2016 gast college Saxion Hogeschool integrale beveiliging: governance en auditing
Transcript of 2016 gast college Saxion Hogeschool integrale beveiliging: governance en auditing
2016 | Thimo Keizer
Gast college: integrale beveiliging
Governance en Auditing
Thimo KeizerManaging Consultant and Owner B-Mature
http://nl.linkedin.com/in/thimokeizer/
FYSIEKEBEVEILIGING.NL is onderdeel van
About me
1.The Bigger Picture2.Risico Management3.Integrale Beveiliging4.Governance5.Internal Auditing
2016 | Thimo Keizer
Over 60 minuten hebben jullie meer inzicht in:
2016 | Thimo Keizer
1. The Bigger Picture
2016 | Thimo Keizer
Strategisch, tactisch én operationeel
2016 | Thimo Keizer
Waaraan een organisatie failliet kan gaan
Simpel gezegd zijn er twee scenario’s die invloed hebben discontinuïteit van organisaties
Een sterfhuisconstructie Een incident
2016 | Thimo Keizer
OKI zorgt voor continuïteit
Omzet - Kosten + Imago
= Continuïteit
Ingaande Logistiek Bewerking Uitgaande Logistiek
Marketing& Verkoop Service
Infrastructuur van het bedrijf
Personeel & Organisatie
Technologische ontwikkelingen (Research & Development)
ToegevoegdeW
aarde
Continuïteit
Financien en inkoop
Primaire proces(sen) = inkomsten
Secundaire processen = uitgaven
2016 | Thimo Keizer
Waardeketen van Michael Porter
Wat moeten we (met fysieke beveiliging) beschermen?
2016 | Thimo Keizer
PIM zorgt voor OKI
• Personen
• Informatie
• Materieel
Het doel is continuïteit van de organisatie (in de breedste zin van het woord)
2016 | Thimo Keizer
Het doel is dus niet beveiliging of risico management
Fysieke beveiliging levert een bijdrage aan continuïteit
2016 | Thimo Keizer
• Met fysieke beveiliging leveren we een bijdrage aan de continuïteit van de organisatie
2016 | Thimo Keizer
2. Risico Management
2016 | Thimo Keizer
Het is de kunst om de juiste balans te vinden
De juiste balans tussen: • risico analyse • risico
management• business
continuity • disaster
recovery
Doelstelling vaststellen
Risico's identificere
n
Gevolgen inschatten
Risico's beoordelen
Risico's beheersen
Monitoring
2016 | Thimo Keizer
Risico management cyclus
2016 | Thimo Keizer
Risico management gedrag
1.Risk Averse (risico mijdend)2.Risk Taking (risico dragend)3.Risk Neutral (risico neutraal)
Bepalen van de impact en de kans (per risico)
2016 | Thimo Keizer
Kans
Impa
ct
Het risico Overdragen
Het risicoVermijden
Het risico Accepteren
Het risico Beheersen
2016 | Thimo Keizer
Risico strategieën
Rule based approach
Operational risk based approach
Enterprise risk based approach
2016 | Thimo Keizer
Pas op voor de verkeerde approach
2016 | Thimo Keizer
3. Integrale Beveiliging
Safety Security
Fysieke beveiliging Informatie beveiliging
Integrale beveiliging
2016 | Thimo Keizer
2016 | Thimo Keizer
Beveiliging en de Waardeketen van Michael Porter
Maar vraag je ook af waartegen:
Vraag je af wat je wilt beveiligen:
Personen, informatie en/of materieel
Interne of externe bedreigingenNatuurramp of menselijk handelen
2016 | Thimo Keizer
Wat willen we waartegen beveiligen?
2016 | Thimo Keizer
Daderprofiel
2016 | Thimo Keizer
Beveiligingsbeleid
Als we weten wat we waartegen willen beveiligen en welke maatregelen we daarvoor kunnen treffen dan leggen we dat vast in een fysiek beveiligingsbeleid
Dit beleid is voor de audit het normenkader waartegen we de beveiliging toetsten (opzet en bestaan)
Beveiligingsplan
2016 | Thimo Keizer
Het fysieke beveiligingsbeleid is een abstract document dat we per locatie door moeten vertalen in een beveiligingsplan
Dit plan is voor de audit het normenkader waartegen we de beveiliging toetsten (werking)
Pas op voor over- of onderbeveiliging
2016 | Thimo Keizer
Fysieke beveiliging is geen exacte wetenschap. Het is de toegevoegde waarde van een beveiligingsdeskundige om de juiste mix aan maatregelen voor te stellen waarbij moet worden opgepast voor zowel over- als onderbeveiliging. Daarbij moeten we rekening houden met het risico gedrag (mijdend, dragend, neutraal)
2016 | Thimo Keizer
4. Governance: de wijze van besturen
2016 | Thimo Keizer
Corporate Governance
En wat wil je opdrachtgever?
