Categoriearchief: Risicoanalyse

Security Paradigma 2

Ook in deze blog een veranderend Security Paradigma over dreigingen versus kwetsbaarheden uit een artikel van Roger G. Johnston van Argonne National Laboratory, USA (zie hierover ook Paradigma 1).

Security Paradigma: Dreigingen versus Kwetsbaarheden

Het oude paradigma zegt dat de security manager vooral de dreigingen moet analyseren. Dus wie is de kwaadwillende, waar en wanneer zal die aanvallen, hoe zal het incident plaatsvinden en hoe waarschijnlijk is dat? De kwetsbaarheden in de beveiliging en het weerstandsvermogen van eigen organisatie worden onderbelicht. Te veel aandacht voor die kwetsbaarheden zouden immers het functioneren van de leiding en de security manager in een slecht daglicht kunnen zetten.

Daarom gaan veel dreigingsanalyses en risicoanalyses vooral over de ontwikkeling van de externe dreigingen en de veranderingen buiten de organisatie. Vaak wordt ook de ‘grote’ impact van security incidenten overmatig benadrukt. Tegelijkertijd worden de mogelijke tekortkomingen van de bestaande maatregelen onderbelicht. Evenmin is er aandacht voor dreigingen (en risico’s) die we als ‘calculated risk’ kunnen accepteren.

Het nieuwe paradigma legt de nadruk op het kennen en verminderen van de kwetsbaarheden van de eigen organisatie. Daar moet de meeste energie heengaan. Centraal staat de vraag of de kwetsbaarheden op een aanvaardbaar niveau zijn teruggebracht. Met een goed zicht op de kwetsbaarheden en mitigerende maatregelen die daarop zijn gericht, verminder de security manager de risico’s voor de organisatie; zelfs al zijn de dreigingen oppervlakkig of onevenwichtig ingeschat. En dat laatste komt nog al eens voor. De dreigingen etaleren zonder de eigen kwetsbaarheden te kennen, biedt geen soelaas en is een recept voor mislukking.

In de kwetsbaarheidsanalyses dient de security expert dus vooral de werking en de tekortkomingen van de organisatie te doorgronden. Daarbij zal hij naast de beveiligingsmaatregelen ook oog moeten hebben voor de cultuur en de management mores van de organisatie. De Security Management Systeem Norm 2017 kan daarbij een waardevol houvast bieden.

Deel deze pagina met anderen, thanks!

Whitepaper met 20 aanpakken voor beveiliging

Beveiliging als onderdeel van risico management wordt in veel organisaties verschillend geïmplementeerd. Vaak is die beveiliging gebaseerd op breed gedragen ‘industry best practices’. Sommige van deze best practices zijn gedocumenteerd en worden gecontroleerd toegepast. Als een aanpak verschillende aspecten voor het beheren van een organisatie bevat spreken we van een management systeem.

In deze whitepaper zijn 20 Security Management Systemen (SMS) die in Nederland veel worden toegepast geïnventariseerd en kort getypeerd . Met deze inventarisatie kunnen managers beoordelen welk SMS passend kan zijn voor de organisatie.

Download het whitepaper over SMS via onderstaande.

 

Ik kijk uit naar aanvullingen en opmerkingen op deze inventarisatie.

Security Management Systemen (SMS) Beveiliging

Hierboven een schema met verschillende onderdelen van een veiligheidsmanagementsysteem. Naast technische en operationele normen zijn ook verschillende Security Management Systemen benoemd. Organisaties kiezen zelf hoe het managementsysteem van de organisatie wordt opgebouwd.

Deel deze pagina met anderen, thanks!

Risicoanalyse

Handreiking Integrale Risicoanalyse

Risico’s en risicoanalyse horen bij ondernemen. Maar grote risico’s en verassingen moeten worden voorkomen. Daarom dient een bedrijf steeds zicht te hebben op haar risico’s. Dat inzicht motiveert om de juiste mitigerende maatregelen te treffen. En is de basis voor een verantwoorde investering in beveiliging en bedrijfscontinuïteit.

Een risicoanalyse kan dit inzicht opleveren. Daarom werken wij met een valide en gedocumenteerde onderzoeksmethodiek die de scenarioanalyse centraal stelt. Deze erkende methode hebben wij al vaak toegepast. Vraag ons gerust om referenties.

De risicoanalyse bestaat uit de volgende onderdelen:

• Belangen en afhankelijkheid analyse: wat kunnen effecten van incidenten zijn (ook wel Impact Assessment genoemd)
• Dreigingsanalyse: wie kunnen een realistische bedreiging vormen en wat doen zij (ook wel Threat Assessment genoemd)
• Kwetsbaarheidsanalyse: hoe effectief is de beveiliging en waar is de organisatie nog kwetsbaar voor deze dreigingen (ook wel Vulnerability Assessment genoemd)
• Risicoweging: wat is de omvang en samenhang van de verschillende risico’s (ook wel Risk Assessment genoemd)

Niet alle risico’s kunnen worden uitgesloten. Beheersing van risico’s houdt daarom ook het accepteren van de restrisico’s in.

Graag ondersteunen wij u bij het inventariseren en waarderen van de risico’s van uw organisatie.

Onze Integrale Risicoanalyse Methodiek vindt u hier:

Handreiking op Lulu.com (reader)

Handreiking op Google.Play (PDF)

Deel deze pagina met anderen, thanks!