De beveiligingswereld moet ‘om’. Dat is de overtuiging van bestuursleden Ab Verkaik en Robert van der Haas van de European Security Intelligence Foundation (ESIF). Zij zien in een wereld met sterk toenemende beveiligingsrisico’s de kracht van ‘intelligence driven security’. Populair vertaald: optimaal gebruik maken van beschikbare informatie om veiligheidsrisico’s te minimaliseren. De trend is volgens de ESIF-voormannen al zichtbaar bij de security-opleidingen. Zij het langzaam, want verandering van organisatie en werkwijze stuit soms op weerstand en kost tijd.
Met op preventie gerichte opleidingen kan de beveiligingswereld dreigingen beter vóór zijn
ESIF is een non-profit expertplatform voor beveiligingsprofessionals. De organisatie heeft als doel nieuwe visies op beveiliging te ontwikkelen, stelt kwaliteitsnormen en standaarden op en examineert security-opleidingen. De deelnemers in ESIF werken voor zowel de publieke als de private sector. Onder andere bij politie, justitie, ministeries, grote bedrijven en financiële dienstverleners. Stuk voor stuk sectoren die met grote potentiële beveiligingsrisico’s te maken hebben. Zowel intern als extern, zoals de casuïstiek leert. Internationale spanningen en radicalisering leiden tot aanslagen op luchthavens en winkelcentra, grote bedrijven en overheidsdiensten zijn een gewilde prooi voor (cyber)criminelen, grote fraudezaken leveren bedrijven miljoenenschade op en binnen vitale mainports, zoals Schiphol en de Rotterdamse haven, blijken verantwoordelijken voor security kwetsbaar voor omkoping door de georganiseerde criminaliteit. Zaken die soms pas na lange tijd en bij toeval aan het licht komen. Met een meer op preventie gerichte opleiding en training kan de beveiligingswereld dreigingen beter vóór zijn, is de visie van ESIF.
Actualiteit onderstreept urgentie
“Door op een andere manier te leren kijken naar je omgeving en signalen tijdig te leren herkennen, worden risico’s en dreigingen beter beheersbaar”, stelt voorzitter Ab Verkaik van ESIF. “Het gevoel van urgentie om slimmer en effectiever te beveiligen, wordt breed gevoeld, door beveiligingslekken, fraudezaken en dreigingen die nationaal en internationaal steeds weer aan het licht komen. Goed dat zaken worden opgelost en daders worden opgepakt, maar dan is het kwaad al geschied. Wij zetten in op nieuwe inzichten en methodieken om preventieve veiligheidswinst te boeken. Dat vraagt aanpassingen in de hele securityketen: van werving en selectie van medewerkers tot opleiding, training, techniek en toezicht.”
Predictive Profiling, Security Intelligence en Insider Threat, speerpunten voor ESIF, zijn volgens Verkaik sleutelwoorden in effectiever beveiligen. Proberen risico’s en gevaren te voorzien door een goede analyse van alle factoren die een rol kunnen spelen bij het ontstaan van een securitydreiging. En vooral door het beter gebruiken van informatie die soms wel beschikbaar is, maar die om uiteenlopende redenen niet goed wordt benut. ESIF ontwikkelde een standaard voor risicoprofilering, die door opleiders wordt verwerkt in opleidingen en trainingen voor professionals in het vakgebied.
Predictive profiling
Predictive profiling betekent: normen kennen en kunnen onderkennen, beveiligers meer eigen verantwoordelijkheid geven, verdacht gedrag herkennen en weten hoe je met de juiste methodes dit gedrag kunt verklaren of ontkrachten.
Verkaik: “Als je goed weet waar je op moet letten, kun je heel veel kosten besparen en schade beperken. Beveiligen is meer dan camera’s en sensoren. Met predictive profiling wordt het vak efficiënter, effectiever en ook nog veel leuker. Dit is niet alleen toepasbaar bij het vangen van dieven of overvallers, maar ook bij bijvoorbeeld het herkennen van gedrag dat je kunt waarnemen bij radicalisering en terroristische dreiging of gedrag dat niet past bij een functie of een inkomensschaal.
Intelligence driven security
Profiling moet worden toegepast ‘aan de poort’. Op basis van verkregen informatie (let op de omgeving, zie wat er in het bedrijf gebeurt), gecombineerd met andere beschikbare informatie uit open bronnen en informatie uit onderzoeken, kan met de juiste analyse en kennis helder worden gemaakt wat de werkelijke dreigingen voor een bedrijf of instelling zijn. Door dreigingen goed benoemen en te onderbouwen kan de directie beter beslissingen nemen over de te ondernemen acties. Is de dreiging acceptabel of moet ze worden weggenomen?
