Predictive profiling implementatie een casestudy
'Predictive profiling dat is toch iets met het maken van een dader profiel ?' 'Ik zie dat wel eens op tv waarbij profilers van de FBI een seriemoordenaar opsporen aan de hand van gedragskenmerken.'
'Interessant werk doe jij.'
Het is allemaal niet zo spannend zeg ik vaak. Ik heb ook geen idee hoe die FBI profilers te werk gaan. Het staat net zover van mij af als het verschil tussen voetbal en hockey. Allebei iets met een bal en een goal waar je op kan schieten en scoren.
'Maar jullie letten toch op mensen die afwijkend gedrag vertonen?'
'Zucht...de term 'afwijkend gedrag' is voor amateurs en pseudo psychologen.'
'Wat is het dan wel?'
Deze casestudy geeft antwoord op deze vragen en vooral de vraag hoe zorg ik ervoor dat mijn organisatie van een reactieve vorm van beveiligen de overstap kan maken naar preventieve proactieve beveiliging.
Dat is minstens zo interessant en nodig want de dreigingen van nu veranderen continu. De enige manier om kwetsbaarheden te mitigeren -om maar eens een duur woord te gebruiken- is door een proactief systeem te implementeren gebasseerd op principes.
Dat inzicht en wat daar voor nodig is leer je in deze casestudy.
Moet je het nog wel even gaan doen. Daar heb je, ahum, ons dan weer voor.
Komt ie.
Predictive profiling kent naast een operationele, ook nog een strategische en tactische kant. Deze casestudy geeft antwoord op de vraag hoe je predictive profiling implementeerd in een organisatie? In deze casestudy gaat het om een organisatie met meer dan 8000 medewerkers en meer dan 20 gebouwen.
Opdrachtgever: Geanonimiseerd
Wens van de opdrachtgever: Om de veiligheid van mensen én processen in de toekomst te kunnen blijven waarborgen, willen wij onze huidige reactieve benadering van security omvormen naar een proactieve manier door middel van Predictive Profiling.
Anders beveiligen: Van reactieve Respons naar Proactieve Preventie
Waarom deze casestudy?
In het afgelopen jaar hebben wij een grote internationale organisatie in Nederland geholpen over te stappen naar proactieve security, door middel van Predictive Profiling. Met deze casestudy willen wij organisaties met soortgelijke security ambities laten zien hoe dit is verlopen.
Voor je verder leest..
Deze casestudy is bedoeld als praktijkvoorbeeld, zodat je ziet wat Predictive Profiling voor jullie kan betekenen. Daarbij doen wij ons best jargon zoveel mogelijk te beperken en er geen management monoloog van te maken. Vanwege onze integriteit richting de opdrachtgever hebben wij deze casestudy geanonimiseerd.
Uiteraard valt er nog veel meer te vertellen over dit project dan hier aan bod komt. Wil je meer weten over onze integrale aanpak? Wij nodigen je graag uit een vrijblijvende strategiesessie met ons in te plannen.
De start: Commitment voor de (nieuwe) security ambitie
Hoewel het dreigingsniveau van de NCTV alweer een tijdje op niveau 4 staat, zien we dat nog te weinig beleidsmakers hun bestaande en soms verouderde beveiligingssysteem updaten. Hoewel aan security ambitie van security en facility managers geen gebrek. Met de (beveiligings)medewerkers een dagje op cursus sturen denkt men er wel te zijn. Maar deze aanpak levert niet op wat men ervan verwacht.
Om de overstap te maken van reactief beveiligen (= de oude aanpak) naar proactieve security (= de nieuwe methode) is een integrale aanpak nodig binnen de gehele organisatie. Een serieus veranderingstraject.
Hoe krijgt je hier op beleids- of bestuursniveau aandacht voor? Dit is hoe onze opdrachtgever dat voor elkaar kreeg:
1. Lever aantoonbaar bewijs dat bepaalde dreigingen realistisch zijn en verandering nu nodig is
In 2016 verscheen een rapport van het COT (Instituut voor Veiligheids- en Crisismanagement) over de dreigingen waar organisaties nu mee te maken krijgen. Organisaties moeten volgens het onderzoek serieus bij zichzelf te rade gaan of hun weerbaarheid tegen deze dreigingen nog voldoende bestand is. Dit rapport gaf de opdrachtgever een steun in de rug om bij zijn beleidsmakers opdracht te krijgen voor de uitrol van de nieuwe security ambitie. Daarnaast bleek, hoewel dit geen doel op zich was, dat de opdrachtgever tegelijkertijd aanzienlijk kosten kon besparen, door de huidige resources slimmer in te zetten.
