Hoofdstuk 1 Wat is integrale beveiliging?
Security bescherming tegen doelbewust kwaadwillend handelen
Safety bescherming tegen onbedoelde gebeurtenissen
Securitymanagement (beveiliging of security) = het totaalpakket van samenhangende maatregelen
om de continuïteit van (de primaire processen van) de organisatie te waarborgen tegen incidenten
die door kwaadwillende mensen worden veroorzaakt.
Veiligheid (safety) = een totaalpakket van samenhangende maatregelen om personen binnen de
organisatie te beschermen tegen gevaarlijke situaties.
Integrale beveiliging = een aanpak waarbij de participatie van de hele organisatie noodzakelijk is om
te komen tot samenhangende, gedragen en werkende maatregelen. Samenvattend staat integraal
voor: organisatiebreed, samenhangende maatregelen en een continu proces.
Asset = iets of iemand met kernwaarde voor de continuïteit van een organisatie, met enige waarde.
Tastbaar of niet tastbaar.
Informatiebeveiliging gaat om betrouwbaarheid, beschikbaarheid en toegankelijkheid van
informatie.
4 assets (pipi)
People
Information
Property
Image
3-poortenmodel
Logische poort criminelen die zichzelf toegang verschaffen door middel van ICT.
Menselijke poort kwaadwillende komen binnen door zich anders voor te doen of te
solliciteren.
Fysieke poort fysieke maatregelen moeten inbrekers buiten houden.
Organogram:
Strategisch directeur
Tactisch management
Operationeel werknemers
Hoofdstuk 2 Risicomanagement, incidenten, schades en statistiek
Waarom investeren in security?
Wet- en regelgeving (Arbowet, AVG)
Zorgplicht
Eisen verzekeraars
Safety
Aantoonbaarheid van beveiliging en wensen ten aanzien van het afleggen van
(maatschappelijke) verantwoording.
Overzicht van reële bedreigingen risicoprofiel
Risico’s die door moedwillig handelen ontstaan worden ook wel criminele risico’s genoemd.
, 3 methoden om te kijken wat de waarschijnlijkheid van risico’s zijn:
1. Lees media, wat gebeurd er binnen vergelijkbare organisaties
2. Eigen incidentenregistratie raadplegen.
3. Sectorbreed inventariseren door middel van benchmarking.
Proces van securitymanagement:
1. Afhankelijkheidsanaylse
a. Assets in kaart brengen en waarderen (primaire bedrijfsprocessen)
2. Dreigingsanalyse
a. Ongewenste situatie die dreigt. Wat is de dreiging? Natural, ongeluk of moedwillig?
Hier heeft een organisatie weinig invloed op.
i. Een dreiging hangt af van de mogelijkheid van potentiele daders en de mate
waarin zij bereid zijn om hun daad uit te voeren.
3. Kwetsbaarheidsanalyse
a. Weerbaarheid van een bedrijf door de genomen security maatregelen en
voorzieningen.
i. Hoe een organisatie zich opstelt (bv. gastvrijheid). Hier heeft een organisatie
wel invloed op.
4. Risicoanalyse
a. Brengt de belangen, dreigingen en weerbaarheid van het bedrijf bij elkaar
i. Kans x effect
5. Protective measures door middel van:
a. Kosten-batenanalyse bij bepalen maatregelen. Return on investment (ROI).
5 manieren om risico’s aan te pakken: waarschijnlijkheid, schade
1. Vermijden (avoidance) Groot, hoog
2. Uitbesteden aan derden of verzekeren (transfer) klein, hoog
3. Accepteren (acceptance) klein, laag
4. Spreiden (spreading)
5. Reduceren ofwel beveiligen (reduction) groot, laag
4 manieren om risico’s te verzachten (risk mitigation) 4 D’s:
1. Deterrance (afschrikken)
2. Deny (toegang weigeren)
3. Detection (detectie)
4. Delaying (vertragen)
Schadecomponenten zijn zowel direct als indirect.
Hoofdstuk 3 Meldingen en stuurinformatie.
Stuurinformatie is noodzakelijk om het beveiligingsproces meetbaar en stuurbaar te maken.
Stuurinformatie uit meldingen is noodzakelijk om de overige maatregelgroepen te kunnen invullen.
De stuurinformatie geeft informatie over welke maatregelen nu het beste getroffen kunnen worden
(OBE) om een herhaling van het incidenten en schade tegen te gaan.
Informatie uit de meldingen kan ook aangewend worden aan medewerkers binnen de organisatie
meer beveiligingsbewust te maken. Zo is het ook een voorname input voor C in MOBEC.
