We zijn al uitgebreid ingegaan op het overzicht van locaties en de risicoanalyses die we uit kunnen voeren. We gaan er nog wat dieper op in.
Daarom is de vraag:
Is een risicoanalyse uitgevoerd voor iedere locatie waar (kritische) bedrijfsprocessen plaats vinden, medewerkers zijn gestationeerd of informatiesystemen zijn gesitueerd.
Als we weten welke locaties we hebben en welke kritische bedrijfsprocessen waar plaats vinden dan kunnen we de risicoanalyses per gebouw uitvoeren. Risicoanalyse bestaat hierbij op hoofdlijnen uit kans x impact. Dat klinkt misschien wat eenvoudig maar geldt wel als basis voor het afdekken van de risico’s.
We moeten kijken welke bedreigingen we onderkennen. Daarbij moeten we dan vooral kijken naar de oorzaak en gevolg relaties. Ook dit klinkt niet zo moeilijk, maar lijkt in de praktijk toch niet altijd juist te worden opgepakt.
Laten we er nu eens vanuit gaan dat we inderdaad risico’s onderkend hebben. Het risico op “brand” schatten we hoog in. Nu kunnen we direct allerlei exotische maatregelen nemen om het risico af te dekken en we denken dan al snel aan brand- of rookmelders, brandblusinstallaties en misschien zelfs een interne brandweerafdeling met eigen spuitwagens. Op zich inderdaad maatregelen die je kunt relateren aan het risico op brand, maar wel allemaal maatregelen die pas in werking treden als de brand al is ontstaan.
Als we het risico echt zo hoog inschatten (de kans is hoog, de impact is hoog). Zou het dan niet veel beter zijn om er voor te zorgen dat de brand niet of slechts moeilijk kan ontstaan? Ja, natuurlijk zul je zeggen. Ok, als we die lijn vasthouden dan moeten we gaan kijken naar de oorzaak-gevolg relatie.
Brand is inderdaad een risico, maar het is ook het gevolg ergens van. Dat “ergens” is dan de oorzaak. Er kunnen allerlei oorzaken aan brand ten grondslag liggen. Laten we er twee als voorbeeld nemen:
1. Een gefrustreerde medewerker die het gebouw in de brand steekt;
2. De installatie van nog een firewall waardoor de stoppen in de meterkast voor kortsluiting zorgen.
Twee totaal verschillende mogelijke oorzaken (die op zichzelf weer het gevolg zijn van andere oorzaken) voor een brand die dus ook andere maatregelen vereisen. Zo zullen we in het eerste geval moet voorkomen dat medewerkers gefrustreerd raken (niet direct een taak voor beveiliging, toch?). In het tweede geval moeten we goed zicht houden op de verdeling van de stroomvoorziening (en je kunt je afvragen of dat nu direct een taak voor beveiliging is).
Wat we hieruit kunnen concluderen is dat het gevolg veelal in het gebied van beveiliging valt (brand). De oorzaak ligt veelal buiten dit gebied en is de verantwoordelijkheid van een ander binnen de organisatie. Dat is nu juist ook wat het voorkomen van risico’s zo ingewikkeld maakt. Wij, vanuit beveiliging, zijn niet verantwoordelijk voor de oorzaken maar worden wel aangekeken op de gevolgen.
Als we de risico’s voor gebouwen (maar ook voor alle andere aspecten waarop we risicoanalyse los laten) inzichtelijk willen maken, dan moeten we kijken naar de echte oorzaken. Daarna kunnen we bepalen in hoeverre we preventieve, detectieve, repressieve of correctieve maatregelen willen nemen om de kans of de impact te beheersen waarbij we ook nog in het achterhoofd moeten houden dat een geaccepteerd risico eveneens tot de mogelijkheden behoort.
Nu je dit gelezen hebt, denk je misschien dat het allemaal zo ingewikkeld is dat je er beter maar niet aan kunt beginnen. Inderdaad: het kan best zijn dat je een beerput open trekt. Maar dat mag geen reden zijn om er niet aan te beginnen. We hebben liever zicht op de mogelijke risico’s zodat we er wat mee kunnen dan dat we verrast worden door risico’s die we niet op ons netvlies hadden. Toch?