e handreiking creeren security awareness

Handreiking creëren van Security awareness 2012

1

Handreiking

Creëren van Security Awareness In een havenfaciliteit


2

Handreiking

Creëren van Security Awareness In een havenfaciliteit

Locaal Comité voor Maritieme Beveiliging, Antwerpen Gemeentelijk Havenbedrijf Antwerpen Versie januari 2012


3

Inhoudsopgave

Inleiding

- Definities

- Voordelen van security aware werknemers

- Hoe deze handreiking te gebruiken

4

4

4

5

1. Voorwaarden bij creëren van awareness 1) Inleiding

2) De omgeving

3) De communicatie naar werknemers

6

6

6

7

2. Awareness onderwerpen 1) Inleiding

2) ISPS wetgeving

3) Gangbare dreigingen

4) Aandachtspunten voor werknemers

5) Verdacht gedrag

9

9

9

11

13

15

3. Manieren van creëren awareness 1) Inleiding

2) Een reclame campagne

3) Cursus

4) Oefeningen houden

5) Handhavingsbeleid opstellen

6) Overal informatie voorzien

19

19

19

20

21

21

22

4. Uitvoering 1) Inleiding

2) Nulmeting

3) Doelen

4) Onderwerpen

5) Prioriteiten

6) Manieren

7) Taken en verantwoordelijkheden

8) Middelen

9) Planning

10) Voer het plan uit

11) Evalueer

23

23

23

23

23

23

23

24

24

24

24

24


4

Inleiding

DEFINITIES Security awareness betekent letterlijk vertaald “beveiligingsbewustzijn”. Beveiliging (security) is een onderdeel van veiligheid. Wanneer mensen doelbewust een onveilige situatie creëren is er sprake van een beveiligingsincident. Bewustzijn (awareness) heeft te maken met kennis over een bepaald onderwerp, de houding/ ”attitude” richting een bepaald onderwerp en uiteindelijk met het gedrag wat hier uit voortkomt. Security awareness = Kennis over beveiliging + houding tegenover beveiliging

Gedrag richting beveiliging.

Werknemers zijn security aware wanneer zij weten waarom er beveiliging is; hoe deze er uit ziet in hun bedrijf; mensen betrokken zijn bij de beveiliging in het bedrijf; als zij weten hoe beveiligingsincidenten te herkennen en als laatste wanneer zij weten hoe te handelen met betrekkingen tot beveiliging en incidenten.

VOORDELEN VAN SECURITY AWARE WERKNEMERS Meer melding en reactie op incidenten. Er zijn extra veel ogen en oren die op beveiliging letten. Er zijn ineens meer “beveiligers” die incidenten kunnen voorkomen, er op kunnen letten en reageren, buiten de gecertificeerde beveiligers en fysieke maatregelen om.

Sneller en directer. Fysieke maatregelen zoals hekwerken, camera’s of slagbomen kunnen niet zelf reageren. Fysieke maatregelen met bewegingsdetectie of met een ander ingebouwd alarm ook niet, want uiteindelijk is het de mens die moet reageren op wat zij melden (een camera die beweging detecteert en alarmeert wanneer niemand dit hoort of ziet heeft geen zin). Werknemers kunnen wel direct reageren op incidenten, waardoor zij een snelheidsvoordeel hebben op andere maatregelen.

Integrale oplossing voor beveiligingsproblemen. Op de website “security management” is een lijst gepubliceerd met de meest gemelde security incidenten door bedrijven van het afgelopen jaar. De top drie van 2011 bestond uit diefstal, agressie en vandalisme. Security aware personeelsleden weten hoe zij moeten reageren op de laatste twee dreigingen en zullen ook beter weten waar zij op moeten letten met betrekking tot (het voorkomen van) diefstal. Deze veelvoorkomende beveiligingsproblemen zullen door security awareness ook minder voorkomen.

Werknemers kennen het bedrijf. Zij kennen de precieze dagelijkse gang van zaken. Hierdoor weten zij, tot op zekere hoogte wat er “normaal” is en wie er “normaal” rondloopt en hoe. Hierdoor zullen verdachte zaken hen eerder opvallen dan mensen die de dagelijkse gang van zaken niet kennen.

Werknemers kennen elkaar. Werknemers kunnen er beter op letten of een collega “abnormaal” gedrag vertoont dan buitenstaanders. Dit kan zijn gedrag met betrekking tot diefstal of smokkel, maar men kan ook letten op radicaliserende collega’s.


5

Het werkt afschrikkend. Terroristen en andere misdadigers zullen het liefst kiezen voor een faciliteit waar zij hun plannen het gemakkelijkste kunnen uitvoeren, wat onder andere inhoudt: daar waar zij niet opgemerkt worden. Daarnaast werkt het afschrikkend voor “interne kwaadwillenden”. De cultuur binnen het bedrijf zal veranderen wanneer iedereen security aware is.

Snellere opvolging van procedures. Wanneer iedereen weet wat er bij welk incident (bijvoorbeeld tijdens een ontruiming wegens een bommelding) moet gebeuren, zullen procedures sneller uitgevoerd kunnen worden dan wanneer dit tijdens het incident nog verteld moet worden. Dit beperkt de gevolgen van een incident.

Werknemers creëren niet meer zelf onveilige situaties. Security aware werknemers letten er op of deuren en poorten achter zich gesloten zijn, zullen niet zomaar gevoelige informatie doorgeven aan derden, etc. De algehele beveiliging zal verbeteren. Dit levert natuurlijk ook weer voordelen op; het vertrouwen van de klant zal toenemen, de efficiëntie binnen het bedrijf zal toenemen, kosten veroorzaakt door beveiligingsincidenten zullen dalen, de verzekeringskosten nemen af, etc.

HOE DEZE HANDREIKING TE GEBRUIKEN Deze handreiking geeft manieren en middelen waarop de security awareness in een onder de ISPS wetgeving vallende havenfaciliteit vergroot zou kunnen worden. De nadruk ligt op het vergroten van de security awareness van werknemers die niet als eerste taak beveiligen hebben. Deze handreiking geeft eerst enkele voorwaarden waaraan het bijbrengen van security awareness moet voldoen. Het volgende hoofdstuk geeft een overzicht van meerdere onderwerpen waarvan werknemers in de haven zich bewust moeten worden. Hierna worden er enkele manieren gegeven waarop de security awareness in een bedrijf vergroot zouden kunnen worden. Het laatste hoofdstuk geeft aan hoe een security awareness programma in een bedrijf ontworpen en gepland zou kunnen worden. Hoe security awareness vergroot kan worden is sterk bedrijfsafhankelijk. De onderwerpen zijn per bedrijf anders, de beveiligingsrisico’s verschillen per bedrijf en ieder bedrijf is anders ingericht, bestuurlijk en fysiek. De werknemers en de bedrijfscultuur zijn in ieder bedrijf anders, dit geldt ook per afdeling. Ieder bedrijf heeft andere mogelijkheden, middelen en onmogelijkheden tot het vergroten van de security (awareness). Daarnaast werken in ieder bedrijf andere personen. Hierdoor is er niet één rechtlijnige manier te geven waarmee de security awareness vergroot kan worden. Pas de informatie in dit handboek dus altijd op het bedrijf aan. Controleurs havenbeveiliging kunnen altijd om hulp gevraagd worden, ook bij het plannen of uitvoeren van de in deze handreiking beschreven manieren.


6

1. Voorwaarden bij creëren van

awareness

1.1 INLEIDING Er zijn een aantal voorwaarden verbonden aan het effectief meer security aware maken van werknemers. Zowel aan de omgeving, als aan de informatie die verstrekt wordt en aan hoe deze verstrekt wordt.

