Security management
samenvatting Maud Gerretsen
AIV1VB
Week 1: Introductie
Integrale aanpak: organisatie breed, samenhangende maatregelen en een continu proces
(allesomvattend)
Ad-hocaanpak: een aanpak waar er achter de feiten aan wordt gehold (pas (slechte)
maatregelen treffen na schade)
Bij de integrale aanpak moet er ook een goede samenhang zijn tussen alle getroffen MOBEC
maatregelen: meldingsinformatie, organisatorisch, bouwkundig, elektronisch, communicatie
en bewustwording. Om de continuïteit te waarborgen, worden de MOBEC maatregelen
weer onderverdeeld onder preventie, repressie en herstel.
Security (management): het totaalpakket van samenhangende maatregelen om de
continuïteit van de organisatie te waarborgen tegen incidenten die door kwaadwillende
mensen worden veroorzaakt
Security: het beschermen tegen doelbewuste kwaadwillende acties door mensen. Dit is dan
ook crimineel en gaat over strafbare feiten.
Safety: het beschermen tegen onbedoelde gebeurtenissen.
Interne criminaliteit komt veel voor binnen organisaties, nog meer dan extern.
Bij de value chain van Porter kun je zien dat de primaire en secundaire bedrijfsprocessen
samen leiden tot de bepaalde winstmarge. Security is helaas een secundair bedrijfsproces.
(ondersteunend) Primaire bedrijfsprocessen zijn direct nodig bij het productieproces.
Asset: iets binnen een organisatie waar een waarde aan toegerekend kan worden en dat
beschermd moet worden: het is belangrijk! (kroonjuweel)
4 basic assets: PIPI
People, information, property, image.
3-poortenmodel
Dit model laat zien dat een kwaadwillende via 3 poorten naar binnen kan komen: de
menselijke, logische en fysieke poort.
, Week 2: het securityrisicomanagement proces
Risico: de waarschijnlijkheid van ongewenste gebeurtenis
Om efficiënte maatregelen te treffen, is het belangrijk dat er een goede inschatting wordt
gemaakt van de waarschijnlijkheid van de risico’s.
3 methoden
- Mediagebruik (inzicht soortgelijke organisaties)
- Incidentenregistratie (betrouwbaar inzicht > statistiek > draagvlak)
- Sector-breed inventariseren d.m.v. benchmarking (meer risico’s die nog niet plaats
hebben gevonden binnen eigen organisatie, maar wel relevant)
Nadat de waarschijnlijkheid is geïnventariseerd, is het belangrijk dat de mogelijke schade
(kosten) wordt berekend. Want: risico = kans x effect
Er zijn verschillende strategieën om risico’s te beheersen.
Kleine waarschijnlijkheid x lage schade = accepteren/aanvaarden
Kleine waarschijnlijkheid x hoge schade = verzekeren
Grote waarschijnlijkheid x lage schade = beveiligen/beperken
Grote waarschijnlijkheid x hoge schade = vermijden
Alhoewel directe schade vrij makkelijk te bepalen en te zien is, geldt dat niet voor indirecte
schade. De indirecte schade is lang niet altijd even duidelijk aan te tonen, maar vaak nog vele
malen hoger dan de directe schade. Ook houdt de organisatie ondanks verzekering nog altijd
een dikke schadepost over.
Noodzaak beveiliging: waarom zou ik?
- Wet- en regelgeving (Arbo-wet, AVG): het is verplicht
- Veiligheid van je medewerkers garanderen: zorgplicht
- Eisen van verzekeraars
- Aantoonbaarheid beveiliging voor (maatschappelijke) verantwoording
- Liever voorkomen dan genezen
Security (risk) management: alle activiteiten die systematisch erop gericht zijn om de
securityrisico’s die een bedrijf loopt bij het bereiken van haar doelstelling te beheersen
Beveiligingsbewustzijn/securityawareness: de mate waarin mensen bewust zijn van
securityrisico’s en de mate waarin mensen hiernaar handelen
Risicoanalyse
1. Afhankelijkheidsanalyse: te beveiligen belangen/assets, prioritering assets
2. Dreigingsanalyse: risico’s onderzoeken, capability en intent van daders
3. Kwetsbaarheidsanalyse: onderzoek huidige maatregelen, gaten beveiliging, zwakte
samenvatting Maud Gerretsen
AIV1VB
Week 1: Introductie
Integrale aanpak: organisatie breed, samenhangende maatregelen en een continu proces
(allesomvattend)
Ad-hocaanpak: een aanpak waar er achter de feiten aan wordt gehold (pas (slechte)
maatregelen treffen na schade)
Bij de integrale aanpak moet er ook een goede samenhang zijn tussen alle getroffen MOBEC
maatregelen: meldingsinformatie, organisatorisch, bouwkundig, elektronisch, communicatie
en bewustwording. Om de continuïteit te waarborgen, worden de MOBEC maatregelen
weer onderverdeeld onder preventie, repressie en herstel.
