GB_Oliver Lacey
Oliver Lacey
Business Development

Risicomanagement is een breed en uitdagend onderwerp. Wat houdt het in? In essentie is risicomanagement het continue proces van het identificeren en aanpakken van beveiligingsrisico’s. Het gaat om het in ogenschouw houden van aannemelijke bedreigingen, hoe deze bedreigingen kwetsbaarheden in je beveiliging blootleggen en welke impact ze kunnen hebben op je organisatie.
 

Zoals ASIS International uitlegt: “Risicomanagement is al vele jaren een gebruikelijke term binnen andere gebieden, zoals in de verzekeringswereld en in R&D. Echter, de laatste jaren wordt het ook toegepast in security management en ‘asset protection’. Risicomanagement sluit goed aan bij het hoofddoel van beveiliging. Dat is namelijk het beheersen van risico’s door het vinden van de juiste balans tussen de kosten en de baten van beschermingsmaatregelen.

Voor effectief risicomanagement zou een beveiligingsprofessional het totale aantal incidenten dat leidt tot verliezen, willen beperken. Een doel van risicomanagement is om verliezen effectief te beheersen tegen de minste kosten. Sterker nog, veel professionals zien ‘risico’ als de belangrijkste stimulerende factor voor de inzet van beveiliging.

De 3 belangrijkste categorieën beveiligingsrisico’s

In risicomanagement wordt elke bedreiging in een van deze drie categorieën ingedeeld: fysieke bedreigingen, menselijke bedreigingen en cyberbedreigingen. Laten we deze eens bekijken in de context van toegangscontrole.

  • Fysieke bedreigingen — bijvoorbeeld: een crimineel forceert een deur om toegang te krijgen.
  • Menselijke bedreigingen — bijvoorbeeld: een medewerker maakt een fout of geeft opzettelijk toegang aan iemand die geen toegang zou mogen krijgen.
  • Cyberbedreigingen — bijvoorbeeld: iemand hackt je toegangscontrole-database en steelt werknemersgegevens of verandert de rechten voor toegangscontrole.

De bedreiging van een natuurramp is uiteraard ook iets om rekening mee te houden.

IT speelt een steeds nadrukkelijker rol in beveiligingsmaatregelen. Dus er is meer overlap ontstaan tussen fysieke bedreigingen en cyberbedreigingen. Daarom is het belangrijk dat teams die verantwoordelijk zijn voor fysieke beveiliging, nauw samenwerken met teams die verantwoordelijk zijn voor IT en ‘cybersecurity’.

Belangrijke aandachtsgebieden voor je risicomanagement-strategie

Een strategie opzetten voor risicomanagement kan een behoorlijke opgave zijn. Daarom is het goed om deze op te splitsen in beheersbare projecten. Dit zijn de belangrijke aandachtsgebieden:

  • Calamiteitenbeheer — zodat je in staat bent om direct de juiste acties te ondernemen in het geval van een calamiteit.
  • Bedrijfscontinuïteit — zodat je weet wat een bedreiging vormt voor de continuïteit van het bedrijf, hoe je die risico’s beperkt en hoe je de bedrijfscontinuïteit beschermt als de ergste bedreiging zich voordoet.
  • Beveiliging en bescherming van activa — zodat je de fysieke en intellectuele activa die van waarde zijn voor je organisatie, adequaat kunt beschermen.
  • Gezondheid en veiligheid op het werk — zodat je voor onbevoegden de toegang kunt beperken tot ruimtes waar gezondheids- en/of veiligheidsrisico’s zijn.
  • Budget veiligstellen — zodat je in de beveiligingssystemen kunt investeren die voor je organisatie van belang zijn.

Met name dat laatste kan moeilijk zijn voor beveiligingsexperts. Want in hoeverre kun je een duidelijke Return on Investment aantonen. De aanschaf van beveiligingstechnologie wordt bijna altijd gezien als een uitgave en niet direct als een waardevolle investering.

Dan is de uitdaging om aan te tonen wat de risico’s zijn. En vervolgens: wat de bijbehorende kosten, verliezen en andere gevolgen zijn als deze risico’s niet worden teruggedrongen door beveiligingssystemen. Risico’s laten zich niet altijd in geld uitdrukken, maar kunnen onderaan de streep een behoorlijke negatieve impact hebben. Een beveiligingslek kan bijvoorbeeld leiden tot reputatieschade. En dat kan weer een negatief effect hebben op klantloyaliteit en op de verkoopcijfers.

3 essentiële vereisten voor het creëren van een risicomanagement-strategie

1.    Helder denken

Elke organisatie krijgt te maken met verschillende risico’s. Eerst moet je weten met welke risico´s je nu wordt geconfronteerd en welke waarschijnlijk in de toekomst op je pad komen. Denk daarbij aan de drie categorieën: fysieke bedreigingen, menselijke bedreigingen en cyberbedreigingen.

