onderzoek
Security Management Survey 2012/2013
Verdere integratie van risicodisciplines De vorige editie van de Security Management Survey maakte inzichtelijk dat de kloof tussen klassieke beveiliging en ICT-security kleiner was geworden. Deze trend heeft zich het afgelopen jaar doorgezet, inclusief een vervaging van de grenzen tussen security en aanverwante risicodisciplines: de schotten tussen deze disciplines doen er in de securitypraktijk van 2013 steeds minder toe. Dennis De Hoog Ma, Msc & sebastiaan barlagen Msc *
C
OT Instituut voor Veiligheidsen Crisismanagement, an Aon company (COT) en Security Management doen sinds 2010 periodiek onderzoek naar de actuele stand van security management in Nederland. Met dit onderzoek beogen de onderzoekers actuele patronen, trends en ontwikkelingen op het gebied van security management te identificeren. De afgelopen maanden vond er opnieuw uitgebreid surveyonderzoek plaats. Bijna honderd respondenten (N=99) verleenden medewerking. Net als in eerdere jaren is de variëteit onder de populatie deelnemende security professionals groot. Zij zijn werkzaam voor een divers aantal organisaties, verspreid over het bedrijfsleven en de (semi)publieke sector. Bovendien zijn de ondervraagde security professionals afkomstig uit een grote variëteit aan sectoren. Uitkomsten moeten ook in dat licht worden bezien. In dit artikel delen wij de belangrijkste uitkomsten van dit onderzoek. We doen dit tegen de achtergrond van de resultaten van 2010 en 2011.
Profiel security professional Het profiel van de security professional kent weinig veranderingen. Het leeu-
10
wendeel van de ondervraagden is man (95%). Hiermee schommelt het percentage vrouwelijke deelnemers aan het survey. Dit was in 2010 4,1% in 2011 5,7% en in 2012 5%. De gemiddelde leeftijd van de deelnemende security professional is 47 jaar, hij is gemid-
en is security een staf- of beleidsverantwoordelijkheid. Deelnemers geven aan dat zij in de regel beschikken over voldoende personeel om de gestelde security taken en doelstellingen uit te kunnen voeren. De afgelopen jaren bleek security dominant
Security wordt in toenemende mate beleidsmatig benaderd deld hoger opgeleid en heeft een HBO- of universitair diploma. Met gemiddeld meer dan zeventien jaar ervaring in het securityveld, beschikt de security professional over ruime werkervaring. 33,3% van de respondenten werkt voor een (semi)overheid. 66,7% voor een bedrijf.
Invulling functie/plaats in de organisatie Steeds minder deelnemende security professionals hebben security als nevenfunctie (9%). Steeds vaker zijn security professionals volledig voor hun taken vrijgemaakt (‘dedicated’ in 74% van de gevallen). De securityfunctie krijgt overwegend invulling op leidinggevend niveau. In een kwart van de gevallen geldt dit niet,
Security Management nummer 1/2 januari/februari 2013
ondergebracht bij facilitaire zaken. Dit geldt ook in 2012, zij het in mindere mate (34%). Security wordt ten opzichte van eerdere jaren vaker op stafniveau (32%) of bij Operations ondergebracht (20%). De security professional lijkt steeds vaker verantwoordelijk voor andere, aanverwante, risicodisciplines. Zo blijkt dat disciplines als risicomanagement (algemeen), ICT-secrity, safety, crisismanagement vaker onder verantwoordelijkheid van de security manager vallen. Verder wordt er vaker dan voorheen samengewerkt met collega’s van andere risicodisciplines. Dat geldt bijvoorbeeld ook voor Business Continuity Management, Compliance en Arbo/gezondheid.
onderzoek onderzoe
Profiel Security Manager Kenmerken
Commitment Het algemene belang van security neemt niet af. 86% van de ondervraagden geeft namelijk aan dat hun organisatie security belangrijk vindt. Er is dus nog steeds voldoende commitment. In tegenstelling tot eerdere jaren, geldt voor deze editie dat het percentage organisaties waar de eindverantwoordelijkheid voor security helder is belegd, is afgenomen. Waar in 2011 slechts 5% van de deelnemers te kennen gaf dat de eindverantwoordelijkheid niet helder is belegd, zo geldt dit nu voor 12%. Tevens geldt deze editie voor minder organisaties een expliciete verantwoordelijkheid voor security op het niveau van de Raad van Bestuur. Van 20% in 2011 naar 15% in 2012. De eindverantwoordelijkheid is in 42% van de gevallen op directieniveau en in 29% op managementniveau belegd. De ondervraagden zijn overigens wel van mening dat de eindverantwoordelijkheid hoog genoeg is belegd (80%).
