Het distributiecentrum met kantoren voor SCP11 is gecertificeerd als BREEAM Very Good.
Het nieuw distributiecentrum ligt op het logistieke terrein “Wildeman II” in Zaltbommel. Zie hier het resltaat van mijn assessment.
Ook in deze blog een veranderend Security Paradigma uit een artikel van Roger G. Johnston van Argonne National Laboratory, USA (zie ook Paradigma 1).
Het oude paradigma zegt dat uitgebreide procedures en geavanceerde technologie de aanvallers zullen afschrikken en tegenhouden. Goed opgeleide security professionals implementeren en bedienen de opmaatgemaakte security systemen. Medewerkers laten zich door de professionals de regels voorschrijven, voeren deze uit en gaan weer aan het werk. De organisatie vertrouwt erop dat de professionals en hun systemen de risico’s voldoende mitigeren.
Het nieuwe paradigma legt de nadruk voor goed risicomanagement bij de ingewerkte medewerkers van de organisatie (op alle niveaus). Medewerkers worden ondersteund door procedures en technologie om de organisatie veilig te houden. Zij zijn zelf verantwoordelijk voor de goede toepassing van beveiligingsmaatregelen. Het management ziet daarop toe. Zo wordt security ‘in de lijn’ opgepakt. Het ‘lijnmanagement’ is zelf verantwoordelijk voor de security van de eigen afdeling, processen en belangen. Ook de zogenaamde eerstelijnscontrole vindt binnen de eigen afdeling of directie plaats. Security professionals adviseren, begeleiden en controleren de implementatie en uitvoering van de maatregelen. De zogenaamde tweedelijns controle kan bij deze professionals worden neergelegd of bijvoorbeeld bij een auditafdeling.
In deze benadering van Security Risk Management denkt en doet de hele organisatie mee aan risicobeheersing.
In 2020 hebben studenten van Safety & Security LAB van Hogeschool Saxion een onderzoek ingesteld naar Security Management Systemen. De Nationale Denktank Integrale Beveiliging (NDIB) van de VBN had hiertoe de volgende vraag geformuleerd:
Wat zijn de meest voorkomende Security Management Systemen in Nederland en op welke wijze, en met welke beweegredenen worden deze door security professionals gebruikt?
Hieronder treft u een samenvatting van hun onderzoeksrapport aan. Veel leesplezier gewenst.
De SMS Norm 2017 is nu ruim 6 jaar in gebruik. In 2022 bleek een revisie niet nodig. Sindsdien is de norm sterk in prijs verlaagd.
Kom in actie en verbeter jouw beveiliging met dit normatieve kader.
Succes!
Ook in deze blog een veranderend Security Paradigma uit een artikel van Roger G. Johnston van Argonne National Laboratory, USA (zie ook Paradigma 1).
Het oude paradigma zegt dat de kwetsbaarheidsanalyse volgens en vaste procedure en aan de hand van vastgestelde prestatie-eisen moet gebeuren. Het proces en de resultaten moeten objectief en reproduceerbaar zijn. Zo moet bijvoorbeeld een gebouwschil aantoonbaar braakwerend zijn (denk hierbij aan gecertificeerde gevelelementen met BORG-B weerstandstijden van 3, 5 of 10 minuten). Of wachtwoorden die minstens 4 verschillende soorten tekens moeten bevatten (hoofdletter, kleine letter, cijfer en leesteken) en periodiek (per maand of kwartaal) gewijzigd moeten worden. De vereiste maatregelen zijn bijvoorbeeld in security baselines vastgelegd. Daar waar de beveiliging niet aan dergelijke objectieve eisen voldoet wordt een kwetsbaarheid gesignaleerd die naar aanleiding van het te beschermen belang ook een mate van risico kan vormen. De kwetsbaarheden met de hoogste risico’s moeten vervolgens worden gerepareerd.
Het nieuwe paradigma legt de nadruk op het beschouwen van de gerealiseerde beveiliging vanuit het perspectief van de ‘aanvaller’. De kwetsbaarheidsanalyse probeert dus de zwaktes van de organisatie te identificeren die door kwaadwillenden kunnen en wellicht zullen worden misbruikt. Van de betrokken security professionals wordt daarbij vooral gevraagd of hij zich kan verplaatsen in die aanvallers. Deze professional moet daarom een actueel beeld van en voldoende inlevingsvermogen in die potentiële aanvallers hebben. Niet van één of enkele, niet van de uitzondering maar van de meest waarschijnlijke aanvallers. De professional kijkt dus naar de organisatie vanuit de ogen van de geïnteresseerde, creatieve en adaptieve kwaadwillenden en ontdekt zo reële aanvalsopties die wellicht mitigatie behoeven.
Ook bij deze, wellicht meer subjectieve en intuïtieve benadering van security kunnen vastgestelde procedures, normatieve kaders en aandachtspuntenlijsten het analyseproces ondersteunen en versterken. De nadruk ligt echter op de details van de lokale situatie die door kwaadwillenden succesvol kunnen worden misbruikt.
Ook in deze blog een veranderend Security Paradigma over dreigingen versus kwetsbaarheden uit een artikel van Roger G. Johnston van Argonne National Laboratory, USA (zie hierover ook Paradigma 1).
Het oude paradigma zegt dat de security manager vooral de dreigingen moet analyseren. Dus wie is de kwaadwillende, waar en wanneer zal die aanvallen, hoe zal het incident plaatsvinden en hoe waarschijnlijk is dat? De kwetsbaarheden in de beveiliging en het weerstandsvermogen van eigen organisatie worden onderbelicht. Te veel aandacht voor die kwetsbaarheden zouden immers het functioneren van de leiding en de security manager in een slecht daglicht kunnen zetten.
