Beveiliging Binnenskamers
Beveiliging Binnenskamers is een podcast over fysieke beveiliging bij complexe organisaties. Security professionals bespreken de afwegingen achter maatregelen zoals toegangscontrole, cameratoezicht, sleutelbeheer en meldkamers, gesprekken die normaal binnenskamers blijven.
Je hoort praktijkdilemma’s, inzichten en reflecties van professionals uit het veld.
Stap mee naar binnen en luister naar risicoafwegingen en besluitvorming in de wereld van weerbaarheid.
Beveiliging Binnenskamers
#7 De kracht van de risicoanalyse
Use Left/Right to seek, Home/End to jump to start or end. Hold shift to jump forward or backward.
Wat als “goed beveiligd” minder gaat over hippe beveiligingssystemen en meer over de juiste keuzes? We nemen je mee van het vervangen van een cilinder thuis tot het beschermen van een rioolwaterzuivering, en laten zien waarom scenario’s, impactschalen en risicobereidheid het verschil maken tussen schijnzekerheid en echte weerbaarheid. Met voorbeelden uit waterschappen ontrafelen we de keten: procesautomatisering, energievoorziening, toegang tot laagspanningsruimtes en de menselijke factor. We tonen hoe veiligheid en beveiliging elkaar raken, hoe een open hek soms acceptabel is, en waarom één zeldzaam, maar catastrofaal scenario soms de lat bepaalt.
Samen met proceseigenaren breng je afhankelijkheden in kaart en vertaal je dreigingen naar concrete maatregelen die passen bij jouw organisatie. Denk aan het onderscheid tussen voorkomen en achteraf terugkijken, aan insider risico’s rond aannemers of schoonmaak, en aan imagoschade die groot kan zijn ondanks dat er geen processen stil vallen. Door vooraf drempels te zetten voor de risicobereidheid in geld, letsel, milieu en imago, krijgt elk budget een duidelijke context en wordt de vraag “is dit niet te duur?” eindelijk eerlijk beantwoord.
We ronden af met een praktische aanpak: begin met een nulmeting, kies een werkbaar tijdspad van maanden, en stel periodiek bij. Context verandert, wetgeving zoals de wet weerbaarheid kritieke entiteiten komt eraan, en jouw risico’s verschuiven mee. Wil je verder meedenken of zit je met een lastig beveiligingsvraagstuk? Abonneer je, laat een review achter en mail ons op podcast@beveiligingbinnenskamers.nl met je vraag. Welke keuze maak jij morgen om je fysieke weerbaarheid echt te versterken?
Stap mee naar binnen en luister naar risicoafwegingen en besluitvorming in de wereld van fysieke weerbaarheid.
Hey Ruben. Hey Milan.
SPEAKER_01:Ruben, jij woont in Amstelveen, hè? Ja, klopt. Dat is een buurt waar Amstelveen dicht tegen Amsterdam aan hè? Klopt. Er gebeurt best wel wat. Althans, als ik zo af en toe het nieuws is voorbij zie komen, dan zet jij daar best wel dicht tegenaan. Dus ik was wel benieuwd, heb jij bijvoorbeeld je eigen huis dan ook zwaar beveiligd, omdat je in die buurt woont?
SPEAKER_02:Zwaar beveiligd. Het is natuurlijk relatief. Maar ja, ik heb natuurlijk gewoon beveiligingsmaatregelen. Maar toen ik er, hoe lang woon ik er? Vijftien jaar, zo'n beetje. Vijftien jaar geleden kwam wonen, toen heb ik wel even gekeken naar de technische bouwkundige staat en naar het hange en sluitwerk en dat soort dingen. Maar ook bijvoorbeeld de sleutels en cilinders. Het huis stond er al 60 jaar, zo'n beetje. Ik weet niet wie het er allemaal nog meer een sleutel hebben in die voorgaande tijd. Dus dat was voor mij een aanleiding om het te vervangen. Plus, inmiddels zijn die weerstandsklasses en zo. Ja, dat weet ik dan toevallig allemaal. Maar die zijn natuurlijk helemaal veranderd. Dus voor mij stond het wel als een paal boven water dat we eventjes wat moesten doen daaraan. Maar ik heb bijvoorbeeld geen camera's of inbraakalarm of zo.
SPEAKER_01:Je hebt je sloten allemaal vervangen.
SPEAKER_02:Ja, de bouwkundige beveiliging in de sloten. Dat heb ik allemaal gedaan.
SPEAKER_01:En als je dat kwalitatief een beetje wil doen, dan klinkt dat al vrij snel. Het zal wel iets kosten, denk ik.
SPEAKER_02:Dat is niet goedkoop. Er zit je wel, ja, het moet ook gemonteerd worden. Een paar honderd euro ben je wel verder.
SPEAKER_01:Ja, dan is het huishoudje wel leeg.
