Beveiliging wordt steeds minder een kwestie van hoge hekken en dikke muren. Tegenwoordig draait het vooral om data. Dat geldt zeker ook voor de fysieke beveiliging. Reden voor Securitas om samen met de Benelux Chapter van ASIS International een ronde tafel over dit onderwerp te organiseren.

Aan de ronde tafel namen security professionals deel van onder andere grote winkelketens, industriële bedrijven, financiële dienstverleners en bedrijven die in belangrijke mate deel uitmaken van de vitale infrastructuur. Zij gingen in op het belang van data voor het borgen van de continuïteit van hun organisaties. Bijvoorbeeld data die aangeeft wat er beveiligd moet worden en waartegen. En wat voor data heb je dan nodig? En hoe kom je daaraan? Data is onder andere afkomstig van talloze sensoren en al of niet open bronnen op internet. Maar ook zeker de kennis op de werkvloer mag niet worden onderschat als databron. De uitdaging is om die data te transformeren naar informatie en vervolgens naar Intelligence. Intelligence is informatie waaruit een handelingsperspectief is af te leiden.

Informatiebehoefte
Om aan data te kunnen komen is het een voorwaarde dat deze gedeeld wordt. De voorzitter van de conferentie vroeg dan ook terecht in hoeverre de aanwezigen bereid waren om data uit de eigen organisatie met anderen te delen. Van de zeventien deelnemers staken er slechts twee hun hand op. Een wilde het beslist niet. De anderen waren bereid data te delen onder voorwaarden. Zij willen bijvoorbeeld precies weten bij wie de data terechtkomt en wat die ermee gaan doen.
De discussie werd op gang gehouden aan de hand van een aantal stellingen. Bijvoorbeeld: ‘een goed risico assessment geeft automatisch een compleet inzicht in de informatiebehoefte’. De meesten vonden dat wat kort door de bocht. De informatiebehoefte verandert namelijk voortdurend omdat riskmanagement een dynamisch proces is. Er ontstaan niet alleen steeds nieuwe risico’s, zelfs de bestaande risico’s zijn aan veranderingen onderhevig. Benadrukt werd dat risico assessment zeker niet alleen een taak is van de securitymanager. Data verzamelen begint op de werkvloer. Daarbij heb je vaak vele disciplines binnen de organisatie. De taak van de securitymanager is om ervoor te zorgen dat de risico’s integraal worden aangepakt. Ook stelt hij of zij de prioriteiten aan de hand van de frequentie en de impact van potentiële incidenten. Dat data hierbij onmisbaar is, werd door niemand ontkend. Gelijktijdig werd ook geconcludeerd dat de beschikbaarheid van data niet vanzelfsprekend is. Zeker niet bij de communicatie tussen bedrijfsleven en overheid.

Bronnen

‘Data draagt altijd op de juiste manier bij aan een betere informatiepositie’. Dat was de tweede stelling. Een van de deelnemers merkte op dat men er dan wel zeker van moet zijn dat de data betrouwbaar is, anders werkt het juist tegen je. Gezond boerenverstand blijft dan ook altijd vereist om data op de juiste waarde te kunnen inschatten. In de praktijk komt het nog vaak neer op het signaleren van afwijkingen. Daarbij wordt nog niet echt gebruik gemaakt van nieuwe ontwikkelingen, zoals kunstmatige intelligentie. Een uitdaging blijft het verzamelen data over risico’s met een kleine frequentie, maar een hoge impact. Voor risico’s met een hoge frequentie en een kleine impact, zoals winkeldiefstal, kan vaak  gebruik worden gemaakt van open bronnen, zoals de AD Misdaadmeter. Maar met zo een bron kun je geen terroristische aanslag voorspellen. Belangrijk is in ieder geval dat het eigen proces van de organisatie goed gemonitord wordt en dat er geacteerd wordt op afwijkingen. Zo zijn onder andere fraude en andere integriteitschendingen aan het licht te brengen. Momenteel wordt daarvoor vooral gebruik gemaakt van het instrument screening. Maar dat geeft zeker geen 100% zekerheid. Het combineren van de met screening verkregen data met andere bronnen kan via bepaalde algoritmen tot verbeterde inzichten leiden, maar kan ook flink botsen met de wet- en regelgeving op het gebied van privacy.

Privacy: zegen of vloek
Op dat laatste aspect had de derde stelling betrekking: ‘De huidige (privacy)wetgeving ondersteunt effectief het gebruik van data’. Zoals te verwachten viel, was niet iedereen het daarover eens. Zo maakt volgens een van de deelnemers het ‘ambtelijke geneuzel‘ van de Autoriteit Persoonsgegevens het bijna onmogelijk om een waarschuwingsregister voor de detailhandel op te zetten. Een andere deelnemer vond het wel meevallen, zolang je goed naar de nuances in de wetgeving kijkt. Zo ligt het delen van camerabeelden vaak erg gevoelig, maar wordt het vaak al een stuk eenvoudiger als men zich beperkt tot verwerking van met camera’s gegenereerde metadata. Door de wetgeving wordt je in ieder geval gedwongen om zorgvuldig na te denken over wat je gaat doen met data. Dat is dan weer een pluspunt. De meerderheid van de aanwezigen vond dat Nederland wel overgereguleerd is. Bovendien loopt de regelgeving vaak jaren achter op de ontwikkelingen in de maatschappij en de techniek. Dan krijg je situaties dat bedrijven weten hoe zij met data hun risico’s kunnen verkleinen, maar dat niet doen uit angst voor problemen met de Autoriteit Persoonsgegevens. Een ander was daar niet zo bang voor, zolang je maar de juiste expertise in huis haalt. Dat laatste is zeker nodig als je voor een multinational werkt. Want elk land hanteert eigen regels. Het verkleinen van risico’s, mag tenslotte niet tot nieuwe risico’s leiden.

KADER

Omdat de genodigde experts aan de ronde tafel op persoonlijke titel deelnamen en vrijuit moesten kunnen spreken over gevoelige onderwerpen, is besloten hun namen niet te noemen in dit artikel.