2016 | Thimo Keizer

Gast college: integrale beveiliging

Governance en Auditing

Thimo KeizerManaging Consultant and Owner B-Mature

http://nl.linkedin.com/in/thimokeizer/

FYSIEKEBEVEILIGING.NL is onderdeel van

About me

1.The Bigger Picture2.Risico Management3.Integrale Beveiliging4.Governance5.Internal Auditing

2016 | Thimo Keizer

Over 60 minuten hebben jullie meer inzicht in:

2016 | Thimo Keizer

1. The Bigger Picture

2016 | Thimo Keizer

Strategisch, tactisch én operationeel

2016 | Thimo Keizer

Waaraan een organisatie failliet kan gaan

Simpel gezegd zijn er twee scenario’s die invloed hebben discontinuïteit van organisaties

Een sterfhuisconstructie Een incident

2016 | Thimo Keizer

OKI zorgt voor continuïteit

Omzet - Kosten + Imago

= Continuïteit

Ingaande Logistiek Bewerking Uitgaande Logistiek

Marketing& Verkoop Service

Infrastructuur van het bedrijf

Personeel & Organisatie

Technologische ontwikkelingen (Research & Development)

ToegevoegdeW

aarde

Continuïteit

Financien en inkoop

Primaire proces(sen) = inkomsten

Secundaire processen = uitgaven

2016 | Thimo Keizer

Waardeketen van Michael Porter

Wat moeten we (met fysieke beveiliging) beschermen?

2016 | Thimo Keizer

PIM zorgt voor OKI

• Personen

• Informatie

• Materieel

Het doel is continuïteit van de organisatie (in de breedste zin van het woord)

2016 | Thimo Keizer

Het doel is dus niet beveiliging of risico management

Fysieke beveiliging levert een bijdrage aan continuïteit

2016 | Thimo Keizer

• Met fysieke beveiliging leveren we een bijdrage aan de continuïteit van de organisatie

2016 | Thimo Keizer

2. Risico Management

2016 | Thimo Keizer

Het is de kunst om de juiste balans te vinden

De juiste balans tussen: • risico analyse • risico

management• business

continuity • disaster

recovery

Doelstelling vaststellen

Risico's identificere

n

Gevolgen inschatten

Risico's beoordelen

Risico's beheersen

Monitoring

2016 | Thimo Keizer

Risico management cyclus

2016 | Thimo Keizer

Risico management gedrag

1.Risk Averse (risico mijdend)2.Risk Taking (risico dragend)3.Risk Neutral (risico neutraal)

Bepalen van de impact en de kans (per risico)

2016 | Thimo Keizer

Kans

Impa

ct

Het risico Overdragen

Het risicoVermijden

Het risico Accepteren

Het risico Beheersen

2016 | Thimo Keizer

Risico strategieën

Rule based approach

Operational risk based approach

Enterprise risk based approach

2016 | Thimo Keizer

Pas op voor de verkeerde approach

2016 | Thimo Keizer

3. Integrale Beveiliging

Safety Security

Fysieke beveiliging Informatie beveiliging

Integrale beveiliging

2016 | Thimo Keizer

2016 | Thimo Keizer

Beveiliging en de Waardeketen van Michael Porter

Maar vraag je ook af waartegen:

Vraag je af wat je wilt beveiligen:

Personen, informatie en/of materieel

Interne of externe bedreigingenNatuurramp of menselijk handelen

2016 | Thimo Keizer

Wat willen we waartegen beveiligen?

2016 | Thimo Keizer

Daderprofiel

2016 | Thimo Keizer

Beveiligingsbeleid

Als we weten wat we waartegen willen beveiligen en welke maatregelen we daarvoor kunnen treffen dan leggen we dat vast in een fysiek beveiligingsbeleid

Dit beleid is voor de audit het normenkader waartegen we de beveiliging toetsten (opzet en bestaan)

Beveiligingsplan

2016 | Thimo Keizer

Het fysieke beveiligingsbeleid is een abstract document dat we per locatie door moeten vertalen in een beveiligingsplan

Dit plan is voor de audit het normenkader waartegen we de beveiliging toetsten (werking)

Pas op voor over- of onderbeveiliging

2016 | Thimo Keizer

Fysieke beveiliging is geen exacte wetenschap. Het is de toegevoegde waarde van een beveiligingsdeskundige om de juiste mix aan maatregelen voor te stellen waarbij moet worden opgepast voor zowel over- als onderbeveiliging. Daarbij moeten we rekening houden met het risico gedrag (mijdend, dragend, neutraal)

2016 | Thimo Keizer

4. Governance: de wijze van besturen

2016 | Thimo Keizer

Corporate Governance

En wat wil je opdrachtgever?