SPEAKER_02:Ja, dus thuis is dat wel een gesprekje dan even. En hoe nemen ze dan of vindt iedereen dat dit ook moet? Nou ja, mijn kinderen waren 15 jaar geleden nog klein, maar mijn vrouw die heeft wel zoiets van dat is een hoop geld. Is dat allemaal wel nodig? Is dat jouw hobby, omdat het je werk is, weet je wel. En als je het er dan over gaat hebben, van ja, je wilt toch niet ochtends wakker worden, dat de heleboel overhoop is. Of je wil een goed gevoel bij hebben en wat dingetjes uitsluiten. En liever dat ze niet bij mij, maar bij de buren inbreken.
SPEAKER_01:Ja, dus die afweging heb je wel samengemaakt. Afwegingen, daar gaan we het vandaag over hebben.
SPEAKER_02:Ja, zeker. Gaan we doen. Beveiliging Binnenskamers is een podcast over fysieke beveiliging bij complexe organisaties. Security professionals bespreken de afwegingen achter de maatregelen, zoals toegangscontrole, cameratoezicht, sleutelbeheer en meldkamers, gesprekken die normaal binnenkamers blijven. Je hoort praktijkdilemma's, inzichten en reflecties van professionals uit het veld. Stap mee naar binnen en luister naar risicoafwegingen en besluitvorming in de wereld van fysieke weerbaarheid.
SPEAKER_00:Mijn naam is Joris en ik ben vandaag host van de podcast. In de studio aangeschoven, Milan en Ruben. Welkom Security Professionals bij Security Risk Watch. Hallo, hallo, jullie hebben grote organisaties, ziekenhuizen, overheden, eventorganisaties met een betere beveiliging. Ja, mijn vraag is dan simpel: wanneer is iets nou goed beveiligd?
SPEAKER_01:Ja, wanneer is iets nou goed beveiligd? Het is eigenlijk wel iets subjectiefs.
SPEAKER_02:Ja, dat is goed. Wat voor de een goed kan zijn, dat is voor de ander wat minder goed. En om even door te gaan op het voorbeeld waar we het net over hadden. Ja, ik wilde mijn hangen en sluitwerken en mijn cilinders vervangen. Maar bij mijn buurman kan ik zien, daar zit nog steeds die van 60 jaar geleden in dat slot. Maar die wel camera's hangen. Dus ja, die heeft een andere afweging gemaakt, andere keuzes.
SPEAKER_01:Maar die denkt ook dat die inbreker weert.
SPEAKER_02:Ik weet niet wat hij denkt, maar hij heeft natuurlijk hetzelfde doel. Er is niemand die wil dat er bij hem ingebroken wordt. Dus ja, hij zal hetzelfde idee hebben daarvan. Van ik moet daar wat tegen doen. En ja, tegenwoordig kan je natuurlijk relatief goedkoop van die huisstijn keuken dingen die je op je smartphone kan zien. Dus dat is meteen veel seksier en veel leuker dan dat slot met die sleutel, die misschien even duur is. Maar ja, ik heb daar een ander doel bij. Ik denk van ja, ik wil liever voorkomen dat iemand mijn huis inkomt met een goed slot. Dan dat ik achteraf kan misschien een beetje kan zien wat er gebeurd is. Terwijl het al gebeurd is. Dus ik heb een andere afweging gemaakt.
SPEAKER_01:Dus je buurman heeft hetzelfde doel, maar alleen door de vakidioterie die jij natuurlijk hebt, weet je dat het slot uiteindelijk een ander doel heeft en iets anders bereikt dan die camera die daar hangt. Ja, dus het einddoel is misschien hetzelfde.
SPEAKER_02:Alleen je moet misschien even iets dieper kijken.
SPEAKER_00:Ja, sorry dat ik al een beetje, maar ik zit al te denken van hoe pak je dat eraan.
SPEAKER_02:Precies, dus je moet eigenlijk goed gaan kijken van ja, wat zijn nou eigenlijk de scenario's.
SPEAKER_01:Ja, dus je wilt. Jij zet niet voor niks een slot op je deur. Je hebt er met jouw familie over nagedacht. Wij belangrijk vindt in huis. Dus je hebt spullen in huis liggen die misschien een bepaalde waarde vertegenwoordigen, in geld of emotioneel. Maar je wil misschien ook niet dat er in de avond iemand binnenkomt en je kinderen in een huis zitten waar ze zich niet veilig in voelen. Dus ja, die stap die je moet nemen om daar wat dieper op in te duiken, hoe je dat aanpakt, is dat je er eigenlijk eerst over na moet denken. Wat vind ik belangrijk? En waar gaat het bij mij om? Wat wil ik graag beschermen? Waar tref ik uiteindelijk die maatregelen voor? En Ruben, als je weet dat je bijvoorbeeld thuis allerlei dure spullen hebt liggen, hoe zou je dan tot afweging kunnen komen uiteindelijk welke maatregelen moet treffen?
