“Start 2 Secure”: De weg naar integrale beveiliging van bedrijven (-terreinen) Ralf GERING Veurne 20/10/2015 1
? 2
9 januari 2015: afloop Charlie Hebdo Damartin-en-Goëlle, bedrijf Crétion Tendance Découverte
3
? 4
8 januari 2015: Coulibaly vermoordt 4 personen in superette 5
? 6
26 Juni 2015: Isère, Yassin Salhi, Air products, moord en aanslag
7
VER VAN MIJN BED…?
? 8
20 feb 2015: Zuuraanval op medewerkster Delhaize Antwerpen na chantagecampagne
9
WEL UIT HET DAGELIJKSE LEVEN GEGREPEN…
? 10
VER VAN MIJN BED…? Uitzendbureau Adecco is door het hof van beroep van Brussel veroordeeld voor discriminatie bij het aanwerven van personeel. Het bedrijf moet 25.000 euro schadevergoeding betalen aan zowel de socialistische vakbond als aan SOS Racisme, die het proces hadden aangespannen. De zaak dateert al van 2001, toen een medewerker van het interimbureau een klacht indiende. Hij onthulde dat Adecco zogenaamde "apartheidslijsten" aanlegde via zijn interne informaticasysteem. Autochtonen werden gecodeerd met de afkorting BBB (Blanc Bleu Belge), een afkorting die in de vee-industrie verwijst naar een "zuiver" Belgisch koeienras. Op die manier kon Adecco registreren of een klant al dan niet enkel autochtone uitzendkrachten wenste en op die vraag ingaan.
11
UIT HET DAGELIJKSE LEVEN GEGREPEN…
De correctionele rechtbank in Mechelen heeft een Mechelaar donderdag veroordeeld voor het bestelen van zijn vroegere werkgever. De man was tewerkgesteld bij warenhuisketen Carrefour. Omdat hij over een badge beschikte, had hij toegang tot de speciaal beveiligde magazijnen. Daar stal hij elektro-apparatuur en verkocht die aan vrienden en kennissen. De warenhuisketen werd zo voor tienduizenden euro’s opgelicht. Carrefour kreeg lucht van de diefstallen en kon de dief met camera’s ontmaskeren. De verdediging verklaarde dat de beklaagde een gokverslaving had en vroeg de rechter begrip…
Een man die al negen jaar OCMW-klant was, viel donderdagmiddag een maatschappelijk assistente aan. Hij vond dat ze niet snel genoeg het geld van zijn uitkering gaf. Hij bedreigde haar met een scheermes, en toen ze hem probeerde buiten te werken, sloeg hij verschillende keren de deur tegen haar aan. De politie kwam snel ter plaatse. Zijn slachtoffer heeft zware kneuzingen en is een week werkonbekwaam. Volgens een vakbondsafgevaardigde zijn al verschillende werknemers geslagen en bedreigd geweest. Ze werken ook zonder enige beveiliging; wie het gebouw binnen is, heeft toegang tot alle kantoren… 12
UIT HET DAGELIJKSE LEVEN GEGREPEN…
Bekaert kreeg een ferme klap op de beurs toen bekend raakte dat twee Chinese concurrenten de winstmarges op de zaagdraad wegvraten. Volgens insiders zijn deze fabrieken opgezet door ingenieursteams die de stiel bij Bekaert hadden geleerd. De West-Vlaamse fabrikant is het slachtoffer van industriële spionage die verder gaat dan het eenvoudig kopiëren van een nieuw design, iets waar Vlaamse textielproducenten al langer onder lijden.