N.B: DENK ALTIJD NA OVER WELKE INFORMATIE AAN WIE GEGEVEN WORDT. Geef geen gevoelige procedures aan de gemiddelde werknemer. U zou eventueel ontevreden of geradicaliseerde werknemers in uw bedrijf kunnen hebben rondlopen die u op ideeën zou kunnen brengen. Wordt niet paranoïde, maar bepaalde informatie, afhankelijk van het bedrijf, kan misschien beter onbekend blijven bij de gemiddelde werknemer.

1.2 DE OMGEVING Middelen. Het moet arbeiders gemakkelijk gemaakt worden om iets dat hen opvalt door te geven. Het moet geen grote moeite kosten, arbeiders kunnen dan aware zijn, maar zullen incidenten of “ongewone zaken” niet doorgeven, omdat zij de procedure bijvoorbeeld veel te moeilijk of veel te veel werk vinden.

Terugkoppeling. Wanneer arbeiders iets melden moet dit teruggekoppeld worden. Men moet het idee hebben dat er ook iets gebeurt wanneer men iets meldt of vraagt. Een veel gehoorde klacht van havenarbeiders, is dat zij het idee hebben dat er niets met hun melding gedaan wordt: “Ik meldde eerst wel eens wat, maar ze doen er niks mee. Dus waarom zou ik nog melden?” Niemand doet iets waarvan hij/zij denkt dat het totaal geen zin heeft.

Iedereen in het bedrijf. Iedereen in het bedrijf moet security aware zijn en zich aan de regels houden. Wanneer het management van het bedrijf of de CEO niet actief meedoen (het voorbeeld geven) en ook niet willen investeren in beveiliging, zullen werknemers hier ook niet zelf in “investeren”. Daarnaast moeten ook externen weten van beveiligingsregels en zich hier aan houden. Medewerkers kunnen zich (terecht) de zin van de security awareness afvragen wanneer hun afdeling de enige is die op beveiliging let of zich aan de regels moet houden. Denk ook aan nieuwe werknemers, ook zij moeten de informatie krijgen die alle huidige werknemers al hebben gehad.

Bron: Handreiking SA van NAVI (Nationaal Adviescentrum Vitale Infrastructuur)


7

Dagelijkse werkzaamheden niet dwarsbomen. Wanneer beveiliging de dagelijkse bezigheden van werknemers in het bedrijf onderbreekt of ernstig vertraagt, kan dit de attitude van mensen tegenover beveiliging verslechteren. Al helemaal als het doel van deze maatregelen niet is uitgelegd.

1.3 DE COMMUNICATIE NAAR WERKNEMERS Het doel moet duidelijk zijn. Zoals gebleken uit de uitkomsten van een enquête uitgevoerd onder kaaimedewerkers, voelt meer dan de helft van de werknemers op de kaai zich gecontroleerd door beveiligingsmaatregelen. Wanneer dit gevoel onder werknemers bestaat komt dit niet ten goede aan de security awareness. De houding richting de maatregelen is dan namelijk zeer negatief.

Bron: Handreiking SA van NAVI Informatie aanpassen op doelgroep. Pas de gegeven informatie aan op de doelgroep, maar ook de manier van informatie geven.

- Ten eerste op het bedrijf, worden hier auto’s of chemicaliën verscheept/verwerkt? De risico’s die beide bedrijven lopen zijn zeer verschillend. Daarnaast moet de informatie aangepast worden op de (beveiligings)inrichting van het bedrijf.

- Maar ook op de doelgroep binnen het bedrijf. De kaaimedewerkers moeten niet het zelfde te horen krijgen als de receptionisten, en ook niet als een heftruckchauffeur. Ten eerste werken zij op verschillende plaatsen in het bedrijf, dus andere informatie is voor hen relevant. De heftruck chauffeur krijgt waarschijnlijk nooit een telefonische bommelding binnen. Ten tweede heeft iedere groep zijn eigen cultuur en denkniveau, ook hier moet altijd rekening mee gehouden worden.

Geen overkill aan dreigingsinformatie. Constant van allerlei grote dreigingen te horen krijgen kan werknemers ten eerste doof maken voor dreigingen, zoiets wil niemand weten. Het kan ten tweede ook andersom werken, het komt ongeloofwaardig over. Als het zo gevaarlijk is, waarom leven we dan nog? Daarnaast verzekeren mensen zich liever tegen iets met een grotere kans en (met meestal) kleinere gevolgen (inbraak woonhuis, diefstal auto) als tegen iets met een kleine kans en grotere gevolgen (overstroming, terroristische aanslag of een aardbeving). Ook veel “kleine” dingen noemen die voor kunnen komen geeft dus voordelen.

Zeg hoe het wel kan. Andersom werken dan de bovenstaande manier werkt sowieso beter, arbeiders constant informatie en tips geven met manieren hoe het beter kan, niet alleen maar aangeven wat er al fout is of ooit fout is gegaan.


8

Manier van denken. Arbeiders kunnen een manier van denken aangeleerd worden, niet alleen procedures. Hoe zouden kwaadwillende personen bijvoorbeeld binnen kunnen komen, wat zijn hun doelen en waar moet ik dus op letten? Duizenden voorbeelden geven van hoe het zou kunnen gebeuren en de procedures hiervoor is saai, het komt niet geloofwaardig over en de lijst is onuitputtelijk, de informatie is dus achterhaald. Deze manier zal waarschijnlijk ook feedback opleveren van werknemers over zwakke plaatsen in de beveiliging die zij opmerken. Kennis vs. houding. Wanneer mensen iets weten, betekent dit, om allerlei redenen, niet dat ze hun gedrag daarop aanpassen. Zo rijden veel mensen met een grote angst voor vliegen, die daardoor nooit hebben gevlogen, wel auto. Dit heeft te maken met iemands houding/attitude (Awareness = kennis + houding � gedrag) richting een onderwerp. Personen alleen droge informatie en procedures meegeven maakt deze personen dus niet altijd meer aware, dit moet ook niet verwacht worden.

Herhaling. Een grote security awareness binnen een bedrijf is niet binnen een dag te bereiken, zelfs niet binnen twee jaar. Gewoontes van werknemers moeten namelijk veranderd worden, de complete bedrijfscultuur moet veranderd worden. Eén cursus zal er dus niet voor zorgen dat iedereen voortaan security aware is. Eens in de twee jaar een cursus over security ook niet.

Niet steeds hetzelfde herhalen. Jarenlang precies hetzelfde herhalen heeft het omgekeerde resultaat (de informatie valt totaal niet meer op/komt niet meer aan en het wordt ook totaal niet meer als interessant opgevat) van een tijdje dezelfde informatie herhalen. Er zijn meer dan genoeg security onderwerpen, er zou dus bijvoorbeeld voor gekozen kunnen worden om iedere periode de nadruk op een ander security onderwerp te leggen.

Dicht bij huis houden. Geef bijvoorbeeld alleen voorbeelden van voorstelbare dingen die in het bedrijf zouden kunnen gebeuren. Geen informatie over een inval van terroristen met handgranaten en machinegeweren, maar bijvoorbeeld wel over hoe zij bepaalde middelen die het bedrijf heeft zouden kunnen ontvreemden en gebruiken. Geef bedrijfsrelevante informatie; geen informatie over wat er gebeurt wanneer een LPG opslag wordt opgeblazen als het bedrijf alleen metalen verscheept en geen LPG opslag in de buurt heeft.


