Categoriearchief: Beveiliging

Security Paradigma 3

Ook in deze blog een veranderend Security Paradigma uit een artikel van Roger G. Johnston van Argonne National Laboratory, USA (zie ook Paradigma 1).

Security Paradigma: Standaardisatie versus Creativiteit

Het oude paradigma zegt dat de kwetsbaarheidsanalyse volgens en vaste procedure en aan de hand van vastgestelde prestatie-eisen moet gebeuren. Het proces en de resultaten moeten objectief en reproduceerbaar zijn. Zo moet bijvoorbeeld een gebouwschil aantoonbaar braakwerend zijn (denk hierbij aan gecertificeerde gevels en gevelelementen met BORG-B weerstandstijden van 3, 5 of 10 minuten). Of wachtwoorden die minstens 4 verschillende tekens moeten bevatten (hoofdletter, kleine letter, cijfer en leesteken) en periodiek (per maand of kwartaal) gewijzigd moeten worden. De vereiste maatregelen zijn bijvoorbeeld in security baselines vastgelegd. Daar waar de beveiliging niet aan dergelijke objectieve eisen voldoet wordt een kwetsbaarheid gesignaleerd die naar aanleiding van het te beschermen belang ook een mate van risico kan vormen. De kwetsbaarheden met de hoogste risico’s moeten vervolgens worden gerepareerd.


Het nieuwe paradigma legt de nadruk op het beschouwen van de gerealiseerde beveiliging vanuit het perspectief van de ‘aanvaller’. De kwetsbaarheidsanalyse probeert dus de zwaktes van de organisatie te identificeren die door kwaadwillenden kunnen en wellicht zullen worden misbruikt. Van de betrokken security professionals wordt daarbij vooral gevraagd of hij zich kan verplaatsen in die aanvallers. Deze professional moet daarom een actueel beeld van en voldoende inlevingsvermogen in die potentiële aanvallers hebben. Niet van één of enkele, niet van de uitzondering maar van de meest waarschijnlijke aanvallers. De professional kijkt dus naar de organisatie vanuit de ogen van de geïnteresseerde, creatieve en adaptieve kwaadwillenden en ontdekt zo reële aanvalsopties die wellicht mitigatie behoeven.
Ook bij deze, wellicht meer subjectieve en intuïtieve benadering van security kunnen vastgestelde procedures, normatieve kaders en aandachtspuntenlijsten het analyseproces ondersteunen en versterken. De nadruk ligt echter op de details van de lokale situatie die door kwaadwillenden succesvol kunnen worden misbruikt.

Deel deze pagina met anderen, thanks!

Security Paradigma 2

Ook in deze blog een veranderend Security Paradigma over dreigingen versus kwetsbaarheden uit een artikel van Roger G. Johnston van Argonne National Laboratory, USA (zie hierover ook Paradigma 1).

Security Paradigma: Dreigingen versus Kwetsbaarheden

Het oude paradigma zegt dat de security manager vooral de dreigingen moet analyseren. Dus wie is de kwaadwillende, waar en wanneer zal die aanvallen, hoe zal het incident plaatsvinden en hoe waarschijnlijk is dat? De kwetsbaarheden in de beveiliging en het weerstandsvermogen van eigen organisatie worden onderbelicht. Te veel aandacht voor die kwetsbaarheden zouden immers het functioneren van de leiding en de security manager in een slecht daglicht kunnen zetten.

Daarom gaan veel dreigingsanalyses en risicoanalyses vooral over de ontwikkeling van de externe dreigingen en de veranderingen buiten de organisatie. Vaak wordt ook de ‘grote’ impact van security incidenten overmatig benadrukt. Tegelijkertijd worden de mogelijke tekortkomingen van de bestaande maatregelen onderbelicht. Evenmin is er aandacht voor dreigingen (en risico’s) die we als ‘calculated risk’ kunnen accepteren.

Het nieuwe paradigma legt de nadruk op het kennen en verminderen van de kwetsbaarheden van de eigen organisatie. Daar moet de meeste energie heengaan. Centraal staat de vraag of de kwetsbaarheden op een aanvaardbaar niveau zijn teruggebracht. Met een goed zicht op de kwetsbaarheden en mitigerende maatregelen die daarop zijn gericht, verminder de security manager de risico’s voor de organisatie; zelfs al zijn de dreigingen oppervlakkig of onevenwichtig ingeschat. En dat laatste komt nog al eens voor. De dreigingen etaleren zonder de eigen kwetsbaarheden te kennen, biedt geen soelaas en is een recept voor mislukking.

In de kwetsbaarheidsanalyses dient de security expert dus vooral de werking en de tekortkomingen van de organisatie te doorgronden. Daarbij zal hij naast de beveiligingsmaatregelen ook oog moeten hebben voor de cultuur en de management mores van de organisatie. De Security Management Systeem Norm 2017 kan daarbij een waardevol houvast bieden.

Deel deze pagina met anderen, thanks!

Security Paradigma 1

In deze blogs wil ik veranderende Security Paradigma’s bespreken. Het idee heb ik opgedaan door een artikel van Roger G. Johnston van het Vulnerability Assessment Team, Nuclear Engineering Division van Argonne National Laboratory, USA geheten Changing Security Paradigms in de Journal of Physical Security 4(2), 35‐47 (2010).

Vanzelfsprekend zijn de ‘oude’ paradigma’s niet plotseling afgedaan en rijp voor de prullenbak; en ook de nieuwe paradigma’s zijn niet nu ontstaan en verkondigen geen absolute waarheid. Wel geven zij een beeld van hoe naar beveiliging gekeken kan worden en hoe de groei naar volwassenheid zich mogelijk laat vertalen.