Security (management): het totaalpakket van samenhangende maatregelen om de
continuïteit van de organisatie te waarborgen tegen incidenten die door kwaadwillende
mensen worden veroorzaakt
Security: het beschermen tegen doelbewuste kwaadwillende acties door mensen. Dit is dan
ook crimineel en gaat over strafbare feiten.
Safety: het beschermen tegen onbedoelde gebeurtenissen.
Interne criminaliteit komt veel voor binnen organisaties, nog meer dan extern.
Bij de value chain van Porter kun je zien dat de primaire en secundaire bedrijfsprocessen
samen leiden tot de bepaalde winstmarge. Security is helaas een secundair bedrijfsproces.
(ondersteunend) Primaire bedrijfsprocessen zijn direct nodig bij het productieproces.
Asset: iets binnen een organisatie waar een waarde aan toegerekend kan worden en dat
beschermd moet worden: het is belangrijk! (kroonjuweel)
4 basic assets: PIPI
People, information, property, image.
3-poortenmodel
Dit model laat zien dat een kwaadwillende via 3 poorten naar binnen kan komen: de
menselijke, logische en fysieke poort.
, Week 2: het securityrisicomanagement proces
Risico: de waarschijnlijkheid van ongewenste gebeurtenis
Om efficiënte maatregelen te treffen, is het belangrijk dat er een goede inschatting wordt
gemaakt van de waarschijnlijkheid van de risico’s.
3 methoden
- Mediagebruik (inzicht soortgelijke organisaties)
- Incidentenregistratie (betrouwbaar inzicht > statistiek > draagvlak)
- Sector-breed inventariseren d.m.v. benchmarking (meer risico’s die nog niet plaats
hebben gevonden binnen eigen organisatie, maar wel relevant)
Nadat de waarschijnlijkheid is geïnventariseerd, is het belangrijk dat de mogelijke schade
(kosten) wordt berekend. Want: risico = kans x effect
Er zijn verschillende strategieën om risico’s te beheersen.
Kleine waarschijnlijkheid x lage schade = accepteren/aanvaarden
Kleine waarschijnlijkheid x hoge schade = verzekeren
Grote waarschijnlijkheid x lage schade = beveiligen/beperken
Grote waarschijnlijkheid x hoge schade = vermijden
Alhoewel directe schade vrij makkelijk te bepalen en te zien is, geldt dat niet voor indirecte
schade. De indirecte schade is lang niet altijd even duidelijk aan te tonen, maar vaak nog vele
malen hoger dan de directe schade. Ook houdt de organisatie ondanks verzekering nog altijd
een dikke schadepost over.
Noodzaak beveiliging: waarom zou ik?
- Wet- en regelgeving (Arbo-wet, AVG): het is verplicht
- Veiligheid van je medewerkers garanderen: zorgplicht
- Eisen van verzekeraars
- Aantoonbaarheid beveiliging voor (maatschappelijke) verantwoording
- Liever voorkomen dan genezen
Security (risk) management: alle activiteiten die systematisch erop gericht zijn om de
securityrisico’s die een bedrijf loopt bij het bereiken van haar doelstelling te beheersen
Beveiligingsbewustzijn/securityawareness: de mate waarin mensen bewust zijn van
securityrisico’s en de mate waarin mensen hiernaar handelen
Risicoanalyse
1. Afhankelijkheidsanalyse: te beveiligen belangen/assets, prioritering assets
2. Dreigingsanalyse: risico’s onderzoeken, capability en intent van daders
3. Kwetsbaarheidsanalyse: onderzoek huidige maatregelen, gaten beveiliging, zwakte
