Tentamen samenvatting Security Management
Week 1
Security (beveiliging): bescherming tegen doelbewust kwaadwillend handelen (diefstal, sabotage,
spionage, agressie, terrorisme: strafbare feiten)
Safety (veiligheid): bescherming tegen onbedoelde gebeurtenissen (vallen, uitglijden, besmetting,
kortsluiting (brand), natuurgeweld: per ongeluk)
Security Management: ‘’Het totaalpakket van samenhangende maatregelen om de continuïteit van
de organisatie de waarborgen tegen (ongewenste) incidenten (risico’s) die door doelbewust
kwaadwillende mensen wordt veroorzaakt.’’
Security: totaalpakket van samenhangende maatregelen:
- Continuïteit
- Preventie
- Repressie
- Herstel
MOBEC (M en C vooral aanwezig binnen grotere, complexe organisaties)
Meldingen (input voor OBE, ook ‘bijna’ incidenten!)
Organisatorische maatregelen (deur op slot doen, goedkoop/meeste effect)
Bouwkundige maatregelen (slot)
Elektronische maatregelen (bewegingssensor, duur/minste effect)
Communicatie (draagvlak creëren voor OBE, en zorgen dat deze juist functioneren)
Synergie: samenbrengen van maatregelen levert meer op/is sterker dan afzonderlijke maatregelen.
Een positief en versterkend effect.
Bijv. camerasysteem + inbraakdetectiesysteem (IBS) = centralist PAC is sneller met verifiëren en
doorsturen van een melding
Of detectie (buiten) voordat een inbreker bij bouwkundige maatregelen aankomt (kluis) creëert een
kortere aanrijtijd.
Security wordt georganiseerd om de continuïteit van de ‘’primaire processen’’ van een organisatie te
borgen. De pijngrens verschilt per organisatie (bijv. gesloten laptop voor Saxion of voor een ZZP’er).
Een incident is een risico dat zich in de praktijk manifesteert.
Asset (kroonjuweel): eigendommen/bezit van een organisatie waar je een bepaalde waarde aan kunt
geven (mensen, informatie, gebouwen, intellect, goodwill)
PIPI: four basic classifications of assets
- People
- Information
- Property
- Image (imago) of ICT
3-poorten model: een weg naar data
- Logische poort: ICT, hacken (2-stapsverificatie)
- Menselijke poort: solliciteren, binnenkomen (periodieke gesprekken personeel, hangt samen
met personele maatregelen)
- Fysieke poort: langs beveiligers, deur, camera (beveiliging)
, Week 2
Waarom Security Management?
- Wet- en regelgeving (Arbo, AVG)
- Duty of care (zorgplicht)
- Eisen van verzekeraars
- Aantoonbaarheid t.a.v. maatschappelijke verantwoording
Security risk management: in algemene zin omvat alle activiteiten die systematisch erop gericht zijn
om de securityrisico’s die een bedrijf loopt bij het bereiken van haar doelstelling te beheersen
Twee onderdelen:
- Assesment (waarom?)
- Mitigation (reductie)
Assesment:
1. Assets: identificeren
2. Threat: bedoeld/doordacht, natuurlijk en onbedoeld
3. Vulnerability: kwetsbaarheid, security weakness
4. Risk analysis: alle informatie van stap 1, 2 en 3 bij elkaar
5. Selecteren maatregelen risk analysis
Stap 1: Afhankelijkheidsanalyse (Assets/PIPI)
- Assets staan centraal: vitale bedrijfsprocessen/cruciale onderdelen
- Afhankelijk van bovenstaande voor bereiken doelstelling (continuïteit)
- Beschermen om bedrijfseconomische/maatschappelijke schade te voorkomen
- Mensen, informatie, processen, imago, grondstoffen, productiemiddelen, producten,
diensten
- Overzicht en gewicht t.o.v. elkaar (zwaarte)
Stap 2: Dreigingsanalyse
- Onderzoek bewust kwaadwillende personen en hun activiteiten
- Mogelijkheden van daders (capability) en de bereidheid om de daad uit te voeren (intent)
- Wie kunnen belang schaden? Hoe gaan zij te werk? Wie heeft kennis? Waarom?
- Raadplegen van politie, deskundigen, AIVD, NCTV
Stap 3: Kwetsbaarheidsanalyse
- Weerbaarheid van een bedrijf door de genomen security maatregelen en voorzieningen
- Zijn er gaten in de beveiliging? Bieden de huidige maatregelen voldoende weestand? Welke
mogelijkheden biedt de omgeving/organisatie potentiële daders?