Strategie & beleid In tegenstelling tot 2011, toen wet- en regelgeving het meest bepalend was, zijn de algemene organisatiedoelstelling de belangrijkste aanjager voor de richting en invulling van de securitystrategie (73%). De organisatiedoelstellingen worden gevolgd door wet- en regelgeving (68%), risico-analyses (55%) en druk van buiten (21%). Het is veilig om te stellen dat security professionals
2012
Geslacht
Mannelijk (95 %)
Leeftijd
47,4 jaar
Opleidingsniveau
HBO (57,6 %)
Ervaringsjaren
16,6 jaar
Functieniveau
Management (algemeen)
Functie
Herkenbaar als security verantwoordelijke en ‘dedicated’
Taakveld
Primair fysieke & elektronische beveiliging
Plaats in de organisatie
Facility management (34,3%)
Personeel
Voldoende om de gestelde taken (76,8%) / ambitie (67,6%) uit te kunnen voeren
Budget
Dit jaar niet betrouwbaar vast te stellen. Bedroeg in 2011 € 1.800.000
voor strategiebepaling meerdere van deze bronnen benutten. In bijna 85% van de gevallen is er sprake van een uniform securitybeleid. Dit percentage is hoger dan in eerdere jaren. Ditzelfde geldt voor de controle op de uitvoering van beleid. Executie van securitybeleid wordt in bijna 75% van de gevallen actief gecontroleerd. Frappant is ook de toename in het aantal professionals dat aangeeft te beschikken over een security managementsysteem (62%). Hieruit leiden wij af dat security in toenemende mate beleidsmatig wordt benaderd en wordt gemonitord vanuit principes van planning & control.
Budget Helaas is het gemiddelde securitybudget dit jaar niet betrouwbaar vast te stellen. Wij volstaan daarom met het herhalen van wat hierover eerder is vastgesteld. In 2010 bedroeg het gemiddelde budget € 1.800.000,- en in 2011 € 1.880.000,-. Wat wij dit jaar in dit verlengde voor het eerst hebben onderzocht is de budgetverantwoordelijkheid. Hieruit blijkt dat deze vrij hoog in de organisatie is belegd. In meer dan 40% van de gevallen ligt deze verantwoordelijkheid op directieniveau. Opvallend daarbij is dat in 10% van deze gevallen meerdere directeuren beslissen over het securitybudget en de allocatie daarvan. In 26% van de gevallen is de deelnemende security professional hier zélf voor verantwoordelijk. Net als in voor-
bije jaren het geval was, wordt security in 52% van de gevallen beschouwd als investering, niet als kostenpost. Voor 20% van de deelnemers geldt het tegenovergestelde: hun organisatie beziet security als een kostenpost. De overige deelnemers geven te kennen dat de organisatie hier neutraal tegenover staat.
Derden 19% van de ondervraagden geeft aan geen budget te hebben voor derden c.q. om aan derden te besteden. Voor 42% geldt dat tot 20% van het budget aan derden wordt besteed. 14% besteedt tot 40% van het budget, 6% tot 60% van het budget, 10% tot 80% van het budget en in 5% van de gevallen wordt tot 100% van het budget aan derden besteed. Wat kopen organisaties hiervoor in? In de meeste gevallen objectbewaking (66,7%), gevolgd door rechercheonderzoek (26,3%), cameratoezicht (24,2%) en audits (23,2%). 15% van de respondenten geeft aan tevens te investeren in externe ondersteuning op het gebied van ICT-security. Hieruit leiden we af dat derden ook in 2012 een zeer belangrijk onderdeel uitmaken van het instrumentarium van de security manager – zij het met de nodige verschillen.