Vervolgens is het belangrijk om elk risico in kaart te brengen. Wat zijn je plannen om deze risico’s te beperken? Er zijn verschillende nuttige concepten die je met die vraag helpen. Zoals het ‘concept van de vijf benaderingen ’, waarmee je risico’s op de volgende manieren kunt behandelen:

  • Risicovermijding
    Dit is de meest directe manier om een risico uit de weg te gaan. Toch kunnen de meeste organisaties risico’s nooit helemaal vermijden. Dat zou namelijk betekenen dat ze hun core business niet kunnen uitvoeren en bedrijfsdoelstellingen niet kunnen nastreven. Een bank bijvoorbeeld kan risico vermijden door geen geld op te slaan, maar dat is juist een van de hoofdfuncties van een bank.
  • Risicospreiding
    Hoe kun je waardevolle activa en bezittingen spreiden binnen de organisatie om ervoor te zorgen dat ze niet op één kwetsbare plek samenkomen? Na spreiding van bezittingen kun je deze beschermen met verschillende fysieke beveiligingssystemen en -procedures.
  • Risico-overdracht
    Een risico kan worden overgedragen door een verzekering af te sluiten. Zo compenseer je mogelijke verliezen en beperk je de kosten in het geval van een incident.
  • Risicovermindering
    Hoe verminder je een risico? Dat doe je door bijvoorbeeld het aantal toegangen en gemeenschappelijke ruimten die een doorgang vormen naar waardevolle bezittingen, tot een minimum te beperken.
  • Risico-aanvaarding
    Niet alle risico’s laten zich tot een minimum beperken of vermijden. Dan is het nuttig om te erkennen dat er een potentieel risico is, maar dat je bereid bent om dat risico te aanvaarden. Je zou bijvoorbeeld kunnen accepteren dat mensen zonder toegangscontrole tot je receptiebalie kunnen komen. Dat risico calculeer je in, omdat je weet dat de kans op verlies daar niet al te groot is.

2.   Een gelaagde aanpak

Bedenkt vervolgens hoe je verschillende lagen kunt aanbrengen in je beveiliging. Zodat de meest waardevolle bezittingen, of bezittingen die tot het grootste verlies kunnen leiden, de beste bescherming krijgen. Zie beveiliging als een ui. Een bedrijventerrein is bijvoorbeeld de buitenste schil. Terwijl een kluis in het hart van de ui zit, beschermd door verschillende beveiligingsschillen.

Dat werkt bijvoorbeeld zo:

  • Laag 1 — slagboom met voertuigherkenning op het bedrijventerrein.
  • Laag 2 — toegangspas voor doorgang bij de receptie en voor toegang tot gemeenschappelijke ruimtes.
  • Laag 3 — toegangspas gecombineerd met pincode ter verificatie, voor toegang tot strenger beveiligde gebieden.
  • Laag 4 — toegangspas gecombineerd met pincode, aangevuld door biometrische herkenning voor drieledige verificatie, voor toegang tot de kluis.

 

3.   De juiste tools

Je hebt de specifieke beveiligingsrisico’s van je organisatie in kaart gebracht en je hebt bedacht hoe je verschillende lagen aanbrengt. Dan is het nu tijd om producten en processen te selecteren die deze risico’s beperken en beheren. Ook maak je een plan voor een optimaal effect van deze producten en processen.

Als je dit doet, vergeet dan niet om rekening te houden met zowel de huidige als de toekomstige risico’s. En neem ook de volgende factoren in overweging:

  • Locatie — de directe omgeving, het terrein en de ligging van het gebouw.
  • Bouwstructuur en -ontwerp — de omvang en vormen van gebouwen en terreinen en de materialen die zijn gebruikt.
  • Beveiligingslagen of -zones — zodat je zeker weten dat alle activa het juiste beveiligingsniveau krijgen.
  • Verzamelplaatsen — voor de veiligheid van je medewerkers bij calamiteiten
  • Toegangscontrole — om de toegang tot terreinen, gebouwen en ruimtes te kunnen beheren.
  • Plaatsen van beveiligingsapparatuur — op de juiste strategische plekken presteren deze het beste.

Denk eraan om menselijke bedreigingen van binnenuit sterk te beperken

De grootste bedreiging voor een organisatie is altijd een menselijke bedreiging. En lang niet altijd bewust en met slechte intenties. Zorg dus dat producten en processen gebruiksvriendelijk zijn. Dan weet je zeker dat ze op de juiste manier worden gebruikt.

Ook training voor medewerkers is essentieel. Dan weten ze exact hoe ze bedreigingen kunnen identificeren en welke acties ze hierop moeten ondernemen.

Een beveiligingssysteem dat een hoog beschermingsniveau biedt, wil je natuurlijk niet laten bedienen of beheren door iemand die niet te vertrouwen is. Daarom is een goede doorlichting van mensen op cruciale beveiligingsposities, van vitaal belang. Op die posities wil je betrouwbare mensen met de juiste vaardigheden en capaciteiten. Een systeem dat gevoelige informatie afschermt helpt natuurlijk ook om dit potentiële, menselijke risico te verminderen. Net als de optie om een volledige systeemaudit uit te voeren ná een incident, om zo de oorzaak te herleiden.

Een toekomstbestendige benadering is essentieel

Cyberdreigingen nemen toe en brengen extra risico’s met zich mee. Daarom is het cruciaal om rekening te houden met toekomstige bedreigingen bij het creëren van je strategie. Je hebt baat bij een systeem dat onbeperkt houdbaar is door middel van upgrades. Zo pas je dit systeem aan op toekomstige bedreigingen en blijft het in lijn met de doorontwikkelingen van je risicomanagement-strategie.

Wil je bespreken hoe toegangscontrole met AEOS een rol kan spelen in je risicomanagement-strategie? Neem contact met ons op.

Word een beveiligingsexpert

Geïnteresseerd in de laatste technologische trends op het gebied van security management? Via onze nieuwsbrief krijg je regelmatig updates van onze blog.