Beveiligingsplannen voor locaties

Eerder hebben we al kunnen lezen dat er meer onder de zon is dan brandmelders en brandblussers om brand te voorkomen. Naast brand zijn er natuurlijk nog vele andere fysieke beveiligingsrisico’s die we willen beheersen. Denk alleen maar aan overstroming, inbraak, ramkraak, aardbevingen en ga zo maar door. Voor alle risico’s die we onderkennen zullen we de mogelijke oorzaken moeten achterhalen op basis waarvan we de beveiligingsmaatregelen kunnen bepalen om ze te beheersen. Deze organisatorische, bouwkundige en elektronische beveiligingsmaatregelen (de wellicht bekende OBE-mix uit de Haagse methode) moeten we vastleggen.

De vraag die daarbij hoort is:
Zijn, naar aanleiding van de risicoanalyse, de te nemen beveiligingsmaatregelen vastgelegd in een beveiligingsplan?

We hebben nu inmiddels zicht op de locaties, de kritische processen in die locaties en de bedreigingen die ons mogelijk uit het veld kunnen slaan in de vorm van risicoanalyses. Waarschijnlijk beschikken we over een pak papier waar we iets mee moeten. We kunnen per gebouw een dossier aanleggen op basis waarvan we een beveiligingsplan maken voor dat specifieke gebouw.

Hoe zo’n plan er exact uitziet kan per organisatie verschillen. Willen we toch liever een vaste en meer bekende standaard dan kunnen we zeker kiezen voor de Haagse methode. De uitkomsten hiervan zijn voor leveranciers van beveiligingsmaatregelen bekende materie en het kan een berg miscommunicatie voorkomen. Kies je toch liever voor een eigen methode dan ben je daar natuurlijk geheel vrij in.

Welke methode je ook kiest, van belang is wel dat de beveiligingsmaatregelen die je neemt vastliggen in een plan. Dat plan zal initieel meer tijd kosten maar na verloop van tijd is het een kwestie van bijhouden, of in andere woorden: periodieke evaluatie en bijstelling.

Het doel is natuurlijk niet een kast vol met plannen waar het stof mooi op kan gaan liggen. Het doel is om inzicht te verkrijgen in de risico’s en de maatregelen die we daartegen genomen hebben. Leuk dat wij van alles verzinnen, maar het is ook handig als we de kennis kunnen delen en er verantwoording over af kunnen leggen.

Niet, onder het mom van het is geheim, in het eigen brein houden dus, die risicoanalyses en beveiligingsplannen, maar gewoon inzichtelijk maken. Daarbij zullen we natuurlijk zien dat het ons de eerste keer best wat moeite zal kosten allemaal, maar vooral de hoop niet verliezen. Als we eenmaal het achterstallig onderhoud op plan gebied achter ons hebben gelaten wordt het allemaal eenvoudiger. We zullen door de volwassenheidsfases heen gaan en “in control” komen op het gebied van fysieke beveiliging.

Niet makkelijk, wel belangrijk. Wacht niet te lang met het opstarten van de risicoanalyses en het vastleggen van de plannen. De bedreigingen gaan echt niet wachten tot wij klaar zijn met de plannen en voordat we het weten worden we verrast door de gevolgen van bedreigingen die we niet onderkend hadden of die we niet inzichtelijk hebben gemaakt…en dat mag het management ons wel kwalijk nemen.

Omgang met informatiebeveiligingsplannen

Zoals we gisteren al schreven, maken we geen beveiligingsplannen om ze in de kast te zetten en ze te laten verstoffen. Nee, de beveiligingsplannen hebben een doel en we moeten dus ook goed kijken wat we exact met deze plannen willen en kunnen bereiken.

De vraag die daarbij hoort, is:
Is er een goed begrip binnen de organisatie met betrekking tot de omgang met deze beveiligingsplannen?

De plannen die we opstellen moeten ervoor zorgen dat de gemaakte keuzes vastliggen. Zover niets bijzonders, dat kan inderdaad eenmalig en vervolgens laten we flinke lagen stof ontstaan op deze plannen. Maar dat kan nooit het doel zijn. De plannen leggen vast wat we beloven, we zullen ze dus als kaders moeten gebruiken bij het afdekken van risico’s en het implementeren van maatregelen.

Dat zouden we natuurlijk ook eenmalig kunnen doen. Maar dan lijkt het meer op een projectplan dan op een beveiligingsplan. Een project is immers uniek en voeren we eenmalig uit, maar beveiliging is geen eenmalige activiteit. Nee, beveiliging is een continu proces.

