Tag: preventie

Buren belangrijkste inbraakpreventiemaatregel

  door

Wanneer het aankomt op de beveiliging van het woonhuis tijdens een vakantie, blijkt bijna de helft van Nederland op de buren te rekenen. Dat wijst een representatief onderzoek uit van de Vereniging Europese Beveiligingsbedrijven (VEB), de grootste brancheorganisatie binnen de beveiligingssector. Bijna 45 procent vertrouwt erop dat de buren een oogje in het zeil houden, zo komt uit het onderzoek van marktonderzoeksbureau IBT naar voren (bron).

Beter een goede buur dan een verre vriend? Als je bovenstaande leest, zou je dat wel denken. En natuurlijk hopen we allemaal dat de buren een beetje opletten als jij niet thuis bent. Maar om ze nou als belangrijkste preventiemaatregel te bestempelen gaat wel erg ver.

Sterker nog, ik wil het mijn buren helemaal niet aan doen, ik wil ze die verplichting helemaal niet geven. Stel dat ze constateren dat ze vreemde geluiden uit je huis horen als jij op vakantie bent. Eis jij dan van ze dat ze met een honkbalknuppel naar binnen gaan om polshoogte te nemen?

Nee, ik hoop dat ze de politie bellen als ze zien dat er een ruitje is ingeslagen. Maar dat is nog steeds niet preventief maar juist reactief. Preventief moeten ze actief achter het raam blijven staan om mijn voordeur in de gaten te houden? En wat als ze via de achterdeur komen? Dan moet misschien de buurman aan de voorkant gaan staan terwijl de buurvrouw de achterkant in de gaten houdt.

Maar goed, uit het bericht blijkt wel dat er dagelijks bij 175 huishoudens wordt ingebroken. Tijdens de vakantieperiode, traditioneel het jachtseizoen voor inbrekers, neemt dit met een vijfde toe. Dat wist ik dan weer niet en spreekt meer tot de verbeelding dan loze percentages.

Gelukkig zijn ze binnen de beveiligingsbranche ook niet gek en hadden ze ook al onderkend dat de buurman niet een heel goede preventievemaatregel is.
Voorzitter Paul van der Velde van de VEB is niet verbaasd over de uitkomst van het onderzoek. “Dit soort geluiden horen we al decennia lang. Maar een goed beveiligd huis blijft altijd beter dan een goede buur. Want ook die gaat normaal gesproken ’s nachts naar bed en is niet altijd aanwezig. Zorg daarom voor degelijk hang- en sluitwerk liefst in combinatie met een goede alarminstallatie en adequate alarmopvolging. Al is volgens Van der Velde met enkele simpele handelingen al veel leed te voorkomen. Zo wijst hij erop dat veel mensen bijvoorbeeld vergeten hun reservesleutel onder de mat of uit de bloempot te halen. “Of ze laten kostbare spullen in het zicht liggen. Hou tijdens de vakantie de gordijnen of zonwering gewoon open en vraag iemand om regelmatig de post van de mat te halen. Zorg ervoor dat de woning een zoveel mogelijk bewoonde indruk maakt. Daarnaast melden veel mensen op sociale media als Facebook, Twitter en Hyves dat ze op vakantie gaan. Doe dit niet, want ook daar leest het dievengilde steeds vaker mee”, besluit de VEB-voorzitter.

Zo hebben we toch weer wat geleerd en we weten inmiddels dat het prima is om een goede buur te hebben, maar die schakelen we niet in als anti-inbraakmiddel.

Preventie, detectie, repressie en correctie

  door

Vandaag maar eens een bericht dat niet direct gekoppeld is aan een nieuwsbericht maar meer aan een overweging. Uiteraard benieuwd wat jullie er van vinden.

Het lijken zulke eenvoudige termen en de volgorde lijkt ook vrij logisch: preventie, detectie, repressie en correctie. Dat is waar het allemaal om draait als we het hebben over de drietrapsraket: risk, security, continuity.

Risk management, security management en business continuity management. Deze begrippen kunnen we aan elkaar koppelen en dan wordt het allemaal nog een stuk duidelijker.

Eerst moeten we bepalen welke risico’s we allemaal lopen. Daarvoor roepen we risk management in het leven. We kijken naar de enterprise risks en naar de operational risks en bepalen de dreigingen die we op ons af kunnen zien komen. Voor deze dreigingen bepalen we de kans en de impact en de hele basis is gelegd. Uiteraard moeten we hierbij nog wel rekening houden met de missie, visie en strategie van onze organisatie. Om die te bereiken bepalen we de doelstellingen voor de korte termijn. Risico’s die daar een negatieve invloed op kunnen hebben verdienen onze aandacht.

Nu we die dreigingen weten kunnen we bepalen wat onze risicomanagement strategie is. Welke risico’s willen we in behandeling nemen en welke risico’s accepteren we? Voor die risico’s die de aandacht verdienen gaan we verder met de stap security management.

