Inbreken op de supply chain Erik van der Heijden
Introductie ⊇ Erik van der Heijden – 1988 Hudig-Langeveldt – 1992 Sun Alliance (Royal & SunAlliance) – 2000 St Paul – 2001 Hannover – 2002 Nederlandse Spoorwegen – 2004 Aon Global Risk Consulting – Risk Control • 2004 PHBO Security Management (DHM) • 2005 Certified Protection Professional (ASIS) • 2009 Master Security Science & Management (TU Delft)
Agenda ⊇ De relatie tussen BORG/VRKI en bestaande Europese normen ⊇ Het risico van inbraak gezien vanuit de supply chain ⊇ Regelgeving die van toepassing is op security in de supply chain ⊇ De relatie of het ontbreken daarvan tussen BORG/VRKI en TAPA ⊇ Andere risico's voor de "supply chain"
Waarom Europese norm? ⊇ Referentiepunt ⊇ Consensus document ⊇ Industrie, overheden, installateurs en gebruikers ⊇ Opgesteld in het Engels ⊇ Multinationals ⊇ Internationale (her)verzekeraars
Beveiligingstheorie BORG/VRKI ⊇ PIVA-ALRE (1974, Hein Stienstra) ⊇ INCI-DETAR (1994, Rob Ackx, Bert Duijndam) ⊇ KILLDARE (2006, Erik van der Heijden) KNOW
INTRUDE
LIFT DETECT
LOSE ALARM
RESPOND
EVALUATE
BORG/VRKI ⊇ De beveiligingsmaatregelen worden gedefinieerd en toegelicht die volgens de systematiek van de risicoklassen worden vereist voor de inbraakbeveiliging van een woning of bedrijf ⊇ We onderscheiden hierbij: – O: Organisatorische maatregelen – B: Bouwkundige maatregelen (waaronder ook de C/M maatregelen vallen) – E: Elektronische maatregelen (waaronder ook de AL maatregelen vallen) – R: Reactie alarmopvolging
⊇ Document D03/376 Verbeterde Risicoklassen-indeling voor bedrijven versie januari 2010 (www.hetccv.nl) ⊇ Document D03/385 Verbeterde Risicoklassenindeling Definities beveiligingsmaatregelen versie januari 2010 (www.hetccv.nl)
BORG/VRKI Normering ⊇ Bouwkundig: – NEN 5087:2007 (Bereikbaarheid) – BRL 3104:1997 (Manuele Beproeving Inbraakwerend Hang en Sluitwerk)) – NEN 5096:2007 (Inbraakwerendheid Gevelelementen) NEN-EN 1627 t/m 1630 – NEN EN 356:1999 (Beveiligingsbeglazing)
⊇ Elektronisch: – NEN EN 50131 1 t/m 7 (2006) www.stichting-req.nl
⊇ Alarmtransmissie: – (Al1) NEN EN 50136-1-1 (1998) – (Al2) NEN EN 50136-1-2 (1998)
⊇ Toegangscontrole: – NEN EN 501133 1 t/m7 (1996-2000)
⊇ Niet voor: Organisatie, CCTV, Compartimenten, Reactie
Toetsing en certificering ⊇ Certificering op basis van BRL BORG 2005 versie 2 ⊇ Indien één van de betrokken partijen dit wenst of eist kan worden afgesproken dat bij oplevering een opleveringsinspectie plaatsvindt door een inspectieinstelling op basis van ISO/IEC 17020-A en bevoegd voor inbraakbeveiliging conform de BRL BORG 2005 versie 2 ⊇ De eisen waaraan het PvE moet voldoen zijn niet nader omschreven in de BRL BORG 2005 versie 2. Als basis voor dit document gaan we op hoofdlijnen uit van een document conform: CLC/TS 50137-7:2003 annex F.
