Stappen van de Securitas Risk Approach
Elk bedrijf, groot of klein, loopt beveiligingsrisico’s. Dit kunnen fysieke risico’s zijn zoals diefstal en vandalisme. Maar ook digitale risico’s zoals cyberaanvallen, datalekken en technische storingen vragen om steeds meer aandacht. Daarnaast is er een heel scala aan operationele en menselijke risico’s, variërend van incidenten en cultuur tot sociale manipulatie zoals fraude, social engineering en insider threat die uw onderneming kunnen bedreigen.
Risicomanagement: waarom en hoe
Het in kaart brengen van de risico’s is cruciaal om de veiligheid en de continuïteit van uw bedrijf te waarborgen. Maar waarom is dat zo belangrijk? De simpelste uitleg is dat de omgeving waarin wij opereren kwetsbaar is en in veel opzichten niet voldoende is ‘gekend’. De klassieke risicobenadering die uitgaat van de ‘maakbaarheid’ van veiligheid is inmiddels achterhaald. Het is een gegeven dat 100 procent veiligheid niet bestaat. Adaptief zijn, vroegtijdig dreigingen onderkennen en daar proactief en effectief op inspelen is meer en meer de focus geworden van een effectief veiligheidsbeleid.
De modernere risicobenadering heeft als uitgangspunt dat er in de wereld waarin we leven altijd onzekerheden zullen blijven bestaan. Aandacht voor kwetsbaarheid, weerbaarheid en veerkracht is daarom van vitaal belang. Met Het Nieuwe Beveiligen zette Securitas een belangrijke stap richting preventieve veiligheidsoplossingen gebaseerd op proactiviteit, integraliteit en sturing vanuit dreiging. De nieuwe Securitas Risk Approach (SRA) speelt nog beter in op de dreigingen van deze tijd. Deze risicomanagement methode die is gebaseerd op de Security Risk Management (SRM) methodiek, helpt u te anticiperen op mogelijke problemen, de gevolgen ervan te minimaliseren en snel en efficiënt te reageren wanneer ze zich voordoen.
-
-
Strategie vormt de basis van een effectieve veiligheidsaanpak. Deze stelt de doelen vast, identificeert de middelen en het tijdspad en biedt een leidraad voor het veiligheidsbeleid van uw organisatie of instelling. Centraal in de strategie staan uw Te Beschermen Belangen, ook wel TBB’s genoemd.
Te Beschermen Belangen worden ook wel als kroonjuwelen omschreven. Deze term suggereert echter dat het om tastbare objecten gaat. Dit hoeft lang niet altijd het geval te zijn. Zo kan het bij een Te beschermen Belang net zo goed om personen, informatie, processen, kennis, imago of zelfs een recept gaan.
Bij het ontwikkelen van een goede strategie is het belangrijk verder te kijken dan alleen het domein van beveiliging. Dit omdat er ook andere factoren kunnen zijn die een bedreiging vormen voor de bedrijfsvoering, het bestaansrecht van uw organisatie of de continuïteit van de bedrijfsactiviteiten. Mede daarom is het is het in kaart brengen van stakeholders een belangrijke stap in dit proces. Dit zijn alle mensen die op enige wijze betrokken zijn bij de veiligheid, de bedrijfsvoering en continuïteit van uw organisatie of impact hebben op de omgeving.
De uitkomst van een goede strategie is een effectief veiligheidsbeleid dat beschrijft vanuit welke visie het beleid moet worden ingericht. Belangrijk aandachtspunt hierbij is de aandacht voor veiligheid afgezet tegen de organisatiecultuur.
-
Nadat het strategisch fundament voor de veiligheidsaanpak inzichtelijk is gemaakt, is het tijd voor het uitvoeren van een risico assessment. Dit is een proces waarbij systematisch de gevaren en risico’s in kaart worden gebracht. Beoordeeld wordt hoe groot de kans is dat een potentieel gevaar daadwerkelijk uitmondt in een incident.
In deze beoordeling wordt altijd de impact, oftewel de ernst van het letsel of de schade die een incident kan veroorzaken, meegenomen. Dat betekent dat niet alleen de waarschijnlijkheid van een dreiging wordt beoordeeld, maar ook de potentiële impact op datgene wat u probeert te beschermen. Door het combineren van deze twee factoren, krijgt u een duidelijk beeld van het totale risico waarmee uw organisatie geconfronteerd zou kunnen worden.
Het principe is eenvoudig: kans maal effect. In de SRA worden aan deze beoordeling zoveel mogelijk objectieve waarden toegevoegd.
-
In fase 3 en 4 staat de opbouw van weerbaarheid van de organisatie centraal. In deze fases worden maatregelen zorgvuldig afgewogen, getoetst en gekozen met betrekking tot de Te Beschermen Belangen. De focus ligt primair op preventie en bescherming, waarna vervolgens reactie, opsporing, handhaving en nazorg aan bod komen.
Proactieve maatregelen kunnen variëren van het implementeren van slimme beveiligingsoplossingen tot het trainen van medewerkers in veiligheidsbewustzijn. Het hoofddoel is mogelijke dreigingen te herkennen en aan te pakken voordat ze problemen veroorzaken. Maatregelen gericht op de continuïteit bestaan onder andere uit het ontwerpen van een effectief crisisrespons- of bedrijfscontinuïteitsplan (BCP).
In deze fases zijn, afhankelijk van de aard en de ernst van de risico’s, verschillende beveiligingsstrategieën mogelijk. Waaronder risico’s vermijden, (de impact van) risico’s verminderen, risico’s overdragen (bijvoorbeeld door middel van het afsluiten van verzekeringen) en risico’s accepteren. Het is goed om er rekening mee te houden dat fysieke beveiligingsmaatregelen zoals sloten, hekken en camera’s vaak slechts één deel van de puzzel zijn. Cyberbeveiligingsmaatregelen zijn minstens zo belangrijk. Net als een grondige screening van medewerkers, het creëren van een sterke beveiligingscultuur en het implementeren van heldere beleidslijnen en procedures.
-
In deze fase wordt de kwaliteit van de veiligheidsaanpak bewaakt. Deze fase is essentieel omdat het de gehele veiligheidsaanpak verzekert en ondersteunt. Kwaliteitsborging zorgt ervoor dat de veiligheidsaanpak van een organisatie effectief blijft door voortdurende evaluatie, aanpassing en verbetering.
Kwaliteitsborging bestaat onder andere uit audits die worden uitgevoerd om de effectiviteit van de maatregelen te beoordelen. Daarnaast is doorontwikkeling een belangrijk aspect. Dit houdt in dat er rekening wordt gehouden met technologische ontwikkelingen, nieuwe dreigingen, veranderende bedrijfsprocessen en andere factoren die van invloed kunnen zijn op de veiligheid van de organisatie. Permanente her- en bijscholing van het personeel zorgt ervoor dat medewerkers blijven leren en adapteren.
Tot slot maakt ook de PDCA-cyclus (Plan, Do, Check, Act) deel uit van de kwaliteitsborging. Deze cyclus zorgt voor continue verbetering door plannen te maken, deze uit te voeren, te controleren en indien nodig aan te passen.
-