In die zin is security management gericht op preventie. Het voorkomen van de risico’s en het voorkomen van incidenten. Maar zoals we weten, kunnen we niet alle incidenten voorkomen. In dat geval zullen we dus moeten zorgen dat we de incidenten detecteren. In dit opzicht dus onderdeel van security management.

Business continuity management kunnen we dan koppelen aan de repressie en de correctie. Met business continuity zorgen we ervoor dat we tijdens een incident gewoon door kunnen draaien. Maar als we het hebben over correctie dan komen we al snel uit bij disaster recovery. Oké, het incident heeft zich voorgedaan en op basis van de business continuity maatregelen hebben we met workarounds toch gewoon door kunnen werken.

Maar ja, die workarounds kunnen we niet langdurig in het leven houden. Ze zijn bijvoorbeeld te duur of niet efficient genoeg voor de dagelijkse gang van zaken. Daar komen dan de correctieve maatregelen om de hoek kijken. We moeten weer terug naar de business as usual. Als het goed is kunnen we met de BCP’s (business continuity plans) en de DRP’s (disaster recovery plans) aan de gang om de schade voor ons te beperken.

Hebben we een dergelijke cyclus eenmaal doorlopen dan begint het spel weer van vooraf aan. We gaan weer kijken naar de dreigingen en de kans en de impact daarvan. Misschien moeten we concluderen dat de kans en de impact toch hoger is dan we vooraf hadden ingeschat. Daar passen we de security maatregelen en de business continuity aanpak dan weer op aan.

Maar ook als we niet geconfronteerd worden met de uitbraak van een incident. Dan toch moeten we de cyclus continu doorlopen. Alleen treden dan onze BCP’s en DRP’s niet echt in werking. Wel kunnen we ze natuurlijk testen en reviewen. Blijkbaar zijn we niet geconfronteerd met een incident of blijkbaar hebben onze security maatregelen goed gewerkt. Wat het antwoord hierop is? Dat moeten we analyseren. Zijn we echt “in control” (onze maatregelen hebben gewerkt) of hebben we gewoon mazzel gehad en is dit incident onze deur voorbij gegaan?

Tot zover de overwegingen voor vandaag. We kunnen dus de koppeling leggen: stap 1: risk management, stap 2: security management (gericht op preventie en detectie) en stap 3 business continuity (repressie en correctie).

Kunnen we dit aan concrete voorbeelden koppelen waar het management wakker van ligt, dan sluit ik niet uit dat we aandacht krijgen van dat management. Maar goed, dat is een mooie overweging voor morgen.

Afhankelijkheid van securitybedrijven onwenselijk

  door

Deze week hebben we gezien dat de IT-manager vol staat van de stress omdat hij ook niet meer weet waar hij het moet zoeken op het gebied van informatiebeveiliging. Gelukkig zijn er gespecialiseerde bedrijven die graag willen helpen. Helaas denkt Minister Opstelten daar anders over.

Minister Ivo Opstelten van Veiligheid en Justitie vindt het onwenselijk dat de ict-veiligheid van de overheid afhankelijk is van externe bedrijven als Fox-IT. Het zou echter niet rendabel zijn om deze expertise in de eigen organisatie onder te brengen. (bron)

Nu zou je natuurlijk kunnen concluderen dat de Minister geen gebruik meer wil maken van externe gespecialiseerde bedrijven. Maar dat is zeker niet zoals ik het interpreteer. Zelf geeft hij ook al aan dat “In gevallen waarin dergelijke expertise vereist is, is de inhuur van externe expertise veelal een kostenefficiënte oplossing.”

Natuurlijk zou je als overheid (of als grote organisatie) de kennis zelf in huis willen hebben. In dat licht bezien is de afhankelijkheid inderdaad onwenselijk. Maar kijken we naar de meest kostenefficiënte oplossing dan ontkom je er niet aan om nauw samen te werken.

Met name in het “nauw samenwerken” zitten hem de voordelen. Als geld inderdaad niet uit zou maken, dan wil je de kennis helemaal zelf in huis hebben, maar wat als je te weinig gebruik maakt van die kennis? Gaan die specialisten het hele jaar zitten wachten totdat ze hun kunstje mogen doen? Nee, natuurlijk niet. Ze zouden al snel achterlopen op de feiten. Een samenwerking is daarom zo gek nog niet.

Waar hem eerder een punt zit, is het feit dat er veelal achteraf een gespecialiseerd bedrijf wordt ingeschakeld. Het incident heeft plaatsgevonden en we moeten snel tot oplossingen komen. Een kwestie van vraag en aanbod. Ineens is er veel vraag terwijl het aanbod beperkt blijft. De prijzen schieten omhoog.

Nee, prima dat we de brandweer bellen als er brand is. Maar ik zie liever dat we in de preventieve sfeer op zoek gaan naar die mogelijkheden om incidenten te voorkomen. Dat doen we dan weer niet met alleen maar technische maatregelen. Nee, we doen dat op basis van risico management en komen dan tot de juiste set technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen.