2016 | Thimo Keizer

Wil je dat ze compliant zijn of “in control”?

2016 | Thimo Keizer

Wie is verantwoordelijk voor wat?

Let met name op

Lijn organisatie

Risk, Control, Compliance

Interne audit

First line of defence

Second line of defence

Third line of defence

Externe audit

Fourth line of defenceUitvoering en risico

management bij die uitvoering Beleid en

onafhankelijke interne controle Interne

verbijzonderde controle

Externe verbijzonderde

controle

+ eventuele toezichthouders

2016 | Thimo Keizer

Four lines of defence

Maar waarom controleren we?• Om de staatskas te spekken?• Om de verkeersveiligheid te bevorderen?

2016 | Thimo Keizer

Vertrouwen is goed, controle is beter

2016 | Thimo Keizer

Internal Auditing: het controleren

Internal audit is een onafhankelijke, objectieve functie die zekerheid verschaft en adviesopdrachten uitvoert, om meerwaarde te leveren en de operationele activiteiten van de organisatie te verbeteren.

De internal auditfunctie helpt de organisatie haar doelstellingen te realiseren door met een systematische, gedisciplineerde aanpak de effectiviteit van de processen van risicomanagement, beheersing en governance te evalueren en te verbeteren.

2016 | Thimo Keizer

Definitie

Auditor: diegene die de medewerkers controleert

Auditee: diegene die door de auditors wordt gecontroleerd

Auditee

Auditor

2016 | Thimo Keizer

Wanneer krijg je te maken met auditing?

Financial audit

IT-audit

Operational audit

Forensic audit

Kwaliteitsaudit

Beveiligingsaudit

2016 | Thimo Keizer

Soorten audits

Het is noodzakelijk om alle soorten audits uit te voeren, maar het is niet

noodzakelijk ze allemaal in één audit uit te voeren

IT-audit Beveiligingsaudit

We gaan nader in op

2016 | Thimo Keizer

De vaardigheden die nodig zijn verschillen per audit

In de beveiliging kun je audits goed gebruiken om jouw doel (een verbetering in de beveiliging) te bereiken

2016 | Thimo Keizer

Audit is een middel om het doel te bereiken

Het beleid schrijft voor dat er een beveiligingsplan per

gebouw isOpzet

Dit beveiligingsplan is er ook echt voor het gebouw dat we

auditenBestaan

De beveiliging van het gebouw voldoet aan dit beveiligingsplan

Werking

2016 | Thimo Keizer

Opzet, bestaan én werking

2016 | Thimo Keizer

Audits gerelateerd aan de Waardeketen van Michael Porter

2016 | Thimo Keizer

De Code voor Informatiebeveiliging

De Code voor Informatiebeveiliging (NEN-ISO/IEC 270021/27002/7510) is een waardevol hulpmiddel…maar als je het op de verkeerde manier gebruikt is het vooral een rule based benadering (die je veel geld kost en weinig echte beveiliging oplevert)

En de code kijkt alleen naar de fysieke beveiliging van de informatie…

De elementen van een IT audit:• De fysieke componenten en de omgeving• De administratieve organisatie • De applicatieve software• Het netwerk (infrastructuur)• De Business Continuity• De data integriteit

Dat is waarom we naast IT audits ook naar de fysieke beveiliging moeten kijken

2016 | Thimo Keizer

Een informatiesysteem is meer dan een computer

In hoeverre is de informatie beschikbaar op het moment dat ik het nodig heb?

Beschikbaarheid(Availability)

In hoeverre is de informatie actueel en correct?

Vertrouwelijkheid/Exclusiviteit

(Confidentiality)

In hoeverre kunnen alleen geautoriseerde personen toegang krijgen tot de informatie

Integriteit(Integrity)

Maar ook: Effectiviteit, efficiency, return on investment, kwaliteit, etc.

2016 | Thimo Keizer

Beschikbaarheid, integriteit en vertrouwelijkheid

2016 | Thimo Keizer

Auditing van de fysieke beveiliging

Met fysieke beveiliging willen we de personen, de informatie en het materieel beschermen tegen realistische fysieke bedreigingen (dit leggen we vast in beveiligingsbeleid en beveiligingsplannen)

Met fysieke beveiligingsaudits willen we zekerstellen dat we de onderkende risico’s op voldoende wijze beheersen en dat we aan het beleid voldoen

Hoe hoog leg je de lat?• Als je 125 kilometer rijdt, dan rijd je toch echt te hard maar krijg je

geen bekeuring. • Als 10% van de wachtwoorden niet aan de policy voldoet, hoe is dan

je score en hoe groot is dan het risico dat je loopt? • En als 1% van het kernafval verkeerd wordt opgeslagen? Hoe erg is

dat dan?

