingsplan echter kan catastrofale gevolgen hebben voor een organisatie. Gemis aan kennis, kunde en ervaring speelt hier een belangrijke rol. Een goedwillende directie en/of manager belast met veiligheid is een eerste stap, maar bepaald niet voldoende. De standaardrouting van veel beveiligingsplannen ligt vaak niet bij de organisatie zelf, maar bij de leverancier(s). Maar wie weet nog waar en op welke wijze de organisatiebelangen met de regeltjes in balans kunnen worden gebracht? De leverancier?

1.2 Helderheid in risicoproblematiek beveiliging

Allereerst is het noodzakelijk een duidelijk zicht te krijgen op de gevaren waaraan de organisatie bloot staat. Nog te vaak zoekt de verantwoordelijke manager die belast is met het veiligheidsvraagstuk zijn heil bij een leverancier die een deel van het totaal aan maatregelen voor zijn rekening kan nemen. Helaas zal deze leverancier, vaak met een eenzijdige kennis van uitsluitend een onderdeel, enkel zijn dienst aanbieden en de regelgeving voor andere onderdelen niet in zijn plan verwoorden en/of aanhalen. (Zie het artikel ‘Bedrijfsnoodplan en bedrijfshulpverlening BHV noodzaak‘ )

De klant echter, zal met een aantal actoren en de wet- en regelgeving van iedere actor te maken hebben. Hoe weet de klant dat ze allemaal op één lijn zitten? Zoals duidelijk wordt uit de buitenste rand van bovenstaande figuur, worden de actoren door de verdeeldheid van de opleidingstructuren, vaak niet in onderlinge relatie beschouwd.

1.3 Probleemgebieden beveiliging(offertes)

• ogenschijnlijk gelijke offertes, die in de praktijk met betrekking tot het geboden veiligheidsniveau mijlenver uit elkaar te liggen;
• problemen inzake aansprakelijkheid en kostenreductie met betrekking tot verzekeringsaspecten, door het niet voldoen aan de gestelde kaders / klassen;
• problemen in de communicatie naar alle betrokkenen, in de regel gecreëerd door tegengestelde belangen per deelgebied; iedereen heeft wellicht gelijk, maar de opdrachtgever krijgt daardoor geen waar voor zijn investering;
• certificaten die solitair worden uitgegeven;
• normeringen (NEN CEN PKVW BRL en/of Borg) die niet (geschreven) geschikt zijn voor midden en high security objecten;
• in rap tempo veranderende regelgeving , waarvan het bijhouden een dagtaak is;
• door de verspreiding en slechte benaderbaarheid van regelgeving ziet men door de bomen het bos niet meer.

2. Betrouwbare beveiligingsmix

2.1 Beveiligingsplan bodemloze put?

Gebrek aan transparantie en/of inzicht in veranderingen van regelgeving zorgen voor onnodige of verkeerde investeringen. Voor succesvolle investeringen is een optimaal beveiligingsplan een vereiste, met heldere vertrekpunten die voortkomen uit de wensen van de organisatie, in relatie tot geldende regelgeving. (Zie ook ‘Opzetten BHV-organisatie en BHV-plan’.) Helaas moet geconstateerd worden dat uitgangspunten vaak door leveranciers gemanipuleerd en gebruikt worden, om een standaard solitair product te verkopen, zodat zij een “top”offerte kunnen presenteren.

Signalen:

• Er wordt een beperkt scala aan mogelijke oplossingen aangedragen.
• Vergelijking van mogelijke oplossingen wordt niet gelinkt aan % risicoreductie versus investering.
• Verwijzingen naar regelgeving gaan niet gepaard met een overzicht van testmethoden en risicoprofielen.
• Leveranciers aanvaarden geen contractuele aansprakelijkheid.

Het maken van specificaties in relatie met de vertrekpunten en geldende regels en normeringen is complex. Maar weinig organisaties zijn hiertoe in staat. Leverancier zijn gewend om een standaardproduct te offreren en zo snel mogelijk te starten met de implementatie. Het gevolg is schijnveiligheid en/of een onevenwichtige investering. Zo is bekend dat het standaard opstellen van elektronische middelen slechts voor 18 % bijdraagt aan de veiligheidsbeheersing. Voor bouwkundige maatregelen geldt een percentage van 60 %. Beveiliging komt dus eigenlijk voor 82% respectievelijk 40% neer op gezond verstand.
De onderstaande schema’s geven dit weer zowel vanuit het aspect omvang van de OBE maatregelen (combinatie van organisatorische, bouwkundige, en elektronische beveiligingsmaatregelen) en kosten als vanuit effect.

Door gebrek aan transparantie en/of inzicht moeten organisaties zich tegen tientallen scenario’s bewapenen. Zo worden bijvoorbeeld dure toegangsbeheerssystemen aangeschaft daar waar het afsluiten van de extra toegangspoort al voldoende zou zijn geweest. Het denken vanuit de organisatie gericht op de oorzaak dient solitair, zonder bemoeienis van keurende instanties, regel- of wetgeving plaats te vinden. Organisaties investeren duizenden Euro’s in technische en bouwkundige maatregelen zonder de veiligheidsketen te doorlopen.