2. Reflecteer op huidige middelen en inzet van beveiligers
Het vorm geven aan de nieuwe security ambitie begon met kritisch te kijken naar de huidige inrichting van de beveiligings-maatregelen. Zo kwam onze opdrachtgever tot de conclusie dat er een groot tekort was aan ogen en oren, om alle gebouwen en terreinen volledig te kunnen controleren. Beveiligers werden teveel ingezet voor andere werkzaamheden, waardoor zij te weinig van hun plek kwamen. Op basis van deze conclusie koos de organisatie voor een integrale proactieve aanpak om de veiligheid te waarborgen. Zo is veiligheid niet alleen de verantwoordelijkheid meer van de afdeling facilitair/security, maar van iedereen binnen de organisatie.
Deze ambitie sluit naadloos aan op de visie van Preventional. Want hoe meer ogen en oren een organisatie inzet, hoe beter. Een team van beveiligers van enige omvang, blijkt vaak toch nog ontoereikend om overal op het juiste moment te zijn. En mensen en middelen zijn altijd schaars. Door deze match in ambitie ontstond de behoefte om dit project samen aan te gaan. En met behulp van onze integrale aanpak vorm te geven.
Voor deze opdrachtgever hebben wij onder meer:
· een omscholingstraject van de beveiligers ingezet;
· een coachingstraject voor de leidinggevenden ingezet, om het huidige reactieve security management systeem aan te passen;
· een strategie ontworpen om de gehele organisatie mee te nemen in de aangepaste werkwijze, en de medewerkers te laten wennen aan hun rol binnen de nieuwe security ambitie.
De strategie van de integrale aanpak in fasen
Startpunt: vaststellen gewenste awareness niveaus
Het startpunt voor de integrale aanpak is de invulling van de awareness niveaus binnen de organisatie. Elk niveau vraagt om een eigen pakket aan kennis en vaardigheden, met bijbehorende mindset. Dit maakt de veiligheidstaak en verantwoordelijkheid van de betrokken medewerker direct duidelijk. Zodat de organisatie, zowel op de korte als lange termijn, kan bepalen wie welke veiligheidstaak toegewezen krijgt.
Het overzicht van de niveaus met elk een eigen kleur en invulling ziet er als volgt uit:
· Wit: persoon bevindt zich in zijn eigen bubbel en heeft nauwelijks aandacht voor zijn omgeving.
· Geel: persoon is zich bewust van mogelijke dreigingen voor zijn directe omgeving. Persoonlijke awareness staat aan. Bij het ervaren van een negatief security gevoel (het ‘onderbuik gevoel’) meldt de persoon dit direct aan iemand in een hoger niveau.
· Oranje: persoon kent de verdachte indicatoren van de specifieke omgeving, en heeft de vaardigheden om deze te herkennen. Persoon is in staat zelfstandig de eerste niveaus van prikkelen uit te voeren bij verdachte indicatoren. Op basis van deze uitkomst, of als prikkelen niet mogelijk is, meldt de persoon dit op de juiste manier aan een medewerker met een hoger awareness en vaardighedenniveau.
· Rood: persoon kent de risicoposities en hotspots van zijn omgeving, is zelfstandig in staat de daar specifiek geldende verdachte indicatoren te detecteren, zelfstandig Security Questioning uit te voeren en een dreigingsbeslissing te maken. Persoon geeft gevolg aan de daarvoor geldende SOP en overige opvolging, die is vastgelegd in het managementsysteem.
· Zwart: persoon is zich bewust van zijn eigen mogelijke overlevingsmodus en ‘Oh no’-effect in geval van dreiging. Persoon kent de vluchtstrategie
Op basis van deze awareness niveaus stelde de opdrachtgever vast dat zij alle beveiligers in niveau Rood moeten brengen. Alle service-, facilitaire en hospitality medewerkers in niveau Oranje. En alle overige medewerkers in het eerste jaar in niveau Geel.
Strategie bepalen
Per medewerkersgroep hebben we in samenwerking met de opdrachtgever een strategie bepaald, om deze doelstelling te behalen. Deze strategie omvatte onder meer de volgende deelopdrachten:
- · Opleiden en coachen van beveiligers en hun leidinggevenden in proactieve beveiliging door middel van Predictive Profiling.
- · Opzetten van een train de trainer programma, zodat men intern zelf workshops kan organiseren voor verschillende groepen medewerkers voor niveau Geel en Oranje.
- · Ontwikkelen en aanpassen van nieuwe operationele proactieve (security) procedures.
