SECURITY MANAGEMENT H2 AVANS DEN BOSCH 2022/2023
Artikelen
Risk management Fay
Taken die behoren bij risk management:
Assets identificatie; breng de belangrijke bedrijfsmiddelen in kaart
Dreiging identificatie; breng de interne en externe dreigingen in kaart
Waarschijnlijkheid assessment; hoe groot is de kans dat de dreiging voorkomt
Impact assessment; wat is het mogelijke effect van een risico
Frequentie assessment; hoe vaak komt het voor, het verschil met waarschijnlijkheid is
dat je hierbij bewijst hebt dat het ook al eerder is gebeurd
Manageability assesment; de manier hoe je met de risico’s kan omgaan
1. Vermijden; wat betekent dat je het doelwit verwijdert dat een risico creëert.
Bijvoorbeeld het simpelweg niet verstrekken van laptops aan je medewerkers,
waardoor het risico op laptopdiefstal wordt geëlimineerd.
2. Verkleinen; hierbij beperk je het doelwit dat een risico creëert. Bijvoorbeeld het
bewaren van producten die een risico vormen in een afgesloten kast.
3. Verspreiden; door meerdere barrières te gebruiken. Bijvoorbeeld apparatuur voor
toegangscontrole en inbraakdetectie zoals kaartlezers en CCTV.
4. Overdragen; afschuiven op iemand ander door bv. een verzekering af te sluiten of
door de prijzen te verhogen zodat kopers van het product of de dienst betalen voor
verliezen. Je kunt ook functies outsourcen die een groot risico vormen voor andere
partijen; denk aan het inzetten van contractmedewerkers in plaats van eigen
medewerkers.
5. Accepteren. Soms accepteert het management een risico, omdat het risico een gok
waard is of omdat de kosten van verlies niet groot genoeg zijn om de kosten van
preventie te rechtvaardigen.
Identificeren van tegenmaatregelen; het bedenken van maatregelen om het risico te
verkleinen. Hierbij moet rekening gehouden worden dat het aansluit bij de risico’s, de
waarschijnlijk, de frequentie etc. maar ook dat het past bij de stijl van de organisatie.
Self assessment techniek; terug blikken op wat je zelf hebt gedaan en weet, om te
kunnen reflecteren en verbeteren.
Review en audit techniek; kijken of men aan de security verwachtingen heeft gedaan
en of de maatregelen iets hebben opgeleverd.
Rapporteren van alle resultaten; alle resultaten die je hebt gevonden uitleggen en
maatregelen geven om de situatie te verbeteren. Een review wordt vaak opgevolgd door
een audit, en een audit weer door een review. De frequentie is meestal 1x per jaar/per
twee jaar, maar je voert het vaker uit als de assets kritiek zijn voor de bedrijfsprocessen,
als er een groeiend risico is, wanneer er een incident heeft plaatsgevonden of wanneer
het management zich niet actief bezig houdt met security management.
De SICM-techniek is een methode voor het onderzoeken en analyseren van een
security-gerelateerd verlies. Een verliesgevend incident is een ongewenste gebeurtenis
die leidt tot schade aan mensen of verlies van eigendommen of processen, en is meestal het
gevolg van een overtreding van de wet, het beleid of de werkregel.
Het helpt om SICM te zien als een actieve vulkaan. Uit de bovenkant komen rook en lava.
Dit is het verlies. In de vulkaan, in aflopende volgorde, bevinden zich het incident, de
verborgen oorzaken die ten grondslag liggen aan het incident en het falen van het
management.
,PPS Garcia
De ‘physical protection system’ methode, ook wel PPS genoemd, is een proces om het juiste
fysieke beveiligingssysteem voor een bepaalde faciliteit te bepalen. Bij het ontwerpen van
een effectieve PPS moet de ontwerper de doelstelling van de PPS tegenover de beschikbare
middelen zetten. Zonder deze aanpak zou de PPS middelen kunnen verspillen aan onnodige
bescherming, of erger nog, bepaalde punten van de faciliteit niet kunnen beschermen.