De werkgever van een moslimvrouw in het Belgische Ledegem heeft opnieuw bedreigingen ontvangen, waarin wordt gesteld dat er een prijs van € 250.000 op zijn hoofd staat als hij de werkneemster niet ontslaat. Werkgever Rik Vannieuwenhuyse, eigenaar van een visgroothandel, zegt niet op de dreigementen in te zullen gaan. Dit is al de vierde dreigbrief die Remmery heeft ontvangen. Eerder kreeg hij anonieme bedreigingen om de moslimvrouw te verbieden haar hoofddoek te dragen. De medewerkster in kwestie heeft daar inmiddels al vrijwillig van afgezien. De briefschrijvers eisen nu dat de werkgever haar ontslaat. De werkneemster, de 31-jarige Naïma Amzil, heeft inmiddels haar ontslag ingediend bij het bedrijf…
De raadkamer in Ieper heeft de aanhouding bevestigd van drie koperdieven die in de nacht van 13 op 14 juni met meer dan drie ton koper aan de haal gingen bij Degels Metals in Ieper. Het koper heeft een waarde van 10.000 euro. 13
UIT HET DAGELIJKSE LEVEN GEGREPEN…
Winkeldief geeft uitbater rake klappen: Een winkeldief heeft samen met drie vrienden de uitbater van de Carrefour Express in de Molenstraat enkele slagen gegeven. De uitbater had de jongeman tegengehouden nadat hij de winkel wou verlaten zonder te betalen voor een worstenbroodje en een blikje drank.
Een 54-jarige man uit Ham moet 12 maanden de cel in, omdat hij ten nadele van zijn vroegere werkgever een tankkaart had gestolen en gebruikt. In totaal werd 55 keer onrechtmatig gebruik gemaakt van de kaart. Aan het bedrijf en de verzekeringsmaatschappij moet de man in totaal 26.244 euro schadevergoeding betalen, zo bepaalde de correctionele rechtbank van Hasselt vandaag
Inbrekers zijn verschillende gebouwen in het Kortrijkse Kennedypark binnengedrongen op zoek naar IT-materiaal. "Bij ons zijn ze ervandoor met computers en laptops, alles samen goed voor 20.000 euro", zegt Wim Verhelst van Konvert Interim. "Gelukkig hebben we alle belangrijke gegevens op een back-up staan en leverde de diefstal niet direct problemen op voor de dagelijkse werking.” Ook bij de buren hadden de inbrekers geprobeerd om in te breken. Bij Bank Degroof bleef het bij een poging, maar bij Care Talents zijn de daders wel binnengeraakt. De feiten gebeurden allemaal in de nacht van dinsdag op woensdag. Naast laptops en geld zijn er volgens de lokale politie ook ander IT-materiaal verdwenen en is er zelfs een Renault Kangoo gestolen. 14
LAATSTE OPWARMER…
Vannacht, 24 juli omstreeks 01.00 uur, is er ingebroken in een loods van FD op een bedrijventerrein aan de St. Jansstraat te Essen. De daders zijn via de velden gekomen en hebben een afstand van minstens vijfhonderd meter afgelegd. Door een gat in de muur van de loods te maken konden ze binnenkomen. De camerabeelden hebben twee lichtgetinte mannen vastgelegd, waarvan één goed in beeld is gekomen. Toen ze merkten dat er een camera hing, hebben ze die met een bezem weggeduwd. De schade van de gestolen, kostbare apparatuur is bedraagt minstens €10.000,-. Het zou kunnen dat één of meerdere daders ook betrokken was bij de mazoutdiefstal uit vrachtwagens van afgelopen 5 juli.
DUS verwacht men…
15
LAATSTE OPWARMER…
In de nacht van 10 op 11 september is er een poging tot inbraak geweest bij het bedrijf van FD aan de Sint-Jansstraat in Essen-Wildert. Er werd de afgelopen maanden al vaker ingebroken, op 24 juli en 8 augustus, maar deze keer lukte het de daders niet om binnen te komen. FD: “Ze zijn via dezelfde weg gekomen als de vorige keren en maakten opnieuw een gat in de muur. Maar er zitten nu dikke houten platen voor de wanden, waar buizen voor langs lopen. Die hebben er voor gezorgd dat ze nu niet binnen konden komen.”
16
WAARTEGEN DIENEN WE ONS TE BEVEILIGEN…?
Misdrijven waar bedrijf/werknemers/klanten slachtoffer kan worden: allerlei vormen van diefstal, agressie (van escalerende pesterijen tot AMOK, terrorisme), oplichting, afpersing, fraude, sabotage, spionage, brandstichting, vandalisme, overlast, intrusie, urban exploring,… Specifiek: computercriminaliteit: 4 misdrijven http://www.belgium.be/nl/justitie/veiligheid/criminaliteit/computerc riminaliteit/ • Valsheid in informatica (wijzigen, wissen, veranderen gegevens) • Informaticabedrog (~ diefstal door datamanipulatie toestel) • Informaticasabotage (~ vandalisme: virussen, stalking, hoax) • Hacking (~ inbraak)
Door externen EN internen !!! 17
DIEFSTAL CIJFERS VOOR WEST-VLAANDEREN… http://www.stat.policefederale.be/
Feit
2011
2012
2013
2014
Inbr. in bedrijf of handelsz.
1.741
1.549
1.374
1.283
Inbr. in openb. of overheid.
483
481
422
576
Winkeldiefstal
2.598
2.363
2.353
2.459
Metaaldiefstal
343
314
363
233
Werfdiefstal
366
373
309
314
Huisdiefstal
516
420
405
372 18
DIEFSTAL NATIONALE TENDENZEN…
Inbraken in bedrijven/handelszaken sterk gedaald 2000
2010
2014
27.204
21.099
17.368
Winkeldiefstal neemt licht af sedert de laatste jaren na eerdere sterke steiging 2000
2010
2014
15.475
24.573
21.612
Ook geleidelijke daling voor metaaldiefstal, huisdiefstal, werfdiefstal,…
VERKLARING ??? Eén van de redenen is alvast een verbeterde
beveiliging, maar het kan steeds beter !!
19
20
EN HOE BENT U BEVEILIGD? U rekent op uw beschermengel…?
21
EN HOE BENT U BEVEILIGD? …of voert u reeds een security beleid en is dit beleid wel efficiënt ?
22
SCOPE VAN DEZE PRESENTATIE
Master in Security Management
23
SCOPE VAN DEZE PRESENTATIE
Hoe brengt u de risico’s en bedreigingen van uw organisatie in kaart? Hoe tekent u een security beleidsstructuur uit? En welke maatregelen dient u daaraan te koppelen? Hoe zorgt u ervoor dat uw medewerkers zich bewust zijn van hun rol in het geheel? En hoe controleert u of ze de spelregels kennen en respecteren? Inleiding doorheen de verschillende basisstappen die uw organisatie zet in het uitwerken van een efficiënt securitybeleid. Een geslaagd securitybeleid is een beleid dat constant bijgestuurd wordt, van analyse tot en met controle.
24
ENKELE BELANGRIJKE STELLINGEN VOORAF
Security ≠ Safety !
Safety = veiligheid, welzijn van de medewerker (accidenten) Security = beveiliging en bewaking (incidenten) FR: sécurité, sûreté, protection physique,…
Security is geen exacte wetenschap ! 100% security bestaat niet ! Evenwicht : tussen kosten/inspanningen en resultaten Aanvaarding : verstoring van core business, “Big Brother”, beperkende omgeving, … Flexibiliteit : op dreigingen anticiperen, aanpassen aan feiten Management commitment : voorbeeldfunctie, mandaat 25
TOEGEVOEGDE WAARDE VAN ‘SECURITY’ De
onderneming bereikt haar doelstellingen via de toepassing van diverse middelen:
medewerkers,
informatie en processen
fysieke componenten (infrastructuur, materiaal,…)
Doeltreffend
& continu gebruik van deze middelen leidt tot solide resultaat en rendement.
Security
draagt rechtstreeks bij aan de ondernemingsdoelstellingen door deze middelen te beschermen tegen bedreigingen door kwaad opzet, van criminele of vijandige aard en zo de continuïteit van de activiteiten van de onderneming te garanderen.
Security
= een belangrijke interne partner!
KLASSIEKE SECURITY-TRIO
Security Fysieke Componenten
Security Informatie
Security Processen & Mensen
27
DE “SECURITY LIFE CYCLE” Management van risico’s en dreigingen Security beleidsvoering
Security maatregelen
Training en awareness
Management van security incidenten Evaluatie en constante verbetering 28
Management van risico’s en dreigingen Security beleidsvoering
Security maatregelen
Training en awareness
Management van security incidenten Evaluatie en constante verbetering
29
MANAGEMENT VAN RISICO’S EN DREIGINGEN
Dreigingsanalyse:
Bepaal de relevante dreigingen (bijv. diefstal, vandalisme, cybercrime, sabotage, terrorisme, intrusie, bedrijfsspionage, agressie,…), de auteurs (bijv. rondtrekkende bende, hacker, gelegenheidsdief, ontslagen medewerker, concurrent,…), hun motivatie (bijv. verrijking, wraakneming,…) en de modus operandi (bijv. inbraak, geweld, list,…)
Zorg voor accurate informatie (interne, externe bronnen: media, OCAD, politie, buren, BIN’s, concullega’s, consultants, …)
Risk assessment:
Ontwikkel een risk assessment methodologie, eventueel gebaseerd op bestaande ERM, safety ,…
Bepaal de kritische middelen, processen, personen en informatie samen met de business
Ontwikkel risico scenario’s en bepaal hun probabiliteit en effect
Risico’s accepteren/wegnemen/verzekeren/verminderen met actie plan 30
MANAGEMENT VAN RISICO’S EN DREIGINGEN
Scenario: 5 W’s: wie-waarom-wat-wanneer-wijze Visuele voorstelling:
Betrokkenheid management :
Schalen frequentie, impact, blootstelling,… = eigen aan bedrijf !!!! “Risk Apetite”: hoe ver gaan we…? + aanvaarden restrisico Confirmeren actieplan: middelen, budget
Continu proces: frequente update + ad hoc
31
Management van risico’s en dreigingen Security beleidsvoering
Security maatregelen
Training en awareness
Management van security incidenten Evaluatie en constante verbetering 32
SECURITY MAATREGELEN: BASISPRINCIPES
ONTMOEDIGEN: Beschermende, preventieve veiligheidsmaatregelen
DETECTEREN: Incidenten zo vroeg mogelijk detecteren
VERTRAGEN: 'defence in depth'-principe = geleidelijke versterking van de veiligheidsmaatregelen naarmate men de meest vitale elementen nadert INTERVENIEREN: neutralisatie van incidenten en interventie door bewakingsdiensten en autoriteiten
HERSTELLEN: crisisinterventie en bedrijfscontinuïteit
33
SECURITY MAATREGELEN: VOORBEELD
SECURITY MAATREGELEN: ZONERING De weerstand tegen indringing in de verschillende zones komt geleidelijk tot stand Voorbeeld: Eigendomsgrens
Zone 4 Vitale zone
Perimeter 1
Zone 3 Beveiligde zone
Perimeter 2
Zone 2 Infrastructuur
Zone 1 Publiek toegankelijke zone
Perimeter 3
Perimeter 4
Zone 0 Directe omgeving
SECURITY MAATREGELEN: DREIGINGSNIVEAUS
Basis concept maatregelen
Toegenomen dreigingen of veiligheidsincidenten vergen bijkomende veiligheidsmaatregelen.
Beschermingsniveau ‘groen’ is het niveau bij normale dreiging of normale activiteit
Beschermingsniveau ‘oranje’ is het niveau voor toegenomen en bewezen dreiging
Beschermingsniveau ‘rood’ is het niveau voor een daadwerkelijke situatie of een concrete dreiging
Maatregelen
Specifiek!
In samenwerking met de autoriteiten
SECURITY MAATREGELEN: BOUWKUNDIGE
SECURITY MAATREGELEN: TECHNOLOGISCHE Toegangscontrole
SECURITY MAATREGELEN: TECHNOLOGISCHE CCTV
SECURITY MAATREGELEN: TECHNOLOGISCHE Detectie
SECURITY MAATREGELEN: ORGANISATORISCHE
SECURITY MAATREGELEN: INFOSEC
« CIA-principe » Informatie is op 3 vlakken kwetsbaar: de vertrouwelijkheid van de informatie, de integriteit (juistheid) en de beschikbaarheid (continuïteit) ervan.
Classificatie systeem:
Informatie wordt geclassificeerd volgens vertrouwelijkheidsniveau’s
De classificatie bepaalt welke beveiligingsmaatregelen moeten worden genomen + informatiebeheerethiek (default classificatie, clean desk, raadpleging, verzending, vernietiging, …)
In belang van het bedrijf, niet persoonlijk…
Visueel maken:
SECURITY MAATREGELEN: INFOSEC Cyber Security Guide VBO: http://vbo-feb.be/nlBE/publicaties/Free-downloads/Belgian-CyberSecurity-Guide/
FCCU ESTIMATED THE DAMAGES OF CYBERCRIME IN BELGIUM FOR 2011 BETWEEN 1 AND 3 BILLION € (1% OF GNP)
40%
Increase in cyber crime in 2012 compared to 2011 (Belgium)
25000 Sabotage
20000
Informaticabedrog Valsheid in Informatica Hacking
15000
10000
5000
0
2005
2006
2007
2008
2009
2010
2011
2012
Source: Federal Judicial Police Crime Statistics – http://www.polfed-fedpol.be/crim/crim_stat_nl.php Figures for 2012 are only available for first semester, these figures were extrapolated to 12 months
Principle 1: Look beyond the technology
Principle 6: Remain secure even when you outsource
Principle 2: Compliance is not enough
Principle 7: Ensure security is an enabler for innovation
Principle 3: Translate your security ambition into an information security policy
Principle 8: Keep challenging yourself
Principle 4: Ensure top management commitment
Principle 5: Create a visible security role in your company and embed personal responsibility
Principle 9: Maintain focus
Principle 10: Be prepared to handle incidents
Action 1: Implement user education & awareness
Action 6: Enforce safe surfing rules
Action 2: Keep systems up to date
Action 7: Use strong passwords and keep them safe
Action 3: Protect information
Action 8: Make and check backup copies of business data and information
Action 4: Apply mobile device security
Action 9: Apply a layered approach against viruses and other malware
Action 5: Only give access to information on a “need to know” basis
Action 10: Prevent, detect and act
13.02.2014
SECURITY SELF ASSESMENT QUESTIONNAIRE 1. 2. 3. 4. 5. 6.
Information sensitivity Risk assessment Governance Team / Function Supplier risks Computer and network security evaluation 7. Risks of new technologies 8. Training
9. Passwords 10.Internet & social media usage 11. Reporting & follow-up 12.Systems up-to-date 13.Access rights 14.BYOD 15.Loss prevention 16.Incident handling
48
SECURITY MAATREGELEN: ANDERE Travel
Security:
Wie? Zakenreizigers, expats
Wat ?Diverse vormen van criminaliteit of onveiligheid vlgs bestemming
Hoe? Reis en verblijf goed voor bereiden en voorzorgsmaatregelen nemen
Informatie (consultants, ambassades, Buitenlandse Zaken,…)
Verzekering
Tips & tricks: no go zone’s, gedrag, …
Home Security:
Wie? Eigen medewerkers (kritische functies)
Wat? Tiger kidnapping, home jacking, diefstal bedrijfsinformatie,…
Hoe? Beveiliging woning, kluis, organisatorische maatregelen,…
SECURITY MAATREGELEN: ANDERE Event
Security:
Wie?
Activiteit door de onderneming, meerdere personen op dezelfde plaats gedurende bepaalde periode (aandeelhoudersvergaderingen, personeelsfeestjes, beurs, seminarie, …)
Wat?
Brandstichting, diefstal, agressie, vandalisme, bommelding, …
Hoe?
Opmaak van een securityplan (eventueel ook Safety!) in functie van de analyse van de security risico‘s
VIP Security:
Wie? Eigen medewerkers (kritische functies) of bezoekers
Wat? Agressie, activisme, diefstal, aanslag,…
Hoe? Risico-analyse. Overleg met bewakingsdienst VIP en overheid. Maatregelen: organisatrisch, technisch, infrastructureel,…
Management van risico’s en dreigingen Security beleidsvoering
Training en awareness
Security maatregelen
Management van security incidenten Evaluatie en constante verbetering 51
BEHANDELEN VAN VEILIGHEIDSINCIDENTEN
Wat te doen bij security incident?:
Maatregelen om incident te stoppen, vertragen, isoleren,…
Informeren relevante personen en instanties
Crisismanagement en Business Recovery proces opstarten
Intern onderzoek:
Opgelet: wettelijke context !
Politie ≠ “vuile was” buitenhangen
Post incident analyse: lessons learned
Incident management in procedure gieten
RAPPORTERING VAN VEILIGHEIDSINCIDENTEN
Doel:
Een goed zicht krijgen op en een efficiënte rapportering van de veiligheidsincidenten binnen onze onderneming In staat zijn het veiligheidsbeleid en de security maatregelen te optimaliseren (en budgetten ervoor te motiveren)
METEN = WETEN
Concreet:
Rapportering via meerdere kanalen (formulier via intranet, tool bewakingsfirma, mail, centraal meldnummer,…)
Statistieken met verschillende parameters opstellen
Meer diepgaande analyses van bepaalde veiligheidsaspecten verwezenlijken: trends en evoluties ontdekken…
Management van risico’s en dreigingen Security beleidsvoering
Security maatregelen
Training en awareness
Management van security incidenten
Evaluatie en constante verbetering
54
EVALUATIE EN CONSTANTE VERBETERING Auditeren Conceptueel:
in-house, peer review of consultant, … Operationeel: Red teaming, mistery visitor, … Training Testing: regelmatig testen van alle systemen Stay informed !!: Snelle evolutie van de technieken (beurzen, bedrijven,…) Vakorganisaties Seminars en Opleidingen Vakliteratuur (private veiligheid, beveiliging, …)
55
Management van risico’s en dreigingen Security beleidsvoering
Security maatregelen
Training en awareness
Management van security incidenten
Evaluatie en constante verbetering 56
TRAINING & AWARENESS Interne
training op verschillende levels: Management (voorbeeldfunctie!) Bepaalde doelgroepen Algemene awareness Awareness campagnes: Proactief: VISUEEL:
affiches, flyers, interne media, … GERICHT: Waarschuwingsmail over bepaald evenement, topic of the month, … Reactief: Gevolg
geven aan meldingen, incidenten (ook disciplinair…) Feed-back geven aan management, eventueel ganse bedrijf 57
Management van risico’s en dreigingen
Security beleidsvoering
Security maatregelen
Training en awareness
Management van security incidenten Evaluatie en constante verbetering 58
SECURITY BELEIDSVOERING Organisatie: Afhankelijk
van bedrijf/organisatie:
Activiteiten, grootte, verspreiding (inter-)nationaal, belangen,… Regelgeving: EPCIP, ISPS, nucleaire wetgeving, financiële wetgeving, classificatie, …
“Goede
huisvader”-principe & gezond verstand Intern of outsourcen? Plaats in de bedrijfshiërarchie? Exclusief of cumul (safety, facilities, IT, HR, Risk Mgt,…)? Binnen wetgevend kader (Wet Tobback, privacy, camerawetgeving,…) Documentatie: Algemene
politiek Strategisch plan x-jaar Security Manual: conceptueel, technisch Procedures (bijv. classificatie, toegang, …) Instructies (bijv. diefstalpreventie, LIMOSA, …)
59
SECURITY BELEIDSVOERING Budget: Opnieuw
afhankelijk van aard bedrijf/organisatie Meestal aanzien als louter kost Vaak eerste besparingspost Basis = risk management (noodzaak!) Aantonen ROI (financieel, minder risico, …) Regelmatig challengen van de bewakingsen beveiligingsmarkt, snelle evolutie ! Contract management: SLA, KPI Balans tussen effort en resultaat: Samenwerking Expertise 60
De cirkel is rond! Dank voor uw aandacht! Management van risico’s en dreigingen Security beleidsvoering
Security maatregelen
Training en awareness
Management van security incidenten Evaluatie en constante verbetering
[email protected]