Voor die IT-managers die bol staan van de stress geldt dit natuurlijk ook. Ga niet wachten tot je verrast wordt door een incident. De kosten voor het oplossen daarvan zijn enorm. Nee, kies ervoor om de risico’s te beheersen door preventief aan de slag te gaan.

Ja, natuurlijk weet ik het. Er wordt flink bezuinigd op de budgetten voor informatiebeveiliging. Daar lijkt weinig aan te doen. Tenzij we in onze business cases ook inzichtelijk kunnen maken wat het oplossen van een incident eigenlijk kost. Niet alleen in directe kosten maar juist ook in termen van imagoverlies, omzetverlies, kosten die doorlopen terwijl we niet kunnen produceren, klanten die weglopen, etc.

Camerabewaking beperkt winkeldiefstal en schade door winkeldiefstal neemt toe

  door

Zelf moest ik toch even glimlachen bij het zien van deze twee berichten die kort na elkaar in het nieuws kwamen:

  • Camerabewaking beperkt schade winkeldiefstal
  • Schade door winkeldiefstal stijgt 5 %

Ze lijken elkaar eerder tegen te spreken dan elkaar te versterken. Maar als we ze in samenhang zien dan wordt er meer duidelijk dan dat we ze als afzonderlijke berichten lezen.

Eerst maar even een korte opsomming van beide berichten:
De totale schade als gevolg van winkelcriminaliteit was vorig jaar 740 miljoen euro. Aan preventie geven winkeliers ieder jaar 290 miljoen uit. In totaal kost winkelcriminaliteit Nederland dus meer dan een miljard euro per jaar…Omdat de directe kosten van winkeldiefstal en fraude blijven stijgen terwijl ook de preventieve uitgaven toenemen, lijkt het alsof de preventieve maatregelen onvoldoende zijn. “Niets is minder waar. De juiste preventieve maatregelen blijken wel degelijk zeer succesvol. Het is alleen zo dat goede preventieve maatregelen in de ene winkel indirect als gevolg heeft dat het probleem zich verplaatst naar ‘de buren’, die zich minder goed beveiligd hebben (bron).

De schade door winkeldiefstallen is vorig jaar met 5 procent gestegen naar 325 miljoen euro volgens Detailhandel Nederland. Ook zijn er meer winkeldieven aangehouden door de politie. In 2008 waren dat er nog 30.000, een jaar later 31.000. Winkeliers worden niet alleen geconfronteerd met winkeldiefstallen maar ook met interne fraudes, inbraken, vernielingen, overvallen en ramkraken. De totale schade als gevolg van winkelcriminaliteit was in 2009 € 740 miljoen (bron).

We hebben allemaal de mond vol van de zogenaamde kosten-baten analyses en de terugverdien tijd van beveiligingsmaatregelen. Iedere maatregel moet zichzelf zo snel mogelijk terugverdienen en de kosten mogen niet hoger zijn dan de baten. Maar in dit geval is de kosten-baten verhouding nogal scheef, tenminste als je het mij vraagt.

We geven € 290 miljoen uit aan maatregelen terwijl de totale schade € 740 miljoen is. Dat zegt wat mij betreft dat we nog zo’n € 500 miljoen extra uit kunnen geven voordat we mogen stellen dat beveiliging niet werkt. Of is dit nu wat we noemen het geaccepteerde risico? In dat geval moeten we niet klagen en gewoon accepteren dat er zoveel schade ontstaat.

Theoretisch klopt het bovenstaande natuurlijk (en als jij vindt van niet dan hoor ik dat graag), maar waar het mank op gaat is dat we het moeten concretiseren naar de afzonderlijke winkels. In het originele bericht wordt dat duidelijk. Hoe beter we onze eigen winkel beveiligen, hoe meer last de buren ervan krijgen (het gras is daar dus niet groener, maar juist enorm dor). Kunnen we dan eigenlijk stellen dat het heel asociaal is als je je winkel goed beveiligd? Nee, natuurlijk niet, die andere winkeliers moeten er juist meer aan uit geven.

Kortom: er zijn winkel(keten)s die beveiliging goed op het netvlies hebben en die waarschijnlijk niet zoveel extra meer hoeven te doen aan beveiliging, nee het gaat juist om die winkeliers die nog te weinig doen aan beveiliging. Juist zij zouden het grootste deel van die € 500 miljoen uit moeten gaan geven. Maar ik geef het ze te doen, als kleine winkel heb je al moeite genoeg om je hoofd boven water te houden. Je zit helemaal niet te wachten op investeringen, daar kijken we wel weer eens naar als we de economische crisis achter ons hebben gelaten. En, ach, ik kan ze geen ongelijk geven: of je gaat failliet omdat je investeringen in beveiligingsmaatregelen te hoog waren, of je blijft voortbestaan en accepteert dat er af en toe iets gestolen wordt.

Misschien een goed idee voor de lokale overheid. We hebben inmiddels lokauto’s en lokhoeren ingezet om overtreders te betrappen. Moeten we geen lokwinkels in gaan zetten om de crimineeltjes te lokken naar de slechtst beveiligde winkel in de buurt? Ehm, iets om over na te denken.