Toegangsautorisaties

Eerder hebben we het al gehad over de principes die we moeten stellen en de keuzes die we moeten maken als het gaat om toegangscontrole. Daar hebben we inmiddels over nagedacht en we weten hoe zwaar de toegangscontrole moet worden voor elk van de gebouwen.

We gaan al denken aan het aanschaffen van de toegangsdeuren, de elektronica en de toegangspasjes. Maar als we daar dan toch al over aan het nadenken zijn, kunnen we dat mooi combineren met het beheer van de toegangsautorisaties.

Daarom de vraag:
Zijn er maatregelen vastgelegd rond het beheer van de toegangsautorisaties (toegangspasjes, sleutels), ook in het geval van een calamiteit?

Enerzijds moeten we nadenken over het beheer van de toegangsautorisaties tijdens de dagelijkse gang van zaken, anderzijds moeten we er ook bij stilstaan dat de maatregelen moeten werken tijdens of na een calamiteit. Laten we eerst op de dagelijkse gang van zaken ingaan.

Zodra we besloten hebben dat de toegang gecontroleerd moet worden, moeten we er ook voor zorgen dat de medewerkers (en de bezoekers en leveranciers) nog wel het gebouw in kunnen. We moeten de autorisaties nu ook weer niet zo strikt zetten dat het wel erg leeg blijft binnen de 4 muren. Sterker nog: stellen we de regels te strikt dan gaat men proberen manieren te vinden om er omheen te komen.

We zien dat bijvoorbeeld terug bij het aannemen van nieuw personeel. Alles is geregeld en maandag kunnen ze beginnen. Helaas kunnen we ze nog geen toegangspasje verstrekken…dat duurt altijd even. Maar ja, ze willen graag aan de slag dus een collega houdt wel even de deur voor hen open of we zien hele busladingen medewerkers op hetzelfde pasje door de draaideur gaan. Ja, wat kun je dan nog van de toegangscontrole verwachten?

We moeten dus zorgen voor een zo efficiënt mogelijk proces. Een nieuwe medewerker moet zo snel mogelijk een pasje krijgen, collega’s die hun pasje vergeten zijn moeten we ook naar binnen kunnen laten. Bezoekers willen we vooral ook niet te lang bij de receptie laten wachten en vaste leveranciers (schoonmakers, de monteur van de koffieautomaat, etc.) krijgen natuurlijk ook een leverancierspas.

Al met al wordt het al een hele verzameling personen met toegangsrechten. Maar ja, niet iedereen hoeft dezelfde rechten te hebben. Niet iedereen hoeft onze beveiligde ruimtes in, niet iedereen hoeft in de serverruimte te kunnen. Kortom: we moeten zorgen voor compartimentering binnen onze gebouwen. Afhankelijk van hoe gedetailleerd we te werk willen gaan, kan iedere medewerker persoonlijke autorisaties krijgen en kunnen we ook nog eens per ruimte de autorisaties verstrekken. Een hele wirwar aan rechten die we in autorisatiematrixen vast leggen.

Zo, alles geregeld, toch? Maar wat als er een calamiteit ontstaat? Wat als het brandalarm af gaat? Gaan dan automatisch alle deuren naar buiten toe open? En zo ja, hoe weten we dan wie het gebouw verlaten heeft? Hoe weten we zeker dat er niet een onverlaat juist het alarm af heeft laten gaan om vrij naar binnen te kunnen? Dat weten we niet als we er niet eerst goed over nadenken.

Hier geldt weer dat de veiligheid (vanuit wetgeving) boven onze eigen regelgeving (beveiliging gaat). Natuurlijk moet iedereen veilig het gebouw kunnen verlaten, maar niet iedereen hoeft ons gebouw in te kunnen. Een pasklare oplossing is er niet, dat zul je echt per gebouw en per situatie moeten bekijken…maar dat mag geen reden zijn om er niet over na te denken.

Calamiteitenplannen, evacuatieplannen en brandweervoorschriften

De BedrijfsHulpVerleningsorganisatie is voor ons, als beveiligers, een partij waar we nauw mee moeten (willen) samenwerken. En tenzij je verantwoordelijk bent voor de BHV willen we je niet verplichten om zelf de plannen en voorschriften op te stellen, maar je moet er wel weet van hebben en je bijdrage aan leveren.

De vraag:
Zijn er (personele) calamiteitenplannen, evacuatieplannen en brandweervoorschriften opgesteld?

Willen we inderdaad aan integrale beveiliging doen en willen we inderdaad fysieke en informatiebeveiliging combineren op basis van risicomanagement, dan kunnen we niet om de veiligheidsaspecten heen. We beschreven al dat we moeten kijken naar de wijze waarop veiligheid voor onze organisatie is ingericht. Dat doen we door eerst onze hulp aan te bieden en het gesprek aan te gaan. Niet omdat we de hele BHV-organisatie om zeep willen helpen (want dat lukt niet en moeten we ook niet willen). Nee, juist om te kijken hoe goed zij het al doen en in hoeverre we onze beveiligingseisen daarin toe kunnen passen.

Zij maken wellicht de calamiteiten en evacuatieplannen, wij maken misschien wel de business continuity en uitwijkplannen. De verschillen en overeenkomsten daarin willen we graag inzichtelijk maken. Kunnen we niet van dezelfde formats gebruik maken en welke informatie is bij de BHV al aanwezig die voor ons handig is (en vice versa natuurlijk, brengen en halen).