9

2. Awareness onderwerpen

2.1 INLEIDING

Het is uiteraard niet de bedoeling dat iedereen in de haven onderstaande informatie van a tot z uit zijn of haar hoofd weet. Het gaat vooral over de praktische toepassing van onderstaande informatie op de praktijk; waar moet op gelet worden, hoe moet daar op gereageerd worden? Daar hoeven werknemers de ISPS wetgeving niet voor gelezen te hebben, men hoeft eigenlijk niet eens te weten dat deze wetgeving ISPS heet of in een Europese verordening vertaald staat. De informatie hieronder is zeer breed, de informatie moet altijd aangepast worden op de doelgroep. Is de informatie wel op de doelgroep van toepassing? Daarnaast zijn er misschien nog meer onderwerpen van toepassing. Dit zou bijvoorbeeld nagezocht kunnen worden door meldingen en gevonden problemen van de afgelopen paar jaar na te zoeken.

2.2 ISPS WETGEVING Wat houdt deze wetgeving in en waarom bestaat deze? Wat betekent dit praktisch voor de havenfaciliteit? Korte Geschiedenis Na de aanslagen op het WTC van 11 september 2001 is besloten dat de beveiliging van havenfaciliteiten die zeeschepen ontvangen en zeeschepen zelf verbeterd moest worden. Daarom heeft de Internationale Maritieme Organisatie (IMO) een wetgeving opgesteld rond de beveiliging van zeeschepen en deze faciliteiten: de International Ship and Port facility Security Code (ISPS). De EU heeft deze code omgezet in een Europese Verordening, België heeft deze verordening op haar beurt weer omgezet in nationale wet. De ISPS wetgeving geldt alleen voor zeeschepen (internationale zeevaart boven de 500

ton) en voor faciliteiten die deze zeeschepen ontvangen. Bij faciliteiten geldt de wet

specifiek voor de kaai of steiger; voor het raakvlak tussen zeeschip en faciliteit.


10

Betekenis voor havenfaciliteit De wetgeving zegt onder andere dat iedere havenfaciliteit een PFSO in dienst moet hebben, een Port Facility Security Officer. Deze PFSO moet toezien op de beveiliging van de faciliteit en moet er voor zorgen dat het bedrijf te allen tijde voldoet aan de ISPS wetgeving. Iedereen moet zich bewust zijn van wie de PFSO in hun bedrijf is. Of anders er zich van bewust zijn bij wie veiligheidsincidenten gemeld kunnen worden (bijvoorbeeld een extern ingehuurd beveiligingsbedrijf). In de ISPS code staan daarnaast verschillende niveaus beschreven. Havenfaciliteiten moeten altijd in staat zijn om deze niveaus toe te kunnen passen.

Niveaus

• Veiligheidsniveau 1: Het te allen tijde handhaven van een minimum aan passende

beschermende veiligheidsmaatregelen.

• Veiligheidsniveau 2: Gedurende beperkte tijd handhaven van verdere

veiligheidmaatregelen wegens een verhoogd risico op een incident.

• Veiligheidsniveau 3: Gedurende beperkte tijd handhaven van striktere

veiligheidmaatregelen wanneer een incident waarschijnlijk is of al op handen is,

dus in het geval van een concrete dreiging.

Niveau 1 zal een potentieel terrorist niet tegenhouden, het zal wel hindernissen opwerpen. Hierdoor vraagt een aanslag een grondigere organisatie en eventueel meer financiële middelen, dit vergroot het spoor dat een dergelijke operatie nalaat en dus de kans op ontdekking. Niveau 1 is de dagelijkse gang van zaken, vanuit de Federale overheid kan besloten worden dat er opgeschaald moet worden naar niveau 2 of 3. Een havenfaciliteit zelf kan dit niet besluiten. Bij niveaus 2 en 3 wordt de faciliteit meer doelgericht bewaakt en wordt enige vorm van verrassing teniet gedaan.

Bij een niveau 2 of 3 wordt er ook om extra security awareness van medewerkers

gevraagd.

Het kan zijn dat het zeeschip op niveau 2 of 3 zit wanneer het de havenfaciliteit bereikt, de faciliteit is dan niet verplicht om mee op te schalen. Het kan wel zo zijn dat het schip om maatregelen van de faciliteit vraagt. Deze maatregelen worden dan overeengekomen in een Veiligheidsverklaring, ook wel DOS (Declaration Of Security) genoemd. Andersom is het wel verplicht; wanneer de faciliteit opschaalt of al opgeschaald is, is het aangemeerde schip verplicht om mee opschalen. De precieze inhoud van de veiligheidsniveaus zijn afhankelijk van de faciliteit, namelijk of deze gevoelig is of niet. De meeste containerterminals en petrochemische bedrijven zijn voorbeelden van gevoelige faciliteiten, terminals met bulk als steenkolen of zand zijn voorbeelden van niet gevoelige bedrijven. De uitvoering van de niveaus staat per bedrijf beschreven in het beveiligingsplan, het Port Facility Security Plan (PFSP). Daarnaast bestaat er nog een Port Security Plan, dit plan voorziet maatregelen voor over de gehele haven. Dit PSP wordt opgesteld, bijgehouden en zo nodig toegepast door het Lokaal Comité voor Maritieme Beveiliging. Dit comité bestaat in Antwerpen uit:

- De lokale politie


11

- De federale (scheepvaart) politie - De havenkapitein - De douane - De Veiligheid van de Staat - Het Militair Commando

2.3 GANGBARE DREIGINGEN Er zijn enkele gangbare dreigingen binnen de haven, zoals diefstal. Dit kan diefstal van lading zijn, van informatie, van persoonlijke eigendommen van medewerkers of materiaal

van de havenfaciliteit. Vaak is dit een intern probleem; werknemers ontvreemden

eigendommen van de faciliteit of van elkaar.

Daarnaast heeft de haven te kampen met verstekelingen. Verstekelingen proberen illegaal via zeevaart andere landen te bereiken. Met name containerterminals hebben last van dit probleem. Een ander probleem waar vooral containerterminals, maar niet alleen, veel last van hebben is smokkel. Smokkel van illegale goederen zoals drugs of wapens, of mensensmokkel.

Sabotage is een ander gangbaar probleem binnen havenbedrijven. Dit kan zijn door eigen medewerkers of personeel van onderaannemers, omdat zij ontevreden zijn bijvoorbeeld, of namens georganiseerde misdaad. Of sabotage van buitenaf (extern), door bijvoorbeeld personen die zich toegang proberen te verschaffen tot een faciliteit. De dreigingen verschillen per bedrijf, werknemers zouden ingelicht kunnen worden over de dreigingen die vooral voor hun bedrijf gelden. Terrorisme De laatste gangbare dreiging is terrorisme, dit is de dreiging waar de ISPS wetgeving primair voor is opgesteld. Boven genoemde dreigingen kunnen ook onderdeel zijn van een terroristische dreiging. Dit kunnen middelen zijn die gebruikt kunnen worden om te komen tot een aanslag. Een faciliteit kan op vier verschillende manieren te maken krijgen met terrorisme:

1. Het bedrijf is doelwit van een terrorist of terroristische organisatie 2. Het bedrijf (producten of informatie dat in bezit is) kan als middel worden

gebruikt. 3. Het bedrijf krijgt te maken met de schadelijke uitstralingseffecten van een aanslag

(bijvoorbeeld wanneer het buurbedrijf doelwit is of een Seveso bedrijf in de buurt).

4. Het bedrijf kan geradicaliseerd personeel in dienst hebben. Terrorisme is volgens de Belgische wetgeving:

“het gebruik van geweld tegen personen of materiële belangen om ideologische of politieke redenen met het doel zijn doelstellingen door middel van terreur, intimidatie of bedreigingen te bereiken”.

Volgens de Nederlandse wetgeving: “een misdrijf onder terroristisch oogmerk.”

Een terroristisch oogmerk volgens de Nederlandse wet: “het oogmerk om de bevolking of een deel der bevolking van een land ernstige vrees aan te jagen, dan wel een overheid of internationale organisatie wederrechtelijk te dwingen iets te doen, niet te doen of te dulden, dan wel de fundamentele politieke, constitutionele, economische of sociale structuren van een land of een internationale organisatie ernstig te ontwrichten of te vernietigen.”