Security awareness De mate waarin deelnemers het securitybewustzijn van hun organisatie inschatten verschilt weinig ten opzichte
Security Management nummer 1/2 januari/februari 2013
11
»
onderzoek
Securityrisico’s Top 10 securityrisico’s 2010
Top 10 securityrisico’s 2011
Top 10 securityrisico’s 2012
1. 2. 3. 4. 5. 6. 7.
1. 2. 3. 4. 5. 6.
1. 2. 3. 4.
Diefstal Onbevoegde aanwezigheid Ongewenst gedrag Agressie en geweld Fraude Vandalisme Lekken of manipuleren van informatie 8. Ongewenste intimiteiten 9. Hacking + overval (gedeelde negende plaats) 10. Terrorisme
van de resultaten van voorbije jaren. Het grootste aandeel (38%) schat deze ‘neutraal’ in. Een kleine 25% als ‘laag’. Iets meer dan 35% schat het securitybewustzijn in als hoog tot zeer hoog. Ten opzichte van 2011 is het bewustzijn stabiel. Ten opzichte van 2010 is er sprake van een afname. De respondenten is gevraagd om een lijst met securityrisico’s in de juiste prioriteitsvolgorde te zetten. Hieruit is net als in voorgaande jaren een gewogen top 10 van securityrisico’s voor alle deelnemers gedestilleerd. Voor zes van de tien risico’s geldt dat deze eenzelfde plaats innemen als in 2011. De top 3 wordt wederom aangevoerd door ‘Diefstal’, ‘Informatiediefstal’ en ‘Agressie en geweld’. ‘Vandalisme’ daalt ten opzichte van 2011. ‘Lekken of manipuleren van informatie’ stijgt, wat ook geldt voor ‘Hacking’. ‘Bewuste negatieve continuïteitbeïnvloeding’ verdwijnt uit de top 10 en wordt vervangen door nieuwkomer ‘Arbeidsonrust’. Net als voor de securityrisico’s is er tevens een top 10 van meest voorko-
Diefstal Informatiediefstal Agressie en geweld Vandalisme Fraude Lekken of manipuleren van informatie 7. Hacking 8. Bedrijfsspionage 9. Bewust toebrengen van imagoschade 10. Bewuste negatieve continuïteitsbeïnvloeding
mende soorten security incidenten. Hierbij voeren ‘Diefstal’ en ‘Agressie en geweld’ wederom de top 10 aan. ‘Lekken of manipuleren van informatie’ stijgt aanzienlijk. ‘Hacking’ schuift één plaats op naar boven. Uit deze stijging kan afgeleid worden dat dit type incidenten in 2012 gemiddeld vaker is voorgevallen. Datzelfde geldt omgekeerd voor typen incidenten met een dalende trend. Voor vijf
typen incidenten is sprake van een daling. De grootste daler is ‘Bewust toebrengen van imagoschade’. ‘Arbeidsonrust’ is de enige nieuwe binnenkomer in de top 10. Ondervraagden schatten dus niet alleen het risico op ‘Arbeidsonrust’ hoger in. Kennelijk is in hun werkpraktijk een toename van dit type incidenten waarneembaar.
Top 10 security-incidenten 2011
Top 10 security-incidenten 2012
1. 2. 3. 4. 5. 6. 7.
