Samenvatting Securitymanagement
Algemene leerdoelen:
1. Uitleggen wat het vakgebied securitymanagement inhoudt en de belangrijkste begrippen ten
aanzien van dit vakgebied omschrijven zoals asset, dreiging, kwetsbaarheid, risico, incident
en continuïteit.
2. Gangbare methodieken voor het inventariseren en beoordelen van securityrisico’s op
relevante kenmerken beschrijven en toepassen.
3. Beschrijven hoe het proces securitymanagement conform de plan-do-check-act-cyclus in de
organisatie kan worden ingericht.
4. De belangrijkste achterliggende securityprincipes beschrijven en toepassen bij het ontwerpen
van een fysiek securityplan.
5. Aangeven hoe securitymaatregelen vanuit verschillende maatregelgroepen (MOBEC) moeten
worden ingericht en ten uitvoer gebracht.
Inhoudsopgave
Algemene leerdoelen:.................................................................................................................................... 1
Week 1: Security management....................................................................................................................... 2
Week 2: Het security risicomanagementproces.............................................................................................. 4
Week 3: Securitybeleid.................................................................................................................................. 7
Week 4: Security-organisatie en organisatorische maatregelen.......................................................................9
Week 5: Bouwkundige en elektronische maatregelen...................................................................................12
Week 6: Incidentenregistratie en beveiligingsbewustzijn..............................................................................14
Week 7: Wrap up – herhaling....................................................................................................................... 16
1
,Week 1: Security management
Integrale veiligheid staat voor: organisatiebreed (op alle lagen), samenhangende maatregelen en een
continu proces.
Beveiliging, oftewel security, staat gedefinieerd als: het totaalpakket van samenhangende
maatregelen om de continuïteit van de organisatie te waarborgen tegen (ongewenste) incidenten
(risico’s) die door kwaadwillende mensen worden veroorzaakt.
Incidenten
De incidenten kunnen zowel door eigen medewerkers als door personen van buiten de organisatie
veroorzaakt worden (interne of externe criminaliteit). Dit menselijk handelen kan zich richten op
agressie, geweld (aanslag), bedreigingen, diefstallen, vandalisme etc.
De incidenten (risico’s) die tot de scope van security (management) behoren:
- Actievoeren: stakingen, ongewenst filmen en fotograferen.
- Afpersen: chantage, bommelding, verdachte pakketten.
- Binnendringen: ongewenst en verdacht aanwezig zijn.
- Fraude: bedrog, corruptie en vervalsingen.
- Ontvreemden: inbraak en diefstal van goederen, informatie en kennis.
- Spionage: illegaal en ongewenst informatie bemachtigen.
- Sabotage: expres verkeerde informatie geven om tot een doel te komen.
- Vernielen: bushokjes vernielen en schade maken.
Beveiliging zorgt voor de bescherming tegen doelbewust kwaadwillig handelen van mensen zoals,
diefstal, moord of verkrachting. Het plegen van deze criminele daden leidt tot strafbare feiten en
zitten straffen aan vast.
Maatregelen
Het totaalpakket van maatregelen richt zich op preventieve, repressieve en herstellende maatregelen.
Ondanks de maatrelen is het niet mogelijk om alle incidenten te voorkomen. Maar wanneer het fout
gaat, moeten er maatregelen zijn om de schade te beperken (repressieve maatregelen) en zorgen
voor een spoedig herstel.
Continuïteit.
Beveiligingsmaatregelen worden getroffen om de continuïteit van de primaire processen van de
organisatie te borgen. Primaire processen verschillen per organisatie; bij een universiteit is het gericht
op onderwijs, productiebedrijf op produceren van goederen en een ziekenhuis op verlenen van zorg.
Voorvallen kunnen de continuïteit van het primaire proces op korte of lange termijn schaden en
kunnen per organisatie qua impact.
Veiligheid, oftewel safety, is gericht op de bescherming tegen onbedoelde gebeurtenissen zoals,
brand door kortsluiting, vallen, uitglijden of een natuurramp. Deze onbedoelde gebeurtenissen
gebeuren per ongeluk.
2
, Asset.
Security = asset protection
Any real or personal property, tangible of intangible, that a company or individual owns that can be
given or assigned a monetary value.
=
Elke reële of persoonlijke eigendom, materieel of immaterieel, dat een bedrijf of individu bezit dat
een geldige waarde kan worden gegeven of toegekend.
Vier assets (PIPI-model): voorbeelden Saxion:
- People (mensen) docenten en leerlingen.
- Information (informatie) studentengegevens en bankrekeningnummer; loon.
- Property (eigendom) schoolgebouw, tafels en stoelen etc.
- ICT (communicatie) Blackboard, Bison, Outlook mail.
Dreigingen kunnen zich binnen een organisatie via drie poorten manifesteren (3- poortenmodel)
- Fysieke poort: heeft betrekking op de fysieke toegangspunten tot systemen, apparatuur of
infrastructuur.
o Criminele springen over het hek heen.
- Menselijke poort: verwijst naar de rol van menselijke gebruikers in de organisatie.
o Iemand doet zich tijdens een sollicitatie anders voor de info.
- Logische poort: verwijst naar digitale toegangspunten.
o Cyberhack via de IT-netwerk.
Tegen deze drie aspecten moeten allemaal maatregelen genomen worden die op elkaar afgestemd
zijn, zodat de effectiviteit van de maatregel optimaal is. Hierdoor worden alle drie de poorten
beschermd totaalpakket van samenhangende maatregelen.