Terrorisme heeft dus te maken met het gebruiken middelen om angst aan te jagen (zoals

geweld of intimidatie), om ideologische of politieke redenen met als doel de


12

fundamenteel politieke, constitutionele, economische of sociale structuren van een grote

groep mensen te ontwrichten. Kort: angst zaaien onder een grote groep mensen om ideologische doelen te bereiken. Terrorisme en georganiseerde misdaad Het grootste verschil tussen terrorisme en andere georganiseerde misdaad is dat het bij terrorisme niet om het verdienen van geld gaat; het uiteindelijke doel is niet om economisch beter te worden. Terroristische organisaties kunnen zich wel bezighouden met het (illegaal) verdienen van geld, maar dit is om middelen te creëren om het ideologische einddoel te bereiken. Haven als doelwit Omdat havens gezien worden als instrumenten van grootmachten, kunnen havens een doelwit zijn voor terroristen. Het feit dat havens daarbij vaak grote oppervlakten beslaan die moeilijk te overzien zijn, ook door de grote omloop van goederen, maakt het gemakkelijker een aanslag te plegen. Maar ook interessanter, omdat de haven een voor de economie van België en Europa belangrijk gebied is. Daarnaast zijn er veel goederen aanwezig, bijvoorbeeld in de petrochemische industrie, die gebruikt kunnen worden voor een aanslag of het gevolg van een aanslag kunnen vergroten.

De grote onoverzichtelijke omloop van goederen maakt smokkel mogelijk. Smokkel van materialen de haven in, om een aanslag te plegen in de haven. Maar ook eventueel smokkel vanuit andere landen, via de haven, naar plaatsen elders in Europa om daar gebruikt te worden bij een aanslag.


13

2.4 AANDACHTSPUNTEN VOOR WERKNEMERS Verzamelen van informatie

Meestal wordt er eerst informatie verzameld over de procedures van het bedrijf. Dit kan gebeuren door: Observatie - Personen die rond het bedrijf hangen en kijken, foto’s maken, plattegronden uittekenen Infiltratie - manieren uitproberen om binnen te komen; je uitgeven voor iemand die je niet bent (bijvoorbeeld voor een onderaannemer). Reactie - op bepaalde manieren de beveiliging testen; onder een slagboom doorkruipen en de reactie van de beveiliging afwachten. Ondervraging - informatie verzamelen door medewerkers aan te spreken. Dit gebeurt meestal niet direct, er kan ook gedaan worden alsof iemand zeer nieuwsgierig is naar hoe iets werkt, waardoor er indirect naar de procedure wordt gevraagd. Of er wordt over de telefoon gevraagd of er een enquête afgenomen mag worden. Of men geeft zich uit voor iemand die men niet is en begint op deze manier naar de procedures te vragen (“Ik moet daar een kraan repareren, hoe kom ik daar?”). Of … Ontvreemding – door diefstal van documenten, papieren documenten of digitaal: Social Engineering - Het halen van informatie vanaf het bedrijfsnetwerk gebeurt meestal direct, via en met mensen (niet via het hacken van het netwerk). Volgens een studie van google uit 2011 is dit zelfs in 90% van de gevallen zo. Social engineering kan ook inhouden dat er onderzoek wordt gedaan (een enquête via de telefoon of gewoon via facebook) naar de persoon. Gebruik dus niet de naam van je hond, partner of voetbalclub als wachtwoord. Zet hier een nummer achter of voor, combineer deze of gebruik bijvoorbeeld in plaats van een a een @ en in plaats van een E een 3.

Wanneer medewerkers er zich bewust van zijn dat sommige informatie niet altijd aan iedereen mag worden verstrekt, zal deze informatie minder snel aan vreemden verstrekt worden.

Gevaarlijke goederen • Gevaarlijke producten/stoffen. In de petrochemie bijvoorbeeld wordt heel veel

gebruik gemaakt van (potentieel) gevaarlijke stoffen. Te denken valt aan brandstoffen als benzine of LPG, maar ook aan kustmest (met nitraat) of aan chloor. Maar ook minder voor de hand liggende stoffen kunnen worden gebruikt, wanneer een grote tanker vruchtensap (dit is zeer zuur) in het water lekt tast dit het milieu zeer ernstig aan. Al is het waarschijnlijker dat terroristen een aanslag plegen waarbij zoveel mogelijk slachtoffers vallen, dit jaagt namelijk het meeste angst aan, waarmee zij hun doel bereiken.

Gevaarlijke stoffen kunnen gebruikt worden om aanslagen te plegen, door ze te

laten ontbranden of te lekken in lucht, water of grond. Gevaarlijke stoffen zijn altijd te herkennen aan de hun labels (HAZMAT). Het kunnen vloeistoffen zijn, vaste stoffen of gassen. De stoffen kunnen brandbaar zijn, ontploffingsgevaar opleveren, bijtend (corrosief) zijn, branden versnellen, radioactief zijn en/of nog een ander effect hebben. Let altijd extra op verdacht gedrag in de buurt van deze goederen. Personen die er normaal niet rondlopen zijn verdacht, meestal is namelijk een opleiding nodig om met deze stoffen om te mogen gaan. Personen zonder de juiste beschermingsmiddelen in de buurt van deze stoffen zijn ook altijd verdacht. Voor meer informatie over verdacht gedrag zie ook de alinea hier onder. Weten werknemers welke stoffen er aanwezig zijn in het bedrijf, wat de risico’s en de veiligheidsmaatregels zijn rond deze stoffen?


14

• Bommen of explosieven. Ieder onregelmatig of verdacht voorwerp, object, pakket, bagage of poststuk kan in principe een potentieel gevaar kan betekenen. Bij enige twijfel moet onmiddellijk de PFSO worden gewaarschuwd voor verdere instructies (of een andere procedure die geldt in het bedrijf, ken deze). Een GSM of ander radio gestuurd voorwerp mag nooit gebruikt worden in de buurt van een

verdacht voorwerp.

Blijf niet in de buurt van het pakket, en verplaats het nooit, met uitzondering van de situatie als beschreven in de volgende alinea. Verdachte pakketten met de post: het pakket is al eens vervoerd, deze pakketten mogen dus wél op een “veilige” plaats worden neergezet (denk aan een veld of parkeerplaats). Bij twijfel: laten staan! Explosieven die per post opgestuurd worden kunnen worden herkend aan: geen duidelijke afzender; teveel (buitenlandse) postzegels (men wil het pakket liever niet retour ontvangen); opschrift als vertrouwelijk of special delivery; te zwaar voor de omvang; vette vlekken; vreemde geur; vreemd/verkeerd geadresseerd (bijvoorbeeld op titel of met schrijffouten); goed ingetaped; oneven oppervlak; etc. Bommen en explosieven die door iemand worden achtergelaten (met uitzondering van een postbezorger, zie alinea hierboven) liggen meestal op voor iedereen bereikbare plaatsen, waar zo veel mogelijk mensen geraakt kunnen worden. Men wil zo min mogelijk sporen achterlaten en zo veel mogelijk schade aanrichten. De gene die het pakket aflevert zal waarschijnlijk zo snel mogelijk zo ver mogelijk van het pakket vandaan willen geraken. Ook bij bommen en explosieven geldt: gebruik je verstand. Vraag na in je omgeving, misschien is er wel een hele logische verklaring voor het aanwezig zijn van het pakket.

