1 sep / 2016

Security incidentenregistratie

dashboard2

Beveiliging kan worden gedefinieerd als het totaalpakket van getroffen maatregelen om de continuïteit van de organisatie te waarborgen tegen incidenten die door mensen worden veroorzaakt. Een goede beveiliging is dan een samenhangend en gedragen pakket van maatregelen dat in staat is deze continuïteit te waarborgen. Of dit pakket goed is en op termijn wellicht voor verandering in aanmerking komt kunnen we alleen maar onderbouwen als we weten wat de mate van effectiviteit is. Dit vraagt om een meetinstrument om dit alles inzichtelijk te maken.

Dit meetinstrument heeft een vergelijkbaar doel met dat van een fabrieksproces. Daar waar een fabriek doorgaans zoveel als mogelijk wil produceren tegen een gunstige prijs en van goede kwaliteit willen we met onze Beveiliging zo min als mogelijk incidenten realiseren. En hebben we toch incidenten dan willen we hier graag (of zouden we eigenlijk moeten) zoveel als mogelijk van eten. Waar is het gebeurd? Wanneer is het gebeurd? En ook de vragen wat, hoe en met welke kosten tot gevolg zijn relevant. Als we al deze gegevens structureel verzamelen dan wordt een waardevolle database gevuld die ons veel kan vertellen over mogelijke vervolgincidenten, de mate van effectiviteit van onze maatregelen en de wijze waarop we kostenefficiënt het beste kunnen investeren in Beveiliging.

Neem als voorbeeld een statistiek waaruit blijkt, twee jaar achtereen, dat incidenten zich voornamelijk voordoen rondom de zomermaanden. Het kan dan minder interessant zijn om structureel te investeren in kostbare camera’s die het hele jaar door veel geld kosten. Het afwezig zijn van een registratie kan in de zomermaanden tot paniek leiden op basis waarvan ondoordachte maatregelen worden aangeschaft. Ook kan blijken dat incidenten zich voornamelijk concentreren in een bepaalde regio (bij landelijke organisaties) of een bepaald bouwdeel. Ook met dit inzicht is gericht maatregelen te treffen.

Van incidenten willen we weten wat het aantal, de locatie, het type, de tijd en de kosten zijn.

Veel organisaties registreren al maatregelen, echter doorgaans op een wijze waarbij het niet eenvoudig is trends te destilleren. Wanneer de organisatie bijvoorbeeld incidenten en uitgevoerde werkzaamheden registreert in een dagrapport en dit opslaat als Word document dan is alles wel vastgelegd maar kost het veel tijd om een overzicht te vragen van alle diefstallen van het afgelopen jaar (er van uitgaande dat deze met enige regelmaat voorkomen). Bij een 24-uurs beveiligingsdienst moeten er dan zo’n 1100 dagrapporten worden doorgespit om tot dit overzicht te komen. Een hele verbetering is het opslaan van incidenten in de vorm van een Excel bestand. Hierin kunnen alle incidenten, naar Meldtype geordend, worden vastgelegd waardoor snel statistieken en grafieken zijn te maken van data uit het verleden. Een nadeel van deze aanpak blijkt doorgaans dat er veel verschillende ‘lijstjes’ zijn en dat het opmaken van specifieke rapporten en dagrapporten vaak toch ook nog apart gebeurd. Het mooiste is een systeem waar dit alles geautomatiseerd plaatsvindt. One time entry is een voornaam element hierin. De medewerker aan de balie of in de meldkamer registreert incidenten en uitgevoerde werkzaamheden en kan vervolgens deze input omzetten in een dagrapport, een weekrapport, specifiek rapport of anderszins gewenst. Zijn manager kan diezelfde input aanvullen (uitvoerde activiteiten) en de input presenteren als kwartaal en jaarrapport. Hiermee wordt slechts eenmalig tijd geïnvesteerd in de invoer en kan de ingevoerde data er op verschillende manieren uitgehaald worden.

