Fysieke beveiliging: Waarom voorkomen niet altijd beter is dan genezen. Over Thimo Keizer

Vergelijkbare documenten
Wie keurt jouw vlees? De toegevoegde waarde van een fysieke beveiligingsaudit. Over Thimo Keizer

Als beveiligingssystemen IT-systemen zijn, waarom worden ze dan niet beheerd door de. IT-afdeling? Over Thimo Keizer

De toegevoegde waarde van fysieke beveiliging. Over Thimo Keizer

3 manieren om je risico analyses te verbeteren

Hoe de controlerende macht fysieke beveiliging kan verbeteren

De 8 eigenschappen van effectief security management

fysieke beveiliging onder controle Good Governance op het gebied van fysieke beveiliging Thimo Keizer

Fysieke beveiliging: Eerst denken dan Agile doen (bespaart je een hoop poen) Over Thimo Keizer

Physical Security Maturity

Als je beveiligers weinig ervaring hebben met audi4ng. en je auditors weinig kennis hebben van fysieke beveiliging

fysieke beveiliging onder controle Fysieke beveiliging Lean & Agile Thimo Keizer

Hoe je als onderdeel van De Nederlandse Corporate Governance Code. ook fysieke beveiliging onder controle krijgt

RISK MANAGEMENT. Hinrich Slobbe

Informatieveiligheid, de praktische aanpak

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Risico s in beeld. Wat nu? Door Ilona Hoving 1

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

INFORMATIEBEVEILIGING


OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

Beheersing beheerst. Over risicogestuurde interne controle in het sociale domein

Nota Risicomanagement en weerstandsvermogen BghU 2018

Kwaliteitsverbetering van een bedrijfsnoodorganisatie door middel van scenario s Danny A. Jolly, Regionale brandweerorganisatie

Security Management Trendonderzoek. Chloë Hezemans

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

BIC Building Blocks Beleid & Strategie

Whitepaper. Inzetten op integrale veiligheid

Beleid Informatiebeveiliging InfinitCare

Grip op uw bedrijfscontinuïteit

Informatiebeveiliging voor overheidsorganisaties

Inspiratiedag. Workshop 1: Risicogestuurde interne controle. 15 september 2016

BUSINESS CONTINUITY MANAGEMENT Hoe kunt u uw onderneming beschermen voor gevaren.

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

Risico als Kans. Integrale Veiligheid en Risicomanagement. Ron Massink

Berry Kok. Navara Risk Advisory

BARRIER DENKEN, BARRIER DOEN! PRAGMATISCH EN PROAC TIEVE RISICOANALYSE DOOR MARTIN HOOGERWERF, SENIOR BUSINESS CONSULTANT

ISO Informatiebeveiliging

CERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

STRATAEGOS CONSULTING

De GDPR AVG Privacy wetgeving richt zich op veel meer dan alleen Privacy

J.H. van den Berg. Versie 1.0 Mei 2011

Strategisch Risicomanagement

De controller met ICT competenties

Beleidsplan

Informatiebeveiliging voor gemeenten: een helder stappenplan

Bisnez Management. Een kennismaking

Informatiebeveiligingsbeleid

Veilig mobiel werken. Workshop VIAG 7 oktober 2013

Advies informatiebeveiligings analyse HvA

Inleiding Wat is twin datacenter? Waarom implementeren organisaties twin datacenter oplossingen? Business Continuity Management (BCM)

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth

Voorschrift Informatiebeveilging Rijksdienst (VIR) Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Business Continuity Management

Informatiebeveiligingsbeleid

Inhoud Strategisch Facilitair Plan

Masterclass. Business Model Canvas gebruiken bij communicatie. Een visueel hulpmiddel om de brug tussen IT en business te slaan

Bedrijfscontinuïteitsmanagement en crisiscommunicatie Kadering

De nieuwe ISO-normen: meer dan KAM-management alleen!

Kwaliteitsmanagement: de verandering communiceren!

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Het dienstbaarheidsconcept

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

SESSIE 1.3 GEBRUIK: NATUURGEWELD

Informatiebeveiligingsbeleid extern

Global Project Performance

DE AFDELING STRATEGIE MANAGEMENT VAN STRATEGIE NAAR EXECUTIE STRATAEGOS.COM

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

De effectieve directie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

integrating your business

Praktische brandveiligheid zonder zorgen Van een normgerichte- naar pragmatisch en risicogerichte aanpak van de brandveiligheid

Artikel "We hebben een firewall, dus onze beveiliging is geregeld!"