1. Diefstal = 2. Agressie en geweld = 3. Lekken of manipuleren van informatie ↑ 4. Vandalisme ↓ 5. Fraude ↓ 6. Informatiediefstal ↓ 7. Hacking ↑ 8. Arbeidsonrust NIEUW 9. Bewust toebrengen van imagoschade ↓ 10. Ongewenste intimiteiten ↓
12
Schade door security-incidenten is dit jaar als onderwerp aan het survey toegevoegd. Deelnemers kregen enkele vragen voorgelegd over hun beeld bij het aantal schaden en de daarmee gepaard gaande kosten. 28,3 % van de deelnemers gaf aan te weten wat de schade van security-incidenten was, uitgedrukt in euro’s per jaar. Voor de resterende 71,7% geldt dat zij geen feitelijk inzicht hebben in de financiële
Arbeidsonrust is nieuwkomer in de top 10 securityrisico’s
Security-incidenten
Diefstal Agressie en geweld Vandalisme Fraude Informatiediefstal Bewust toebrengen van imagoschade Lekken of manipuleren van informatie 8. Hacking 9. Ongewenste intimiteiten 10. Intimidatie
Diefstal = Informatiediefstal = Agressie en geweld = Lekken of manipuleren van informatie ↑ 5. Fraude = 6. Hacking ↑ 7. Vandalisme ↓ 8. Bedrijfsspionage = 9. Bewust toebrengen imagoschade = 10. Arbeidsonrust NIEUW
Security Management nummer 1/2 januari/februari 2013
impact van security-incidenten. Daarnaast werd deelnemers gevraagd of zij de omvang van de schade wilden inschatten. Meer dan de helft van de ondervraagden deed dit niet. Van de deelnemers die deze informatie wel verstrekten, heeft zo’n 20% naar schatting op jaarbasis minder dan € 25.000,- schade. Nog 16% heeft naar schatting tot maximaal € 100.000,schade. 13% geeft aan op jaarbasis meer dan € 100.000,- schade te lijden.
Registreren, leren, trainen & testen De overgrote meerderheid van de ondervraagden registreert security-incidenten (inclusief ‘bijna-incidenten’). 57% doet dit consequent. 28% registreert wel, maar naar eigen inschatting nog niet consequent genoeg. 11% registreert niet consequent en heeft geen aandacht voor bijna-incidenten. Slechts 4% registreert in het geheel niet. Verreweg de meeste ondervraag-
Als security uw verantwoordelijkheid is, neem dan geen risico. Security Redefined Wanneer het aankomt op security systemen, leveren de meeste gerenommeerde producenten gewoon goed werk. Niet meer en niet minder. Maar als u kiest voor de technologische marktleider in security management, zit u nóg rustiger en veiliger in uw bureaustoel. Nedap’s AEOS maakt security beter beheersbaar door functionaliteiten als toegangscontrole, inbraak en video binnen één applicatie te combineren. Dit maakt security management lonend, rapporteren een plezier en bezoekersmanagement makkelijk. Benieuwd hoe we dat doen? Bezoek www.nedap-securitymanagement.com
10-01-13 13:51:15
20130110 a5 no1 Security Mgt.indd 1
DHM Security inStituut
www.DHM.nl
Vergroot in 2013 uw carrière mogelijkheden en schrijf u in Voor de * Post hbo registeroPleiding dhm security management. sinds 1994 gecertificeerd door de stichting Post hbo nederland.; of * een “dhm bijscholingscursus”, wanneer u meer dan Vijf jaar geleden de dhm cursus met succes Volgde; of * de oPleiding “dhm securityValideur”, indien u de juiste toePassing Van de haagse methodiek (dhm) wil beoordelen en Valideren; of * laat een “dhm imPlementatietraining” Voor uw medewerkers organiseren. Zie de website Voor Verdere informatie.
DHM.indd 1
30-01-13 15:56
onderzoek
Security Management Benchmark 2012/2013 1. 2. 3. 4. 5.
6. 7. 8. 9.
10.
Het securitybewustzijn is hoog, in het bijzonder ook voor cyberrisico’s. Er is management commitment voor security tot op het hoogste niveau. De eindverantwoordelijkheid voor security is op directie of bestuursniveau belegd. De functionele verantwoordelijkheid voor security is belegd bij een volledig vrijgemaakte (‘dedicated’) security verantwoordelijke. De securityverantwoordelijke is verantwoordelijk voor verschillende taakgebieden gericht op het beschermen van de belangen van de organisatie, waaronder: fysieke en elektronische beveiliging, persoonsbeveiliging, incident- en crisismanagement, risicomanagement, brandpreventie en business continuity management. Er is voldoende (ingehuurde) capaciteit om de securitytaken uit te kunnen voeren en securitydoelen te verwezenlijken. Security is ingebed in een managementsysteem en de adequate uitvoering wordt gecontroleerd met behulp van audits en realistische beveiligingstests. De organisatie weet welke impact security-incidenten hebben in termen van schade. Security-incidenten worden consequent geregistreerd en (schriftelijke) geëvalueerd. Evaluatie van incidenten leidt tot aanpassing van het risicoprofiel of veiligheidsmaatregelen. De organisatie wordt gericht getraind en beoefend in het omgaan met en reageren op security dreigingen en incidenten.