Security Paradigma: Binair versus Continuüm

Het oude paradigma zegt dat security binair moet worden opgevat: de organisatie is goed beveiligd of zij is dat niet. Een kenmerk van deze opvatting is het werken met checklists waarmee je de ‘compliance’ kunt vaststellen. Ook is een minimum niveau van vereiste beveiligings­maatregelen beredeneerd en vastgelegd (zgn. Security Baseline). Bovendien weet en propageert de Security Manager hoe de organisatie moet worden beveiligd. Over beveiliging moet in de organisatie niet te veel worden gediscussieerd.

Het nieuwe paradigma zegt dat security niet zwart-wit maar een continuüm is, waaraan steeds wordt verbeterd. Niemand zal daarbij met zekerheid stellen dat de getroffen maatregelen goed genoeg zijn. De maatregelen worden als resultaat van een onderhandelingsproces gekozen, bijgesteld en vernieuwd. Dus ook hier ‘Polderen’. Met een Plan – Do – Check – Act cyclus wordt de beveiliging continu verbeterd. Checklists en baselines zijn middelen in dit proces en geen doel op zich. Beveiliging is vaak controversieel en er wordt stevig over gedebatteerd; passend bij een uitdagende, complexe en zwaarwegende verantwoordelijkheid.

Ik wens u veel inzicht en overtuigingskracht in uw werk. Voor vragen en bespiegelingen kunt u mij altijd bereiken.  

Deel deze pagina met anderen, thanks!

Risicoanalyse

Handreiking Integrale Risicoanalyse

Risico’s en risicoanalyse horen bij ondernemen. Maar grote risico’s en verassingen moeten worden voorkomen. Daarom dient een bedrijf steeds zicht te hebben op haar risico’s. Dat inzicht motiveert om de juiste mitigerende maatregelen te treffen. En is de basis voor een verantwoorde investering in beveiliging en bedrijfscontinuïteit.

Een risicoanalyse kan dit inzicht opleveren. Daarom werken wij met een valide en gedocumenteerde onderzoeksmethodiek die de scenarioanalyse centraal stelt. Deze erkende methode hebben wij al vaak toegepast. Vraag ons gerust om referenties.

De risicoanalyse bestaat uit de volgende onderdelen:

• Belangen- en afhankelijkheidsanalyse: wat kunnen effecten van incidenten zijn (ook wel Impact Assessment genoemd)
• Dreigingsanalyse: wie kunnen een realistische bedreiging vormen en wat doen zij (ook wel Threat Assessment genoemd)
• Kwetsbaarheidsanalyse: hoe effectief is de beveiliging en waar is de organisatie nog kwetsbaar voor deze dreigingen (ook wel Vulnerability Assessment genoemd)
• Risicoweging: wat is de omvang en samenhang van de verschillende risico’s (ook wel Risk Assessment genoemd)

Niet alle risico’s kunnen worden uitgesloten. Beheersing van risico’s houdt daarom ook het accepteren van de restrisico’s in.

Graag ondersteunen wij u bij het inventariseren en waarderen van de risico’s van uw organisatie.

Onze Integrale Risicoanalyse Methodiek vindt u hier:

Handreiking op Lulu.com (reader)

Handreiking op Google.Play (PDF)

Deel deze pagina met anderen, thanks!

Handreiking voor Security Afstemming met de Omgeving

Beveiligingsadvies en afspraken

Organisaties zijn zelf verantwoordelijk voor het organiseren van hun veiligheid en beveiliging. Daarom hebben organisaties die hun verantwoordelijkheid nemen Security Afstemming in hun  Security Management Systeem (SMS) ingericht.

Een essentieel onderdeel van een SMS is een goede communicatie en coördinatie over beveiliging met externe partijen. Het gaat hierbij om afstemming van maatregelen vóór, tijdens en na incidenten. En het vaststellen van heldere taken en verantwoordelijkheden: wie gaat wat doen. 

Het decentrale gezag kan ook beveiligingsmaatregelen treffen. Bewaken en beveiligen is immers onderdeel van de politietaak.

Afspraken over beveiliging - Plan ESA EBO

Met deze handreiking kunnen organisaties hun beveiliging verder verbeteren. Samen met particuliere beveiligingsorganisaties en overheden kunnen zij afspraken maken over het:

  • afstemmen van getroffen maatregelen
  • opschalen en afschalen van tijdelijke beveiligingsmaatregelen
  • gecoördineerde reactie op incidenten

Plan Externe Security Afstemming (ESA)

De gemaakte afspraken worden vastgelegd in een afstemmingsplan. Het plan Externe Security Afstemming  gaat over de afstemming van de eigen maatregelen met de op de security gerichte maatregelen van security dienstverleners en andere partijen in de omgeving.

Deze handreiking is een hulpmiddel voor het afstemmen en vastleggen van deze afspraken en het treffen en voorbereiden van concrete beveiligingsmaatregelen.

Deze handreiking is bestemd voor security professionals, particuliere beveiligingsorganisaties, afdeling Openbare orde en Veiligheid, afdelingen Crisisbeheersing, bureau Conflict- en Crisisbeheersing (CCB) en de wijkteams van de politie.

lulu-uitgever-SMS-Norm- Vind hier uw handreiking (boekje) op Lulu.com

 

Deel deze pagina met anderen, thanks!