SPEAKER_02:Nou, ik denk dat je goed moet nadenken wat er kan gebeuren. Dus inbraak is er eentje van. Maar je kan ook nadenken over een zomerse dag. Het zijn niet alleen maar sloten op deuren. Deuren en ramen moeten ook dicht zijn. Het kan ook zijn dat de buurman een stijger opbouwt, waardoor ze via je dakkenpel een keertje naar binnen komen. Dus ja je moet een beetje kijken naar het scenario, naar je te beschermen belangen. Wat heb je allemaal en waartegen wil je dat jezelf beschermen. En hoe zou dat dan. Wat voor gebeurtenissen zouden kunnen voorvallen die dan die te beschermen belangen benadelen?
SPEAKER_01:Ja en ook tegen wie denk ik hè? Want dat is misschien in in je particulier wat minder relevant als je het hebt over een inbrek. Maar als je dat vertaalt naar bedrijven en dan moeten zij erover nadenken. Wat de motivatie van iemand is om iets te willen bereiken. En dat bepaalt de mate van weerstand die je zo iemand moet kunnen bieden. Dus ja, de combinatie van wat vind ik belangrijk, wat zijn me te beschermen belangen, waar zijn die allemaal kwetsbaar? Via de deur waar je binnenkomt, via de dakkapel, dat zijn allemaal plekken waar je aan moet denken, waar je in de toekomst maatregelen moet treffen. En wie eventueel over zou willen gaan tot het plegen van zo'n incident. En als je dat bij elkaar samenvoegt, dan heb je een soort scenario. En dat scenario geeft jou een beeld van wat kan er allemaal gebeuren.
SPEAKER_02:Ja, toch nog even toevoegend, die insider thread die natuurlijk wel steeds vaker ook op het netvlies staat van een bedrijf, maar die heb je thuis ook. Want er komt wel zo'n klusjesman, of misschien heb je een vaste schoonmaak. En niet dat die niet te vertrouwen is. Maar ja, als er een envelop met geld ligt, wat doe je als er kinderen. Ik heb kinderen als ze vriendjes of vriendinnetjes komen en je hebt een schoonmaak zijn en dan mist opeens 50 euro uit de envelopje waar het huishoudgeld in zit. Dus dan kun je ook over nadenken. Ja, misschien moeten we dat niet zomaar voor het grijpen leggen, maar een beetje, nou doen de meeste mensen dat wel. Maar dat geldt dus in privé, maar dat geldt voor je organisatie ook. Je moet er iets dieper op in om tot de kern te komen van ja, waar ben ik nou kwetsbaar? En hoe kan ik dat nou oplossen?
SPEAKER_00:Het komt op neer dat je dus kijkt van wat heb je allemaal te beschermen? En ook met wie heb je te maken, inside, outside, allebei. Dus die twee dingen bepalen welke maatregelen die gaat nemen, dat zijn de twee factoren.
SPEAKER_01:Ja, als je zeg maar terug gaat naar de handvraag in het begin. Fysieke beveiliging, subjectief, wanneer is iets goed beveiligt, voordat je toch überhaupt maar tot die conclusie kunt komen, zul je eerst moeten nadenken wat kan allemaal in mijn huis, in mijn organisatie gebeuren. En dat noemen we dan scenario's, korte verhaaltjes waarin je dat met elkaar uiteenzet.
SPEAKER_02:Ja, jij zet hem lekker strak neernet, Joris. Maar het is natuurlijk meer dan alleen insider, uitzider en wat er kan gebeuren. Je hebt natuurlijk ook als je kijkt naar het wat grotere plaatje, je hebt statelijke actoren, wet, weerbaar, kritieke entiteiten, je speelt daarop in. Je hebt banders, je hebt oplichters. Er zijn allerlei groepen die misschien iets kwaads in de zin hebben. En ja, daar moet je een beetje een inzicht in verkrijgen zodat je ja beter inzichtelijk krijgt waar je wat tegen zou kunnen gaan doen uiteindelijk.
SPEAKER_01:En dat betekent dus niet automatisch dat je tegen alles wat moet doen, toch?
SPEAKER_02:Nee, dat is weer een ander punt. Want je kan het wel allemaal inzichtelijk maken. Maar hoe ver wil je gaan? In de zin van wat vind je acceptabel en wat vind je niet acceptabel. Ik heb zelf bijvoorbeeld een voortuin en daar staan een paar plantenbakken in. Ja, die kan je zo oppakken en meenemen. Vind ik dat erg? Nou, ik heb liever dat het er gezellig uitziet. Dan dat ik mijn tuin helemaal bestraat, zodat er niks gestolen kan worden. Een grote schutting ervoor waardoor je je uitzichten kwijt bent. Ja, dus je maakt een afweging in van ja, wat is de kans dat het gebeurt. En wat zijn dan de gevolgen als dat dan iemand blij is met die plant? Dan kopen wij maar een nieuw.
