Start 2 Secure : De weg naar integrale beveiliging van bedrijven (-terreinen) Ralf GERING Veurne

“Start 2 Secure”: De weg naar integrale beveiliging van bedrijven (-terreinen) Ralf GERING Veurne 20/10/2015 1

? 2

9 januari 2015: afloop Charlie Hebdo Damartin-en-Goëlle, bedrijf Crétion Tendance Découverte

3

? 4

8 januari 2015: Coulibaly vermoordt 4 personen in superette 5

? 6

26 Juni 2015: Isère, Yassin Salhi, Air products, moord en aanslag

7

VER VAN MIJN BED…?

? 8

20 feb 2015: Zuuraanval op medewerkster Delhaize Antwerpen na chantagecampagne

9

WEL UIT HET DAGELIJKSE LEVEN GEGREPEN…

? 10

VER VAN MIJN BED…? Uitzendbureau Adecco is door het hof van beroep van Brussel veroordeeld voor discriminatie bij het aanwerven van personeel. Het bedrijf moet 25.000 euro schadevergoeding betalen aan zowel de socialistische vakbond als aan SOS Racisme, die het proces hadden aangespannen. De zaak dateert al van 2001, toen een medewerker van het interimbureau een klacht indiende. Hij onthulde dat Adecco zogenaamde "apartheidslijsten" aanlegde via zijn interne informaticasysteem. Autochtonen werden gecodeerd met de afkorting BBB (Blanc Bleu Belge), een afkorting die in de vee-industrie verwijst naar een "zuiver" Belgisch koeienras. Op die manier kon Adecco registreren of een klant al dan niet enkel autochtone uitzendkrachten wenste en op die vraag ingaan.

11

UIT HET DAGELIJKSE LEVEN GEGREPEN… 

De correctionele rechtbank in Mechelen heeft een Mechelaar donderdag veroordeeld voor het bestelen van zijn vroegere werkgever. De man was tewerkgesteld bij warenhuisketen Carrefour. Omdat hij over een badge beschikte, had hij toegang tot de speciaal beveiligde magazijnen. Daar stal hij elektro-apparatuur en verkocht die aan vrienden en kennissen. De warenhuisketen werd zo voor tienduizenden euro’s opgelicht. Carrefour kreeg lucht van de diefstallen en kon de dief met camera’s ontmaskeren. De verdediging verklaarde dat de beklaagde een gokverslaving had en vroeg de rechter begrip…



Een man die al negen jaar OCMW-klant was, viel donderdagmiddag een maatschappelijk assistente aan. Hij vond dat ze niet snel genoeg het geld van zijn uitkering gaf. Hij bedreigde haar met een scheermes, en toen ze hem probeerde buiten te werken, sloeg hij verschillende keren de deur tegen haar aan. De politie kwam snel ter plaatse. Zijn slachtoffer heeft zware kneuzingen en is een week werkonbekwaam. Volgens een vakbondsafgevaardigde zijn al verschillende werknemers geslagen en bedreigd geweest. Ze werken ook zonder enige beveiliging; wie het gebouw binnen is, heeft toegang tot alle kantoren… 12

UIT HET DAGELIJKSE LEVEN GEGREPEN… 

Bekaert kreeg een ferme klap op de beurs toen bekend raakte dat twee Chinese concurrenten de winstmarges op de zaagdraad wegvraten. Volgens insiders zijn deze fabrieken opgezet door ingenieursteams die de stiel bij Bekaert hadden geleerd. De West-Vlaamse fabrikant is het slachtoffer van industriële spionage die verder gaat dan het eenvoudig kopiëren van een nieuw design, iets waar Vlaamse textielproducenten al langer onder lijden.