Daarom moeten we na verloop van tijd goed kijken of onze plannen nog aansluiten bij de risico’s. Het kan best zo zijn dat de risico’s inmiddels gewijzigd zijn. Er zijn nieuwe dreigingen bij gekomen, de omgeving is gewijzigd of het risicogedrag van de organisatie is bijgesteld.

Nu vormen de plannen een mooie basis om onze evaluatie uit te voeren. Doen we het conform plan? Moeten we het plan bijstellen? De “lessons learned” helpen ons verder op onze weg om het juiste niveau van beveiliging te bereiken. Niet te weinig, maar zeker ook niet teveel doen.

De praktijk leert ons dat we bij de eerste cyclus die we doen eerder te weinig of het verkeerde aan beveiliging doen omdat we nog niet helemaal gewend zijn om risico’s af te dekken en niet slechts maatregelen te implementeren. Naarmate we verder in het traject komen zien we dat we juist eerder maatregelen af kunnen schaffen of technische maatregelen kunnen vervangen door organisatorische (die vaak goedkoper zijn en meer effect sorteren). Dat komt omdat iedereen zijn of haar rol beter in gaat vullen en beter leert te denken in de risico’s. Die risico’s hoeven we niet per definitie af te dekken en al helemaal niet met technische maatregelen, nee, we leren beter te kijken naar kosten en baten en daarmee bereikt de beveiliging al een beter niveau.

Informatiebeveiligingsplannen

We hebben nu een basis beveiligingsniveau en voeren afzonderlijke risico analyses uit voor de verschillende systemen, de verschillende gebouwen, de processen, de projecten en alles waarbij we beveiliging in moeten bouwen. We willen deze informatie en onze keuzes niet verloren laten gaan en het mag ook niet bij een beperkt aantal mensen in het hoofd zitten. Nee, we moeten een aantal zaken vast gaan leggen.

De vraag die hierbij hoort is:
Zijn de beveiligingsmaatregelen per informatiesysteem vastgelegd in beveiligingsplannen?

Hoe een beveiligingsplan er exact uit komt te zien kan per organisatie verschillen. Wel kunnen we op centraal niveau onze eisen stellen aan dergelijke plannen. Wat willen we er minimaal in hebben, wie is er verantwoordelijk voor en welk format hanteren we. De basis voor het beveiligingsplan is het basis beveiligingsniveau aangevuld met de resultaten van onze risico analyse. We weten welke risico’s we lopen en hebben keuzes gemaakt voor de beheersingsmaatregelen die we willen treffen. Dergelijke zaken leggen we vast.

We leggen ze daarbij niet vast omdat we kasten vol met papier willen, maar omdat we in een later stadium na willen gaan waarom we sommige keuzes gemaakt hebben. Het kan immers best zo zijn dat we nu een keuze maken die logisch is, maar die over een poosje meer vragen dan antwoorden oproept.

Ook willen we voorkomen dat de aanpak die we hanteren en de maatregelen die we treffen alleen in het hoofd van een beperkt aantal functionarissen zit. Het risico is immers dat deze mensen ooit de organisatie verlaten en we blind worden voor de risico’s en de maatregelen.

Daarnaast kan het beveiligingsplan goed dienen als normenkader voor de auditors die komen controleren of onze aanpak echt zo goed is. Natuurlijk kunnen ze keuzes ter discussie stellen, maar dat is niet erg. Hebben we geen beveiligingsplan dan is het risico groot dat ze met een eigen normenkader aan de slag gaan en zelf keuzes maken. Het gevolg is dat wij de auditfindings aan de broek krijgen, terwijl we juist bewuste keuzes hadden gemaakt om risico’s te accepteren.

Het voordeel van beveiligingsplannen is dat we aantoonbaar kunnen maken dat we serieus met beveiliging (en risicomanagement) bezig zijn en dat onze keuzes ook in de toekomst nog terug te halen zijn. Gebruiken we de formats die op centraal niveau zijn vastgesteld dan ontstaat er herkenning van deze plannen en dat draagt weer bij aan het bewustzijn binnen de organisatie.

Natuurlijk heeft het ook een keerzijde. We kunnen gewezen worden op onze keuzes, doen we het niet conform onze plannen dan kunnen we daarop worden aangesproken. Maar draagt dit nu juist niet bij aan het volwassen worden van beveiliging binnen onze organisatie?