den evalueert incidenten schriftelijk. Dit varieert van bijvoorbeeld 22% die 1 tot 20% van de jaarlijks voorgevallen incidenten op schrift evalueert, tot 29% die aangeven 80 tot 100% van de incidenten schriftelijk te evalueren. Voor slechts 8% van de deelnemende professionals geldt dat zij nooit schriftelijk evalueren.
prestaties meer dan een ‘7’. Voor de resterende 30% geldt dat zij hun prestaties een ‘8’ of hoger geven. Het beeld dat ondervraagden hebben bij de ‘volwassenheid’ (‘maturity’) van hun security management is eveneens over-
Bijna 50% geeft bovendien aan op basis van de evaluaties te komen tot een bijstelling van het risicoprofiel en/of de veiligheidsmaatregelen van de organisatie. Ook geeft ruim 70% van de ondervraagden aan met enige regelmaat audits uit te voeren en/of realistische beveiligingstests te verrichten. Een kleine 70% geeft tevens aan de voorbereiding van de organisatie op security incidenten te versterken middels gerichte trainings- en oefenactiviteiten.
Prestaties & volwassenheid Zoals inmiddels gebruikelijk, hebben wij respondenten opnieuw gevraagd om het ‘eigen vlees’ te keuren. Deze keuring leert dat minder dan 10% van de deelnemers de securityprestaties van de eigen organisaties als onvoldoende beoordeelt. Net als afgelopen jaar beoordeelt de overige 90% de prestaties als voldoende. 20% geeft een ‘6’ als rapportcijfer. Ruim 40% geeft de eigen
14
Security Management nummer 1/2 januari/februari 2013
wegend positief. Een kleine 25% schat de volwassenheid in op het niveau ‘beginnend’. Ruim 62% beschouwt het volwassenheidsniveau van de eigen organisaties als gevorderd. 12% schat het eigen niveau in op vergevorderd.
Economische crisis Wij interesseren ons al enige jaren voor de (mogelijke) effecten van de economische crisis voor het vakgebied. Derhalve is respondenten dit jaar gevraagd of zij menen dat het veiligheidsniveau van hun organisatie verslechtert, bijvoorbeeld door bezuinigingen. Meer dan de helft van de respondenten herkent zich hier niet in. Niettemin geeft een grote groep ondervraagden (48%) te kennen dat zij wel een verslechtering zien. Gekoppeld aan de opkomst van ‘Arbeidsonrust’ in zowel de risico als de incidenten top 10, lijkt het aannemelijk dat in 2012 negatieve effecten van de economische crisis voor de security professional merkbaar zijn geworden.
Cybersecurity In reactie op de stelling ‘Cybercrime is de grootste securitydreiging voor mijn organisatie’ gaf 58% aan zich hier niet in te herkennen. Voor de overige 42%
onderzoek
geldt evenwel dat zij cybersecurity voor hun organisatie als belangrijkste dreiging typeren. Er blijkt in de praktijk nauwelijks verschil te bestaan tussen de algemene security awareness en cybersecurity awareness. Het cybersecurity bewustzijn is ongeveer gelijk aan het algemene en wordt zelfs iets hoger ingeschat (hoog tot zeer hoog: 43%). Wel moet hierbij worden opgemerkt dat de security professional de cybersecurity awareness voor ‘neutraal’ typeert.