Executive Briefing Managing Data Center Performance 2013 en verder

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Een Information Security Management System: iedereen moet het, niemand doet het.

6.6 Management en informatiebeveiliging in synergie

ITIL Security Management: een kritische beschouwing

Functieprofiel: Manager Functiecode: 0202

Stappenplan naar GDPR compliance

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

BEVEILIGINGSARCHITECTUUR

Strategisch Informatiebeveiligingsbeleid Hefpunt

Informatiebeveiligingsbeleid

In de praktijk betekent dit onder meer er voor zorgen dat... Dienstverlening op correcte wijze plaats vindt;

Incore Solutions Learning By Doing

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Whitepaper. Ligt u s nachts ook wakker van alle commotie rondom nieuwe regelgeving of normering? Compliance Management

BIJLAGE 2: BEVEILIGINGSBIJLAGE

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF> Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie <versie/datum>

BUSINESS CONTINUITEIT

Cloudscan We nemen de tijd om uw organisatie goed in kaart te brengen en de Cloud op uw organisatie aan te passen.

BCM Volwassenheid. Het VKA BCM Maturity Model Steven Debets

Functieprofiel: Controller Functiecode: 0304

Transcriptie:

Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van de gebaande paden en onderzoeken waar de organisatie op een efficiënte en effectieve wijze verbeterd kan worden zonder dat de organisatie daar last van ondervindt. De bedrijfsvoering, de primaire en secundaire processen en de aspecten die voor de continuïteit van de organisatie van belang zijn worden daarbij door mij steeds als uitgangspunt genomen. Op strategisch en tactisch niveau zijn mijn adviezen gebaseerd op de groei in volwassenheid van de organisatie. Mijn ervaring op het gebied van change management, risico management en integrale beveiliging binnen organisaties als het Ministerie van Defensie, de ABN AMRO Bank en KPN Telecom aangevuld met mijn universitaire opleiding Bedrijfswetenschappen en HBO opleiding Marketing Management helpen mij daarbij. Waarom Het is mijn doel om organisaties te helpen om continuïteit te waarborgen door (beveiligings)risico s en kansen zichtbaar en begrijpelijk te maken, zodat de impact op omzet, kosten en imago kan worden beheerst. Hoe Ik ben een strategische en tactische business consultant met een specialisatie in operationeel risicobeheer voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Wat Ik zorg ervoor dat organisaties hun doelen bereiken door Good Governance (goed bestuur) en maturity (volwassenheid) te waarborgen voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Dat doe ik door het ontwikkelen en implementeren van beveiligingsbeleid, door het evalueren en aanpassen van dat beleid en door middel van quick scans en audits van het beleid en de getroffen beveiligingsmaatregelen. Copyright Thimo Keizer, Vlaardingen 2017 Voor meer informatie: www.b-mature.com www.fysiekebeveiliging.nl www.linkedin.com/in/thimokeizer/ 1

Een oud gezegde luidt: voorkomen is beter dan genezen. Toch is het de vraag of dit gezegde ook opgaat voor fysieke beveiliging. Naar mijn mening is dit namelijk niet het geval en gaat het tekort door de bocht om maar zoveel mogelijk risico s uit te willen sluiten (anders had ik er ook niet over geschreven). Waarom dat zo is leg ik hierna uiteraard uit. OBER mag ik de juiste mix van u? Binnen beveiliging spreken we al jaren over de zogenaamde OBE-mix die we inmiddels hebben aangevuld met de R (van Reactie). De beveiligingsmaatregelen moeten daarbij een zo goed mogelijke mix van organisatorische, bouwkundige, elektronische maatregelen zijn waarbij de reactie zorgt voor de nodige en tijdige alarmopvolging. Tot zover niets nieuws onder de zon en een mix die bij iedereen die ook maar iets doet op het gebied van fysieke beveiliging bekend is. De vraag is echter wat een "zo goed mogelijke mix" is. Het gevaar is dat we met deze mix in het achterhoofd beginnen het selecteren van allerlei beveiligingsmaatregelen (sloten, bouten, moeren, camera s, detectoren, procedures, etc.) zonder dat we weten wat de risico s zijn en wat het doel van die beveiligingsmaatregelen nu precies is. Van preventie naar correctie Een andere mix waar we rekening mee moeten houden is die van preventie, detectie, repressie en correctie (laten we dat PDRC noemen en hoewel het ook een Deming-cyclus is moeten we die niet verwarren met de PDCA-cyclus). Deze mix kijkt naar de fase waarin een onacceptabel risico zich voor kan doen en de mate waarin bepaalde beveiligingsmaatregelen daaraan een bijdrage leveren. 2

