In 7 stappen blijvend de baas over de beveiliging van je organisatie

Risico’s van de organisatie

Een lijnmanager is, als eigenaar van de processen, verantwoordelijk voor het beheersen van de realistische risico’s. Daarbij wordt gekeken naar het belang van de processen en de middelen die nodig zijn om deze processen uit te voeren binnen de locaties waar ze plaats vinden. Binnen de organisatie wordt bepaald welke risico’s men bereid is te lopen en welke met behulp van beveiliging gecontroleerd moeten worden. En dit niet eenmalig, maar continu, zeker als er iets in de processen en de risico’s hiervan wijzigt.

STAP 1

Beveiligingsbeleid

Het beveiligingsbeleid wordt door de directie vastgesteld en is voor iedereen geldend. In het beleid is vastgelegd wat de visie is op beveiliging en welke bereidheid er is voor het nemen van risico’s.

Ook wordt beschreven hoe de beveiligingsorganisatie is ingericht, wie met welke verantwoordelijkheden betrokken zijn, welke processen van toepassing zijn en wat van de medewerkers wordt verwacht.

STAP 2

Dreigingsprofiel

Het dreigingsprofiel beschrijft de combinaties van dreigingen, daders en aanvalsmiddelen waar de organisatie zich tegen wil beveiligen. Deze combinaties worden in de termen van wel of niet realistisch gewaardeerd. Dit vormt de basis voor de later uit te voeren risicoanalyse per locatie.

Het dreigingsprofiel wordt actueel gehouden door dreigingen en incidenten die zich binnen en buiten de organisatie voordoen te analyseren en daar waar nodig toe te voegen aan het dreigingsprofiel.

STAP 3

Programma van Eisen

Op basis van wet- en regelgeving, het beveiligingsbeleid en het dreigingsprofiel wordt in het Programma van Eisen beschreven welke beveiligingsmaatregelen genomen worden om de voor de organisatie benoemde risico’s beheersbaar te maken.

Omdat dreigingen per type locatie verschillen en omdat locaties in meer of mindere mate van belang zijn voor de organisatie, kunnen meerdere types Programma van Eisen nodig zijn.

STAP 4

Koppelingstabel

In deze unieke stap, van het model, worden de dreigingen uit het dreigingsprofiel gekoppeld aan de maatregelen vanuit het Programma van Eisen. Bepalend hierbij is de keuze voor welke maatregelen en de zwaarte hiervan daadwerkelijk een bijdrage kunnen leveren aan het beheersbaar maken van iedere afzonderlijke dreiging. Het resultaat van alle overwegingen wordt vastgelegd in een koppelingstabel, waarmee een keuze uit duizenden mogelijkheden is gemaakt die steeds wordt toegepast als maatwerk per situatie: controleerbaar, efficiënt en effectief

STAP 5

Risicoanalyse per locatie

Per locatie wordt gekeken naar de processen die er worden uitgevoerd en wat hiervoor aan informatie, materieel en personen op locatie aanwezig is. Vervolgens wordt bepaald welke risico’s voor deze locatie realistisch zijn, wat de gevolgen daarvan kunnen zijn en welke maatregelen uit het Programma van Eisen wenselijk zijn om die risico’s op een aanvaardbaar niveau te houden. Als de risicoanalyse is vastgesteld, worden daaruit de relevante maatregelen vanuit het Programma van Eisen geselecteerd.

STAP 6

Beveiligingsplan

In het beveiligingsplan wordt beschreven welke mix aan maatregelen gewenst is, wat hiervan al gerealiseerd is en wat nog gedaan moet worden en wanneer dan wel. Waar van het Programma van Eisen wordt afgeweken wordt aangegeven of er alternatieven zijn of dat het risico formeel geaccepteerd zal worden. Het beveiligingsplan wordt periodiek getoetst op actualiteit en waar er wijzigingen zijn in processen, risico’s en/of maatregelen, worden deze in het plan verwerkt.

STAP 7

Maatregelen

De mix aan beveiligingsmaatregelen die getroffen wordt bestaat uit een combinatie van organisatorische, bouwkundige, elektronische en reactieve maatregelen. De maatregelen worden geïmplementeerd, onderhouden en periodiek gecontroleerd. Daar waar leveranciers betrokken zijn, vindt afstemming plaats, worden de afspraken in contracten vastgelegd en wordt er periodiek verantwoording afgelegd over de prestaties.

Beveiligingsmodel

RANDVOORWAARDELIJK

Incidenten

Analyse van de incidenten en bijna incidenten, zowel van binnen als buiten de eigen organisatie, is belangrijk om helder te krijgen of de gekozen maatregelen (nog) voldoen en om inzicht te krijgen of er nieuwe dreigingen relevant zijn. Dit zorgt ervoor dat de beveiliging van de organisatie steeds zo goed als maar mogelijk is, afgestemd op de realistische dreigingen die zich voor kunnen doen.

Risicoacceptatie

Beveiliging is een lijnverantwoor-delijkheid. Degene die verantwoordelijk is, moet ervoor zorgen dat de risico’s voor de processen beheersbaar worden gemaakt. Hierbij wordt een keuze gemaakt tussen het wegnemen van het risico, het accepteren van een risico of een combinatie van beiden. Voor die risico’s die geaccepteerd kunnen worden, wordt het risicoacceptatieproces gevolgd. Meerdere belanghebbenden en specialisten beoordelen het risico, waarna een definitieve keuze wordt gemaakt over hoe met het risico om te gaan.

Audits

Het doel van beveiliging is om de risico’s te beheersen. Is gedaan wat was gepland en zijn de locaties nu voldoende beveiligd?

Het uitvoeren van audits geeft zekerheid over de mate waarin de aanpak van beveiliging voldoende is georganiseerd (procesaudit) en de wijze waarop de beveiligingsmaatregelen voldoende in staat zijn (tactische en operationele audit) om de baas over beveiliging van de organisatie te zijn.

error: Content is protected !!