SECURITY HET PROFIEL VAN DE IDEALE SECURITY MANAGER. Inge Vandijck, Managing security consultant, Optimit. Prenne 29 november 2012 Ter Elst Edegem

Transcriptie

1 SECURITY HET PROFIEL VAN DE IDEALE SECURITY MANAGER Inge Vandijck, Managing security consultant, Optimit Prenne 29 november 2012 Ter Elst Edegem PREBES VZW DIESTERSTERSTEENWEG KERMT TEL FAX IBAN BE BTW BE

2 Het profiel van de ideale security manager Prenne 29 november 2012 Ter Elst, Edegem Dagelijks wordt men in een organisatie geconfronteerd met zowel safety als security problemen. Hoe pak je als organisatie security aspecten best aan? Deze presentatie gaat in op het profiel van de ideale security manager en licht de verschillende kennisdomeinen in security toe. De ideale Manager, p.1 1

3 OVER OPTIMIT Risk Management Consulting, Engineering & Management Multidisciplinair team van security consultants Actief in de private en de publieke sector De ideale Manager, p.2 INGE VANDIJCK Managing security consultant Optimit Contact: E: T: De ideale Manager, p.3 2

4 INLEIDING Organisaties opereren in verschillende fases van maturiteit op gebied van risicobeheer Het beheer van risico s is in het algemeen minder matuur dan het beheer van Safety : o dreigingen worden niet (h)(e)rkend o Gebrek aan een formele security strategie en - plan o wordt gezien als een noodzakelijk kwaad o Aanwezige beveiligingsmaatregelen zijn niet consequent en/of doelmatig toegepast o Investeringen in security gebeuren naar aanleiding van een security incident o De ideale Manager, p.4 INLEIDING Fase 1: Onzekerheid Fase 2: Bewustwording Fase 3: Verlichting Fase 4: Wijsheid Fase 5: Gave Maturity Grid R. Stacy De ideale Manager, p.5 3

5 FASE 1: ONZEKERHEID Begrip en houding van de Top Status van de Organisatie Dreigingsanalyse en incident handling Economics verbeteracties De Top heeft geen heeft Er is aandacht voor Er zijn geen of Geen begrip van security dreigingen en de noodzaak aan adequate beveilingsmaatregelen. geen erkenning in de organisatie. is ad hoc en rudimentair. security incidenten ná de feiten; er is geen Strategie of - Plan en amper procedures of instructies. minimale investeringen in security. georganiseerde verbeteracties. De organisatie heeft geen begrip van. De organisatie reageert enkel op security incidenten, maar trekt geen lessen. Maturity Grid R. Stacy De ideale Manager, p.6 FASE 2: BEWUSTWORDING Begrip en houding van de Top Status van de Organisatie Dreigingsanalyse en Incident Handling Economics verbeteracties De Top erkent dat waardevol zou kunnen zijn, maar Is niet bereid tijd of middelen te investeren. De Top rekent op - leveranciers voor invulling. Een Manager is aangeduid maar hij/zij heeft niet noodzakelijk als fulltime taak en rapporteert niet noodzakelijk aan De Top. De belangrijkste focus ligt op een centrale Afhandeling van incidenten en respons ná de feiten. Er is een centraal contactpunt voor de melding van incidenten. Respons volgt na de feiten (niet na een analyse van de dreiging). Er is een rudimentaire analyse van security incidenten, de belangrijkste dreigingen zijn geïdentificeerd. Minimale en inefficiënte investeringen in door foute, niet consequent toegepaste beveiligingsmaatregelen, meestal op aangeven van 'standaardoplossingen' van leveranciers. Er zijn enkele beleidsprocedures ontwikkeld voor de meest voorkomende security dreigingen. Medewerkers zien deze beveiligings- maatregelen als een 'niet noodzakelijke hindernis'. De ideale Manager, p.7 4