Voorbeeld:
Tijdens een presentatie betreffende de beveiliging van een risico-object zong de afdelingsmanager een lofzang over alle aanwezige middelen. Toegegeven, het was indrukwekkend, niets was bouwkundig en elektronisch aan het toeval overgelaten. Ook de onderhoudsmonteur hield een klein verhaaltje en bedankte vervolgens de aanwezige voor de aandacht. De man in de stofjas moest weer aan het werk en liep naar zijn kantoor, dat gesitueerd was in de technische ruimte. Deze ruimte was gelegen buiten de schil van het hoofdgebouw. De man opende de buitendeur en nam een spie ter hand en sloeg het stukje hout onder de deur, zodat deze niet kon dichtvallen. Hetzelfde deed hij bij de deur van de technische ruimte; de bouwkundige en elektronische maatregelen werden direct te niet gedaan door de organisatorische maatregelen niet de aandacht te geven die ze verdienen.

2.2 Overberegeling bij beveiliging

Regels, controlerende instanties, testmethoden en keurmerken vormen met elkaar een woud van bureaucratie, om maar niet te spreken van de tijdsverspilling waarmee zij gepaard gaan. De beveiligingsnormen vereisen van de manager dat hij exact op de hoogte is van de laatste testmethode en kwalificaties in relatie met de NEN, CEN, BORG, EN en BRL normeringen. Dat betekent al snel dat men meer dan tientallen deelgebieden dient te beheersen.
Voor een Security Manager geldt hetzelfde als voor alle andere managers: 80 % van zijn of haar besteedbare tijd wordt of dient te worden gereserveerd voor algemeen management, 20 % van zijn of haar tijd gaat of dient op te gaan in opdoen en onderhouden van specifieke branchekennis. En daar gaat het mis. Onevenredig veel tijd van deze 20 % zal hij aan deze items moeten besteden. Niet de kwaliteiten van de manager, maar de structuur van de actoren met hun regeltjes zorgt ervoor dat de balans niet meer in tact is. Uit een onderzoek onder Security Managers bleek dat de 20 % gereserveerde tijd voor het opdoen van branchevakkennis uitmondt in een investering van vrije tijd en management tijd.

2.3 Bepalen normeringen en keurmerken het beveiligingsniveau?

Van normeringen en keurmerken mag, nee moet men verwachten dat zij het opgeworpen beeld waarmaken.
Zo zou het hang & sluitwerk voorzien van een SKG *® keurmerk
volgens het affiche een inbraakwerendheid bezitten van 3 minuten, het hang & sluitwerk SKG ** ® zelfs van 5 minuten, om maar te zwijgen van SKG ***®, dat een inbraakwerendheid van 10 minuten heeft. Maar wat was het daderprofiel van de SKG keurmeester? Als de potentiële tegenstander zich aan de testmethode houdt, zal de 3 minuten weerstand (SKG *®) gebruikt kunnen worden om hem aan te houden. Maar wat als de onverlaat zich nu zwaarder of anders bewapend dan met gereedschapssetje A van het SKG? Tot op heden is er met het dievengilde nog geen convenant gesloten dat zij zich houdt aan de werkwijze van de keurende instanties.  Zo blijkt dat gereedschapset A uit niets meer bestaat dan twee schroevendraaiers, een hamer, een spie en een tang. Als een daderprofiel er iets anders uitziet, en dat doet het al snel, zit men met een prachtige offerte van de aanbieder maar scoort effectiviteit een NUL. De normering liet echter iets anders geloven. Zo pronkte op de verpakking met * 3 minuten weerbaarheid,  **  liet je geloven dat het beveiligplan op 5 minuten weerbaarheid mocht rekenen en gaf het *** cilinder het gevoel van een onneembare vestiging. Met een cilindertrekker echter wordt drie minuten als snel 25 seconden. 

3. Beveiligingsmix tegen diefstal, fraude en andere vormen van inbreuk

3.1 Voldoen aan voorwaarden betekent niet dat jouw verzekering alles vergoedt

Als je de normeringen met betrekking tot jouw beveiligingsmix met elkaar in relatie heeft gebracht, is het nog maar de vraag of het beloofde kan worden waargemaakt.