2016 | Thimo Keizer
Wil je dat ze compliant zijn of “in control”?
2016 | Thimo Keizer
Wie is verantwoordelijk voor wat?
Let met name op
Lijn organisatie
Risk, Control, Compliance
Interne audit
First line of defence
Second line of defence
Third line of defence
Externe audit
Fourth line of defenceUitvoering en risico
management bij die uitvoering Beleid en
onafhankelijke interne controle Interne
verbijzonderde controle
Externe verbijzonderde
controle
+ eventuele toezichthouders
2016 | Thimo Keizer
Four lines of defence
Maar waarom controleren we?• Om de staatskas te spekken?• Om de verkeersveiligheid te bevorderen?
2016 | Thimo Keizer
Vertrouwen is goed, controle is beter
2016 | Thimo Keizer
Internal Auditing: het controleren
Internal audit is een onafhankelijke, objectieve functie die zekerheid verschaft en adviesopdrachten uitvoert, om meerwaarde te leveren en de operationele activiteiten van de organisatie te verbeteren.
De internal auditfunctie helpt de organisatie haar doelstellingen te realiseren door met een systematische, gedisciplineerde aanpak de effectiviteit van de processen van risicomanagement, beheersing en governance te evalueren en te verbeteren.
2016 | Thimo Keizer
Definitie
Auditor: diegene die de medewerkers controleert
Auditee: diegene die door de auditors wordt gecontroleerd
Auditee
Auditor
2016 | Thimo Keizer
Wanneer krijg je te maken met auditing?
Financial audit
IT-audit
Operational audit
Forensic audit
Kwaliteitsaudit
Beveiligingsaudit
2016 | Thimo Keizer
Soorten audits
Het is noodzakelijk om alle soorten audits uit te voeren, maar het is niet
noodzakelijk ze allemaal in één audit uit te voeren
IT-audit Beveiligingsaudit
We gaan nader in op
2016 | Thimo Keizer
De vaardigheden die nodig zijn verschillen per audit
In de beveiliging kun je audits goed gebruiken om jouw doel (een verbetering in de beveiliging) te bereiken
2016 | Thimo Keizer
Audit is een middel om het doel te bereiken
Het beleid schrijft voor dat er een beveiligingsplan per
gebouw isOpzet
Dit beveiligingsplan is er ook echt voor het gebouw dat we
auditenBestaan
De beveiliging van het gebouw voldoet aan dit beveiligingsplan
Werking
2016 | Thimo Keizer
Opzet, bestaan én werking
2016 | Thimo Keizer
Audits gerelateerd aan de Waardeketen van Michael Porter
2016 | Thimo Keizer
De Code voor Informatiebeveiliging
De Code voor Informatiebeveiliging (NEN-ISO/IEC 270021/27002/7510) is een waardevol hulpmiddel…maar als je het op de verkeerde manier gebruikt is het vooral een rule based benadering (die je veel geld kost en weinig echte beveiliging oplevert)
En de code kijkt alleen naar de fysieke beveiliging van de informatie…
De elementen van een IT audit:• De fysieke componenten en de omgeving• De administratieve organisatie • De applicatieve software• Het netwerk (infrastructuur)• De Business Continuity• De data integriteit
Dat is waarom we naast IT audits ook naar de fysieke beveiliging moeten kijken
2016 | Thimo Keizer
Een informatiesysteem is meer dan een computer
In hoeverre is de informatie beschikbaar op het moment dat ik het nodig heb?
Beschikbaarheid(Availability)
In hoeverre is de informatie actueel en correct?
Vertrouwelijkheid/Exclusiviteit
(Confidentiality)
In hoeverre kunnen alleen geautoriseerde personen toegang krijgen tot de informatie
Integriteit(Integrity)
Maar ook: Effectiviteit, efficiency, return on investment, kwaliteit, etc.
2016 | Thimo Keizer
Beschikbaarheid, integriteit en vertrouwelijkheid
2016 | Thimo Keizer
Auditing van de fysieke beveiliging
Met fysieke beveiliging willen we de personen, de informatie en het materieel beschermen tegen realistische fysieke bedreigingen (dit leggen we vast in beveiligingsbeleid en beveiligingsplannen)
Met fysieke beveiligingsaudits willen we zekerstellen dat we de onderkende risico’s op voldoende wijze beheersen en dat we aan het beleid voldoen
Hoe hoog leg je de lat?• Als je 125 kilometer rijdt, dan rijd je toch echt te hard maar krijg je
geen bekeuring. • Als 10% van de wachtwoorden niet aan de policy voldoet, hoe is dan
je score en hoe groot is dan het risico dat je loopt? • En als 1% van het kernafval verkeerd wordt opgeslagen? Hoe erg is
dat dan?