Het proces van het opstellen van een PPS:
De eerste stap in het proces is het bepalen van de doelstellingen van het
beveiligingssysteem. Om deze doelstellingen te formuleren, moet de ontwerper de
volgende stappen doorlopen:
1) Begrijp de processen van de organisatie
2) Definieer de dreiging
3) Identificeer de doelen waar de vijand zich op wil richten
4) (Evaluatie)
Voor de eerste stap is het nodig om een beschrijving van de organisatie te maken. De
beschrijving bevat verschillende dingen zoals: de locatie van het gebouw, plattegronden van
het interieur van het gebouw en toegangspunten. Deze informatie kan worden verzameld via
blauwdrukken, procesbeschrijvingen, veiligheidsanalyserapporten, interviews, een
rondleiding op het terrein en checklists.
Voor de volgende stap moet de dreiging worden gedefinieerd. Er moet informatie worden
verzameld om drie vragen over de vijand te beantwoorden:
Met wat voor vijanden moet rekening worden gehouden?
Wat zijn de mogelijke tactieken van de vijanden?
, Waar zijn de vijanden toe in staat/welke vaardigheden?
Vijanden kunnen worden onderverdeeld in drie klassen: outsiders, insiders en outsiders
die samenspannen met insiders. Voor elke klasse tegenstander moet alle mogelijke
tactieken worden overwogen, zoals het beveiligingssysteem verslaan of overwinnen.
Belangrijke capaciteiten voor de tegenstander zijn onder meer zijn kennis van het PPS,
zijn motivatie, zijn vaardigheden die nuttig zouden zijn bij de aanval, zijn snelheid
waarmee de aanval wordt uitgevoerd en het vermogen om gereedschappen en wapens te
dragen.
De derde stap is het identificeren van de mogelijke targets van het beveiligingssysteem,
zoals belangrijke informatie, bepaalde mensen of belangrijke gebieden en processen.
De allerlaatste stap, na het ontwikkelen van een PPS ontwerp, is analyseren en evalueren.
Dit wordt gedaan door de beschermingsdoelstellingen waaraan het ontworpen systeem moet
voldoen, te bekijken en te begrijpen. Directe systeemtesten zijn niet praktisch omdat dan de
werking van de installatie wordt verstoord. Alleen subsystemen worden getest.
De grootte van het risico bepalen dat een vijand toegang krijgt tot kritieke
bedrijfsmiddelen:
R = Pa x (1 - (Pi)) x C
R: risico voor de organisatie dat een vijand toegang krijgt tot kritieke bedrijfsmiddelen of
deze steelt. Het bereik is 0 tot 1,0. Waarbij 0 geen risico is en 1.0 maximaal risico is.
Pa: waarschijnlijkheid van een vijandige aanval. Dit kan moeilijk te bepalen zijn, maar
over het algemeen zijn er gegevens beschikbaar om u hierbij te helpen. De waarde van
deze kans loopt van 0 (helemaal geen kans op een aanval) tot 1,0 (zekerheid van een
aanval). Gewoonlijk gaan we bij de risicoberekening uit van Pa = 1,0, wat betekent dat
een aanval op een organisatie zal plaatsvinden.
Pi: waarschijnlijkheid van onderbreking. Dit is de waarschijnlijkheid dat de vijand op tijd
wordt onderbroken door de reactiekracht om te voorkomen dat de tegenstander zijn
doelen bereikt. Waarde loopt van 0 (de tegenstander zal zeker succesvol zijn) tot 1,0 (de
tegenstander zal zeker op zijn pad worden onderbroken).
C: gevolg. Dit is een waarde van 0 tot 1 die betrekking heeft op de ernst van het optreden
van de gebeurtenis.
Zodra de risicowaarde is bepaald, kan de beveiligingsmanager de besteding van middelen
verantwoorden. Deze informatie kan worden gepresenteerd aan het uitvoerend management
van het bedrijf om aan te tonen hoe het beveiligingsrisico wordt beperkt en hoeveel
risicoblootstelling er nog is.
De subsystemen van een PPS:
Detectie
Vertraging
Reactie
(Voor verdere uitleg, zie aantekeningen van les 5)