De belangrijkste schakel binnen een bedrijf is altijd de mens
Insider Threat
Een bedrijf kan hekken plaatsen en andere technische maatregelen nemen, maar uiteindelijk is de belangrijkste schakel binnen een bedrijf altijd de mens. Als het gaat om interne veiligheidslekken, begint de oplossing volgens Robert van der Haas al bij een diepgaande screening en gedragsanalyse van personen op vertrouwelijke functies vóór indiensttreding. “Bij werving en selectie van medewerkers besteden bedrijven doorgaans wel veel aandacht aan kennis en vaardigheden voor de functie, maar een goed integriteitsonderzoek op basis van beschikbare informatie en gedrag schiet er nog wel eens bij in. Vervolgens is iedereen ‘verrast’ als blijkt dat de medewerker in kwestie al een bevlekt verleden heeft of privé-activiteiten uitvoert die hem of haar chantabel maken. Een goed pre-employment onderzoek kan inzicht geven in toekomstig gedrag. Verder is het belangrijk dat recruiters en human resource managers leren signalen en patronen te herkennen waaruit blijkt dat medewerkers op gevoelige functies een beveiligingsrisico kunnen zijn geworden. Voorbeelden zijn er te over! Zoals een directiesecretaresse van een grote onderneming die er een actieve privé-carrière als paaldanseres op na hield, waardoor ze chantabel was. Of de agent die criminelen tipte over lopende onderzoeken, de douanier die door een misdaadorganisatie werd omgekocht om containers met drugs aan controle te laten ontsnappen. Of de beveiliger in vaste dienst bij de Britse Ambassade die ontevreden was en de ambassade in brand stak. In al deze gevallen waren er al signalen, maar werd er niets mee gedaan totdat het kwaad was geschied. Door goed te leren kijken en analyseren, zie je soms zaken die niet kunnen. Zoals een kostbare levensstijl met dure auto’s en sieraden, die niet past bij het functieniveau.”
Ab Verkaik (links) en Robert van der Haas: “Een goede pre-employment screening kan veel ellende voorkomen.”
Ook een ogenschijnlijk voorbeeldig medewerker die altijd klaar staat om vrijwillig over te werken kán volgens Van der Haas een risicofactor zijn. “Fraudeurs verschuilen zich soms achter voorbeeldgedrag om een door hen gefaciliteerd crimineel netwerk in stand te houden. Dit is geen paranoia maar realiteit. Een risicobewuste manager of recruiter kan een onderneming veel leed besparen. Maar ook na de pre-employment screening is blijvende oplettendheid geboden. Immers, iemand die na de eerste screening als betrouwbaar is bestempeld kan (op termijn) ander gedrag gaan vertonen. ESIF leert mensen om de hele keten van hun bedrijf kritisch en risicobewust door te lichten. Van het directiesecretariaat tot en met de catering. Wie werken daar? Wat is hun achtergrond?”
Niet alleen vertrouwen op techniek
De focus op de mensfactor in de beveiligingswereld is een stokpaardje voor Van der Haas. Hij vindt dat overheid en bedrijfsleven voor het beschermen van hun kwetsbare belangen tegen veiligheidsinbreuken nog teveel vertrouwen op techniek en procedures. “Cybersecurity, camera’s, sensoren en toegangsprocedures tot afgeschermde objecten en terreinen zijn belangrijke instrumenten voor beveiliging. Maar ze hebben weinig waarde als de factor menselijk gedrag als kwetsbare schakel onvoldoende wordt meegenomen.
Predictive profiling, als methodiek voor effectieve beheersing van externe beveiligingsrisico’s, vereist vakmanschap. Goed getrainde professionals zijn onmisbaar om signalen te herkennen die afwijken van de norm.”
Ook de HBO beveiligingsopleidingen krijgen meer aandacht voor ‘het nieuwe beveiligen’
Verkaik ziet een kentering in het vakgebied. Security-opleidingen beginnen de beginselen van informatiegestuurd risicomanagement en predictive profiling toe te passen. Maar snel gaat de verandering niet. Verkaik: “Bedrijven en instanties die vooral vertrouwen op techniek en het afvinken van papieren procedures moeten hun organisatie aanpassen en anders gaan denken over beveiliging. Hun medewerkers en managers moeten worden bijgeschoold en getraind. Dat stuit soms op weerstand en het kost tijd. Toch zien we een gestage groei van bedrijven die hun organisatie en werkwijze vernieuwen, omdat ze hun beveiligingsresources effectiever willen benutten. Ook de HBO beveiligingsopleidingen krijgen meer aandacht voor ‘het nieuwe beveiligen’.”
In de haarvaten
Verkaik en Van der Haas voorzien dat er in de beveiligingsopleidingen de komende jaren meer aandacht zal komen voor methodieken die de effectiviteit van het vak verder vergroten. En dat is nodig, want de wereld wordt steeds complexer en individualistischer en bijverschijnselen als terrorisme, criminaliteit en fraude zullen veiligheidsprofessionals intensief blijven bezighouden. Het effectiever voorkomen van criminaliteit en beheersen van dreigingen vereist ook een nauwere samenwerking tussen publieke en private spelers in de veiligheidsketen. Een maatschappij breed veiligheidsnetwerk tot in de haarvaten van de samenleving zou het ultieme doel moeten zijn om de samenleving als geheel veiliger te maken, maar volgens Verkaik zijn Nederlanders op dit gebied nog naïef. “We vinden veiligheid en bescherming allemaal belangrijk, maar we willen er vooral geen last van hebben. Zie de discussie over privacy bij camerabeveiliging of het opsporen van criminelen door analyse van internetverkeer, terwijl anti-diefstal poortjes bij praktisch elke winkel allang geaccepteerd zijn.”
Dit artikel verscheen in Security Management 1/2 2017 over Opleidingen