De logistieke keten Delfstoffen Grondstoffen Havenbedrijf
Halffabrikaten
Verzekering
Bank
Assemblagedelen Keten deelnemer Douane Eindproducten
Agent Exporteur
Keten deelnemer
Logistieke Keten
Logistiek Netwerk
Het doel van de logistieke keten is de gewenste goederen in een bepaalde hoeveelheid op een bepaald moment op een bepaalde lokatie ter beschikking te krijgen.
Is diefstal een probleem? ⊇ Push goederen, Pull goederen ⊇ Seizoenen, collecties, ⊇ Beschikbaarheid van de goederen ⊇ Beschikbaarheid van bewerkingskapaciteit ⊇ Aard van de goederen (gevaarlijke stoffen) ⊇ Prijserosie Mijnbouw
Hoogoven
Groothandel
Bewerking
Consument
Security in logistiek ⊇ Uitgangspunt terrorismerisico – Gebruik van supply chain als wapen door terroristen. – Onderbreken van supply chain door terroristen.
⊇ ADR – Accord européen relatief au transport international de marchandises Dangereuses par Route – Hoofdstuk 1.10 VOORSCHRIFTEN VOOR DE BEVEILIGING
⊇ CT-PAT – Customs-Trade Partnership Against Terrorism – Focus op aard van de goederen in de supply-chain.
⊇ AEO – Authorized Economic Operator – Focus op aard van de goederen in de supply-chain
TAPA ⊇ Transported Assets Protection Association – Bedrijfscontinuïteit. – Maximalisering van de winst.
⊇ FSR – Freight Security Requirements
⊇ TSR – Transport Security Requirements
FSR ⊇ 2009 TAPA FSR Scoring Matrix (www.tapaemea.com) ⊇ Score 0, 1, 2 of Not Applicable – TAPA A – TAPA B – TAPA C
⊇ 2009 TAPA BUYER AUDIT FORM – Score all mandatory items – 60% for each individual category – 60% for all sections combined
FSR ONDERWERPEN De functionaliteit is per onderwerp omschreven bijv: ⊇ Omheining, CCTV (docks, shipping), Verlichting ⊇ Gevelementen (weerstand en detectie) ⊇ Gevels (weerstand en detectie) ⊇ Daken (toegang, cctv), Bewegingsdetectie ⊇ Procedures, documentatie, identificatie, reporting ⊇ Awareness training, challenging unidentified persons ⊇ Termination procedures, contractor procedures
BORG/VRKI vs TAPA ⊇ BORG/VRKI – Beschrijvend – Genormeerd – Zwaartepunt bij B en E – Certificering door uitvoerende partij.
⊇ TAPA – Beschrijvend – Niet genormeerd – Zwaartepunt bij O en R – Certificering door onafhankelijke partij met 2-jaarlijkse herhaling
Checklist ⊇ Risico-analyse
⊇ Afspreken welke normen gehanteerd worden ⊇ Norm consequent handhaven ⊇ Norm uitsluitend als minimum hanteren ⊇ Na schade (maar tenminste periodiek) maatregelen evalueren ⊇ Bijsturen
Risico bepaling Risico identificatie
Risico analyse
Risico evaluatie
Risico aanpak
NEN-ISO 31000:2009
Controleren & Herzien
– PIVA-ALRE / INCI-DETAR / KILL-DARE
Commuicatie & Ovelrelg
– NEN ISO 31000:2009 nl/en
Kaders vaststellen
Normen maken een heldere communicatie tussen partijen mogelijk.
Security afwegingen ⊇ Stap 1.
Welke bezittingen probeer je te beschermen?
⊇ Stap 2.
Wat zijn de risico’s voor deze bezittingen?
⊇ Stap 3.
In welke mate reduceert de beveiligingsoplossing die risico’s?
⊇ Stap 4.
Welke andere risico’s worden door de beveiligingsoplossing geïntroduceerd?
⊇ Stap 5.
Welke kosten en beperkingen worden door de beveiligingsoplossing opgelegd? Bruce Schneier: Beyond Fear
Security Management Maturity Model
VRAGEN?
