Op risicos gebaseerd beveiligen Het lijkt zo logisch
Op risico’s gebaseerd beveiligen
Het lijkt zo logisch… “Beveiliging ontleent haar bestaansrecht in het wegnemen van risico’s die het voortbestaan bedreigen van … de organisatie. ” In de basis bestaat er niets anders dan op Voor eens, voor altijd, voor alles risico’s gebaseerde beveiliging. Maar hoe geef je hier de juiste invulling aan? of Altijd alles voor één!
Wat op risico’s gebaseerd beveiligen is Een op risico’s gebaseerde benadering van fysieke beveiliging betekent dat de zwaarte van de te treffen beveiligingsmaatregel afhangt van de hoogte van het onderkende risico.
Een maatregel wordt niet genomen omdat het “moet”, maar omdat deze bijdraagt aan het beheersen van een onacceptabel risico.
Ons altijd passende proces maar toch geen ‘one size fits all’
Ons altijd passende proces maar toch geen ‘one size fits all’
10 Kenmerken van ons proces 1. 2. 3. 4. 5. 6. 7. 8. 9. De risico’s van de organisatie staan centraal De maatregelen zijn een afgeleide van de risico’s Iedere maatregel heeft meerdere mogelijkheden qua uitvoering Ieder risico wordt beheerst meerdere maatregelen Iedere maatregel draagt bij tot beheersing van meerdere risico’s Qua zwaarte passende maatregel bij hoogte van het risico In een koppelingstabel komt dit allemaal bij elkaar Per locatie kunnen de dreigingen verschillen Per locatie zullen de gewenste beveiligingsmaatregelen verschillen 10. Via de koppelingstabel krijg je meer zekerheid dat voor iedere locatie de juiste maatregelen zijn getroffen
Resultaat het nemen van de juiste maatregelen
Voorwaardelijk • • • Je zult per locatie de risico’s moeten inschatten Je zult per locatie de huidige maatregelen inzichtelijk moeten maken voor een goede analyse Per locatie betekent meer werk, maar dit is te automatiseren
Voorwaardelijk • • • Je zult per locatie de risico’s moeten inschatten Je zult per locatie de huidige maatregelen inzichtelijk moeten maken voor een goede analyse Per locatie betekent meer werk, maar dit is te automatiseren
In ‘no time’ per locatie 1: Risicoanalyse Bepalen van de attractiviteit en het belang per dreiging. Op basis van het dreigingsprofiel, het Pv. E en de koppelingstabellen leidt dit tot beveiligingsadvies 2: Beveiligingsadvies Beoordelen of de in het advies voorgestelde maatregelen ook passen en kunnen of dat moet worden afgeweken. Bij afwijking onderbouwing geven 3: Verschillenanalyse: Stap 1: Invoeren van de bestaande maatregelen. Dit toont automatisch de risicoklasse voor de bestaande situatie versus de gewenste situatie Stap 2: Kiezen van de risicostrategie per dreiging die niet voldoet. Accepteren of actie vereist. Op basis van het verschil kunnen de juiste prioriteiten gesteld worden Stap 3: Kiezen van de strategie per verbetermaatregel: accepteren of actie vereist. Accepteren betekent risicoacceptatieproces doorlopen, actie vereist betekent verbetermaatregel en verbeterplan
T. G. K. I. O. R. • • Het kost minder tijd, dus kun je meer beter doen (-80% t. o. v. handmatig) Tijd is geld, dus kun je meer goedkoper doen Het is eenvoudig om te doen, wijzigingen voer je eenvoudig door Het is minder foutgevoelig Er kunnen analyses en rapporten worden gemaakt Het dwingt toelichting af daar waar je andere keuzes maakt Het is controleerbaar Er ontstaat een compleet overzicht van risico’s, maatregelen, verbeterpunten en risicoacceptaties TGKIOR staat voor de beheersaspecten tijd, geld, kwaliteit, informatie, organisatie en risico’s
Generiek versus specifiek Binnen eenzelfde branche onderkennen organisaties over het algemeen dezelfde dreigingen. Ook de maatregelen die worden ingezet, verschillen in de noemer niet veel. In zwaarte kan dit wel degelijk verschillen. Een verschil net als ‘niet helemaal’ versus ‘helemaal niet’. Met voor een branche generiek geldende dreigingsprofielen, programma’s van eisen en koppelingstabellen kan iedere organisatie binnen die branche voor zichzelf betere afwegingen maken tussen de risico’s die de organisatie loopt en de in te zetten maatregelen om deze risico’s beheersbaar te maken. De branche generieke dreigingsprofielen stellen wij vanuit Risico. Regisseurs gratis beschikbaar.