- · Ontwikkelen en uitvoeren van een coachingsprogramma op maat, om de vaardigheden in de praktijk te trainen voor niveaus Oranje en Rood.
- · Ontwikkelen van een e-learning omgeving voor inhoudelijke ondersteuning.
- · Ontwikkelen van een interne security intelligence omgeving, waarbij men (real-time) informatie kan verwerken en direct door kan geven aan de belanghebbenden.
- · Ontwikkelen en uitvoeren van proactieve supervision voor de begeleiding en coaching van niveau Rood door de eigen leidinggevenden.
- · Opleiden en operationeel maken van een intern Red Teaming team.
- · Samen ontwikkelen en uitrollen van een communicatie- en promotieplan voor de promotie van proactieve veiligheid binnen de gehele organisatie. En het stimuleren van de betrokkenheid van de medewerkers.
Fase 1: motiveren en inspireren
De beveiligers
Veiligheid, toegankelijkheid en een vriendelijke benadering staan soms op wat gespannen voet met elkaar. Dit is niet nieuw voor ons. Een beveiliger is van oorsprong een incident gestuurde functionaris die toezicht houdt, rapporteert en in actie komt als bijvoorbeeld de huisregels worden overtreden.
De beveiligers van deze organisatie waren vrijwel continu bezig met het oplossen van meldingen. Van facilitaire meldingen en meldingen van diefstal van persoonlijke eigendommen, tot het oplossen van problemen met toegangspasjes. Ze reageerden direct en snel op deze meldingen. En ook in zeer gecompliceerde en risicovolle situaties waren zij er snel bij als dat nodig was. Precies zoals de organisatie dat van de beveiligers verlangde.
De verloop in het team is laag, waardoor kennis en ervaring binnen de organisatie blijft. Ook zorgt dit voor sterke onderlinge relaties. Naast het vaste team van beveiligers maakt de organisatie gebruik van inhuurkrachten, die dezelfde taken uitvoeren als de eigen mensen.
Onze rol
Het verzorgen van opleidingen en trainingen is natuurlijk al jaren de core business van Preventional. Onze uitdaging is hierdoor eigenlijk altijd hetzelfde. Namelijk: hoe ga je de vaste groep beveiligers, die al jaren op hun eigen manier werken, in de nieuwe gewenste mindset krijgen? Om ze vervolgens ook de benodigde vaardigheden aan te leren, die passen bij de gestelde security ambitie?
Wegnemen van de weerstand – De workshop
In fase 1 hebben alle beveiligers eerst een kennismakingsworkshop gevolgd, onder de noemer ‘Anders Beveiligen’. In deze workshop maakten de beveiligers kennis met Predictive Profiling. Tijdens de praktijkoefeningen daagden wij de beveiligers uit om eens met andere ogen naar de eigen operationele omgeving te kijken. Tijdens de workshop was er continu een observator aanwezig, die een assessment uitvoerde op individueel niveau. Zodat de organisatie ook in de vervolgopleiding rekening kan houden met onder meer de mate van motivatie, flexibiliteit en weerstand tegen verandering van de medewerkers.
Naast het introduceren van de nieuwe manier van werken, is het voornaamste doel van de workshop om de weerstand tegen verandering bij beveiligers weg te nemen. Vaak gehoorde opmerkingen daarbij zijn:
“Dit doen wij toch al lang?”
“Wij hebben vaker een training gehad, maar na een paar jaar hoor je er niemand meer over…”.
“Moet ik eigenlijk wel meedoen, want ik ga over … jaar met pensioen”.
“Misschien moeten jullie eerst eens beginnen met die en die afdeling, want die bellen ons om de haverklap voor van alles en nog wat”.
“Ik snap dat dit op Schiphol belangrijk is, maar er zijn hier zoveel in- en uitgangen waar geen controle op is, dat het toch weinig zin heeft”.
“Terroristen zijn ons toch te slim af. Criminelen trouwens ook!”
Voor ons zijn dit vaak bekende sentimenten. Toch is het ons vrijwel altijd gelukt om deze sentimenten om te buigen naar een positief geluid. Helemaal als mensen zien dat de nieuwe aanpak niet alleen werkt, maar ook leuk is. Omdat men veel meer eigen verantwoordelijkheid en beslissingsbevoegdheid heeft.
Als de mindset klopt, volgt de rest vanzelf. Zo is onze ervaring.