SPEAKER_00:Dus het hangt ook af van de waarde van die, in dit geval, plantbakken, dus de waarde van de bezittingen.
SPEAKER_02:En dus het hangt af van de kans waarop het gebeurt. Dus hoe waarschijnlijk is het? Het hangt af van de waarde die iets heeft. En als je dat weet, dan moet je nog gaan kijken: in hoeverre ben ik bereid dus dat risico te nemen. En ja, dat noemen we eigenlijk risicobereidheid.
SPEAKER_00:Ja, dan roep bij mij de vraag: wat is dat dan risicobereidheid? Dat klinkt als jargon, ik kan me ook iets bij voorstellen, maar kun je er iets meer over vertellen?
SPEAKER_01:Ja, daar kunnen we wel iets meer over vertellen. Ja, ja we noemden het net al even. De eerste stap die je daarin als organisatie gaat nemen, is dat je gaat kijken van wat vind ik belangrijk binnen mijn organisatie? En dat kunnen bedrijfsmiddelen zijn. Dat kunnen je mensen zijn. Dat zijn veelal ook de processen die binnen een organisatie plaatsvinden. En je moet met elkaar gaan kijken van wat kan er binnen die processen gebeuren, waardoor die processen misschien stilkomen te vallen. En daarin met elkaar een afweging maken. Hoe groot is de kans dat iets gebeurt. En als ik weet hoe groot de kans is dat iets gebeurt, dan moet ik ook nadenken over de impact.
SPEAKER_02:Ja, de impact die het heeft, bepaalt natuurlijk ook weer. Want uiteindelijk ga je maatregelen willen treffen en die maatregelen zijn ook niet gratis. Dus die twee hangen met elkaar samen. Als je niet weet wat de impact van iets is, dan wordt dingen al snel als duur ervaren als je de maatregelen moet gaan treffen. Dus ja, je moet die twee dingen met elkaar afwegen.
SPEAKER_00:Ik volg jullie goed. Tegelijkertijd denk ik van ja, oké, maar hoe maak je het nou concreet? Kun je het handen en voeten geven? Als ik morgen wil starten, wat ga ik dan doen?
SPEAKER_02:Als je morgen wil starten, dan ga ik zo meteen vertellen wat je gaat doen.
SPEAKER_01:En dat is nu alweer. Het is best moeilijk te begrijpen als we dit hoog over benoemen. Dus misschien kunnen we eens proberen zaken te concretiseren. Ruben, jij draait al wat langer mee sowieso in dit werkveld, maar je hebt al aardig wat ervaring op gedaan bij bijvoorbeeld waterschappen. Zou je eens een voorbeeld kunnen noemen van hoe je komt tot dit soort scenario's, hoe je komt tot een risicoafweging, om uiteindelijk wel of niet te besluiten om maatregel te nemen.
SPEAKER_02:Dus het startpunt ook voor jou, Joris, is eigenlijk dat je een beetje moet begrijpen wat voor organisatie zijn wij nou eigenlijk. Dus jij geeft nu een waterschap aan. Maar dat geldt eigenlijk voor elk ander bedrijf. Een bedrijf heeft een bepaalde opdracht, een bepaald doel. En dat doel wordt ingevuld met bepaalde bedrijfsprocessen. En die bedrijfsprocessen maken weer gebruik van bedrijfsmiddelen. Zeg maar om die processen in te vullen. Als je dan kijkt naar een waterschap, dan is dat een industriële locatie. Dus het is een locatie waar allemaal pompen en allemaal bewegende delen, bassins met water en etcetera. vijzels en noem maar op. En in toenemende mate zijn die zeg maar geautomatiseerd. En dat noemen we dan in het vakje gewoon procesautomatisering. Dus je hebt kantoorautomatisering, dus je printer en je computer. En je hebt procesautomatisering, dat stuurt, pompen, stuwen, gemaalen en dat soort dingen allemaal.
SPEAKER_01:Maar noemen ze voorbeeld bij een waterschap waar procesautomatisering dan voor gebruikt wordt?
SPEAKER_02:Waterschap doet bijvoorbeeld aan rioolwaterzuivering. Dus als jij de wc doortrekt, gaat het via de gemeenteleiding uiteindelijk naar een verzamelpunt. En dat verzamelpunt is van een waterschap. Daar pompen zij door naar rioolwaterzuivering. Dus al die leidingen komen op één punt samen. En daar staan grote bassins. En zo'n rioolwaterzuivering, dat maakt dus gebruik van procesautomatisering. En die procesautomatisering wordt weer aangestuurd door energie. Dus dat heeft ook laagspanningsruimtes. Dus stroomkasten, om het zomaar te zeggen. En dat zijn processen die nodig zijn om uiteindelijk, zodat jij als jij de wc doortrekt, dat niet de shit in de straten stroomt, maar dat het netjes wordt afgevoerd, gezuiverd en weer terug in het oppervlaktewater.
