Begeleiding invoering Beveiligingsbeleid

Begeleiding invoering Beveiligingsbeleid

“Beter beveiligd en toch miljoenen bespaard”

De klant, een grote Nederlandse Bank, had zelf een beveiligingsbeleid opgesteld dat ze uit wilden rollen over de 20 kantoorgebouwen in Nederland. Hierbij was gekozen voor een benadering waarbij alle maatregelen uit het beleid dwingend werden voorgeschreven. Er werd niet gekeken naar de risico’s waartegen maatregelen genomen moesten worden maar de maatregelen waren verplicht gesteld (omdat het nu eenmaal zo in het beleid was opgeschreven). Hierdoor was er een aanzienlijk budget, van zo’n 5 miljoenen Euro, nodig om aan het beleid te voldoen zonder dat er zicht was op de risico’s die hiermee werden afgedekt.

De klant stelde de volgende vraag

De klant stelde de vraag welke maatregelen nodig waren en hoe op een efficiënte manier de risico’s beheerst konden worden zonder dat er geld over de balk werd gesmeten.

De aanpak

Vanuit onze expertise hebben we een methodiek voorgesteld waarbij we niet zomaar beveiligingsmaatregelen implementeren omdat ze in het beleid staan maar waarbij we eerst de dreigingen en risico’s per kantoorgebouw inzichtelijk maken. Door risicoanalyses uit te voeren kan vele malen beter een keuze worden gemaakt in de te nemen maatregelen.

Hierbij worden de maatregelen dus niet meer dwingend voorgeschreven maar worden maatregelen genomen die nodig zijn om risico’s af te dekken. Het staat een organisatie vrij om bepaalde risico’s te accepteren, als dat maar inzichtelijk is en op het juiste managementniveau plaats vindt.

Het resultaat

Het resultaat is dat het opgestelde beveiligingsbeleid gewoon van kracht blijft maar dat alle betrokkenen begrijpen dat het niet draait om de maatregelen maar om het afdekken van de risico’s die we als organisatie niet kunnen of willen lopen.

Daarmee borgen we een bewustzijn in de organisatie waarbij men steeds meer gaat denken vanuit risico’s en steeds minder vanuit “verplicht” voorgeschreven maatregelen. Medewerkers nemen meer en meer hun verantwoordelijkheid en durven zelf keuzes te maken die in het belang van de organisatie zijn.

Het gevolg

De organisatie heeft hiermee minimaal de helft van het budget bespaard terwijl ze een stuk beter beveiligd zijn. Het gevolg van een dergelijke aanpak op basis van de risico’s zorgt er immers voor dat we geen miljoenen over de balk smijten omdat het ergens op papier staat. Het zorgt ervoor dat we de risico’s afdekken die we af moeten dekken en het zorgt ervoor dat we besparen op onzinnige beveiligingsmaatregelen die niets toevoegen en die geen risico’s afdekken.