Bouwen aan het nieuwe security managementsysteem
In fase 1 heeft het management een start gemaakt met het nieuwe security managementsysteem en het in kaart brengen van de dreigingsanalyses per gebouw. Daarnaast heeft het management een eerste inventarisatie gemaakt van medewerkers die een rol kunnen spelen als ambassadeur of interne trainer. Voor het geven van workshops, pitches en coaching binnen de gehele organisatie.
Fase 2: ontwikkelen en opleiden
Ontwikkelen van de verdachte indicatoren
Om te voorkomen dat bij de minste afwijking van de norm medewerkers direct opschalen naar dreiging, hebben wij een lijst met specifieke verdachte indicatoren ontwikkeld die medewerkers kunnen inzetten. Deze verdachte indicatoren zijn een eerste trigger dat er iets aan de hand kan zijn en mag men dus nooit negeren. Voor gebouwen waar bij de toegangscontrole om een ID wordt gevraagd, hebben wij extra verdachte indicatoren ontwikkeld om valse documenten te onderscheppen. De medewerkers die met deze indicatoren werken, hebben hiervoor een extra trainingsmodule ontvangen.
Beveiligers opleiden tot Operational Security Profilers (OSP®)
Alle beveiligers hebben versneld de registeropleiding OSP® gevolgd en succesvol afgesloten met het bijbehorende praktijk-examen. In deze registeropleiding hebben alle beveiligers de mindset, kennis en vaardigheden geleerd die horen bij de OSP®-norm.
STANDAARD OPERATIONELE PROCEDURES (SOP)
Eigenlijk zou ieder gebouw een aparte procedure moeten krijgen. Maar dit bleek in de praktijk onwerkbaar. Daarom hebben wij ons gericht op de overeenkomsten van de gebouwen en hebben wij één SOP gemaakt, die wij op kleine onderdelen hebben aangepast. Tijdens de coaching on the job-fase heeft de organisatie geoefend met een eerste versie van de nieuwe procedures. Met positief resultaat.
Alle procedures, opvolging en verantwoordelijkheden hebben we vastgelegd in het security managementsysteem, dat wij in eigen beheer hebben ontwikkeld.
SELECTEREN VAN AMBASSADEURS EN INTERNE TRAINERS
Het werven van de ambassadeurs en trainers is op een voor ons ook compleet nieuwe manier gegaan. De uitnodiging voor het aanmelden voor deze rol is breed weggezet, om vooral ook mensen buiten het security netwerk te rekruteren.
Schot in de roos
De belangstellenden kregen de opdracht een korte presentatie te geven over een zelf te kiezen veiligheidsonderwerp. Deze aanpak bleek een schot in de roos. De mensen die uiteindelijk werden geselecteerd, bleken in ieder geval over didactisch talent te beschikken. En op een creatieve manier de boodschap over te kunnen brengen.
Fase 3: interne specialisten en teams opleiden
Train de trainer programma
Tijdens het zeer intensieve train de trainer programma hebben de geselecteerde medewerkers de juiste mindset, kennis en vaardigheden geleerd voor het geven van workshops en pitches. Met behulp van onze trainers kan deze groep hierdoor de andere medewerkers motiveren om tot het gewenste awareness niveau te komen. En kan de groep een medewerker op basis van verdachte indicatoren een mogelijke dreiging laten herkennen tijdens zijn normale werksituatie.
Oprichten Red Team
Red Teaming is dé tool om bestaande en nieuwe aannames in het security systeem met realistische oefeningen te testen. Voor onze opdrachtgever hebben wij intern twee teams opgericht en operationeel gemaakt. Het RTM (Red Teaming Management) bedenkt en plant de oefeningen voor het RTO (Red Teaming Operationeel). Het RTO voert in wisselende samenstelling de oefeningen uit.
Het RTM is uitgebreid getraind om alle facetten van Red Teaming te leren, zowel in theorie als in praktijk. Het Hoofd beveiliging heeft de eindregie over beide Red Teaming groepen, waarbij het RTM bevoegd is vanuit een onafhankelijke positie
zelfstandig de oefeningen te bedenken en met toestemming uit te voeren. Het mooie van deze aanpak is dat de organisatie talenten kan inzetten voor specifieke opdrachten, die ook nog eens leuk en leerzaam zijn.
Fase 4: implementeren
Coaching on the job
Met diploma’s, klassikale lessen en het kennen van de juiste definities stop je natuurlijk nog geen kwaadwillende in zijn voorbereiding. Daar is wel wat meer voor nodig. Vandaar dat een-op-een coaching on the job een absolute must is om mensen op hun eigen niveau verder te brengen. Soms kunnen dat hele basale, maar lastige drempels zijn. Zoals contact maken met iemand die je niet kent, of het stellen van security questioning vragen.