Stap 4: Risicoanalyse
- Belangen, dreigingen, weerbaarheid bij elkaar brengen
- Geeft inzicht in soorten risico’s
- Prioriteren (risicomatrix), daarna accepteren of maatregelen nemen
- Risico’s beheersen Middelenplan ontwikkelen
Stap 5: Selecteren maatregelen
- O.b.v. kosten-baten (ook wel maatregelenanalyse)
- Worden risico’s écht verminderd door maatregelen? Deskundigheid vereist
- Wat is het meest kosteneffectief? Afwegingen maken
Week 1
Security (beveiliging): bescherming tegen doelbewust kwaadwillend handelen (diefstal, sabotage,
spionage, agressie, terrorisme: strafbare feiten)
Safety (veiligheid): bescherming tegen onbedoelde gebeurtenissen (vallen, uitglijden, besmetting,
kortsluiting (brand), natuurgeweld: per ongeluk)
Security Management: ‘’Het totaalpakket van samenhangende maatregelen om de continuïteit van
de organisatie de waarborgen tegen (ongewenste) incidenten (risico’s) die door doelbewust
kwaadwillende mensen wordt veroorzaakt.’’
Security: totaalpakket van samenhangende maatregelen:
- Continuïteit
- Preventie
- Repressie
- Herstel
MOBEC (M en C vooral aanwezig binnen grotere, complexe organisaties)
Meldingen (input voor OBE, ook ‘bijna’ incidenten!)
Organisatorische maatregelen (deur op slot doen, goedkoop/meeste effect)
Bouwkundige maatregelen (slot)
Elektronische maatregelen (bewegingssensor, duur/minste effect)
Communicatie (draagvlak creëren voor OBE, en zorgen dat deze juist functioneren)
Synergie: samenbrengen van maatregelen levert meer op/is sterker dan afzonderlijke maatregelen.
Een positief en versterkend effect.
Bijv. camerasysteem + inbraakdetectiesysteem (IBS) = centralist PAC is sneller met verifiëren en
doorsturen van een melding
Of detectie (buiten) voordat een inbreker bij bouwkundige maatregelen aankomt (kluis) creëert een
kortere aanrijtijd.
Security wordt georganiseerd om de continuïteit van de ‘’primaire processen’’ van een organisatie te
borgen. De pijngrens verschilt per organisatie (bijv. gesloten laptop voor Saxion of voor een ZZP’er).
Een incident is een risico dat zich in de praktijk manifesteert.
Asset (kroonjuweel): eigendommen/bezit van een organisatie waar je een bepaalde waarde aan kunt
geven (mensen, informatie, gebouwen, intellect, goodwill)
PIPI: four basic classifications of assets
- People
- Information
- Property
- Image (imago) of ICT
3-poorten model: een weg naar data
- Logische poort: ICT, hacken (2-stapsverificatie)
- Menselijke poort: solliciteren, binnenkomen (periodieke gesprekken personeel, hangt samen
met personele maatregelen)
- Fysieke poort: langs beveiligers, deur, camera (beveiliging)
, Week 2
Waarom Security Management?
- Wet- en regelgeving (Arbo, AVG)
- Duty of care (zorgplicht)
- Eisen van verzekeraars
- Aantoonbaarheid t.a.v. maatschappelijke verantwoording
Security risk management: in algemene zin omvat alle activiteiten die systematisch erop gericht zijn
om de securityrisico’s die een bedrijf loopt bij het bereiken van haar doelstelling te beheersen
Twee onderdelen:
- Assesment (waarom?)
- Mitigation (reductie)
Assesment:
1. Assets: identificeren
2. Threat: bedoeld/doordacht, natuurlijk en onbedoeld
3. Vulnerability: kwetsbaarheid, security weakness
4. Risk analysis: alle informatie van stap 1, 2 en 3 bij elkaar
5. Selecteren maatregelen risk analysis
Stap 1: Afhankelijkheidsanalyse (Assets/PIPI)
- Assets staan centraal: vitale bedrijfsprocessen/cruciale onderdelen
- Afhankelijk van bovenstaande voor bereiken doelstelling (continuïteit)
- Beschermen om bedrijfseconomische/maatschappelijke schade te voorkomen
- Mensen, informatie, processen, imago, grondstoffen, productiemiddelen, producten,
diensten
- Overzicht en gewicht t.o.v. elkaar (zwaarte)
Stap 2: Dreigingsanalyse
- Onderzoek bewust kwaadwillende personen en hun activiteiten
- Mogelijkheden van daders (capability) en de bereidheid om de daad uit te voeren (intent)
- Wie kunnen belang schaden? Hoe gaan zij te werk? Wie heeft kennis? Waarom?
- Raadplegen van politie, deskundigen, AIVD, NCTV
Stap 3: Kwetsbaarheidsanalyse
- Weerbaarheid van een bedrijf door de genomen security maatregelen en voorzieningen
- Zijn er gaten in de beveiliging? Bieden de huidige maatregelen voldoende weestand? Welke
mogelijkheden biedt de omgeving/organisatie potentiële daders?
Stap 4: Risicoanalyse
- Belangen, dreigingen, weerbaarheid bij elkaar brengen
- Geeft inzicht in soorten risico’s
- Prioriteren (risicomatrix), daarna accepteren of maatregelen nemen
- Risico’s beheersen Middelenplan ontwikkelen
Stap 5: Selecteren maatregelen
- O.b.v. kosten-baten (ook wel maatregelenanalyse)
- Worden risico’s écht verminderd door maatregelen? Deskundigheid vereist
- Wat is het meest kosteneffectief? Afwegingen maken