2016 | Thimo Keizer
Je toetst altijd aan een normenkader
2016 | Thimo Keizer
Voordat je begint
1. Inventariseer de personen, de informatie en het materiaal en categoriseer ze
2. Bepaal welke personen, informatie en materieel de meeste impact hebben op de kritische bedrijfsprocessen en activa (zoals geld, materialen, klanten, besluitvorming)
3. Beoordeel welke risico's van invloed kunnen zijn op deze personen, informatie en materieel en bepaal de kans en de impact van bedreigingen
4. Rangschik de personen, informatie en het materieel op basis van de bovenstaande evaluatie en beslis over de prioriteit, middelen, planning en frequentie
2016 | Thimo Keizer
Het proces
1. Verzamel de achtergrondinformatie en beoordeel de middelen en vaardigheden die nodig zijn om de audit uit te voeren
2. Start met een overleg met het senior management dat verantwoordelijk is om de reikwijdte af te bakenen, de bijzondere aandachtspunten te begrijpen, eventuele datums te plannen en uitleg te geven over de methodologie
3. Voer de daadwerkelijke audit uit4. Als de audit is afgerond is het beter om de bevindingen en
suggesties voor verbeteringsmaatregelen aan het senior management te communiceren in een formeel overleg
5. Schrijf het verslag en audit rapport waarin de afspraken worden vastgelegd
2016 | Thimo Keizer
1. Informatie verzamelen en beoordelen
Verzamel de achtergrondinformatie en beoordeel de middelen en vaardigheden die nodig zijn om de audit uit te voeren
• Het beveiligingsbeleid• De beveiligingsplannen• Geaccepteerde risico’s• Resultaten van eerdere audits
2016 | Thimo Keizer
2. Overleggen en afstemmen
Start met een overleg met het senior management dat verantwoordelijk is om de reikwijdte af te bakenen, de bijzondere aandachtspunten te begrijpen, eventuele datums te plannen en uitleg te geven over de methodologie
• Bepaal of je kijkt naar opzet, bestaan en/of werking• Maak een auditplan• Stem het plan af met het verantwoordelijke
management• Vraag welke ontwikkelingen er zijn
2016 | Thimo Keizer
3. Voer de audit uit
1. Beoordeel het ontvangen materiaal (desk research)2. Hou interviews met betrokkenen (en vraag door)3. Vraag om bewijsmateriaal4. Trek je conclusie5. Verifieer je conclusie bij de betrokkenen6. Schrijf je “finding” en “aanbeveling” op
Als de audit is afgerond is het beter om de bevindingen en suggesties voor verbeteringsmaatregelen aan het senior management te communiceren in een formeel overleg
2016 | Thimo Keizer
4 en 5. Rapporteren en presenteren
Schrijf het verslag en audit rapport waarin de afspraken worden vastgelegd.
Rapporteren:• Constatering• Oorzaak• Risico• Aanbeveling
Vraag altijd om een management respons
2016 | Thimo Keizer
OBER: Hoe weet je of je de juiste maatregelen treft?
Fysieke beveiliging is de juiste mix van:• Organisatorische
maatregelen• Bouwkundige maatregelen• Elektronische maatregelen• Reactie (alarmopvolging)
2016 | Thimo Keizer
Hoe weet je of je de maatregelen op de juiste plaats treft?
Waar (in welk gebouw, waar in dat gebouw) bevinden zich depersonen, de informatie en het materieel die beveiligd moeten worden?
Voorbeeld: Hoe weet je of de procedures werken?
2016 | Thimo Keizer
Hoe weet je bijvoorbeeld zeker dat de toegangsprocedures werken, bezoekers geregistreerd worden, personeel een toegangspas gebruikt?
Voorbeeld: Hoe weet je of de gevelopeningen goed zijn?
2016 | Thimo Keizer
Hoe weet je bijvoorbeeld zeker dat het glas en de deuren in de buitengevel voldoende weerbaarheid bieden?
Voorbeeld: De werking van camerasystemen
2016 | Thimo Keizer
Hoe weet je bijvoorbeeld zeker dat de camerasystemen de juiste beelden opnemen en dat de beelden niet langer worden opgeslagen dan noodzakelijk?
Voorbeeld: De werking van detectoren
2016 | Thimo Keizer
Hoe weet je bijvoorbeeld zeker dat de infrarood detectoren juist werken en het juiste gebied detecteren?
Voorbeeld: Hoe weet je of de reactie juist is?
2016 | Thimo Keizer
Hoe weet je bijvoorbeeld zeker of de alarmopvolging juist is ingeregeld en hoe lang de surveillant erover doet om ter plaatse te gaan?
Vragen? Discussie?
2016 | Thimo Keizer