De werkgever van een moslimvrouw in het Belgische Ledegem heeft opnieuw bedreigingen ontvangen, waarin wordt gesteld dat er een prijs van € 250.000 op zijn hoofd staat als hij de werkneemster niet ontslaat. Werkgever Rik Vannieuwenhuyse, eigenaar van een visgroothandel, zegt niet op de dreigementen in te zullen gaan. Dit is al de vierde dreigbrief die Remmery heeft ontvangen. Eerder kreeg hij anonieme bedreigingen om de moslimvrouw te verbieden haar hoofddoek te dragen. De medewerkster in kwestie heeft daar inmiddels al vrijwillig van afgezien. De briefschrijvers eisen nu dat de werkgever haar ontslaat. De werkneemster, de 31-jarige Naïma Amzil, heeft inmiddels haar ontslag ingediend bij het bedrijf…



De raadkamer in Ieper heeft de aanhouding bevestigd van drie koperdieven die in de nacht van 13 op 14 juni met meer dan drie ton koper aan de haal gingen bij Degels Metals in Ieper. Het koper heeft een waarde van 10.000 euro. 13

UIT HET DAGELIJKSE LEVEN GEGREPEN… 

Winkeldief geeft uitbater rake klappen: Een winkeldief heeft samen met drie vrienden de uitbater van de Carrefour Express in de Molenstraat enkele slagen gegeven. De uitbater had de jongeman tegengehouden nadat hij de winkel wou verlaten zonder te betalen voor een worstenbroodje en een blikje drank.



Een 54-jarige man uit Ham moet 12 maanden de cel in, omdat hij ten nadele van zijn vroegere werkgever een tankkaart had gestolen en gebruikt. In totaal werd 55 keer onrechtmatig gebruik gemaakt van de kaart. Aan het bedrijf en de verzekeringsmaatschappij moet de man in totaal 26.244 euro schadevergoeding betalen, zo bepaalde de correctionele rechtbank van Hasselt vandaag



Inbrekers zijn verschillende gebouwen in het Kortrijkse Kennedypark binnengedrongen op zoek naar IT-materiaal. "Bij ons zijn ze ervandoor met computers en laptops, alles samen goed voor 20.000 euro", zegt Wim Verhelst van Konvert Interim. "Gelukkig hebben we alle belangrijke gegevens op een back-up staan en leverde de diefstal niet direct problemen op voor de dagelijkse werking.” Ook bij de buren hadden de inbrekers geprobeerd om in te breken. Bij Bank Degroof bleef het bij een poging, maar bij Care Talents zijn de daders wel binnengeraakt. De feiten gebeurden allemaal in de nacht van dinsdag op woensdag. Naast laptops en geld zijn er volgens de lokale politie ook ander IT-materiaal verdwenen en is er zelfs een Renault Kangoo gestolen. 14

LAATSTE OPWARMER… 

Vannacht, 24 juli omstreeks 01.00 uur, is er ingebroken in een loods van FD op een bedrijventerrein aan de St. Jansstraat te Essen. De daders zijn via de velden gekomen en hebben een afstand van minstens vijfhonderd meter afgelegd. Door een gat in de muur van de loods te maken konden ze binnenkomen. De camerabeelden hebben twee lichtgetinte mannen vastgelegd, waarvan één goed in beeld is gekomen. Toen ze merkten dat er een camera hing, hebben ze die met een bezem weggeduwd. De schade van de gestolen, kostbare apparatuur is bedraagt minstens €10.000,-. Het zou kunnen dat één of meerdere daders ook betrokken was bij de mazoutdiefstal uit vrachtwagens van afgelopen 5 juli.



DUS verwacht men…

15

LAATSTE OPWARMER… 

In de nacht van 10 op 11 september is er een poging tot inbraak geweest bij het bedrijf van FD aan de Sint-Jansstraat in Essen-Wildert. Er werd de afgelopen maanden al vaker ingebroken, op 24 juli en 8 augustus, maar deze keer lukte het de daders niet om binnen te komen. FD: “Ze zijn via dezelfde weg gekomen als de vorige keren en maakten opnieuw een gat in de muur. Maar er zitten nu dikke houten platen voor de wanden, waar buizen voor langs lopen. Die hebben er voor gezorgd dat ze nu niet binnen konden komen.”

16

WAARTEGEN DIENEN WE ONS TE BEVEILIGEN…? 





