Samenvatting van het vak 'security management' uit periode 2 jaar 2 van de opleiding Integrale Veiligheidskunde aan Avans Den Bosch. Hierbij is gebruik gemaakt van de aantekeningen van de Powerpoints uit de lessen en de bijbehorende artikelen. De artikelen die hierin zijn samengevat zijn als volgt:...
SECURITY MANAGEMENT H2 AVANS DEN BOSCH 2022/2023
Artikelen
Risk management Fay
Taken die behoren bij risk management:
Assets identificatie; breng de belangrijke bedrijfsmiddelen in kaart
Dreiging identificatie; breng de interne en externe dreigingen in kaart
Waarschijnlijkheid assessment; hoe groot is de kans dat de dreiging voorkomt
Impact assessment; wat is het mogelijke effect van een risico
Frequentie assessment; hoe vaak komt het voor, het verschil met waarschijnlijkheid is
dat je hierbij bewijst hebt dat het ook al eerder is gebeurd
Manageability assesment; de manier hoe je met de risico’s kan omgaan
1. Vermijden; wat betekent dat je het doelwit verwijdert dat een risico creëert.
Bijvoorbeeld het simpelweg niet verstrekken van laptops aan je medewerkers,
waardoor het risico op laptopdiefstal wordt geëlimineerd.
2. Verkleinen; hierbij beperk je het doelwit dat een risico creëert. Bijvoorbeeld het
bewaren van producten die een risico vormen in een afgesloten kast.
3. Verspreiden; door meerdere barrières te gebruiken. Bijvoorbeeld apparatuur voor
toegangscontrole en inbraakdetectie zoals kaartlezers en CCTV.
4. Overdragen; afschuiven op iemand ander door bv. een verzekering af te sluiten of
door de prijzen te verhogen zodat kopers van het product of de dienst betalen voor
verliezen. Je kunt ook functies outsourcen die een groot risico vormen voor andere
partijen; denk aan het inzetten van contractmedewerkers in plaats van eigen
medewerkers.
5. Accepteren. Soms accepteert het management een risico, omdat het risico een gok
waard is of omdat de kosten van verlies niet groot genoeg zijn om de kosten van
preventie te rechtvaardigen.
Identificeren van tegenmaatregelen; het bedenken van maatregelen om het risico te
verkleinen. Hierbij moet rekening gehouden worden dat het aansluit bij de risico’s, de
waarschijnlijk, de frequentie etc. maar ook dat het past bij de stijl van de organisatie.
Self assessment techniek; terug blikken op wat je zelf hebt gedaan en weet, om te
kunnen reflecteren en verbeteren.
Review en audit techniek; kijken of men aan de security verwachtingen heeft gedaan
en of de maatregelen iets hebben opgeleverd.
Rapporteren van alle resultaten; alle resultaten die je hebt gevonden uitleggen en
maatregelen geven om de situatie te verbeteren. Een review wordt vaak opgevolgd door
een audit, en een audit weer door een review. De frequentie is meestal 1x per jaar/per
twee jaar, maar je voert het vaker uit als de assets kritiek zijn voor de bedrijfsprocessen,
als er een groeiend risico is, wanneer er een incident heeft plaatsgevonden of wanneer
het management zich niet actief bezig houdt met security management.
De SICM-techniek is een methode voor het onderzoeken en analyseren van een
security-gerelateerd verlies. Een verliesgevend incident is een ongewenste gebeurtenis
die leidt tot schade aan mensen of verlies van eigendommen of processen, en is meestal het
gevolg van een overtreding van de wet, het beleid of de werkregel.
Het helpt om SICM te zien als een actieve vulkaan. Uit de bovenkant komen rook en lava.
Dit is het verlies. In de vulkaan, in aflopende volgorde, bevinden zich het incident, de
verborgen oorzaken die ten grondslag liggen aan het incident en het falen van het
management.
,PPS Garcia
De ‘physical protection system’ methode, ook wel PPS genoemd, is een proces om het juiste
fysieke beveiligingssysteem voor een bepaalde faciliteit te bepalen. Bij het ontwerpen van
een effectieve PPS moet de ontwerper de doelstelling van de PPS tegenover de beschikbare
middelen zetten. Zonder deze aanpak zou de PPS middelen kunnen verspillen aan onnodige
bescherming, of erger nog, bepaalde punten van de faciliteit niet kunnen beschermen.
Het proces van het opstellen van een PPS:
De eerste stap in het proces is het bepalen van de doelstellingen van het
beveiligingssysteem. Om deze doelstellingen te formuleren, moet de ontwerper de
volgende stappen doorlopen:
1) Begrijp de processen van de organisatie
2) Definieer de dreiging
3) Identificeer de doelen waar de vijand zich op wil richten
4) (Evaluatie)
Voor de eerste stap is het nodig om een beschrijving van de organisatie te maken. De
beschrijving bevat verschillende dingen zoals: de locatie van het gebouw, plattegronden van
het interieur van het gebouw en toegangspunten. Deze informatie kan worden verzameld via
blauwdrukken, procesbeschrijvingen, veiligheidsanalyserapporten, interviews, een
rondleiding op het terrein en checklists.