mark voor security management in Nederland. Omdat we het onderzoek dit jaar voor de derde keer op rij uitvoeren, zijn we in staat om deze benchmark steeds beter te onderbouwen. Uitgangspunt bij het vaststellen van de benchmark is de ‘top 20’. Dit is de verzameling van deelnemende security professionals die de security performance van hun organisatie een 8 of hoger geven (op een schaal van 1 tot 10). Tevens schatten zij het volwassenheids-
Grenzen tussen security en aanverwante risicodisciplines vervagen Waar we in 2010 nog spraken van een ‘waterscheiding’ tussen klassieke security en ICT-security, constateerden wij in 2011 een afname hiervan. Toen bleek de security professional in 20% van de gevallen ook verantwoordelijk voor ICT-security, in tegenstelling tot de 2% in 2010. Op basis van de resultaten van dit survey zien we dat deze trend zich beperkt doorzet tot 22%. Daarnaast zien we dat er door respondenten überhaupt intensiever wordt samengewerkt met ICT. Waar we vorig jaar nog constateerden dat deze samenwerking opvallend genoeg gering was, zien we dat 50% van de respondenten nu actief met ICT samenwerkt. Algemeen durven wij daardoor de stelling aan dat als gevolg van de opkomst en toegenomen bewustwording van cyberrisico’s, de waterscheiding plaats maakt voor een meer geïntegreerd security concept. Eén die ‘klassieke’ fysieke en elektronische security meer en meer verknoopt met security in de digitale wereld.
Benchmark 2012/2013 De afgelopen jaren is een aanzet gedaan voor het vaststellen van dé bench-
niveau van hun security management in als ‘vergevorderd’. Bij het vaststellen van de benchmark is gekeken naar wat de top 20 doet om security management invulling te geven. De benchmark is opgebouwd uit tien thema’s, die samen een kwalitatief hoogwaardig security management tot gevolg hebben.
Tot slot Afgaande op de resultaten van dit derde Security Management Survey wordt duidelijk dat security management in Nederland zich verder professionaliseert. De organisatorische randvoorwaarden voor adequaat security management lijken overwegend op orde. Security heeft een vaste plek op de agenda, geniet management commitment, is gebaseerd op organisatiedoelstellingen en krijgt vorm met behulp van een managementsysteem, voldoende personeel, ondersteuning door derden, et cetera. Tevens wordt duidelijk dat er steeds meer aandacht is voor de kwaliteit van security management. De uitvoering van beleid wordt actief gemonitord, de
Security Management Survey 2012/2013: opvallende resultaten • E r bestaan onder security professionals zorgen over de effecten van de economische crisis. • Cybercrime wordt door meer dan 40% van de ondervraagden als meest voorname dreiging gezien. • Er is nog weinig zicht op de werkelijke impact van security-incidenten in termen van schade. • De integratie van security management en andere disciplines wordt steeds belangrijker.
Disclaimer • D e resultaten zijn afhankelijk van de door de ondervraagden aangeleverde gegevens. • De beleving (‘perceptie’) van ondervraagden staat centraal. • De resultaten zijn primair van toepassing op de groep deelnemende security professionals (n=99). • Voorzichtigheid is geboden bij het generaliseren van de uitkomsten.
effectiviteit van maatregelen getoetst. Verder worden incidenten geregistreerd en geëvalueerd en worden geleerde lessen benut voor optimalisatie. Het meest opvallende resultaat is waarschijnlijk nog dat de grenzen tussen security en aanverwante disciplines lijken te vervagen. Of het nu gaat om integratie van ‘klassieke’ en ‘digitale’ veiligheid, de aansluiting op algemeen risicomanagement of crisismanagement, duidelijk is dat de schotten tussen deze disciplines er in de securitypraktijk steeds minder toe doen. Tegelijkertijd roepen de resultaten van dit jaar ook weer nieuwe vragen op. Verhoudt de professionalisering en optimalisatie van security management zich tot de economische crisis? Kan de security professional investeringen wel onderbouwen of opbrengsten identificeren als er geen goed zicht bestaat op de impact en schade van security incidenten? Maar ook: wordt het oordeel dat de security professional aan het eigen werk verbindt ook breder in de eigen organisatie gedeeld? Wij hopen daarom dat u ook in de toekomst samen met het COT en Security Management wilt blijven zoeken naar antwoorden op deze en andere vragen. « * Dennis de Hoog Ma, Msc en Sebastiaan Barlagen Msc werken voor COT Instituut voor Veiligheids- & Crisismanagement, an Aon company (www.cot.nll). Gezamenlijk zijn zij verantwoordelijk voor de strategische security dienstverlening van het COT. Mail eventuele vragen of suggesties naar aanleiding van dit artikel naar:
[email protected]
Security Management nummer 1/2 januari/februari 2013
15