Ik vergelijk de incidentenregistratie op seminars regelmatig met een auto; de security manager ofwel hoofd Beveiliging zit aan het stuur. Hij / Zij stuurt de auto de juiste richting op en laat zich daarbij leiden door het instrumentarium in het dashboard (lees incidentenregistratie).

Dan kan onderbouwd geïnvesteerd worden in maatregelen

En wat zijn dan zoal zaken die je van je dashboard af zou willen leiden? Dit is een vraag die per organisatie kan leiden tot een verschillend antwoord. Op hoofdlijnen is het antwoord voor elke organisatie hetzelfde: je wilt weten wat het aantal, de locatie, het type, het tijdstip / de periode en de kosten zijn. Maar specifiek kan per organisatie een aantal extra meetindicatoren van essentieel belang zijn. Zo wil men bijvoorbeeld binnen de retail graag weten hoe daderprofielen eruit zijn. Wat is de sexe en leeftijdscategorie van de meest voorkomende winkeldieven en wanneer (tijdstip van de dag, dag in de week, en periode in de maand) stelen zij het meest. Zorginstellingen zijn meer geïnteresseerd in de doelgroep die slachtoffer is van de kwaadwillenden; wordt er nu het meest gestolen van de organisatie, van medewerkers, patiënten of derden. Allemaal essentiële informatie om gericht een maatregelenplan op te kunnen stellen.

Om het noodzakelijke belang van een goede beveiliging te kunnen onderbouwen bij het hogere management is het noodzakelijk in managementtermen te formuleren. De taal die het hogere management doorgaans het beste spreekt is die van de getallen en kosten / baten. Hierom is het dan ook noodzakelijk aan elk incident ook schadecomponenten toe te voegen. Zonder hier nu al te veel op in te gaan kan worden gesteld dat een schijnbaar eenvoudig incidentje vaak veel meer kost dan men aanvankelijk aanneemt. Met het summiere onderzoek dat naar dit onderwerp gedaan is kan worden gesteld dat een inbraak met diefstal van een PC al snel 5x meer kost dan de waarde van de gestolen PC. Een diefstal van 3 PC’s kost de organisatie al snel € 15.000,00, een agressie incident waarbij een medewerker 6 weken full time thuis zit kost al snel € 40.000,00. Wordt dit aspect meegenomen in de incidentenregistratie dan wordt waardevol inzicht verkregen in de koers die gevaren moet worden om daadwerkelijk kostenefficiënt te beveiligen. Stel dat we binnen de organisatie jaarlijks zien dat er zo’n 100 diefstallen van medewerkers, 50 van derden en 20 van de organisatie zijn. Indien blijkt dat de bijbehorende kosten een precies tegenovergesteld beeld geven (80% van de kosten zitten bij de diefstallen van de organisatie) dan kan onderbouwd geïnvesteerd worden in maatregelen die dit type incident tegengaan.

Als we deze aanpak periodiek doorlopen kunnen we jaarlijks onze incidentenregistratie evalueren op incidentenstatistiek bijbehorende kostenpatronen. Met deze statistiek kunnen we onderbouwen waar voor de organisatie kosten te besparen zijn door het treffen van preventieve maatregelen. Voorbeeld: afgelopen jaar is onze organisatie getroffen door 100 diefstallen met een totale schadelast van € 500.000,00. Indien we het aantal diefstallen met 50% terugdringen hebben we het komende jaar € 250.000,00 minder kosten. Door dit te realiseren met een investering van € 150.000,00 wordt uiteindelijk een besparing gerealiseerd van een ton. Door nu het komende jaar direct te monitoren of we in de pas lopen met de geformuleerde doelstelling wordt ons kwaliteitsproces ingericht. Zo ontstaat de welbekende Plan – Do – Check – Act cirkel.

Resumerend kan worden gesteld dat een professionele Integrale Beveiliging; bestaande uit een afgewogen samenhangend pakket van maatregelen niet zonder een goede incidentenregistratie kan. De incidentenregistratie wordt door mij dan ook een van de fundamenten van een professionele Beveiliging genoemd.

Door: Drs ing Arjen Appelman CPP RSE