Misdrijven waar bedrijf/werknemers/klanten slachtoffer kan worden: allerlei vormen van diefstal, agressie (van escalerende pesterijen tot AMOK, terrorisme), oplichting, afpersing, fraude, sabotage, spionage, brandstichting, vandalisme, overlast, intrusie, urban exploring,… Specifiek: computercriminaliteit: 4 misdrijven http://www.belgium.be/nl/justitie/veiligheid/criminaliteit/computerc riminaliteit/ • Valsheid in informatica (wijzigen, wissen, veranderen gegevens) • Informaticabedrog (~ diefstal door datamanipulatie toestel) • Informaticasabotage (~ vandalisme: virussen, stalking, hoax) • Hacking (~ inbraak)

Door externen EN internen !!! 17

DIEFSTAL CIJFERS VOOR WEST-VLAANDEREN… http://www.stat.policefederale.be/

Feit

2011

2012

2013

2014

Inbr. in bedrijf of handelsz.

1.741

1.549

1.374

1.283

Inbr. in openb. of overheid.

483

481

422

576

Winkeldiefstal

2.598

2.363

2.353

2.459

Metaaldiefstal

343

314

363

233

Werfdiefstal

366

373

309

314

Huisdiefstal

516

420

405

372 18

DIEFSTAL NATIONALE TENDENZEN… 







Inbraken in bedrijven/handelszaken sterk gedaald 2000

2010

2014

27.204

21.099

17.368

Winkeldiefstal neemt licht af sedert de laatste jaren na eerdere sterke steiging 2000

2010

2014

15.475

24.573

21.612

Ook geleidelijke daling voor metaaldiefstal, huisdiefstal, werfdiefstal,…

VERKLARING ??? Eén van de redenen is alvast een verbeterde

beveiliging, maar het kan steeds beter !!

19

20

EN HOE BENT U BEVEILIGD? U rekent op uw beschermengel…?

21

EN HOE BENT U BEVEILIGD? …of voert u reeds een security beleid en is dit beleid wel efficiënt ?

22

SCOPE VAN DEZE PRESENTATIE

Master in Security Management

23

SCOPE VAN DEZE PRESENTATIE   

Hoe brengt u de risico’s en bedreigingen van uw organisatie in kaart? Hoe tekent u een security beleidsstructuur uit? En welke maatregelen dient u daaraan te koppelen? Hoe zorgt u ervoor dat uw medewerkers zich bewust zijn van hun rol in het geheel? En hoe controleert u of ze de spelregels kennen en respecteren? Inleiding doorheen de verschillende basisstappen die uw organisatie zet in het uitwerken van een efficiënt securitybeleid. Een geslaagd securitybeleid is een beleid dat constant bijgestuurd wordt, van analyse tot en met controle.

24

ENKELE BELANGRIJKE STELLINGEN VOORAF 

Security ≠ Safety !   

   





Safety = veiligheid, welzijn van de medewerker (accidenten) Security = beveiliging en bewaking (incidenten) FR: sécurité, sûreté, protection physique,…

Security is geen exacte wetenschap ! 100% security bestaat niet ! Evenwicht : tussen kosten/inspanningen en resultaten Aanvaarding : verstoring van core business, “Big Brother”, beperkende omgeving, … Flexibiliteit : op dreigingen anticiperen, aanpassen aan feiten Management commitment : voorbeeldfunctie, mandaat 25

TOEGEVOEGDE WAARDE VAN ‘SECURITY’ De

onderneming bereikt haar doelstellingen via de toepassing van diverse middelen: 

medewerkers,



informatie en processen



fysieke componenten (infrastructuur, materiaal,…)

Doeltreffend

& continu gebruik van deze middelen leidt tot solide resultaat en rendement.

Security

draagt rechtstreeks bij aan de ondernemingsdoelstellingen door deze middelen te beschermen tegen bedreigingen door kwaad opzet, van criminele of vijandige aard en zo de continuïteit van de activiteiten van de onderneming te garanderen.

Security

= een belangrijke interne partner!