• Wapens. Er geldt in de gehele EU en dus ook in België een strenge wapenwetgeving. Iedereen (buiten enkele overheidsdiensten als de politie om) die een wapen draagt is verdacht. Wapens zijn geweren en pistolen, maar bijvoorbeeld ook boksbeugels, messen, dolken of granaten. Deze personen moeten bij twijfel zeker niet aangesproken worden. Veiligheid van werknemers gaat altijd voor. Deze personen kunnen wel gemeld worden.

Verdachte containers herkennen

Op een haven zijn logischerwijs veel containers aanwezig, wat bijdraagt aan de onoverzichtelijkheid van een haven. Niet alle containers kunnen gecontroleerd worden. Containers waar ongebruikelijke geluiden of geuren uit komen zijn verdacht. De containernummers moeten ook altijd overeenkomen met het manifest, de verzegeling moet kloppen en ook de HAZMAT labels moeten kloppen.


15

2.5 VERDACHT GEDRAG Terroristen of andere misdadigers zijn niet te herkennen aan hun huidskleur, leeftijd,

geslacht of religieuze overtuiging. Het is zelfs tegen de wet om hier op te selecteren. Wel zijn ze vaak te herkennen aan hun gedrag. Georganiseerde misdaad, zoals terrorisme, organiseert (wat de naam al impliceert) haar acties meestal vooraf. Personen zullen het bedrijf bijvoorbeeld meerdere malen observeren, zowel de standaard procedures binnen het bedrijf als de fysieke beveiliging. Wanneer deze personen opvallen en daardoor hun bezigheden moeten staken kan veel voorkomen worden. Er zijn verschillende gedragingen waaraan verdachte personen herkend zouden kunnen worden. Meestal vallen verdachte personen vanzelf op, omdat mensen dit van elkaar herkennen (het “aanvoelen”). Er zijn echter ook meerdere concrete gedragingen waarop gelet kan worden, men moet echter niet paranoïde worden en gewoon het gezond verstand blijven gebruiken.

- Uiterlijke kenmerken. Kleding die niet is afgestemd op het weer (bivakmuts in de zomer, zonnebril terwijl het regent, etc.) of op de omgeving (bijvoorbeeld geen veiligheidsschoenen of bril waar iedereen dit wel heeft) kan verdacht zijn. Aparte vormen in de kleding, waar iets onder verstopt kan zitten, bijvoorbeeld gestolen goederen of eventuele wapens is ook altijd verdacht. Personen die voorwerpen bij zich hebben die niet op die plaats thuishoren (een kniptang, spade of grote rugzak bijvoorbeeld). Iemand die plotseling zijn of haar uiterlijk verandert, door andere kleding aan te trekken (een muts, andere jas en bril kan al een grote verandering geven), hun kapsel te veranderen, etc. De “klassieke” zelfmoordterrorist is meestal net gekleed, is pas geschoren, heeft zijn/haar haren perfect zitten, ruikt naar parfum, etc. Hij/zij is namelijk op weg naar god.

- Expliciet opvallend gedrag. Zoals foto’s maken, plannen uittekenen, langdurig (bijvoorbeeld vanuit een auto) een faciliteit observeren, met een verrekijker een faciliteit observeren. Personen die op allerlei manieren het terrein op proberen te geraken (bumper kleven, achter anderen aanlopen zonder badge te gebruiken, om een slagboom heen lopen, over het hekwerk klimmen). Onbekende personen die zich al op het terrein bevinden en enkele keren om een installatie of gebouw heenlopen, steeds naar hetzelfde punt terugkeren of gewoon doelloos lijken rond te lopen of staan, zijn ook verdacht. Personen binnen of buiten het terrein die zich niet aan de veiligheidsvoorschriften houden (zoals telefoneren in de buurt van chemische installaties waar dit niet mag, het negeren van borden verboden toegang, zich niet aan de verkeersregels houden). Iedere andere activiteit die niet strookt met de dagelijkse werkzaamheden, dit is natuurlijk zeer bedrijfsafhankelijk.

- Impliciet opvallend gedrag (de grens tussen impliciet en expliciet opvallend gedrag kan vaag zijn). Zenuwachtig, agressief, onwennig, etc. Dit is onder andere te zien aan: vaak om zich heen kijken, trillen, negeren van andere personen, ontlopen van andere personen, weglopen wanneer ze gezien worden, de “uitstraling”, oogcontact vermijden, tegen zichzelf lachen of praten, onnodig zweten, knikken of nee schudden terwijl niemand hen wat vraagt, etc. Mensen voelen dit soort gedrag meestal van elkaar aan. Wanneer dit wordt aangevoeld moet gezocht worden naar iets concreets(zie eerder genoemde voorbeelden). Iemand kan niet geweigerd of aangehouden worden voor het “vreemd overkomen”. Zie voor meer specifieke voorbeelden van dit gedrag ook de opsomming bij “wat te doen?”


16

Personen kunnen ook met twee of meer de faciliteit proberen te betreden. Zij kunnen onopvallend met elkaar proberen te communiceren, bijvoorbeeld met kleine gebaren met hoofd, ogen of handen. Het kan ook zo zijn dat personen totaal niet zenuwachtig zijn en recht op hun doel af gaan, vooral terroristen die zeer overtuigd zijn van hun zaak en zichzelf hier eventueel voor op willen offeren. Personen met een doelgerichte, koude, dwars door iedereen heen kijkende blik die niet reageren op andere personen, vertonen daarom ook verdacht gedrag. Personen die in trance lijken te zijn ook.

Op al deze dingen kan gelet worden, zonder paranoïde te worden. Niet iedereen in een zenuwachtige bui is een terrorist (gelukkig). Een combinatie van meerdere kenmerken kan wel verdacht zijn. Zenuwachtig ogende, onbekende personen die andere mensen ontwijken en doelloos rondlopen zijn meestal wel verdacht. Iemand met verdacht gedrag die bedrijfskleding aanheeft, is daardoor niet direct niet meer verdacht. Oranje hesjes en helmen zijn overal te krijgen, logo’s van internetsites halen en ergens opplakken kan iedereen, bedrijfsjassen hangen soms bij de ingang aan de kapstok, etc. Iemand met een jas met “Haven van Antwerpen” er op is niet automatisch legitiem aanwezig in het bedrijf. Wanneer de terminal compleet is afgesloten en er toegangscontrole is, betekent dit niet automatisch dat iedereen via die toegangscontrole is binnengekomen. Er moet niet altijd van uit gegaan worden dat het hekwerk en het systeem aan de poort waterdicht is. Men kan bumperkleven, met een smoes binnenkomen, een gat in het hekwerk hebben gevonden of gemaakt, etc. Persoon aanspreken Wanneer een persoon verdacht gedrag vertoont, kan hij of zij, wanneer de werknemer dat veilig acht, aangesproken worden door de werknemer. Wanneer werknemers met tweeën zijn, is het aan te raden dat iemand vanaf een afstand meekijkt, en de ander aanspreekt. Mocht er dan toch iets mis gaan, de persoon wordt bijvoorbeeld agressief, is er altijd iemand die hulp kan halen of op een andere manier kan ingrijpen. Vaak geeft een kort gesprek veel informatie over de persoon. Op een rustige toon open vragen stellen is het beste. De persoon moet nergens van beschuldigd worden en de “ondervrager” moet rustig en vriendelijk blijven. Een vraag als: “Bent u van dat en dat schip?” is niet handig, omdat iemand hier gewoon “ja” op kan antwoorden. Stel wel vragen als: kan ik u ergens mee helpen? Kunt u de weg vinden? Hoe gaat het met u? Of een reactie op iets wat hij doet of te zien is in de omgeving: Wat interessant wat u aan het tekenen bent! Vindt u ook dat ze op die weg altijd zo snel rijden? Reageer op iets wat op de radio wordt gezegd, geef een reactie op iemands kleding (wanneer de persoon een voetbalshirt draagt iets zeggen over de club bijvoorbeeld), enzovoorts. Wanneer de situatie tijdens het gesprek niet meer veilig wordt geacht moet er afstand gecreëerd worden en/of eventueel om hulp gevraagd worden. Agressie moet uit de weg gegaan worden en zeer zeker niet overgenomen worden. Personen die een legitieme reden hebben om in het bedrijf aanwezig te zijn zullen waarschijnlijk rustig en vriendelijk reageren. Er zijn naast veel bovengenoemde kenmerken, enkele specifieke kenmerken waar op gelet kan worden bij direct contact met de persoon, welke verdacht kunnen zijn. Vaak worden onderstaande kenmerken al “aangevoeld”.