SPEAKER_00:Ik wilde net al vragen van waar is het thema veiligheid, maar dat is dus hier het feit dat het wel goed gebeurt, eigenlijk, simpelweg.
SPEAKER_02:Ja, dat het goed gebeurt, dat je niet gezondheidsproblemen in je buurt of in je wijk of in je stad krijgt, dat er geen milieudelecten plaatsvinden. Doordat verontreiniging van grond plaatsvindt. En dat gewoon het proces loopt zoals het bedoeld is.
SPEAKER_01:Maar hoe kom je dan uiteindelijk tot die scenario's waar we het over hadden? Want je benoemt nu welke processen er plaats kunnen vinden binnen de waterschap. Je haalt rioolzuivering daar als voorbeeld uit. Maar hoe kom je nou tot het inzicht wat er kan gebeuren?
SPEAKER_02:Nou, precies. Dus je hebt bij een waterschap noem je dat een teamleider die verantwoordelijk is voor rioolwaterzuiveringen. En die weet dit weet ik van hem, zeg maar, van dit soort mensen. En die vertellen mij van, nou, je hebt dus nog een andere teamleider, die gaat over procesautomatisering. Je hebt nog een teamleider die gaat over laagspanning. En die moet ik dan ook gaan spreken om te kijken hoe werkt het voor jullie. Hoe kunnen jullie processen verstoord raken? En daardoor krijg ik een inzicht steeds beter, steeds meer, in hoe alles werkt en waar het dus kwetsbaar is. Dus als ik tegen hun zeg, willen jullie dat we allemaal goed beveilig zijn, zeggen ze allemaal, ja, maar wat betekent dat nou precies? Net zoals met die buurman. Ga nou eens even iets dieper kijken naar wat wil je nou precies bereiken.
SPEAKER_01:Oké, dus je hoort van die teamleider Riel, zuivering, dat hij zelf misschien te maken heeft met allerlei potentiële risico's die kunnen plaatsvinden, waardoor zijn proces stilkomt te liggen. Maar hij heeft ook bepaalde afhankelijkheden van procesautomatisering, hoor ik je net zeggen, en laagstrapaningsruimtes in de zin van stroomvoorziening. Dan ga je ook naar die mensen toe om daar weer een gesprekje mee aan te knopen.
SPEAKER_02:Exact. En ook daar ga ik wat ik net al aangaf, ga ik kijken van hoe waar liggen jullie afhankelijkheden, kwetsbaarheden. En vaak, wij zitten in. Er kan veel meer gebeuren, wij zitten in het domein van fysieke beveiliging. En er kunnen ook veiligheidsissues ontstaan. Dus als je kijkt naar zo'n laagspanningsruimte. Als jij of ik daar naar binnen loopt en je raakt het verkeerde dingen aan. Want het is niet alles is open, maar het kan open zijn, dan kun je gewoon een doodsklap krijgen. Dus dat is niet zozeer een beveiligingsincident, maar wel een veiligheidsincident. En daar is ook wetgeving voor. Dus zij moeten ervoor zorgen dat alleen mensen die een diplomaatje hebben en goedgekeurd zijn op een bepaald locatie een tijdstip naar binnen mogen. Ja, en dat doe je met dezelfde maatregelen als waarvoor je zorgen dat een onbevoegde niet, een ander onbevoegde, een kwaadwillende, niet naar binnen komt.
SPEAKER_00:Ja, leuk dat je zegt. Ik zat net al te denk, die plantenbak in jouw tuin is duidelijk een buiten en een dade, maar het gaat breder. Dus het gaat ook om terwijl er niemand kwaad in de zin heeft, dat er toch dus veiligheidsissues zijn.
SPEAKER_02:Nou, dat klopt. En je moet dus een bepaalde kennis en kun hebben om daar te mogen zijn. Maar je hebt ook in de kwaad zin heb je ook risico's. Als je naar zo'n procesautomatiseringsruimte, dat is op één locatie van één zo'n zuivering, maar er zitten tientallen van die zuiveringen in Nederland. En veel van die dingen zijn met elkaar verbonden. Dus als jij daar op dat netwerk aan inprikken, dan kan je wel eens hele andere vervelende dingen gaan doen of op veel grotere schaal. Dus dat heeft niet zozeer met diepe specifieke ruimte te maken, maar wel met het hele ICT-risico wat daar omheen zit.
SPEAKER_01:En wie kan jou dan iets vertellen over als zo'n zoiets gebeurt? Iemand krijgt een doodklappen in die laagspanningsruimte en dat proces daar komt stil te liggen. Wat kan er gebeuren? Hoe weet je nou, hoe moet je dat nou inschalen? Wat zou er nou kunnen gebeuren als zoiets gebeurt?
SPEAKER_02:Nou ja, dus je moet eigenlijk vooraf gaan vaststellen van een bepaalde schaal van ernst op verschillende componenten. Dus je hebt een schaal op ernst van geld aan schade. Je hebt een schaal op ernst van letsel. Dus heb je een bloedende vinger tot aan je overlijd. En je hebt de schaal van geld bijvoorbeeld van duizend euro tot 10 miljoen. En zo heb je op allerlei componenten een aantal sets met schalen. En als dat aan een bepaalde score is of dan maak je een indeling in die schalen van dit vind ik acceptabel. Die plantenbak. In de voortuin. En dit vind ik niet meer acceptabel. Los van de feitelijke voorbeelden, ga je vooraf vaststellen, hier trek ik de grens, hier moeten we wat aan gaan doen en dit laten we gaan.
SPEAKER_00:Dat snap ik. En dan komt daar iets uit, dan rotter je het uit van nou ja, hier moet je aandacht aan besteden. Maar hoe weeg je nou die diverse onderdelen? Dat lijkt me best wel lastig. Dat klopt, dat is ook lastig.
SPEAKER_02:Ook omdat je met die verschillende personen spreekt. En iedereen zegt mijn proces is het belangrijkste. Want wat wij doen, dat is echt daar kan een organisatie niet zonder. Dus door dat ook met elkaar te doen en daar te concretiseren, moeten zij zelf uitspraken gaan doen. Maar als ik dan ga doorvragen, om hoeveel schade gaat het dan? Of wat voor letsel kan dat dan gebeuren? Dan zeggen ze, ja, je kan wel je been breken. Oké, dat is minder erg dan dat je doodgaat.
SPEAKER_00:Dus je hebt het over financiële schade of fysieke schade. Zijn dan meer zo'n factoren?
SPEAKER_01:Ik kan me ook voorstellen dat als zo'n rioolzuivering stil komt te liggen, dat dat best wel impact heeft. Er komt natuurlijk van alles zo'n zuivering op en er moet van alles weer af.
SPEAKER_02:Milieuschade is een ding, maar ook in magoschade. Dus het feit dat als ik helemaal niks doe. Dus ik loop daar naar binnen, Joris, jij bent mysterycas. Als ik jou daar naar binnen stuur, dan kom je waarschijnlijk binnen. En maar als jij dus een foto's gaat maken en dat op internet plaatst. dan is er niks gebeurd. Dat hele zuiveringsproces dat loopt gewoon. Alleen die imagelschade kan gigantisch zijn. Want hoe kan het dat jij daar zomaar naar binnen loopt? Want dat willen we niet hebben. En dat hele kader waar we het nu over hebben, van dingen die er zouden, dus een soort kolommen van dit zouden kunnen gebeuren en wat is de mate de ernst daarin, dat moet je goed vastleggen met elkaar. En dat is dan vervolgens het speelveld met wie je al die gesprekken aangaat.
SPEAKER_00:Vanuit je ervaring, wat geef dan vaak de doorslag? Dat lijkt me nog een beetje lastige. Je hebt het op tafel liggen, maar ja, hoe ga je nou bepalen wat nou uiteindelijk.
SPEAKER_02:Uiteindelijk bepaal ik dat niet. Dus die risicobereidheid, dat is iets wat heel lastig is, maar wat degene die eindverantwoordelijk is voor de risico's moet bepalen. Want als ik dat zelf ben, zoals thuis. Ja het gaat me geld kosten om een kans en een impact te beperken. Maar ja, je kan het zoals met buurman, je kan het niet doen, niet sloten vervangen. Wie kan het wel doen? Wie is er gelijk? Ja, dat weet je pas achteraf als er ingebroken is of niet. En misschien wordt er om andere redenen helemaal nooit ingebroken, dan zullen er nooit achter komen. Dus het is wat we al in het begin zeiden, het is subjectief. Het gaat erom dat je een soort, in het Engels zo'n educated guessing, dat je een beetje iets dieper dan de bovenlaag een stukje dieper gaat kijken en dan met z'n allen een aanname doet. En die aanname is ook nog eens plaatsgebonden, want het ene, Amstelveen, is niet Hengelo, waar Miranda aan woont. Het zit wel een waterzuivering. Het zit overal wel zo'n beetje. Zo ver lopen jullie daar ook weer niet achter hoor in Engelopen. Dus het hangt geografisch vanaf, maar ook in de tijd. Dus iets wat nu niet zo vaak voor kan komen, dat komt er over vijf jaar wel voor. Dus dat zijn allemaal aspecten die.
SPEAKER_01:Sommige incidenten hoeven we natuurlijk maar één keer voor te komen, waarvan je op de voorhand al kan zeggen dat we dat niet acceptabel vinden. Als daar in die zuivering iets gebeurt. En ik weet niet of het mogelijk is, want ik ben geen kenner, maar het poep staat bij ons in de straten. Ja, dat is maar een incident wat we één keer mee hoeven maken. En als we dat communiceren op de mensen die het moeten besluiten over of we dit acceptabel vinden of niet, dat we met z'n allen common sense maken en zeggen van dit vinden we niet acceptabel. Dus daar gaan we maatregelen op treffen. Maar ik was wel even benieuwd wat dit zijn voorbeelden. Iemand die komt in een lage spanningsruimte en die krijgt een doodschok, zo'n proces komt stil te liggen. Poep staat in de straten. Maar zijn er ook voorbeelden te benoemen waarvan we een risico wel acceptabel vinden?
SPEAKER_02:Ja, die zijn er zeker. Je hebt bijvoorbeeld vaak een hek om zo'n locatie heen staan, maar ook in sommige gevallen heb je binnen zo'n locatie ook nog verschillende zoneringen. Je hebt soms meerdere hekken, meerdere gebouwen, met ook in meerdere lagen. En zo heb je bijvoorbeeld locaties waar ook burgers komen. Of waar een kantoorgebouwtje is, waar dus niet per se contractanten. We hebben zelfs een educatieruimte. Daar komen klassen. Komen even kijken. Hoe werkt dat op zo'n locatie. En die worden dan onder begeleiding worden die een paar dingetjes laten zien waar het allemaal geen kwaad kan. Maar om daar te kunnen komen, moeten ze terrein opkomen. Dus op zo'n dag zetten we soms gewoon soms het hek de hele dag opengezet. Want er komen ouders met kinderen en leerkrachten en noem maar op. Om te voorkomen dat je de hele tijd die poort open dicht moet doen. En dat risico dat daar ook nog eens per ongeluk een niet-gast naar binnen rijdt. Ik zag dat toevallig laatst. Een buitenlands kenteken met een fietsendrager achterop, die rijdt naar binnen en binnen één minuut reist het weer af. Maar ja, dat accepteren we dan. Want ja, er zijn nog voldoende schillen daarna om te voorkomen.
SPEAKER_01:Ja, als je op die locatie bent, dan ben je nog niet bij die laagspanningsruimte. En daartussenin zitten nog allerlei vormen van maatregelen.
SPEAKER_02:Precies. Dus zo'n locatie is niet één ding. Je kan niet zeggen, dit moet helemaal top beveiligd zijn. Je hebt daar verschillende gebieden en zones en ruimtes in. En dan moet je dus met die eigenaren van al die gebieden, ruimtes en processen goed naar kijken.
SPEAKER_00:Andere vraag. Hoe lang duurt zoiets? Is het kwestie van weken, maanden of misschien wel jaren, afhankelijk van misschien de grootte en de belangrijkheid van de instelling.
SPEAKER_02:Ja, ook hiervoor geldt weer, je kan er net zoveel tijd en energie in stoppen als je wil. En je wil altijd je werk goed doen. Maar eigenlijk kun je je nooit achterhalen wat het nou exact is. Dus je moet ook beter om gewoon een tijd te stellen. Hierin gaan we het doen. En vervolgens, je moet het toch periodiek weer bijstellen. Je moet er steeds weer thermometer in houden in de organisatie. En de eerste keer is het zwaarste, het moeilijkste, het intercies. Maar een tweede jaar, derde jaar, vierde jaar wordt het voor iedereen steeds makkelijker. Dus in plaats van dat je het perfecte nastreven, kan je beter zorgen dat het een beetje snel af is. Maanden misschien, in een paar maanden tijd. Met een nulmeting. En dan vervolgens up-to-date houden. Dat is denk ik.
SPEAKER_01:Ja, ik denk het belangrijkste is ook wel dat we de stap nemen om deze exercitie te gaan doen. Dus dat we met elkaar zeggen dat we gaan proberen risico's inzichtelijk te maken. En voorheen was dat natuurlijk vanuit veel organisaties een intrinsieke motivatie om dit te doen. Recentelijk in het tweede kwartaal 26 komt daar een nieuw stukje wetgeving op. Volgens mij weet jij net al even vallen, die wetweerbaarheid kritiek entiteiten. Die dwingt organisaties om aan de fysieke weerbaarheidskant na te denken over welke processen heb ik nou binnen mijn organisatie. Vanuit Brussel of Nouja, dat komt vanuit de Europese Commissie in de CR-Directive. En die is in Nederland vertaal naar de wetweerbaarheid kritiek entiteiten. En die dwingt of kritieke organisaties zoals bijvoorbeeld een waterschap of ziekhuizen. Om hier actief over na te denken. Om inzichtelijk te maken wat zijn we te beschermen processen en welke maatregelen heb ik al geïmplementeerd en in hoeverre loop ik nog risico's.