Misschien zijn er vanuit BHV al calamiteiten of crisisteams ingericht die voor de beveiliging heel goed hergebruikt kunnen worden. De leden van deze teams weten al wat er van hen verwacht wordt op veiligheidsgebied en zijn te trainen in beveiliging.

Het voordeel van veiligheid is dat er wettelijk het een en ander geregeld is en dat er allerlei plannen, formats, procedures etc. beschikbaar zijn die hergebruikt kunnen worden. We gaan niet het wiel opnieuw uitvinden als dat toch weer rond wordt en we bereiken maar als we aansluiten bij bestaande procedures en organisatorische inrichtingen.

Ben je niet overtuigd en wil je liever niet direct het gesprek aan met de BHV? Wellicht kun je op het intranet al procedures en handboeken vinden. Neem de moeite om daar eens door heen te bladeren. Grote kans dat je veel bekende stappen tegenkomt die misschien alleen maar een andere naam hebben.

Daarnaast moeten we niet vergeten dat onze continuiteits- en uitwijkplannen doorborduren op de calamiteiten- en evacuatieplannen. Voor de BHV houdt het misschien op als iedereen veilig het gebouw heeft verlaten, voor ons begint het dan juist pas. Wij moeten ervoor zorgen dat de processen binnen de afgesproken tijd weer up-and-running zijn. Ook hierin zien we weer dat de beveiliging niet zonder BHV kan, alleen moeten we verder over onze grenzen heen kijken.

Wat is er nu mooier om te zien dat we als beveiliging niet alleen zijn, dat we niet de enige roepende in de woestijn zijn? De BHV kampt veelal met dezelfde soort uitdagingen. Vormen we een band dan staan we sterker en zorgen we er niet alleen voor dat de organisatie aan haar wettelijke verplichtingen voldoet maar ook nog eens dat onze processen na een calamiteit zo snel mogelijk weer in de lucht zijn. Geen slachtoffers en nauwelijks uitval van processen…de directie zal trots op ons zijn.

Calamiteiten-, continuiteitsplannen en uitwijkmogelijkheden

Integrale beveiliging heeft nu toch wel onze aandacht en we zijn lekker proactief bezig om de operationele risico’s af te dekken. Nu komt het er op aan dat we onmogelijk alle risico’s af kunnen dekken. We moeten dus accepteren dat we nooit 100% beveiligd zullen zijn. Juist daarom is het ook van belang om te kijken naar de calamiteiten-, continuïteitsplannen en uitwijkmogelijkheden. De vraag die we daar natuurlijk bij stellen is:

Zijn er calamiteiten-, continuïteitsplannen en uitwijkmogelijkheden voor de garantstelling van het voorbestaan / de voortgang van de organisatie?

Proactief zijn we bezig geweest en preventief hebben we al een berg leed voor de organisatie voorkomen. Maar dan, ineens, geheel onverwachts en uit het niets, breekt er een incident uit. Alle maatregelen lijken ineens niet meer te werken en het gaat van kwaad tot erger. Totdat we niet meer te redden zijn en we de brand alleen nog maar gecontroleerd uit kunnen laten blussen (bij wijze van spreken). We kunnen de deuren sluiten, we hebben een paar mooie jaren gehad maar onze continuïteit is nu echt tot een stilstand gekomen.

Een rampenscenario, wellicht, maar ook hiervoor kunnen we proactief iets doen. We kunnen calamiteitenlannen, continuïteitsplannen en uitwijkmogelijkheden creëren om onze continuïteit te borgen. Daarmee moeten we niet wachten tot het incident zich aandient, nee, dan moeten alle zeilen bij gezet worden, we moeten daar al in een vroeg stadium mee beginnen.

Overigens willen we niet zeggen dat er allerlei dikke papieren plannen in de kast liggen te wachten totdat er iets gebeurt. De kunst is nu juist om tijdens een incident snel te kunnen handelen, de eerste paar minuten en uren zijn cruciaal. We hebben helemaal geen tijd om die dikke plannen door te worstelen. We moeten de handen uit de mouwen steken. Daarom is het ook goed om de plannen vooraf te testen en steeds bij te stellen. Zijn de telefoonnummers nog wel actueel? Weet iedereen nog wat hij moet doen? Wie mag er beslissingen nemen?

Geen dikke plannen dus, maar korte lijstjes die de mensen bijna kunnen dromen. Een naslagwerkje dat ze erbij kunnen pakken als ze het in het heetst van de strijd even niet meer weten.

Wat nog belangrijk is om te melden is dat de calamiteitenplannen, continuïteitsplannen en uitwijkmogelijkheden breder moeten zijn dan alleen de informatietechnologie. We moeten wederom de bedrijfsprocessen als uitgangspunt nemen. Die moeten worden gecontinueerd en daarvoor hebben we naast de informatiesystemen ook de assets en medewerkers weer nodig.

Hopelijk blijft jouw organisatie gespaard van grote incidenten, maar de kans dat er iets gebeurt kunnen we helaas niet helemaal uitsluiten. Daarom is het goed om voorbereid te zijn en de medewerkers goed op de hoogte te houden van hun taken, bevoegdheden en verantwoordelijkheden…ook bij het uitbreken van een incident.