- Kijkt een persoon veel om zich heen in plaats van de gesprekspartner aan te kijken?

- De manier van kijken. De persoon kan heel gericht naar zijn/haar gesprekspartner kijken, op een intimiderende manier. De persoon kan gericht naar zijn of haar “doel” blijven kijken in plaats van naar de gesprekspartner. De persoon kan recht


17

door zijn/haar gesprekspartner heen lijken te kijken. Ook kan hij of zij om zich heen blijven kijken zonder duidelijk doel (vaak is het doel dan een eventuele vluchtweg). Wel naar de gesprekspartner kijken maar deze niet aankijken, naar bijvoorbeeld de kin, romp of armen. Dit kan zijn om de “tegenstander” in te schatten, kan ik hem/haar aan? Of waar zal ik hem/haar het eerst slaan/schoppen? Zou hij/zij sneller rennen of niet?

- De persoon geeft geen direct, helder of volledig antwoord en praat om het onderwerp heen, verandert het onderwerp, krijgt het onderwerp van de vraag niet mee, etc. Hij/zij lijkt afwezig of hij/zij is gericht bezig met het gespreksonderwerp te veranderen en geeft geen direct antwoord op vragen.

- Iemand praat abnormaal hoog, heeft een trillende stem en/of stottert, raakt halverwege de zin de draad kwijt.

- Iemand verandert zijn of haar houding. Neemt een stap achteruit (vaak angst) of naar de ander toe (agressie); laat zijn/haar schouders hangen of recht deze juist; staat ineens overdreven instabiel op zijn of haar benen, of juist zeer stabiel (zich schrap zetten, ene been voor het andere). Iemand balt zijn of haar vuisten en/of trekt zijn of haar ellebogen naar achteren.

- Lichamelijke reacties. Iemand ademt harder, vaker of hoger (borst gaat op en neer in plaats van de buik). Iemand begint spontaan te zweten, wordt rood of juist wit, begint te trillen of krijgt een “tik” (denk aan bijvoorbeeld een mondhoek die af en toe naar boven trekt). Andere mogelijke reacties van het lichaam op stressvolle situaties: rode vlekken in de hals, kloppende ader in hals of gezicht, gespannen spieren, etc.

- Ook gezichtsuitdrukkingen die aangeven dat de persoon zich niet op zijn of haar gemak voelt kunnen verdacht zijn, de meeste mensen weten uit ervaring wel welke dit zijn. Angstige, zenuwachtige of agressieve blikken zijn hier voorbeelden van.

Kort samengevat moet dus gelet worden op ieder gedrag dat afwijkt van gedrag dat normaal is tijdens een gemiddeld gesprek. Let wel op de omstandigheden, iemand die beweert te wachten op iemand in het bedrijf (vraag in dat geval om de naam van die gene) voor een sollicitatiegesprek kan natuurlijk zenuwachtig overkomen, dit is niet direct verdacht. Iemand die stil staat midden op het terrein, zweet, trilt, wit wegtrekt en hoog ademt kan medische hulp nodig hebben. Wanneer werknemers twijfelen over het al dan niet verdacht zijn van een persoon, kan ook de PFSO of een andere persoon verantwoordelijk voor de veiligheid gecontacteerd worden om advies te vragen. De PFSO kan bijvoorbeeld opzoeken wie daar rond zou moeten lopen, etc. Of vragen om een kort rapport met omschrijving op te stellen, zodat verschillende incidenten aan elkaar gekoppeld kunnen worden. Bij twijfel moeten personen nooit aangesproken worden, eigen veiligheid eerst. De persoon rapporteren aan de beveiliging of PFSO zodat zij op dit incident kunnen reageren, kan wel altijd. Er moet op persoonskenmerken als haarkleur, postuur, opvallende kenmerken als eventuele littekens, leeftijd, etc., gelet worden, zodat deze later gerapporteerd kunnen worden. Hoort de persoon bij een auto, rapporteer de nummerplaat! Ook kan een werknemer eventueel (onopvallend) een foto maken met een GSM of fototoestel, in een Seveso bedrijf kan de telefoon hierbij eventueel op vliegtuigmodus worden gezet (afhankelijk van de installaties die het bedrijf heeft). Laat de werknemer deze foto inleveren en overleg met de juridische dienst over wat te doen met deze foto, het kan namelijk in strijd zijn met de privacy wet deze op een of andere manier te publiceren of als bewijs te gebruiken. Personen zonder identificatie of reden van verblijf op het terrein kunnen worden gevraagd om het terrein te verlaten, eventueel met hulp van de bewaking. Let er wel op dat personen pas verdacht zijn volgens de wet, wanneer er een redelijk vermoeden


18

bestaat dat hij/zij een strafbaar feit heeft gepleegd of dit gaat doen. Overheidsdiensten als de politie, kunnen nadat de persoon het terrein heeft verlaten vaak ook niets doen. De persoon kan, wanneer het terrein afgesloten is, hooguit worden aangehouden voor inbraak. Het is echter wel veiliger deze persoon buiten dan binnen het bedrijf te hebben. Rapporteer deze persoon, zodat hem of haar toekomstige toegang tot de faciliteit kan worden geweigerd of zodat deze persoon in verband gebracht kan worden aan een verdacht persoon op een andere faciliteit. Wanneer dit laatste gebeurt, kan het zo zijn dat de persoon wel officieel een verdachte kan worden genoemd. Werknemers kunnen ook buiten de werkplek op eventuele opvallendheden letten. Wanneer er bijvoorbeeld van en naar het werk wordt gereden kan er op opvallendheden gelet worden. Hierbij kan bijvoorbeeld gedacht worden aan auto’s die al enkele weken op dezelfde plek stilstaan, gedumpte goederen of personen met verdacht gedrag. Situaties die kunnen leiden tot beveiligingsincidenten moeten niet door werknemers zelf worden gecreëerd, hier moeten werknemers zich ook aware van zijn. Dit kan ook onbewust gebeuren door de computer niet goed af te sluiten, pasjes, telefoons of sleutels rond te laten slingeren of kwijtgeraakte pasjes of sleutels niet te rapporteren.

Het hoofddoel van al deze beveiliging is medewerkers, bezoekers en andere personen aanwezig op de faciliteit en schip te beschermen. Daarnaast is deze beveiliging er om de faciliteit, het schip en alle lading te beschermen, maar ook om alle persoonlijke eigendommen van medewerkers te beschermen tegen diefstal. Eventuele toegangscontrole is er voor de veiligheid en beveiliging van werknemers en eigendommen, net als eventueel aanwezige camera’s, en niet voor controle met andere doeleinden. Uit een enquête onder werknemers op de kaai is gebleken dat zij dit idee nog wel heel erg vaak hebben.