Coaching on the job is bedoeld om mensen te laten kijken door onze bril. Om ze te laten ervaren hoe het is om verdachte indicatoren te ontkrachten met een paar korte open vragen.
Door coaching on the job komt de theorie tot leven en krijgen mensen meer zelfvertrouwen. De werkvloer is in dat opzicht het meest ideale klaslokaal, waar grote én blijvende verandering kan plaatsvinden.
”Waarmee kan ik u helpen?”
Fase 4 van dit project bestaat uit een doorlopende opdracht voor de interne trainers. Aan belangstelling voor de workshops was geen gebrek. In de eerste maand na de oproep schreven zich meer dan 200 medewerkers in. Dit worden de eerder genoemde extra ogen en oren voor de awareness niveaus Geel en Oranje. Deze mensen hebben een signalerende rol en zijn na de workshop in staat om op iemand af te stappen en een paar servicevragen te stellen.
De ‘waarmee’- of ‘hoe kan ik u helpen-vraag’ is daarbij simpel en effectief om iemand die liever niet gezien had willen worden uit de anonimiteit te halen. Op het moment dat de medewerker het toch niet vertrouwd, wordt er direct een
opgeleide en gecoachte beveiliger ingezet die Security Questioning kan toepassen. Om de opvolging te geven die nodig is.
Borging beheer en behoud
De methodiek en het systeem hebben onderhoud nodig. Ook moeten procedures die in het begin misschien wat onwennig aanvoelden, vanzelfsprekend worden. Door mensen binnen de organisatie deeltaken te geven die passen bij hun talenten, kan de methodiek worden geborgd.
Security Intelligence
Het meerjarenplan bestaat uit e-learning modules, het analyseren van successen en falen en het aanstellen van een intelligence team dat zorgt voor het aan elkaar knopen van de informatiestromen. Dit intelligence team beschikt over tools die in real time en uit open bron waardevolle security en reputatie informatie kunnen ontsluiten. Let wel, dit intelligence team combineert deze taak met de bestaande werkzaamheden op rustige momenten.
Evaluatie na de implementatie
“Hoeveel criminelen en terroristen zijn er inmiddels gestopt?”, “Hoe effectief is de nieuwe security ambitie nu in de praktijk?”, “Wat is het rendement op deze investering ten opzichte van de veiligheid?” Vragen die uiteraard gesteld gaan worden. Want waarom zou je iets gaan doen en daarin investeren zonder de effecten te meten?
De successen van Predictive Profiling zijn af te meten aan data en resultaten, verzameld na een Security Questioning. Zoals de mogelijke dreigingen die voortijdig zijn gestopt doordat een medewerker proactief contact maakte, het aantal keer dat diefstal van persoonlijke eigendommen is voorkomen, of het aantal keer dat personen zijn tegengehouden die zich onbevoegd ophielden in het gebouw. Deze lijn van successen zullen groeien zolang deze successen worden geregistreerd, geanalyseerd en weer terug worden gegeven in bruikbare security intelligence voor de operationele medewerkers.
Succes voor een proactieve beveiliger is wanneer hij of zij in staat is om een verdachte situatie door middel van vragen te ontkrachten, zodat van dreiging geen sprake meer is. Dit gebeurt aan de lopende band. En zorgt ervoor dat het algehele gevoel van veiligheid toeneemt.
Een proactief beveiligingsysteem dat altijd doorgaat
Het is onze missie om uw organisatie naar een hoger niveau van weerbaarheid te brengen, met bestaande middelen en mensen. Door mensen eigenaar te maken van delen van het proces en verbindingen te maken tussen afdelingen, draait dit systeem altijd door. Want door processen zoveel mogelijk te standaardiseren, weet iedereen wat er van hem of haar wordt verwacht.
Wat is jullie security ambitie?
Wil je een keer met ons sparren over proactief beveiligen door middel van Predictive Profiling binnen jullie eigen organisatie? Ook als je geen 20 gebouwen en +8000 medewerkers hebt? Dan plannen wij graag vrijblijvend een online strategiesessie met je in!
Stuur een berichtje via het contactformulier en we plannen een strategiesessie in.
Groet,
Bert van Pel
Profiling Basics. Een profiling cursus op hoofdlijnen. Niet te duur wel heel erg goed.
Operational Security Profiler (OSP) Maatgevend in het vakgebied.
Studieboek proactief beveiligen op basis van Predictive Profiling. Volgens SVPB en OSP-norm.
Gratis E-book 5 Essentiële Verdachte Indicatoren. Zie wat anderen over het hoofd zien.