Proactief beveiligen creëert een grote informatiebehoefte, concludeerden de schrijvers van het eerste deel in de artikelenserie ‘Proactieve security’. Want om criminaliteit tijdig te herkennen en te voorkomen is meer informatie nodig over hoe criminaliteit zich zal voordoen. De nieuwste feiten over ‘Protective intelligence’.
De grote paradox van beveiliging is dat, als deze geslaagd is, het op de werkvloer eigenlijk zelden voorkomt dat een beveiliger met een echt bedreigende situatie te maken krijgt. Zo weten de meeste organisaties niet hoe hun grootste bedreiging eruit ziet. Voor veel organisaties is er zelfs in het beveiligingsbeleid geen duidelijke formulering van de hoogste prioriteit in de beveiliging. En dat is precies waar het in de Proactieve security om draait: de primaire security doelstelling. Zonder die stelling is het onmogelijk om specifiek te identificeren welke scenario’s en welk gedrag absoluut voorkomen dienen te worden.
Visie
Predictive Profiling is een analysetechniek die bedreigingen in het hier en nu kan herkennen, en doet dit op basis van informatie afkomstig uit intelligence analysetechnieken die op de midden- en lange termijn proactieve besluitvorming ondersteunen: Protective intelligence.
Protective intelligence
In veel gevallen wordt de sturing en de informatie gezocht in het (laten) uitvoeren van risico-inventarisaties. Er wordt voor de organisatie een inschatting gemaakt van de kans dat een dergelijk scenario zich voordoet – op basis van hoe vaak dit in het verleden is gebeurd – en de impact die het scenario zou hebben op de organisatie. Vaak zijn deze lijsten erg lang. Wanneer er in zo’n inventarisatie geen rekening gehouden wordt met de security doelstelling van een organisatie, verdwijnt dit document in de la. Voor security managers is het namelijk lastig om een aanknopingspunt te vinden om effectief beleid te vormen door de grote hoeveelheid ‘ruis’ in de rapportage. Door de bomen is dan het bos niet meer te beveiligen.
Dreigingsanalyse
Wat zijn de vitale bedrijfsprocessen? Wat mag er absoluut niet in de organisatie gebeuren? Deze vragen zijn van belang om vast te stellen wat de primaire doelstellingen zijn die beveiligd dienen te worden. Vervolgens is het in Proactieve security van belang om onderzoek te doen naar actoren die de motivatie en de capaciteiten beschikken om deze doelstellingen te ondermijnen. Realistische scenario’s te onderzoeken en te ontwikkelen, waarvan vaststaat dat deze aannemelijk en uitvoerbaar zijn, en dus een directe dreiging vormen ten opzichte van de security doelstelling. Dit staat in de inlichtingenwereld bekend als een dreigingsanalyse.
Ruis
Zo verdwijnt overbodige ‘ruis’ en dat levert een concreter, specifieker en doeltreffender document op. Daarbij kan, op basis van kennis en aannames over de capaciteiten en de motivaties van potentiële tegenstanders, ook een uitspraak gedaan worden over de aannemelijkheid van toekomstige scenario’s die nog niet eerder zijn voorgekomen. Deze kritische onbekenden zouden in een risico-inventarisatie niet naar voren zijn gekomen, en daarom voor vervelende verrassingen kunnen zorgen.
Relevante scenario’s
De praktijk van actief onderzoek doen naar realistische toekomstscenario’s op basis van aannames over de mogelijkheden en motivaties van potentiële tegenstanders, is het vanuit een ander en uniek perspectief de eigen beveiliging benaderen. Onder inlichtingen- en veiligheidsdiensten staat deze techniek bekend onder de naam Red Teaming.
Deze aanpak biedt een uitspraak over aannemelijke toekomstige strategieën van gedefinieerde tegenstanders, en vanuit deze invalshoek is het dus een vorm van voorspellen. Als een organisatie op de hoogte is van alle relevante scenario’s en incidenten en ook zelf bezig is met het kritisch aanvallen van de eigen belangen is het lastig voor de crimineel om een manier te bedenken waar niet al eerder rekening mee is gehouden.
Informatie
In een wereld waarin we met een bijna onmetelijke hoeveelheid informatie te maken hebben, is het van belang dat er op een intelligente manier wordt gezocht naar relevante en betrouwbare informatie. Aanleveren van honderden risico’s is niet effectief als niet duidelijk is wat de hoogste prioriteit is in de eigen security. Inlichtingen- en Veiligheidsdiensten zijn bij uitstek organisaties die hier ervaring mee hebben. Daarom is de tijd rijp voor security managers om methoden en technieken uit deze sector over te nemen.
Belangen
Door met security intelligence analyse eerst de belangen duidelijk in kaart te brengen, kan onderzoek worden gedaan naar relevante dreigingen zoals hiervoor beschreven en hoe deze zich verhouden tot de bestaande maatregelen. Deze drietraps intelligence analyse van belangen, dreiging en weerstand is in combinatie met intelligente informatieverzameling de basis van Protective intelligence.
Inlichtenpraktijk
Protective intelligence stelt de security manager in staat om, door gebruik van (analyse-) technieken uit de inlichtingenpraktijk, de informatie te identificeren die van belang is en direct inzetbaar in de eigen situatie, zonder last te hebben van de bijklank van irrelevante informatie. Geen eindeloze lijsten met irrelevante risico’s, maar een bondige, direct inzetbare inschatting van actuele en relevante bedreigingen.
Imago
Veel van deze informatie is verkrijgbaar in de veelheid aan open bronnen die eenieder ter beschikking staan. Maar vaak is de eigen informatie over incidenten uit het verleden voor organisaties bijzonder waardevol. Het liefst zou een organisatie ook inzicht hebben in alle incidenten waarmee vergelijkbare (concurrerende) organisaties te maken hebben. Bekend is echter dat in de private sector de structurele uitwisseling van deze waardevolle informatie sterk wordt gehinderd door economische belangen en imago.
Externe partij
Een ideale oplossing zou zich voordoen in de vorm van een betrouwbare, veilige en anonieme omgeving waarin deze informatie kan worden gedeeld met een externe, onafhankelijke partij die zeer ervaren is in het verwerken en analyseren van dit soort waardevolle en gevoelige data, en het creëren en onderhouden van de netwerken en contacten die nodig zijn om zo’n kennisbank aan te leggen. Op deze manier kunnen organisaties op een niet bedreigende manier van elkaars ervaring en fouten leren en zo hun security beleid verbeteren.
Dit artikel schreven Neal Conijn en Leen van der Plas (SoSecure en Kenniscentrum Security Intelligence) en is gepubliceerd in Security Management 05/ 2015.