Het incident moet altijd bij de beveiliging of bij de PFSO gemeld worden. Wanneer het een ernstig incident is als brand of een ongeval mogen natuurlijk meteen de hulpdiensten gebeld worden en pas daarna de PFSO. Altijd eigen veiligheid eerst, stap bij twijfel bijvoorbeeld nooit op een persoon af of verplaats nooit een verdacht pakket naar een andere locatie. Rapporteren

Alle beveiligingsincidenten die gerapporteerd worden, worden naar een centraal punt

doorgestuurd. Hierdoor komen deze rapporten onder andere bij de politie en de

Veiligheid van de Staat terecht. Deze rapporten zouden hierdoor gelinkt kunnen worden

met elkaar of met andere incidenten elders. Rapporteer dus altijd, dit kan incidenten

voorkomen.


19

3. Manieren van creëren van

awareness

3.1 INLEIDING

Er zijn heel veel manieren waarop awareness gecreëerd kan worden. Het creëren van awareness bij groepen mensen is lastig. Ten eerste omdat ieder individu in de groep anders is, ten tweede omdat het moeilijk is om iedereen in de groep te bereiken. Uiteindelijk is security awareness creëren het veranderen van de bestaande bedrijfscultuur, dit is zeer moeilijk en kan niet binnen één of twee jaar. Ook is het niet zo dat iedereen na het volgen van één cursus security aware is en voortaan blijft. Hieronder een aantal manieren die gebruikt kunnen worden om security awareness te creëren. Een combinatie van deze technieken of het gebruiken van een techniek die hieronder niet genoemd is kan natuurlijk ook, een combinatie werkt zelfs beter. Deze lijst is ook zeker niet volledig, de scheiding tussen de technieken is niet zwart-wit. 3.2 EEN RECLAME CAMPAGNE Er zijn heel veel middelen en technieken voor reclame campagnes, hier zijn zelfs hele specifieke (universitaire) studies over. Hieronder een korte overzicht van eventuele middelen en technieken die bedrijven intern zouden kunnen gebruiken om de security awareness te verhogen. Het voordeel van reclame campagnes is dat er veel mensen bereikt kunnen worden. Het nadeel is dat reclame campagnes geen uitgebreide kennis kunnen overbrengen. Reclame campagnes kunnen bij beveiliging dus helpen om bepaalde beveiligings-onderwerpen of beveiliging in het algemeen onder de aandacht te brengen, maar niet om mensen veel uitgebreide kennis bij te brengen. Bij het verhogen van de security awareness kunnen reclame campagnes ingezet worden om beveiliging onder de aandacht te brengen, of om de onderwerpen onder de aandacht te blijven houden. Dit kan door middel van

- Flyers. Dit is een klein blad met korte informatie. Flyers worden meestal kort bekeken en vervolgens weggegooid (of meteen weggegooid), de hoofdinformatie moet er dus duidelijk en aantrekkelijk opstaan

- Folders. Dit is een uitgebreidere versie van een flyer, er staat meer informatie in. Personen die al meer interesse hebben in het onderwerp zullen deze informatie gaan lezen.

- Posters. Hier moet duidelijk, kort en krachtig de boodschap opstaan. Uitzondering hierop zijn instructie posters, met duidelijke informatie over een specifieke installatie of machine, waar deze poster ook bij of op hangt.

- Filmpjes of radiospotjes. Film(pje)s en radiospotjes om een onderwerp onder de aandacht te brengen. Deze filmpjes zouden op het intranet gezet kunnen worden, of rond gemaild kunnen worden. Instructiefilms worden hier niet bedoeld, dit is eerder een manier van het geven van een (korte) cursus.

- Internet. Dit kan via veel verschillende internetmedia. o Mail: Korte informatie in “flyer-vorm” rond mailen. Met hierbij een

verwijzing naar een medium waar meer informatie gevonden kan worden. o Intranet: zet hier een reclame op (in flyer-vorm, een filmpje, etc.). o Facebook: maak een pagina aan over security binnen de eigen facebook

pagina. Of plaats af en toe een bericht over security. Het voordeel van


20

facebook is dat hiermee in meerdere richtingen gecommuniceerd kan worden, je kunt feedback krijgen of er kan een discussie over gestart worden. Nadeel is dat je maar één bepaalde doelgroep bereikt, niet iedereen heeft een account.

o Etc. - Via media in het bedrijf die al bestaan. Nieuwsbrieven, (digitale)informatieborden

bij de ingang, screensavers, andere interne bedrijfskranten, op de (wanneer aanwezig) papieren koffiemokken, etc.

Waarschijnlijk heel logisch, maar: maak reclame op zo’n manier dat mensen er naar gaan kijken/luisteren. Dit kan zijn doordat het er aantrekkelijk uitziet, maar door het shockkerend te maken, of doordat de reclame totaal niet past in de omgeving, doordat het humoristisch/ludiek gebracht wordt, doordat mensen aangezet worden tot nadenken door de inhoudt, doordat…Het heel dicht bij huis houden. De informatie aanpassen op de doelgroep helpt bij een campagne ook direct, vooral wanneer alles dicht bij huis gehouden wordt: gebruik bijvoorbeeld foto’s van werknemers, hierdoor wordt het herkenbaarder en gaat daarbij snel het verhaal rond dat die persoon op (bijvoorbeeld) een poster staat: aandacht voor de poster. Gebruik foto’s films van het bedrijf zelf, dit maakt het ook weer beter voorstelbaar.

Teasing: een campagne beginnen waarin op veel verschillende plaatsen een bepaald logo of een bepaalde korte zin getoond wordt, zonder verdere uitleg. Wanneer dit logo of deze zin overal gezien wordt, maar niemand het begrijpt of de herkomst weet, zal er een gesprek over ontstaan. Op deze manier gaat het logo “leven” en zal iedereen graag naar de uitleg van dit logo (welke pas naar enkele weken gegeven wordt) gaan luisteren. 3.3 CURSUS

Dit kan een korte presentatie van tien mintuutjes zijn, dit kan een cursus van enkele dagen zijn, en alles hier tussenin. Een voorwaarde bij het creëren van awareness is herhaling, ook bij het geven van cursussen. Het doel is namelijk dat iedereen constant op beveiliging gaat letten; dat werknemers hun gedrag veranderen. Het op beveiliging letten moet een gewoonte worden. Gewoontes zijn over het algemeen niet met één infosessie aan of af te leren. Een cursus kan uit verschillende onderdelen bestaan met verschillende doelen.

Theorie van Maslow


21

- Leren. Dit kan via een presentatie zijn, een cursus op papier of via een computer, een cursus via een (instructie)film, etc. Hierin worden feiten/informatie gegeven over beveiliging. Bijvoorbeeld: Waarom is er beveiliging? Hoe ziet deze er uit in het bedrijf? Wat betekent dit voor werknemers? Hoe moet er geageerd worden op incidenten? Zijn er al eens incidenten geweest?

- Trainen. Dit kan veel inhouden, trainen is in dit geval het in de praktijk oefenen van de beveiligingsprocedures. Dit kan zijn door een rollenspel (over het een ander aanspreken op het begaan van beveiligingsincident), het oefenen van het effectief ontruimen van een gebouw waarbij men specifiek moet letten op beveiliging, etc. Een andere manier van trainen is een computerspel (laten) ontwerpen, waarin werknemers de beveiligingssituaties virtueel kunnen meemaken en er op moeten reageren.