Voor het te laat is
In 7 stappen blijvend de baas over de beveiliging van je organisatie Beveiligingsbeleid Dreigingsprofiel Programma van Eisen Het beveiligingsbeleid wordt door de directie vastgesteld en is voor iedereen geldend. In het beleid is vastgelegd wat de visie is op beveiliging en welke bereidheid er is voor het nemen van risico’s. Het dreigingsprofiel beschrijft de combinaties van dreigingen, daders en aanvalsmiddelen waar de organisatie zich tegen wil beveiligen. Deze combinaties worden in de termen van wel of niet realistisch gewaardeerd. Dit vormt de basis voor de later uit te voeren risicoanalyse per locatie. Op basis van wet- en regelgeving, het beveiligingsbeleid en het dreigingsprofiel wordt in het Programma van Eisen beschreven welke beveiligingsmaatregelen genomen worden om de voor de organisatie benoemde risico’s beheersbaar te maken. 1 2 3 Ook wordt beschreven hoe de beveiligingsorganisatie is ingericht, wie met welke verantwoordelijkheden betrokken zijn, welke processen van toepassing zijn en wat van de medewerkers wordt verwacht. Het dreigingsprofiel wordt actueel gehouden door dreigingen en incidenten die zich binnen en buiten de organisatie voordoen te analyseren en daar waar nodig toe te voegen aan het dreigingsprofiel. Omdat dreigingen per type locatie verschillen en omdat locaties in meer of mindere mate van belang zijn voor de organisatie, kunnen meerdere types Programma van Eisen nodig zijn.
Koppelingstabel In deze unieke stap, van het model, worden de dreigingen uit het dreigingsprofiel gekoppeld aan de maatregelen vanuit het Programma van Eisen. Bepalend hierbij is de keuze voor welke maatregelen en de zwaarte hiervan daadwerkelijk een bijdrage kunnen leveren aan het beheersbaar maken van iedere afzonderlijke dreiging. Het resultaat van alle overwegingen wordt vastgelegd in een koppelingstabel, waarmee een keuze uit duizenden mogelijkheden is gemaakt die steeds wordt toegepast als maatwerk per situatie: controleerbaar, efficiënt en effectief. 4 Risicoanalyse per locatie Beveiligingsplan Maatregelen Per locatie wordt gekeken naar de processen die er worden uitgevoerd en wat hiervoor aan informatie, materieel en personen op locatie aanwezig is. Vervolgens wordt bepaald welke risico’s voor deze locatie realistisch zijn, wat de gevolgen daarvan kunnen zijn en welke maatregelen uit het Programma van Eisen wenselijk zijn om die risico’s op een aanvaardbaar niveau te houden. Als de risicoanalyse is vastgesteld, worden daaruit de relevante maatregelen vanuit het Programma van Eisen geselecteerd. In het beveiligingsplan wordt beschreven welke mix aan maatregelen gewenst is, wat hiervan al gerealiseerd is en wat nog gedaan moet worden en wanneer dan wel. Waar van het Programma van Eisen wordt afgeweken wordt aangegeven of er alternatieven zijn of dat het risico formeel geaccepteerd zal worden. Het beveiligingsplan wordt periodiek getoetst op actualiteit en waar er wijzigingen zijn in processen, risico’s en/of maatregelen, worden deze in het plan verwerkt. De mix aan beveiligingsmaatregelen die getroffen wordt bestaat uit een combinatie van organisatorische, bouwkundige, elektronische en reactieve maatregelen. De maatregelen worden geïmplementeerd, onderhouden en periodiek gecontroleerd. Daar waar leveranciers betrokken zijn, vindt afstemming plaats, worden de afspraken in contracten vastgelegd en wordt er periodiek verantwoording afgelegd over de prestaties. 5 6 7
Meer weten?
- Slides: 17