KLASSIEKE SECURITY-TRIO

Security Fysieke Componenten

Security Informatie

Security Processen & Mensen

27

DE “SECURITY LIFE CYCLE” Management van risico’s en dreigingen Security beleidsvoering

Security maatregelen

Training en awareness

Management van security incidenten Evaluatie en constante verbetering 28

Management van risico’s en dreigingen Security beleidsvoering

Security maatregelen

Training en awareness

Management van security incidenten Evaluatie en constante verbetering

29

MANAGEMENT VAN RISICO’S EN DREIGINGEN 



Dreigingsanalyse: 

Bepaal de relevante dreigingen (bijv. diefstal, vandalisme, cybercrime, sabotage, terrorisme, intrusie, bedrijfsspionage, agressie,…), de auteurs (bijv. rondtrekkende bende, hacker, gelegenheidsdief, ontslagen medewerker, concurrent,…), hun motivatie (bijv. verrijking, wraakneming,…) en de modus operandi (bijv. inbraak, geweld, list,…)



Zorg voor accurate informatie (interne, externe bronnen: media, OCAD, politie, buren, BIN’s, concullega’s, consultants, …)

Risk assessment: 

Ontwikkel een risk assessment methodologie, eventueel gebaseerd op bestaande ERM, safety ,…



Bepaal de kritische middelen, processen, personen en informatie samen met de business



Ontwikkel risico scenario’s en bepaal hun probabiliteit en effect



Risico’s accepteren/wegnemen/verzekeren/verminderen met actie plan 30

MANAGEMENT VAN RISICO’S EN DREIGINGEN 

Scenario: 5 W’s: wie-waarom-wat-wanneer-wijze Visuele voorstelling:



Betrokkenheid management :



  



Schalen frequentie, impact, blootstelling,… = eigen aan bedrijf !!!! “Risk Apetite”: hoe ver gaan we…? + aanvaarden restrisico Confirmeren actieplan: middelen, budget

Continu proces: frequente update + ad hoc

31

Management van risico’s en dreigingen Security beleidsvoering

Security maatregelen

Training en awareness

Management van security incidenten Evaluatie en constante verbetering 32

SECURITY MAATREGELEN: BASISPRINCIPES 

ONTMOEDIGEN: Beschermende, preventieve veiligheidsmaatregelen



DETECTEREN: Incidenten zo vroeg mogelijk detecteren



VERTRAGEN: 'defence in depth'-principe = geleidelijke versterking van de veiligheidsmaatregelen naarmate men de meest vitale elementen nadert INTERVENIEREN: neutralisatie van incidenten en interventie door bewakingsdiensten en autoriteiten





HERSTELLEN: crisisinterventie en bedrijfscontinuïteit

33

SECURITY MAATREGELEN: VOORBEELD

SECURITY MAATREGELEN: ZONERING De weerstand tegen indringing in de verschillende zones komt geleidelijk tot stand Voorbeeld: Eigendomsgrens

Zone 4 Vitale zone

Perimeter 1

Zone 3 Beveiligde zone

Perimeter 2

Zone 2 Infrastructuur

Zone 1 Publiek toegankelijke zone

Perimeter 3

Perimeter 4

Zone 0 Directe omgeving

SECURITY MAATREGELEN: DREIGINGSNIVEAUS 

Basis concept maatregelen



Toegenomen dreigingen of veiligheidsincidenten vergen bijkomende veiligheidsmaatregelen.





Beschermingsniveau ‘groen’ is het niveau bij normale dreiging of normale activiteit



Beschermingsniveau ‘oranje’ is het niveau voor toegenomen en bewezen dreiging



Beschermingsniveau ‘rood’ is het niveau voor een daadwerkelijke situatie of een concrete dreiging

Maatregelen 

Specifiek!



In samenwerking met de autoriteiten

SECURITY MAATREGELEN: BOUWKUNDIGE

SECURITY MAATREGELEN: TECHNOLOGISCHE Toegangscontrole

SECURITY MAATREGELEN: TECHNOLOGISCHE CCTV

SECURITY MAATREGELEN: TECHNOLOGISCHE Detectie

SECURITY MAATREGELEN: ORGANISATORISCHE

SECURITY MAATREGELEN: INFOSEC 

« CIA-principe » Informatie is op 3 vlakken kwetsbaar: de vertrouwelijkheid van de informatie, de integriteit (juistheid) en de beschikbaarheid (continuïteit) ervan.