Kritische meetindicatoren:
Security bescherming tegen doelbewust kwaadwillend handelen
Safety bescherming tegen onbedoelde gebeurtenissen
Securitymanagement (beveiliging of security) = het totaalpakket van samenhangende maatregelen
om de continuïteit van (de primaire processen van) de organisatie te waarborgen tegen incidenten
die door kwaadwillende mensen worden veroorzaakt.
Veiligheid (safety) = een totaalpakket van samenhangende maatregelen om personen binnen de
organisatie te beschermen tegen gevaarlijke situaties.
Integrale beveiliging = een aanpak waarbij de participatie van de hele organisatie noodzakelijk is om
te komen tot samenhangende, gedragen en werkende maatregelen. Samenvattend staat integraal
voor: organisatiebreed, samenhangende maatregelen en een continu proces.
Asset = iets of iemand met kernwaarde voor de continuïteit van een organisatie, met enige waarde.
Tastbaar of niet tastbaar.
Informatiebeveiliging gaat om betrouwbaarheid, beschikbaarheid en toegankelijkheid van
informatie.
4 assets (pipi)
People
Information
Property
Image
3-poortenmodel
Logische poort criminelen die zichzelf toegang verschaffen door middel van ICT.
Menselijke poort kwaadwillende komen binnen door zich anders voor te doen of te
solliciteren.
Fysieke poort fysieke maatregelen moeten inbrekers buiten houden.
Organogram:
Strategisch directeur
Tactisch management
Operationeel werknemers
Hoofdstuk 2 Risicomanagement, incidenten, schades en statistiek
Waarom investeren in security?
Wet- en regelgeving (Arbowet, AVG)
Zorgplicht
Eisen verzekeraars
Safety
Aantoonbaarheid van beveiliging en wensen ten aanzien van het afleggen van
(maatschappelijke) verantwoording.
Overzicht van reële bedreigingen risicoprofiel
Risico’s die door moedwillig handelen ontstaan worden ook wel criminele risico’s genoemd.
, 3 methoden om te kijken wat de waarschijnlijkheid van risico’s zijn:
1. Lees media, wat gebeurd er binnen vergelijkbare organisaties
2. Eigen incidentenregistratie raadplegen.
3. Sectorbreed inventariseren door middel van benchmarking.
Proces van securitymanagement:
1. Afhankelijkheidsanaylse
a. Assets in kaart brengen en waarderen (primaire bedrijfsprocessen)
2. Dreigingsanalyse
a. Ongewenste situatie die dreigt. Wat is de dreiging? Natural, ongeluk of moedwillig?
Hier heeft een organisatie weinig invloed op.
i. Een dreiging hangt af van de mogelijkheid van potentiele daders en de mate
waarin zij bereid zijn om hun daad uit te voeren.
3. Kwetsbaarheidsanalyse
a. Weerbaarheid van een bedrijf door de genomen security maatregelen en
voorzieningen.
i. Hoe een organisatie zich opstelt (bv. gastvrijheid). Hier heeft een organisatie
wel invloed op.
4. Risicoanalyse
a. Brengt de belangen, dreigingen en weerbaarheid van het bedrijf bij elkaar
i. Kans x effect
5. Protective measures door middel van:
a. Kosten-batenanalyse bij bepalen maatregelen. Return on investment (ROI).
5 manieren om risico’s aan te pakken: waarschijnlijkheid, schade
1. Vermijden (avoidance) Groot, hoog
2. Uitbesteden aan derden of verzekeren (transfer) klein, hoog
3. Accepteren (acceptance) klein, laag
4. Spreiden (spreading)
5. Reduceren ofwel beveiligen (reduction) groot, laag
4 manieren om risico’s te verzachten (risk mitigation) 4 D’s:
1. Deterrance (afschrikken)
2. Deny (toegang weigeren)
3. Detection (detectie)
4. Delaying (vertragen)
Schadecomponenten zijn zowel direct als indirect.
Hoofdstuk 3 Meldingen en stuurinformatie.
Stuurinformatie is noodzakelijk om het beveiligingsproces meetbaar en stuurbaar te maken.
Stuurinformatie uit meldingen is noodzakelijk om de overige maatregelgroepen te kunnen invullen.
De stuurinformatie geeft informatie over welke maatregelen nu het beste getroffen kunnen worden
(OBE) om een herhaling van het incidenten en schade tegen te gaan.
Informatie uit de meldingen kan ook aangewend worden aan medewerkers binnen de organisatie
meer beveiligingsbewust te maken. Zo is het ook een voorname input voor C in MOBEC.
Kritische meetindicatoren:
