Organisaties worden continu blootgesteld aan allerlei dreigingen en risico’s, die impact kunnen hebben op tal van terreinen, zoals medewerkers, materieel, informatiesystemen of gebouwen.
Om een organisatie voldoende te beschermen en haar betrouwbaarheid en continuïteit te waarborgen, is het selecteren, implementeren en periodiek evalueren van een samenhangend stelsel van beveiligingsmaatregelen cruciaal. Maar hoe breng je alle beveiligingsdisciplines bij elkaar? En hoe creëer je een integraal beeld van alle beveiligingsincidenten? Met die vragen van de beveiligingsautoriteit van een grote gemeente gingen we aan de slag.
Professionele collegiale samenwerking op basis van een gezamenlijk gedragen uitgangspunt, goede inhoudelijk inbreng en tijdige afstemming
Noodzaak integrale beveiliging
Veel organisaties kiezen voor een aanpak per beveiligingsdiscipline in plaats van een integrale benadering, meestal omdat de verschillende disciplines op verschillende plekken in de organisatie zijn belegd. Groot nadeel van deze benadering – buiten de potentieel ineffectieve en inefficiënte inrichting – is dat een geïntegreerde risicobenadering ontbreekt. Met name bij het proces beveiligingsincidenten kan dit tot problemen leiden. Immers, wanneer bij een fysieke inbraak niet wordt gedacht aan de mogelijkheid van diefstal van gerubriceerde of geclassificeerde informatie, worden andere risico’s geïdentificeerd en dus andere maatregelen getroffen.
Om risico’s juist in te schatten, de juiste maatregelen te treffen en er verantwoording over te kunnen afleggen, is een eenduidig proces vereist voor het melden, registreren en afhandelen van beveiligingsincidenten. Dit moet tevens in één managementrapportage inzichtelijk zijn. De gemeente onderschreef het belang en de noodzaak van zo’n eenduidig proces.
Draagvlak als startpunt
Om de integraliteit van de oplossing te waarborgen, focusten we bij de start op het realiseren van draagvlak binnen de organisatie. Dankzij meerdere (groeps)interviews met de disciplines fysieke beveiliging, personele beveiliging, informatiebeveiliging en privacy hebben we een goed beeld gecreëerd van de stand van de huidige processen. Tevens inventariseerden we de belangrijkste uitgangspunten voor een gezamenlijk kaderstellend proces. De opgedane inzichten gecombineerd met onze kennis en expertise op het vlak van integrale beveiliging leidden tot de eerste contouren van het nieuwe proces. Daarna hebben we in een reeks workshops dit nieuwe proces gevalideerd en verfijnd, om het vervolgens goed te laten landen in de organisatie. Voor de periodieke managementrapportage ontwikkelden we een integraal dashboard.
Concrete eisen en randvoorwaarden
Onze aanpak heeft geleid tot een basisproces beveiligingsincidenten met concrete kwaliteitseisen en randvoorwaarden waaraan alle onderliggende processen moeten voldoen. Hiermee doen we tegelijkertijd recht aan het eigen karakter en de verantwoordelijkheid van de beveiligingsdisciplines. Het voornaamste effect hiervan is dat de onderliggende processen eenzelfde kwaliteit nastreven. Met behulp van het dashboard voor de periodieke, integrale managementrapportage rondom beveiligingsincidenten is de gemeente in staat hierover integraal verantwoording af te leggen.