Classificatie systeem: 

Informatie wordt geclassificeerd volgens vertrouwelijkheidsniveau’s



De classificatie bepaalt welke beveiligingsmaatregelen moeten worden genomen + informatiebeheerethiek (default classificatie, clean desk, raadpleging, verzending, vernietiging, …)



In belang van het bedrijf, niet persoonlijk…



Visueel maken:

SECURITY MAATREGELEN: INFOSEC Cyber Security Guide VBO: http://vbo-feb.be/nlBE/publicaties/Free-downloads/Belgian-CyberSecurity-Guide/

FCCU ESTIMATED THE DAMAGES OF CYBERCRIME IN BELGIUM FOR 2011 BETWEEN 1 AND 3 BILLION € (1% OF GNP)

40%

Increase in cyber crime in 2012 compared to 2011 (Belgium)

25000 Sabotage

20000

Informaticabedrog Valsheid in Informatica Hacking

15000

10000

5000

0

2005

2006

2007

2008

2009

2010

2011

2012

Source: Federal Judicial Police Crime Statistics – http://www.polfed-fedpol.be/crim/crim_stat_nl.php Figures for 2012 are only available for first semester, these figures were extrapolated to 12 months

Principle 1: Look beyond the technology

Principle 6: Remain secure even when you outsource

Principle 2: Compliance is not enough

Principle 7: Ensure security is an enabler for innovation

Principle 3: Translate your security ambition into an information security policy

Principle 8: Keep challenging yourself

Principle 4: Ensure top management commitment

Principle 5: Create a visible security role in your company and embed personal responsibility

Principle 9: Maintain focus

Principle 10: Be prepared to handle incidents

Action 1: Implement user education & awareness

Action 6: Enforce safe surfing rules

Action 2: Keep systems up to date

Action 7: Use strong passwords and keep them safe

Action 3: Protect information

Action 8: Make and check backup copies of business data and information

Action 4: Apply mobile device security

Action 9: Apply a layered approach against viruses and other malware

Action 5: Only give access to information on a “need to know” basis

Action 10: Prevent, detect and act

13.02.2014

SECURITY SELF ASSESMENT QUESTIONNAIRE 1. 2. 3. 4. 5. 6.

Information sensitivity Risk assessment Governance Team / Function Supplier risks Computer and network security evaluation 7. Risks of new technologies 8. Training

9. Passwords 10.Internet & social media usage 11. Reporting & follow-up 12.Systems up-to-date 13.Access rights 14.BYOD 15.Loss prevention 16.Incident handling

48

SECURITY MAATREGELEN: ANDERE Travel



Security:



Wie? Zakenreizigers, expats



Wat ?Diverse vormen van criminaliteit of onveiligheid vlgs bestemming



Hoe? Reis en verblijf goed voor bereiden en voorzorgsmaatregelen nemen 

Informatie (consultants, ambassades, Buitenlandse Zaken,…)



Verzekering



Tips & tricks: no go zone’s, gedrag, …

Home Security: 

Wie? Eigen medewerkers (kritische functies)



Wat? Tiger kidnapping, home jacking, diefstal bedrijfsinformatie,…



Hoe? Beveiliging woning, kluis, organisatorische maatregelen,…

SECURITY MAATREGELEN: ANDERE  Event

Security:

 Wie?

Activiteit door de onderneming, meerdere personen op dezelfde plaats gedurende bepaalde periode (aandeelhoudersvergaderingen, personeelsfeestjes, beurs, seminarie, …)

 Wat?

Brandstichting, diefstal, agressie, vandalisme, bommelding, …

 Hoe?

Opmaak van een securityplan (eventueel ook Safety!) in functie van de analyse van de security risico‘s



VIP Security: 

Wie? Eigen medewerkers (kritische functies) of bezoekers



Wat? Agressie, activisme, diefstal, aanslag,…



Hoe? Risico-analyse. Overleg met bewakingsdienst VIP en overheid. Maatregelen: organisatrisch, technisch, infrastructureel,…

Management van risico’s en dreigingen Security beleidsvoering

Training en awareness

Security maatregelen

Management van security incidenten Evaluatie en constante verbetering 51

BEHANDELEN VAN VEILIGHEIDSINCIDENTEN 

Wat te doen bij security incident?: 

Maatregelen om incident te stoppen, vertragen, isoleren,…



Informeren relevante personen en instanties



Crisismanagement en Business Recovery proces opstarten 

Intern onderzoek: 

Opgelet: wettelijke context !