Door het gebruik van een tijdpadanalyse (INCI/DETAR), waarin het daderprofiel gebruikt wordt, kan visueel worden aangetoond of een dreiging of een risico, zoals een inbraak, vernieling enzovoort kan worden voorkomen en/of beheerst.
Zoals uit het bovenstaande schema blijkt zal er een buffer tussen signalering en de aftocht van de onverlaat versus de reactie van de hulpdiensten gecreëerd moeten worden, die voldoet aan de regelgeving en de wensen van de organisatie. Voldoet men niet aan de normeringen, dan kan dat zomaar betekenen dat de hulpdiensten het verzoek tot reactie simpelweg niet in behandeling nemen. Het andere aspect is gelegen in de aansprakelijkheid. Zo zal de verzekeraar niet tot uitbetalen overgaan, indien men zich niet tegen de betreffende, door de verzekeraar gestelde klasse beveiligd heeft.
Mocht je zich conform de klassen hebben beveiligd, maar bleek dat de onrverlaat zich niet aan de spelregels van het NCP, SKG of één van de andere testinstanties gehouden heeft, dan zal de verzekeraar een zwaardere klasse opleggen of zelfs kunnen overgaan tot het royeren van de verzekerde of het aanpassen van de voorwaarden. Een beveiligingsmix vanuit het belang van de organisatie is dus niet zo maar even opgesteld.

3.2 Hoe voorkom je symptoombestrijding in de veiligheidsketen?

De centrale vraag is: hoe zorgt je voor een geoptimaliseerde veiligheidsketen?

Pro-actie:
is het wegnemen van structurele oorzaken van onveiligheid. Deze anticiperende activiteit past bij de strategisch (richten) van de monitoring functie van het management.

Preventie:
omvat de zorg voor het voorkomen van de directe oorzaken van onveiligheid en het zoveel mogelijk beperken van gevolgen van eventuele inbreuken op veiligheid. De basisprincipes van preventie zijn meer van tactische (inrichten) aard, omdat hier op basis van strategische uitgangspunten keuzes voor eventueel operationeel handelen worden gemaakt.

Preparatie:
omvat de daadwerkelijke voorbereiding op de te nemen acties bij eventuele inbraken. Deze activiteit is zowel tactisch, omdat nog ruimte voor keuzes openblijft, als operationeel (verrichten).

Nazorg:
omvat al wat nodig is om zo snel mogelijk weer terug te keren tot “normale”verhoudingen. Hier komen alle aspecten van strategische, tactische en operationele aard terug.  Immers, hier wordt de basis gelegd voor een evaluatie op alle niveaus met als kerngedachte “Wat kunnen we ervan leren?”.

Vaak wordt de eerste fase, pro-actie, snel ter zijde geschoven, daar de beveiligingsspecialist zich niet als éénoog in het land der blinden kan gedragen en zich daarbij ongemakkelijk voelt. Het opsommen van de nieuwste technieken en normeringen gebeurt (bijna) altijd vanuit een specialisme. De klant zal dus zelden een maatkostuum aangemeten krijgen.
Wanneer heeft jouw beveiligingspartner een aantal oplossingen aangedragen, beredeneerd vanuit
oorzaak in plaats vanuit gevolg? Zijn voor de diverse mogelijkheden de voor- en nadelen, inclusief de beperkingen van de regel- en wetgeving in kaart gebracht? Nog steeds worden normeringen als leidraad genomen. Vreemd? Niet echt als je het bekijkt vanuit de kant van de leverancier. Vreemder wordt het, als je het bekijkt vanuit het perspectief van de opdrachtgever. Zo neemt de zorg betreffende het juist toepassen van de regeltjes en normeringen met 80% af door beide processen te scheiden. 

4. Is er nog hoop aan de beveiligingshorizon?

Ondanks de versnippering van normeringen en regeltjes en instanties die vaak de indruk wekken voornamelijk zichzelf in tact te houden door keuringen en die niet aansluiten bij de praktijk is een adequate beveiligingsmix toch dichter bij dan men zich vaak realiseert.

Voorbeeld:
Een opdrachtgever stak per maand duizenden Euro’s aan FTE”s in technische middelen, waaronder de meest geavanceerde camera’s, infrarood sensors en andere high tech snufjes, om te zorgen dat ieder dag honderden machines in de organisatie veilig van hun geld konden worden ontdaan. Tijdens een rondgang kwam ter sprake dat men het gevoel had dat de middelen niet meer tegen het risico bestand waren. Gedurende een ter plekke ingelaste risico-inventarisatie&analyse werd nagegaan waarom deze maatregelen nu allemaal noodzakelijk waren. De eerste antwoorden waren zoals men ze kon verwachten, “overvaldreiging en gijzeling”.
Maar was dat wel zo? De oorzaak bleek even later toch de aanwezige contanten te zijn. De opponent (dief) doet niets anders dan zijn eigen risico’s inventariseren. Wat is de pakkans, de straf en wat is het effect, lees buit. Door in de aanwezige geldkar, waarin het geld direct na uitnemen verdwijnt, een plofcapsule te plaatsen werd het effect aan zijde van de opponent teruggebracht naar 0. Het geld in de geldkar wordt op het moment dat hij buiten het werkgebied komt, besmet met dezelfde substantie waarmee een plofkoffer is uitgerust. De investeringsaanvraag werd opeens een kostenbesparing van formaat, -/- 60 % van het budget. De maatregelen werden uiteraard geïmplementeerd conform de gestelde richtlijnen en normeringen, zodat de verzekeraar ook nog een steentje aan de reductie bijdroeg.