6 FASE 3: VERLICHTING Begrip en houding van de Top Status van de Organisatie Dreigingsanalyse en Incident Handling Economics verbeteracties De Top begrijpt de essentiële noodzaak van. De Top ondersteunt security initiatieven en gelooft dat deze Top down moeten Worden geïmplementeerd. De Top biedt ondersteuning maar biedt slechts beperkte middelen De Manager rapporteert hiërarchisch aan de Top. De Manager ontwikkelt de Strategie en het - Plan, het Training i en Awareness programma. Hij/zij staat in voor periodieke evaluatie en audits. Door de formele procedure van rapportering bevat ten security incident rapporten de relevante informatie die een duidelijk inzicht in de dreigingen geven. De strategie is gebaseerd op post security incidenten én op een analyse van de dreigingen, blootstelling en kwetsbaarheden. Investeringen in op basis van compliancy met de security richtlijnen en baseline kosten/baten afweging. Door het Awareness programma zijn medewerkers Meer alert en meer geneigd om (bijna) security incidenten te rapporteren. Medewerkers zien de aanwezige Beveiligingsmaatregelen als 'noodzakelijk'. De ideale Manager, p.8 FASE 4: WIJSHEID Begrip en houding van de Top Status van de Organisatie Dreigingsanalyse en Incident Handling Economics verbeteracties De Top participeert en begrijpt de essentiële noodzaak van. De Top maakt beleidsbeslissingen en mandateert tde organisatie om te verfijnen en te optimaliseren in functie van specifieke behoeften. De organisatie is gedefinieerd. Er zijn strategische allianties met andere departementen zo als het Lijnmanagement, Aankoop, IT Dreigingen worden op een continue basis geëvalueerd. risico's worden beheerd en verantwoord door het vermijden of verminderen van kosten als gevolg van security risico's. i Investeringen in security op basis van een continue kosten/baten afweging. risico's worden accuraat geëvalueerd en beheerd. Awareness is geëvolueerd naar een 'cultuur'. De ideale Manager, p.9 5

7 FASE 5: GAVE Begrip en houding van de Top Status van de Organisatie Dreigingsanalyse en Incident Handling Economics Verbeteracties De Top ziet als een essentieel deel van de organisatie. De Top steunt formeel de Strategie en het Plan en voorziet voldoende middelen. Managers hebben op regelmatige basis overleg met de Top. Participatie in het publieke forum verbetert het imago van de organisatie. Oorzaken worden onderzocht en correctieve acties worden gedefinieerd en op gevolgd. Incident gegevens worden teruggekoppeld naar Enterprise Risk Management. Verantwoorde investeringen op basis van een continue kosten/baten afweging en deels gefinancierd door de marketing contributie. Dit ultieme niveau wordt erkend in de industrie. processen (risicoanalyse, implementatie, on derhoud van beveiligingsmaatregelen zijn normale en continue acties. Verbeteringsvoorstellen komen vanuit de hele organisatie en het publieke forum. De ideale Manager, p.10 De ideale security manager identificeert en begrijpt risico s vanuit een economisch perspectief. RISK MANAGER De ideale Manager, p.11 6

8 RISK MANAGER De Manager begrijpt de missie en doelen van de organisatie Missie Visie Waarden Strategische doelen Operationele doelen Plannen De ideale Manager, p.12 RISK MANAGER De Manager begrijpt de processen van de organisatie Hoofdprocessen Processen Activiteiten De ideale Manager, p.13 7

9 RISK MANAGER De Manager identificeert en begrijpt de kritische waarden van de organisatie Mens Kritische waarden Materiële activa Informatie De ideale Manager, p.14 RISK MANAGER De Manager identificeert de risico s Risico Risico Risico Risico Risico In ntegrale Risicoanalyse Integraal Risicobeheer Risico De ideale Manager, p.15 8

10 RISK MANAGER De Manager begrijpt de risico s Tegenstander WILLEN KUNNEN Motief Informatie Middelen De ideale Manager, p.16 If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not your enemy, for every victory gained you will also suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every battle. Sun-Tzu Chinese General (544 bc 496 bc) De ideale Manager, p.17 9

11 VOORBEELD: INTRUSIE De Manager begrijpt het verloop van een intrusie VIBAG Voorbereiding (V) Intrusie (I) Buit (B) Aftocht (A) Gebruik (G) Initiële target selectie Initiële verkenning Analyse van de informatie Verfijnde target selectie Oefening of verdere verkenning Uitvoering Vlucht & exploitatie Attractiviteit? Graad van beveiliging? Overdag Nachts Opportuniteit? Pakkans? Consequenties? Te moeilijke, tijdrovende en/of te riskante doelwitten worden vermeden De ideale Manager, p.18 VOORBEELD: INTERNE DREIGING De Manager (h)(er)kent en begrijpt de interne dreiging Heb ik de kans? Zie ik een opportuniteit? Kan ik ermee weg? Pakkans? Wat gebeurt er met me als ik gepakt wordt? 10% 80% 10% Eerlijke mensen Mensen die zo eerlijk zijn als het systeem hen toelaat Oneerlijke mensen Opportuniteit wegnemen of minimaliseren Pakkans maximaliseren Consequent beleid bij vaststellen van diefstal/fraude Pre-employment screening De ideale Manager, p.19 10

12 De ideale security manager ontwikkelt een security strategie in functie van prioritaire risico s. STRATEEG De ideale Manager, p.20 Kans 5 Bijna zeker 4 Waarschijnlijk Intrinsieke kans 3 Mogelijk Schadebeperkende maatregelen Preventieve maatregelen 2 Onwaarschijnlijk Restkans schade: kwetsbaarheid Intrinsic Restkans kans: damage blootstelling 1 Zeer onwaarschijnlijk 1 Onbelangrijk 2 Gering 3 Gemiddeld 4 Belangrijk 5 Catastrofe Schade De ideale Manager, p.21 11

13 DOELSTELLINGEN De Manager zet formele en concrete doelstellingen Potentieel beperken van schade Vertragen Delay Alarmeren Alarm Ontmoedigen Deter Detecteren Detect Evalueren Assess Reageren React De ideale Manager, p.22 GEÏNTGREERDE BENADERING De Manager integreert beveiligingsmaatregelen 1. Risicoanalyse 2. Strategie & Planning 3. Organisatorische maatregelen 4. Bouwkundige beveiliging 5. Toegangscontrole 6. Intrusiedetectie 7. Brandbeveiliging 8. Camerabewaking 9. Bewaking 10. Informatiebeveiliging 11. Integratie, Meld- en Controlekamer 12. Evaluatie & Audit De ideale Manager, p.23 12

14 KOSTENEFFICIËNTIE De Manager kiest voor kostefficiënte maatregelen Baten Kosten De ideale Manager, p.24 De ideale security manager zorgt dat de Top op de hoogte is van de security risico s en overtuigt de Top van de noodzakelijke maatregelen. VERTROUWENSPERSOON De ideale Manager, p.25 13

15 VERTROUWENSPERSOON Relatie met de Top CONCEPTUEEL VOORBEELD... Hierarchische lijn Functionele lijn De ideale Manager, p.26 De ideale security manager vertaalt top-down en bottom-up. Van boardroom naar werkvloer en omgekeerd. VERTALER De ideale Manager, p.27 14

16 NIVEAUS PLAN DO Strategisch niveau ACT CHECK Tactisch niveau PLAN ACT DO CHECK Operationeel niveau PLAN ACT DO CHECK De ideale Manager, p.28 De ideale security manager ontwikkelt en onderhoudt strategische allianties met interne en externe stakeholders. NETWERKER De ideale Manager, p.29 15

17 FUNCTIEPROFILERING VAN SECURITY FUNCTIES RASCI Methodologie voor het definiëren van security functies Proces: XXX R A (S) C I Responsible Accountable Support Consulting Informed Subproces 1... Subproces x Diegene die verantwoordelijk is voor het op zich nemen van de acties die uitgevoerd moeten worden Diegene die verantwoordelijk is voor het resultaat van de processtap Diegene die ondersteuning kán geven aan diegene die de acties moet uitvoeren Diegene die móet geraadpleegd worden in de betrokken processtap Diegene die móet geïnformeerd worden in de betrokken processtap Doer The buck stops here In the loop In the picture De ideale Manager, p.30 FUNCTIEPROFILERING VAN SECURITY FUNCTIES RASCI Methodologie CONCEPTUEEL VOORBEELD I Vuistregels:... C Duidelijke verantwoordelijkheden R voor de uitvoering A R S Eén enkele A voor ieder proces Vermijden van duplicatie Vermijden van gaten in verantwoordelijkheden d Hierarchische lijn Functionele lijn De ideale Manager, p.31 16

18 De ideale security manager is een generalist maar begrijpt en brengt de nodige expertise (intern of extern) samen. GENERALIST - EXPERT De ideale Manager, p.32 GENERALIST VERSUS EXPERT Het probleem met generalisten is dat ze minder en minder over meer en meer weten, en uiteindelijk weten ze niets over alles. Het probleem met experten is dat ze meer en meer over minder en minder weten, en uiteindelijk weten ze alles over niks. Ze hebben beiden gelijk De ideale Manager, p.33 17

19 SECURITY RISICO MANAGEMENT Invalshoeken Juridisch Economisch Risico Management Criminologisch Technisch De ideale Manager, p.34 De ideale security manager stelt het bestaande in vraag en zorgt voor continue verbetering. KRITISCHE GEEST De ideale Manager, p.35 18

20 De ideale Manager, p.36 De ideale Manager, p.37 19

21 CONTINUE VERBETERING Risico Management is een continu proces PLAN ~ Beleid DO ~ Uitvoering PLAN ACT DO CHECK Maturiteit/Kwaliteit Continue verbetering ACT ~ Continue verbetering CHECK ~ Evaluatie en Audit Deming Circle De ideale Manager, p.38 OPTIMIT SECURITY RADAR METHODOLOGIE (OSRM) Invalshoeken Maturiteit In welke mate zijn security processen matuur? Effectiviteit In welke mate zijn security maatregelen effectief in risicobeheer? Conformiteit interne regelgeving Conformiteit externe regelgeving Efficiëntie In welke mate zijn security maatregelen conform aan toepasselijke interne regelgeving? In welke mate zijn security maatregelen conform aan toepasselijke externe regelgeving? In welke zijn de genomen security maatregelen efficiënt in termen van ingezette middelen? De ideale Manager, p.39 20

22 OPTIMIT SECURITY RADAR METHODOLOGIE (OSRM) 12 security processen, 101 activiteiten 12. Audit 1. Risicoanalyse 5,0 GEOPTIMALISEERD 2. Strategie en planning BEHEERD 4,0 11. Integratie - Controlekamers 3,0 GEDEFINIEERD 3. Organisatie en menselijke aspecten 2,0 INFORMEEL 1,0 AD HOC 10. Informatiebeveiliging 0,0 ONBESTAAND 4. Bouwkundige beveiliging 9. Manbewaking 5. Toegangscontrole 8. Camerabewaking 6. Intrusiedetectie 7. Brandbeveiliging De ideale Manager, p.40 De ideale Manager KERNPUNTEN De ideale Manager, p.41 21

23 KERNPUNTEN De ideale security manager is een: 1. Risk manager 2. Strateeg 3. Vertrouwenspersoon 4. Vertaler 5. Netwerker 6. Generalist met een neus voor expertise 7. Kritische geest De ideale Manager, p.42 Het profiel van de ideale security manager Optimit Consulting, Engineering, Management E: T: W: De ideale Manager, p.43 22