Politie ≠ “vuile was” buitenhangen



Post incident analyse: lessons learned



Incident management in procedure gieten

RAPPORTERING VAN VEILIGHEIDSINCIDENTEN 

Doel: 





Een goed zicht krijgen op en een efficiënte rapportering van de veiligheidsincidenten binnen onze onderneming In staat zijn het veiligheidsbeleid en de security maatregelen te optimaliseren (en budgetten ervoor te motiveren)

METEN = WETEN

Concreet: 

Rapportering via meerdere kanalen (formulier via intranet, tool bewakingsfirma, mail, centraal meldnummer,…)



Statistieken met verschillende parameters opstellen



Meer diepgaande analyses van bepaalde veiligheidsaspecten verwezenlijken: trends en evoluties ontdekken…

Management van risico’s en dreigingen Security beleidsvoering

Security maatregelen

Training en awareness

Management van security incidenten

Evaluatie en constante verbetering

54

EVALUATIE EN CONSTANTE VERBETERING Auditeren Conceptueel:

in-house, peer review of consultant, … Operationeel: Red teaming, mistery visitor, … Training Testing: regelmatig testen van alle systemen Stay informed !!: Snelle evolutie van de technieken (beurzen, bedrijven,…) Vakorganisaties Seminars en Opleidingen Vakliteratuur (private veiligheid, beveiliging, …)

55

Management van risico’s en dreigingen Security beleidsvoering

Security maatregelen

Training en awareness

Management van security incidenten

Evaluatie en constante verbetering 56

TRAINING & AWARENESS Interne

training op verschillende levels: Management (voorbeeldfunctie!) Bepaalde doelgroepen Algemene awareness Awareness campagnes: Proactief:  VISUEEL:

affiches, flyers, interne media, …  GERICHT: Waarschuwingsmail over bepaald evenement, topic of the month, … Reactief:  Gevolg

geven aan meldingen, incidenten (ook disciplinair…)  Feed-back geven aan management, eventueel ganse bedrijf 57

Management van risico’s en dreigingen

Security beleidsvoering

Security maatregelen

Training en awareness

Management van security incidenten Evaluatie en constante verbetering 58

SECURITY BELEIDSVOERING Organisatie:  Afhankelijk

van bedrijf/organisatie:

Activiteiten, grootte, verspreiding (inter-)nationaal, belangen,…  Regelgeving: EPCIP, ISPS, nucleaire wetgeving, financiële wetgeving, classificatie, … 

 “Goede

huisvader”-principe & gezond verstand  Intern of outsourcen?  Plaats in de bedrijfshiërarchie?  Exclusief of cumul (safety, facilities, IT, HR, Risk Mgt,…)?  Binnen wetgevend kader (Wet Tobback, privacy, camerawetgeving,…) Documentatie:  Algemene

politiek  Strategisch plan x-jaar  Security Manual: conceptueel, technisch  Procedures (bijv. classificatie, toegang, …)  Instructies (bijv. diefstalpreventie, LIMOSA, …)

59

SECURITY BELEIDSVOERING Budget: Opnieuw

afhankelijk van aard bedrijf/organisatie Meestal aanzien als louter kost Vaak eerste besparingspost Basis = risk management (noodzaak!) Aantonen ROI (financieel, minder risico, …) Regelmatig challengen van de bewakingsen beveiligingsmarkt, snelle evolutie ! Contract management: SLA, KPI Balans tussen effort en resultaat: Samenwerking Expertise 60

De cirkel is rond! Dank voor uw aandacht! Management van risico’s en dreigingen Security beleidsvoering

Security maatregelen

Training en awareness

Management van security incidenten Evaluatie en constante verbetering

[email protected]