Voor de volgende stap moet de dreiging worden gedefinieerd. Er moet informatie worden
verzameld om drie vragen over de vijand te beantwoorden:
Met wat voor vijanden moet rekening worden gehouden?
Wat zijn de mogelijke tactieken van de vijanden?
, Waar zijn de vijanden toe in staat/welke vaardigheden?
Vijanden kunnen worden onderverdeeld in drie klassen: outsiders, insiders en outsiders
die samenspannen met insiders. Voor elke klasse tegenstander moet alle mogelijke
tactieken worden overwogen, zoals het beveiligingssysteem verslaan of overwinnen.
Belangrijke capaciteiten voor de tegenstander zijn onder meer zijn kennis van het PPS,
zijn motivatie, zijn vaardigheden die nuttig zouden zijn bij de aanval, zijn snelheid
waarmee de aanval wordt uitgevoerd en het vermogen om gereedschappen en wapens te
dragen.
De derde stap is het identificeren van de mogelijke targets van het beveiligingssysteem,
zoals belangrijke informatie, bepaalde mensen of belangrijke gebieden en processen.
De allerlaatste stap, na het ontwikkelen van een PPS ontwerp, is analyseren en evalueren.
Dit wordt gedaan door de beschermingsdoelstellingen waaraan het ontworpen systeem moet
voldoen, te bekijken en te begrijpen. Directe systeemtesten zijn niet praktisch omdat dan de
werking van de installatie wordt verstoord. Alleen subsystemen worden getest.
De grootte van het risico bepalen dat een vijand toegang krijgt tot kritieke
bedrijfsmiddelen:
R = Pa x (1 - (Pi)) x C
R: risico voor de organisatie dat een vijand toegang krijgt tot kritieke bedrijfsmiddelen of
deze steelt. Het bereik is 0 tot 1,0. Waarbij 0 geen risico is en 1.0 maximaal risico is.
Pa: waarschijnlijkheid van een vijandige aanval. Dit kan moeilijk te bepalen zijn, maar
over het algemeen zijn er gegevens beschikbaar om u hierbij te helpen. De waarde van
deze kans loopt van 0 (helemaal geen kans op een aanval) tot 1,0 (zekerheid van een
aanval). Gewoonlijk gaan we bij de risicoberekening uit van Pa = 1,0, wat betekent dat
een aanval op een organisatie zal plaatsvinden.
Pi: waarschijnlijkheid van onderbreking. Dit is de waarschijnlijkheid dat de vijand op tijd
wordt onderbroken door de reactiekracht om te voorkomen dat de tegenstander zijn
doelen bereikt. Waarde loopt van 0 (de tegenstander zal zeker succesvol zijn) tot 1,0 (de
tegenstander zal zeker op zijn pad worden onderbroken).
C: gevolg. Dit is een waarde van 0 tot 1 die betrekking heeft op de ernst van het optreden
van de gebeurtenis.
Zodra de risicowaarde is bepaald, kan de beveiligingsmanager de besteding van middelen
verantwoorden. Deze informatie kan worden gepresenteerd aan het uitvoerend management
van het bedrijf om aan te tonen hoe het beveiligingsrisico wordt beperkt en hoeveel
risicoblootstelling er nog is.
De subsystemen van een PPS:
Detectie
Vertraging
Reactie
(Voor verdere uitleg, zie aantekeningen van les 5)
Les avantages d'acheter des résumés chez Stuvia:
Qualité garantie par les avis des clients
Les clients de Stuvia ont évalués plus de 700 000 résumés. C'est comme ça que vous savez que vous achetez les meilleurs documents.
L’achat facile et rapide
Vous pouvez payer rapidement avec iDeal, carte de crédit ou Stuvia-crédit pour les résumés. Il n'y a pas d'adhésion nécessaire.
Focus sur l’essentiel
Vos camarades écrivent eux-mêmes les notes d’étude, c’est pourquoi les documents sont toujours fiables et à jour. Cela garantit que vous arrivez rapidement au coeur du matériel.
Foire aux questions
Qu'est-ce que j'obtiens en achetant ce document ?
Vous obtenez un PDF, disponible immédiatement après votre achat. Le document acheté est accessible à tout moment, n'importe où et indéfiniment via votre profil.
Garantie de remboursement : comment ça marche ?
Notre garantie de satisfaction garantit que vous trouverez toujours un document d'étude qui vous convient. Vous remplissez un formulaire et notre équipe du service client s'occupe du reste.
Auprès de qui est-ce que j'achète ce résumé ?
Stuvia est une place de marché. Alors, vous n'achetez donc pas ce document chez nous, mais auprès du vendeur &joy1. Stuvia facilite les paiements au vendeur.
Est-ce que j'aurai un abonnement?
Non, vous n'achetez ce résumé que pour €6,99. Vous n'êtes lié à rien après votre achat.