Een controlemoment waar iets van afhangt inbouwen is aan te raden, omdat werknemers hierdoor belangen krijgen bij de cursus. Een competitie element aanbrengen in de cursus, bijvoorbeeld een quiz, zal werknemers ook beter laten opletten. Iedereen zal willen winnen. 3.4 OEFENINGEN HOUDEN

Trainen is kleinschalig en men weet dat het geen “echte” situatie betreft, bij oefeningen houden hoeft dit niet zo te zijn. Door echte situaties te creëren waar werknemers op moeten reageren, worden ten eerste de procedures en de bekendheid van deze procedures getest en de doelgerichtheid van deze procedures, daarnaast worden werknemers getraind in het uitvoeren van hun taken/verantwoordelijkheden tijdens incidenten. Zie eventueel bijlage 1 voor enkele voorbeelden van oefeningen die gehouden kunnen worden om de security awareness in het bedrijf te verhogen. In principe is iedere oefening beschreven in het ISPS oefeningenhandboek waarbij werknemers betrokken worden een oefening waarbij de security awareness wordt getrained. Zo’n oefening telt als kwartaaloefening. Bij oefenen geldt specifieke voorwaarde: het incident achteraf bespreken. Wanneer iemand niet weet dat hij/zij een fout heeft gemaakt is de kans dat hij/zij leert van deze fout nul. Een bekende uitspraak van Confucius: “Vertel het me en ik zal het vergeten. Laat het me zien en ik zal het onthouden. Laat het me doen en ik zal het begrijpen.” 3.5 HANDHAVINGSBELEID OPSTELLEN

Dit houdt vooral in duidelijke sancties vaststellen en uitvoeren voor het overtreden van (security) regels. Hierdoor wordt hoofdzakelijk de houding richting security veranderd, de werknemer gaat namelijk directe belangen hebben bij het zich wel of niet houden aan een bepaalde regel. Sancties kunnen negatief zijn, een overtreding bestraffen, en positief, een werknemer op iets goeds wijzen. Sancties kunnen een negatieve en een positieve invloed hebben op iemands attitude richting beveiliging, sancties hebben veel minder invloed op de kennis van een werknemer. Positieve sancties hebben waarschijnlijk een positieve invloed (afhankelijk van de persoon), iemand zal het gedrag graag herhalen wanneer hij als zij weet dat hier misschien een positieve sanctie van afhangt. Positieve sancties hoeven geen prijs of geldbedrag te zijn, het kan ook een compliment over het goede gedrag (van een persoon of afdeling) zijn, een overzicht van wat het security aware gedrag heeft opgeleverd, etc. Negatieve sancties kunnen zowel positief als negatief werken op iemand beveiligingattitude.


22

Een probleem bij negatieve sancties is dat mensen over het algemeen slimmer/flexibeler zijn dan regels. Men gaat dus manieren zoeken om regels te omzeilen. Wanneer er positieve sancties gegeven worden zal dit veel minder zijn, omdat iemand positief belang heeft aan het zich houden aan die regel, iemand wordt positief betrokken. Een voordeel van negatieve sancties is dat het risico van het bedrijf ook een risico van de werknemer wordt, hij/zij krijgt directe belangen bij het wel of niet overtreden van de regels. 3.6 OVERAL INFORMATIE VOORZIEN Deze manier heeft veel overeenkomsten met een (reclame) campagne voeren. Wanneer op het intranet ineens meldingsformulieren voor beveiligingsincidenten verschijnen; werknemers een aantal meldingsformulieren in hun postvak krijgen; overal procedures over wat te doen bij een bommelding worden opgehangen; bij de ingang de aanmeldingsprocedures duidelijk worden neergehangen; …, zal de security awareness ook vergroten. Iedereen wordt ineens met al deze informatie over beveiliging geconfronteerd. Zonder duidelijke uitleg rond al deze informatie kan deze manier echter wel tegenwerken. Het doel is dan misschien niet duidelijk en men kan een negatieve houding tegenover deze middelen ontwikkelen.


23

4. Uitvoering

4.1 INLEIDING Onderstaande stappen kunnen in meer of mindere mate van toepassing zijn. Het is een richtlijn die precies toegepast kan worden, maar ook veranderd kan worden.

4.2 NULMETING Door middel van een nulmeting kan achteraf getest worden hoeveel effect het security awareness programma heeft gehad. De nulmeting kan ook onderwerpen opleveren. Enquête: een enquête over de gehele security awareness uitvoeren, of over het specifieke beveiligingsonderwerp waar het bij het programma over zal gaan. Eén enquête door het gehele bedrijf of gericht op de doelgroep. Een voorbeeld van een algemene enquête gericht op kaaimedewerkers is in de bijlage 2 te vinden. Praktijk testen: oefeningen als beschreven in bijlage 1 uitvoeren en evalueren. Gegevens: verzamel gegevens over incidenten van het afgelopen jaar. Dit zou wel een onvolledig beeld kunnen geven. Daarnaast zijn er afhankelijk van het onderwerp en het bedrijf waarschijnlijk nog andere manieren om een nulmeting te doen.

4.3 DOELEN Wat is het hoofddoel van het security awareness programma? Maak eventueel subdoelen. Een doel als “De security awareness bedrijf X vergroten” werkt niet effectief. “Security awareness” is een breed begrip, het begrip “vergroten” is nog breder. Een hulpmiddel (geen vaststaande regel) hierbij is de bekende SMART. Een doelstelling moet Specifiek, Meetbaar, Acceptabel, Realistisch en Tijdgebonden zijn.

4.4 ONDERWERPEN Stel de onderwerpen af op de doelen. Hoofdstuk 2 van deze handreiking geeft eventueel ook nog meerdere onderwerpen. Maak de onderwerpen hierna specifiek. Bijvoorbeeld: informatieveiligheid � wachtwoorden, opbergen papieren, omgang met USB-sticks, omgang bedrijfsgevoelige informatie, etc. Deze onderwerpen kunnen eventueel ook weer specifieker gemaakt worden.

4.5 PRIORITEITEN Stel prioriteiten, welk prioriteit heeft het programma ten opzichte van andere programma’s. Welke onderwerpen binnen het programma hebben prioriteit? Dit kan afhangen van

- de beschikbaarheid van materiaal en personeel, - het huidige security awareness niveau in een afdeling of van het bedrijf, - andere projecten/processen/programma’s die afhankelijk zijn van de security

awareness - de groottes van de risico’s.

4.6 MANIEREN Stel de manieren waarop u de security awareness wil vergroten in het bedrijf vast. Kijk hiervoor ook in hoofdstuk 3. Deze manieren zijn uiteraard sterk afhankelijk van het budget dat is vrijgemaakt voor het security awareness programma.


24

4.8 TAKEN EN VERANTWOORDELIJKHEDEN Stel de taken en verantwoordelijkheden van iedereen die het programma mee helpt uitvoeren vast.

4.9 MIDDELEN Begin met het ontwikkelen van de middelen voor het vergroten van de security awareness. Deze middelen moeten zijn afgestemd op de doelgroep. Kijk ook in hoofdstuk 1.3 naar andere voorwaarden die voor deze middelen gelden. Bij deze handreiking horen ook een aantal al opgestelde middelen, deze zijn wel gericht op ISPS-wetgeving en op kaaimedewerkers, en moeten nog aangepast worden op de doelgroep en het bedrijf.

4.10 PLANNING Maak een planning lopend over meerder jaren. Security awareness creëren is een proces dat meerdere jaren kan duren. Plan niet alle onderwerpen waar u de werknemers bewust van wilt maken in een keer tegelijk in. Een voorbeeld van een globale planning als opgesteld door het NAVI:

4.11 VOER HET PLAN UIT

4.12 EVALUEER Evalueer ( tussentijds) de situatie nu met de nulmeting. Werknemers kunnen ook om feedback gevraagd worden. Dit geeft veel informatie over onder andere de doelgerichtheid, maar verhoogt daarnaast ook de betrokkenheid van werknemers bij de beveiliging. Zijn alle doelen bereikt? Verbeter eventueel de planning, manieren of middelen, pas de doelen aan... Voer het verbeterde plan uit, etc. De borging in dit geval is hoofdzakelijk het herhalen van de informatie tot iedere werknemer onbewust bekwaam is (zie bladzijde 21). Heb ook een procedure voor nieuwe werknemers.

e handreiking creeren security awareness

Documents