2016 | Thimo Keizer

Je toetst altijd aan een normenkader

2016 | Thimo Keizer

Voordat je begint

1. Inventariseer de personen, de informatie en het materiaal en categoriseer ze

2. Bepaal welke personen, informatie en materieel de meeste impact hebben op de kritische bedrijfsprocessen en activa (zoals geld, materialen, klanten, besluitvorming)

3. Beoordeel welke risico's van invloed kunnen zijn op deze personen, informatie en materieel en bepaal de kans en de impact van bedreigingen

4. Rangschik de personen, informatie en het materieel op basis van de bovenstaande evaluatie en beslis over de prioriteit, middelen, planning en frequentie

2016 | Thimo Keizer

Het proces

1. Verzamel de achtergrondinformatie en beoordeel de middelen en vaardigheden die nodig zijn om de audit uit te voeren

2. Start met een overleg met het senior management dat verantwoordelijk is om de reikwijdte af te bakenen, de bijzondere aandachtspunten te begrijpen, eventuele datums te plannen en uitleg te geven over de methodologie

3. Voer de daadwerkelijke audit uit4. Als de audit is afgerond is het beter om de bevindingen en

suggesties voor verbeteringsmaatregelen aan het senior management te communiceren in een formeel overleg

5. Schrijf het verslag en audit rapport waarin de afspraken worden vastgelegd

2016 | Thimo Keizer

1. Informatie verzamelen en beoordelen

Verzamel de achtergrondinformatie en beoordeel de middelen en vaardigheden die nodig zijn om de audit uit te voeren

• Het beveiligingsbeleid• De beveiligingsplannen• Geaccepteerde risico’s• Resultaten van eerdere audits

2016 | Thimo Keizer

2. Overleggen en afstemmen

Start met een overleg met het senior management dat verantwoordelijk is om de reikwijdte af te bakenen, de bijzondere aandachtspunten te begrijpen, eventuele datums te plannen en uitleg te geven over de methodologie

• Bepaal of je kijkt naar opzet, bestaan en/of werking• Maak een auditplan• Stem het plan af met het verantwoordelijke

management• Vraag welke ontwikkelingen er zijn

2016 | Thimo Keizer

3. Voer de audit uit

1. Beoordeel het ontvangen materiaal (desk research)2. Hou interviews met betrokkenen (en vraag door)3. Vraag om bewijsmateriaal4. Trek je conclusie5. Verifieer je conclusie bij de betrokkenen6. Schrijf je “finding” en “aanbeveling” op

Als de audit is afgerond is het beter om de bevindingen en suggesties voor verbeteringsmaatregelen aan het senior management te communiceren in een formeel overleg

2016 | Thimo Keizer

4 en 5. Rapporteren en presenteren

Schrijf het verslag en audit rapport waarin de afspraken worden vastgelegd.

Rapporteren:• Constatering• Oorzaak• Risico• Aanbeveling

Vraag altijd om een management respons

2016 | Thimo Keizer

OBER: Hoe weet je of je de juiste maatregelen treft?

Fysieke beveiliging is de juiste mix van:• Organisatorische

maatregelen• Bouwkundige maatregelen• Elektronische maatregelen• Reactie (alarmopvolging)

2016 | Thimo Keizer

Hoe weet je of je de maatregelen op de juiste plaats treft?

Waar (in welk gebouw, waar in dat gebouw) bevinden zich depersonen, de informatie en het materieel die beveiligd moeten worden?

Voorbeeld: Hoe weet je of de procedures werken?

2016 | Thimo Keizer

Hoe weet je bijvoorbeeld zeker dat de toegangsprocedures werken, bezoekers geregistreerd worden, personeel een toegangspas gebruikt?

Voorbeeld: Hoe weet je of de gevelopeningen goed zijn?

2016 | Thimo Keizer

Hoe weet je bijvoorbeeld zeker dat het glas en de deuren in de buitengevel voldoende weerbaarheid bieden?

Voorbeeld: De werking van camerasystemen

2016 | Thimo Keizer

Hoe weet je bijvoorbeeld zeker dat de camerasystemen de juiste beelden opnemen en dat de beelden niet langer worden opgeslagen dan noodzakelijk?

Voorbeeld: De werking van detectoren

2016 | Thimo Keizer

Hoe weet je bijvoorbeeld zeker dat de infrarood detectoren juist werken en het juiste gebied detecteren?

Voorbeeld: Hoe weet je of de reactie juist is?

2016 | Thimo Keizer

Hoe weet je bijvoorbeeld zeker of de alarmopvolging juist is ingeregeld en hoe lang de surveillant erover doet om ter plaatse te gaan?

Vragen? Discussie?

2016 | Thimo Keizer