Daarom gaan veel dreigingsanalyses en risicoanalyses vooral over de ontwikkeling van de externe dreigingen en de veranderingen buiten de organisatie. Vaak wordt ook de ‘grote’ impact van security incidenten overmatig benadrukt. Tegelijkertijd worden de mogelijke tekortkomingen van de bestaande maatregelen onderbelicht. Evenmin is er aandacht voor dreigingen (en risico’s) die we als ‘calculated risk’ kunnen accepteren.
Het nieuwe paradigma legt de nadruk op het kennen en verminderen van de kwetsbaarheden van de eigen organisatie. Daar moet de meeste energie heengaan. Centraal staat de vraag of de kwetsbaarheden op een aanvaardbaar niveau zijn teruggebracht. Met een goed zicht op de kwetsbaarheden en mitigerende maatregelen die daarop zijn gericht, verminder de security manager de risico’s voor de organisatie; zelfs al zijn de dreigingen oppervlakkig of onevenwichtig ingeschat. En dat laatste komt nog al eens voor. De dreigingen etaleren zonder de eigen kwetsbaarheden te kennen, biedt geen soelaas en is een recept voor mislukking.
In de kwetsbaarheidsanalyses dient de security expert dus vooral de werking en de tekortkomingen van de organisatie te doorgronden. Daarbij zal hij naast de beveiligingsmaatregelen ook oog moeten hebben voor de cultuur en de management mores van de organisatie. De Security Management Systeem Norm 2017 kan daarbij een waardevol houvast bieden.
In deze blogs wil ik veranderende Security Paradigma’s bespreken. Het idee heb ik opgedaan door een artikel van Roger G. Johnston van het Vulnerability Assessment Team, Nuclear Engineering Division van Argonne National Laboratory, USA geheten Changing Security Paradigms in de Journal of Physical Security 4(2), 35‐47 (2010).
Vanzelfsprekend zijn de ‘oude’ paradigma’s niet plotseling afgedaan en rijp voor de prullenbak; en ook de nieuwe paradigma’s zijn niet nu ontstaan en verkondigen geen absolute waarheid. Wel geven zij een beeld van hoe naar beveiliging gekeken kan worden en hoe de groei naar volwassenheid zich mogelijk laat vertalen.
Het oude paradigma zegt dat security binair moet worden opgevat: de organisatie is goed beveiligd of zij is dat niet. Een kenmerk van deze opvatting is het werken met checklists waarmee je de ‘compliance’ kunt vaststellen. Ook is een minimum niveau van vereiste beveiligingsmaatregelen beredeneerd en vastgelegd (zgn. Security Baseline). Bovendien weet en propageert de Security Manager hoe de organisatie moet worden beveiligd. Over beveiliging moet in de organisatie niet te veel worden gediscussieerd.
Het nieuwe paradigma zegt dat security niet zwart-wit maar een continuüm is, waaraan steeds wordt verbeterd. Niemand zal daarbij met zekerheid stellen dat de getroffen maatregelen goed genoeg zijn. De maatregelen worden als resultaat van een onderhandelingsproces gekozen, bijgesteld en vernieuwd. Dus ook hier ‘Polderen’. Met een Plan – Do – Check – Act cyclus wordt de beveiliging continu verbeterd. Checklists en baselines zijn middelen in dit proces en geen doel op zich. Beveiliging is vaak controversieel en er wordt stevig over gedebatteerd; passend bij een uitdagende, complexe en zwaarwegende verantwoordelijkheid.
Ik wens u veel inzicht en overtuigingskracht in uw werk. Voor vragen en bespiegelingen kunt u mij altijd bereiken.
Voor de advies- en ondersteuningsdiensten van Spit Security gelden algemene leveringsvoorwaarden. Als opdrachtgever geen voorwaarden specificeert gelden onze leveringsvoorwaarden. Deze moeten eenvoudig opvraagbaar zijn. Daarom zijn bijgaand deze voorwaarden te downloaden.
Onder deze voorwaarden vallen risicoanalyses, beveiligingsadviezen, compliance audits en assessments en ondersteuning bij implementatie.
Risico’s en risicoanalyse horen bij ondernemen. Maar grote risico’s en verassingen moeten worden voorkomen. Daarom dient een bedrijf steeds zicht te hebben op haar risico’s. Dat inzicht motiveert om de juiste mitigerende maatregelen te treffen. En is de basis voor een verantwoorde investering in beveiliging en bedrijfscontinuïteit.
Een risicoanalyse kan dit inzicht opleveren. Daarom werken wij met een valide en gedocumenteerde onderzoeksmethodiek die de scenarioanalyse centraal stelt. Deze erkende methode hebben wij al vaak toegepast. Vraag ons gerust om referenties.
De risicoanalyse bestaat uit de volgende onderdelen:
• Belangen- en afhankelijkheidsanalyse: wat kunnen effecten van incidenten zijn (ook wel Impact Assessment genoemd)
• Dreigingsanalyse: wie kunnen een realistische bedreiging vormen en wat doen zij (ook wel Threat Assessment genoemd)
• Kwetsbaarheidsanalyse: hoe effectief is de beveiliging en waar is de organisatie nog kwetsbaar voor deze dreigingen (ook wel Vulnerability Assessment genoemd)
• Risicoweging: wat is de omvang en samenhang van de verschillende risico’s (ook wel Risk Assessment genoemd)
Niet alle risico’s kunnen worden uitgesloten. Beheersing van risico’s houdt daarom ook het accepteren van de restrisico’s in.
Graag ondersteunen wij u bij het inventariseren en waarderen van de risico’s van uw organisatie.
Onze Integrale Risicoanalyse Methodiek vindt u hier:
Handreiking op Lulu.com (reader)
Handreiking op Google.Play (PDF)