3
Algemene leerdoelen:
1. Uitleggen wat het vakgebied securitymanagement inhoudt en de belangrijkste begrippen ten
aanzien van dit vakgebied omschrijven zoals asset, dreiging, kwetsbaarheid, risico, incident
en continuïteit.
2. Gangbare methodieken voor het inventariseren en beoordelen van securityrisico’s op
relevante kenmerken beschrijven en toepassen.
3. Beschrijven hoe het proces securitymanagement conform de plan-do-check-act-cyclus in de
organisatie kan worden ingericht.
4. De belangrijkste achterliggende securityprincipes beschrijven en toepassen bij het ontwerpen
van een fysiek securityplan.
5. Aangeven hoe securitymaatregelen vanuit verschillende maatregelgroepen (MOBEC) moeten
worden ingericht en ten uitvoer gebracht.
Inhoudsopgave
Algemene leerdoelen:.................................................................................................................................... 1
Week 1: Security management....................................................................................................................... 2
Week 2: Het security risicomanagementproces.............................................................................................. 4
Week 3: Securitybeleid.................................................................................................................................. 7
Week 4: Security-organisatie en organisatorische maatregelen.......................................................................9
Week 5: Bouwkundige en elektronische maatregelen...................................................................................12
Week 6: Incidentenregistratie en beveiligingsbewustzijn..............................................................................14
Week 7: Wrap up – herhaling....................................................................................................................... 16
1
,Week 1: Security management
Integrale veiligheid staat voor: organisatiebreed (op alle lagen), samenhangende maatregelen en een
continu proces.
Beveiliging, oftewel security, staat gedefinieerd als: het totaalpakket van samenhangende
maatregelen om de continuïteit van de organisatie te waarborgen tegen (ongewenste) incidenten
(risico’s) die door kwaadwillende mensen worden veroorzaakt.
Incidenten
De incidenten kunnen zowel door eigen medewerkers als door personen van buiten de organisatie
veroorzaakt worden (interne of externe criminaliteit). Dit menselijk handelen kan zich richten op
agressie, geweld (aanslag), bedreigingen, diefstallen, vandalisme etc.
De incidenten (risico’s) die tot de scope van security (management) behoren:
- Actievoeren: stakingen, ongewenst filmen en fotograferen.
- Afpersen: chantage, bommelding, verdachte pakketten.
- Binnendringen: ongewenst en verdacht aanwezig zijn.
- Fraude: bedrog, corruptie en vervalsingen.
- Ontvreemden: inbraak en diefstal van goederen, informatie en kennis.
- Spionage: illegaal en ongewenst informatie bemachtigen.
- Sabotage: expres verkeerde informatie geven om tot een doel te komen.
- Vernielen: bushokjes vernielen en schade maken.
Beveiliging zorgt voor de bescherming tegen doelbewust kwaadwillig handelen van mensen zoals,
diefstal, moord of verkrachting. Het plegen van deze criminele daden leidt tot strafbare feiten en
zitten straffen aan vast.
Maatregelen
Het totaalpakket van maatregelen richt zich op preventieve, repressieve en herstellende maatregelen.
Ondanks de maatrelen is het niet mogelijk om alle incidenten te voorkomen. Maar wanneer het fout
gaat, moeten er maatregelen zijn om de schade te beperken (repressieve maatregelen) en zorgen
voor een spoedig herstel.
Continuïteit.
Beveiligingsmaatregelen worden getroffen om de continuïteit van de primaire processen van de
organisatie te borgen. Primaire processen verschillen per organisatie; bij een universiteit is het gericht
op onderwijs, productiebedrijf op produceren van goederen en een ziekenhuis op verlenen van zorg.
Voorvallen kunnen de continuïteit van het primaire proces op korte of lange termijn schaden en
kunnen per organisatie qua impact.
Veiligheid, oftewel safety, is gericht op de bescherming tegen onbedoelde gebeurtenissen zoals,
brand door kortsluiting, vallen, uitglijden of een natuurramp. Deze onbedoelde gebeurtenissen
gebeuren per ongeluk.
2
, Asset.
Security = asset protection
Any real or personal property, tangible of intangible, that a company or individual owns that can be
given or assigned a monetary value.
=
Elke reële of persoonlijke eigendom, materieel of immaterieel, dat een bedrijf of individu bezit dat
een geldige waarde kan worden gegeven of toegekend.
Vier assets (PIPI-model): voorbeelden Saxion:
- People (mensen) docenten en leerlingen.
- Information (informatie) studentengegevens en bankrekeningnummer; loon.
- Property (eigendom) schoolgebouw, tafels en stoelen etc.
- ICT (communicatie) Blackboard, Bison, Outlook mail.
Dreigingen kunnen zich binnen een organisatie via drie poorten manifesteren (3- poortenmodel)
- Fysieke poort: heeft betrekking op de fysieke toegangspunten tot systemen, apparatuur of
infrastructuur.
o Criminele springen over het hek heen.
- Menselijke poort: verwijst naar de rol van menselijke gebruikers in de organisatie.
o Iemand doet zich tijdens een sollicitatie anders voor de info.
- Logische poort: verwijst naar digitale toegangspunten.
o Cyberhack via de IT-netwerk.
Tegen deze drie aspecten moeten allemaal maatregelen genomen worden die op elkaar afgestemd
zijn, zodat de effectiviteit van de maatregel optimaal is. Hierdoor worden alle drie de poorten
beschermd totaalpakket van samenhangende maatregelen.
3