Preventie: het voorkomen dat een incident zich voordoet. Voorbeelden van maatregelen: muren, deuren, bouten, sloten, moeren. Detectie: het ontdekken dat een incident zich voordoet. Voorbeelden van maatregelen: inbraakinstallatie, camerasysteem, beveiliger op locatie. Repressie: het onderdrukken van het incident op het moment dat het zich voordoet. Voorbeelden van maatregelen: compartimentering, sprinklerinstallaties, business continuity management. Correctie: het herstellen van het incident nadat het zich heeft voorgedaan. Voorbeelden van maatregelen: alarmopvolging door mobiele surveillant, verzekering, disaster recovery. Zou het gezegde waar zijn dan zouden we er alles aan moeten doen om het uitbreken van een incident te voorkomen en zouden alle maatregelen die we treffen gericht moeten zijn op preventie. Dat zou zelfs in een wereld waarin er onbeperkte budgeten waren voor fysieke beveiliging niet het geval zijn. Iedere maatregel die we treffen kost uiteraard geld maar kan het de medewerkers ook moeilijk maken om de primaire en secundaire processen uit te voeren. Daarnaast levert iedere beveiligingsmaatregel op zichzelf ook weer nieuwe risico s op. Fysieke beveiliging is geen primair proces maar een secundair proces dat de primaire en de andere secundaire processen zo goed mogelijk moet ondersteunen en niet andersom. De doelmatigheid en de doeltreffendheid van de primaire en secundaire processen staat voorop. Dat betekent dus ook een zo doelmatig en doeltreffend mogelijk beveiligingsproces. Beveiliging is een lijnverantwoordelijkheid Beveiliging is een lijnverantwoordelijkheid. Ook zo n duidelijke zin die iedereen wel op zijn vizier heeft maar die in de praktijk toch tot de nodige onduidelijkheden leidt. Als beveiliging een lijnverantwoordelijkheid is dan betekent dit dat we altijd de business nodig hebben om te bepalen welke risico s zij als onacceptabel zien. Zij zijn immers verantwoordelijk voor de resultaten van de primaire en secundaire processen die zij uitvoeren. Wij kunnen ze (of sterker nog: wij moeten ze) wel helpen om de risico s inzichtelijk te krijgen maar kunnen de hoogte van dat risico op hun processen niet goed inschatten. Wij zijn dus niet verantwoordelijk voor de onacceptabele risico s (dat is de business ) maar wel voor we mate waarin we beveiligingsadviezen voorstellen (de kwaliteit van ons advies) en de mate waarin de mix van beveiligingsmaatregelen die we voorstellen juist werkt en volledig is waarbij we rekening moeten houden met onderbeveiliging en overbeveiliging. Onderbeveiliging betekent dat we simpelweg te weinig aan beveiliging doen om de onacceptabele risico s voldoende af te dekken. Het mag dan lekker goedkoop zijn maar levert onherroepelijk risico s op voor de primaire en secundaire processen, de omzet, kosten, het imago en misschien zelfs wel voor de continuïteit van de organisatie. 3