SPEAKER_02:Dus misschien hebben we het nog niet zo expliciet genoemd. Het staat wel in de titel. Maar wat we net helemaal een beetje doorgelopen hebben samen met de luisteraar, is natuurlijk het uitvoeren van een risicoanalyse. We maken deze podcast om kennis met je te delen over onze praktijkervaringen. Maar de praktijk, dat ben jij. En misschien sta je in jouw organisatie wel voor een lastig beveiligingsvraagstuk. Of heb je een vraag over hoe iets in de praktijk werkt en wil je weten hoe je dit kan aanpakken, mail ons dan op podcast.beveiligingbinnenskamers.nl. Je krijgt altijd persoonlijk antwoord van ons. En misschien behandelen we jouw vraag wel in een nieuwe aflevering.
SPEAKER_00:Ruben, kun je nog samenvatten wat nou eigenlijk de aandachtspunten zijn in het kort.
SPEAKER_02:Ja, aandachtspunten zijn er zeker. We hebben getracht. Het is een exercitie, je vroeg net het na van hoe lang duurt dit. Wij proberen nu in een krap en een half uurtje daar wat inzichten over te geven. Ik zal ook de laatste zijn die zegt dat dit deze uitleg compleet is. Maar ik hoop dat het een beetje toegankelijk is. Maar wat een aandachtspunt is, is dat je het goed moet voorbereiden voordat je de boer op gaat met alle betrokken stakeholders. En goed, ik stap daar nu meteen even overheen. Maar wat heel belangrijk is, is dat je het samen doet. En het heeft meerdere redenen waarom dat belangrijk is. En samen bedoel ik niet van Joris, zullen we het even samen doen. Maar samen met al die stakeholders en misschien nog wel iets meer stakeholders dan de meest voor de hand liggende. Want uiteindelijk hebben we geld nodig. Uiteindelijk gaan we dingen veranderen in de organisatie en hebben we ook die mens nodig. En uiteindelijk weet ik alleen maar wat ik weet. Dus als ik risicobeoordeling ga doen, dan doe ik dat met de beperkte kennis die ik heb van hun processen. Nou, dat is niet een goed uitgangspunt. Dus dat echt, dat is moeilijk en onvoorspelbaar en vertragend. Maar samen met die risico-eigenaren, met die proces-eigenaren, om te gaan kijken van hoe werken jullie eigenlijk? Wat doen jullie eigenlijk, waar zitten jullie zorgen? Dat allemaal te bundelen en daarna gezamenlijk steeds maar weer samen terugkoppeling, samen op doorgaan. Daarmee creëer je dus draagvlak voor wat er nog gaat komen. Want we hadden het net even over, Joris, maar heel vaak als je gaat vragen van hoe belangrijk zijn jullie, zijn we het allerbelangrijkst. Maar als we gaan zeggen, bij jullie gaan we het meeste dingen aanpassen en het meest veranderen, dan komt vaak de vraag van ja, maar is dat allemaal wel nodig? En om die vraag eigenlijk voor te zijn, wil je zorgen dat ze zelf al die hele gedachten hebben doorgemaakt van ja, dit is nodig. Want we hebben er goed over nagedacht en we hebben er wat van gevonden.
SPEAKER_01:Dan weet ook iedereen dat die maatregelen die je gaat voorstellen, dan zijn het ook maatregelen die gedragen zijn. Jij vindt dat niet, maar men vindt dat met elkaar dat dit soort dingen noodzakelijk zijn. Dus je creëert ook een draagvlak uiteindelijk bij dit soort mensen. Plus denk ik aanvullend daar nog op. Een hele belangrijke waar jij natuurlijk ook veel actief in bent, is door mensen zelf dit inzicht te laten verschaffen aan de hand van zo'n risicoanalyse, zijn ze zich ook bewust van waar ze werken, van hoe hun proces eruit ziet en waar risico's lopen en waar zij zelf invloed hebben om die risico's beter beheersbaar te maken door de deur niet onder een wicht te zetten, maar doordoor de deur netjes achter je kon dicht te doen. Als je samen zijn trein verlaat.
SPEAKER_02:Ja, dus om weer even terug te gaan naar mijn buurman. Het is niet dat mijn buurman niet beveiligd wil zijn. Hij heeft gewoon net die bewustwording dat inzicht niet over hoe je het misschien beter of completer of juister kan doen.
SPEAKER_01:Ofwel, en hij heeft dit risico geaccepteerd. Dat zou ook kunnen.
SPEAKER_02:Je luisterde naar beveiliging binnenkamers via Spotify, YouTube of Apple podcast. Wil je geen aflevering missen? Abonneer je en je favoriete podcast hebben. Geef een beoordeling of like. Dit helpt ons om door te blijven gaan. En zo help je anderen deze podcast ook te vinden. Bedankt voor het luisteren en tot de volgende keer een podcast van Security Risk Watch.