Overbeveiliging betekent juist dat er teveel beveiligingsmaatregelen worden getroffen. Dit is niet alleen erg kostbaar maar levert juist ook risico s op. Enerzijds omdat het voor de medewerkers moeilijk (lees: inefficiënt en ineffectief) wordt de primaire en secundaire processen goed uit te voeren maar anderzijds omdat iedere beveiligingsmaatregel die we treffen op zich ook weer tot nieuwe risico s kan leiden. Risico management is ook een lijnverantwoordelijkheid Tot nu toe hebben we ons vooral gericht op beveiliging. Maar in de zin van een oorzaakgevolg-relatie is beveiliging een gevolg en niet een oorzaak (het risico is immers de oorzaak). Om onze toegevoegde waarde zo goed mogelijk waar te kunnen maken moeten we nog een stap terug zetten: Risico management en dan met name de risico strategie. In zijn algemeenheid kunnen we uit gaan van 4 strategieën nadat we een risico hebben vastgesteld: 1. Vermijden (als de kans en de impact hoog zijn) 2. Verminderen (als de kans hoog maar de impact laag is) 3. Overdragen (als de kans laag maar de impact hoog is) 4. Accepteren (als de kans en de impact laag zijn) Niet alleen beveiliging is een lijnverantwoordelijkheid maar ook risico management is een lijnverantwoordelijkheid. Alleen de business kan bepalen welke strategie voor dat risico het best passend is waarbij ze rekening houden met hoe kritisch het proces is voor de organisatie. Daarbij moet de business rekening houden met het risicogedrag van de organisatie als geheel maar juist ook het risicogedrag voor dat specifieke proces (het risicogedrag van een proces kan afwijken van het risicogedrag van de organisatie als geheel): Risicomijdend Risiconeutraal Risicodragend Maar processen zijn containerbegrippen waarop we niet zomaar beveiligingsmaatregelen kunnen treffen. Nee, er is nog een relatie te leggen. Namelijk die van de personen, de informatie en het materieel dat de processen mogelijk maken. Dat zijn de aspecten waarop we beveiligingsmaatregelen van toepassing kunnen verklaren. Er moet dus nog een relatie gelegd worden tussen de processen en de personen, informatie en het materieel dat die processen mogelijk maken. Op basis daarvan kunnen wij een juiste set aan maatregelen voorstellen om de gebouwen waarin die processen zich afspelen, de personen die de processen uitvoeren, de informatie die nodig is voor die processen en het materieel dat aan die processen bijdraagt te kunnen beschermen. Dat beschermen doen we tegen onacceptabele risico s en met de juiste set aan organisatorische, bouwkundige, elektronische maatregelen die we aanvullen met reactie en waarbij we rekening houden met preventie, detectie, repressie en correctie. 4

Waarom, waartegen en waarmee De vragen die we ons moeten stellen is waarom, waartegen en waarmee kunnen we zo optimaal mogelijk beveiligen. Optimaal staat hierbij dus niet voor zoveel mogelijk beveiligingsmaatregelen maar voor een juiste set aan maatregelen die is afgestemd op de kritische waarde van de bedrijfsprocessen. Waarom: we beveiligen om discontinuïteit als gevolg van onacceptabele risico s die van invloed kunnen zijn op de primaire en secundaire bedrijfsprocessen te voorkomen waarbij we rekening houden met de kosten-batenverhouding tussen de gevolgen van het risico, de kritische waarde van de processen en de kosten om dat risico beheersbaar te maken. Waartegen: we kijken naar de realistische bedreigingen en de business bepaald welke risico s onacceptabel zijn door de juiste risico management strategie toe te passen (vermijden, verminderen, overdragen, accepteren) rekening houdend met het risicogedrag (mijdend, neutraal, dragend) zodat wij ons kunnen focussen op de juiste fase van een incident (preventie, detectie, repressie, correctie). Waarmee: met dat in ons achterhoofd stellen we de juiste mix aan organisatorische, bouwkundige, elektronische maatregelen voor die we aanvullen met reactie (alarmopvolging). De strekking van dit verhaal Voorkomen is niet altijd beter dan genezen. Stop met het nemen van beveiligingsmaatregelen (genezen) en start met het beheersen van onacceptabele risico s. Doe dat door te kijken naar hoe kritisch een primair of secundair proces is. Door de relatie te leggen tussen de processen en de personen, informatie en het materieel die nodig zijn om deze processen te kunnen realiseren. Breng op basis daarvan de realistische bedreigingen in kaart waarna de business bepaald hoe acceptabel dat risico is en welke strategie ze bereid zijn om te volgen binnen het risicogedrag dat passend is voor dat proces. Dat is voor ons het vertrek punt om de juiste set aan organisatorische, bouwkundige, elektronische maatregelen aangevuld met reactie (alarmopvolging) voor te kunnen stellen waarbij we kijken naar de mate waarin de maatregelen bijdragen aan preventie, detectie, repressie en correctie. We zijn dus naast inhoudelijk expert op het gebied van fysieke beveiliging ook nog eens procesbegeleider. En hoewel dat niet altijd even gemakkelijk is, is dit wel de toegevoegde waarde die we moeten leveren. 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback