Gjennomføring av sikringsrisikoanalyser og iverksetting av tiltak

Transkript

1 Sikring en naturlig del av virksomhetens risikostyring? Gjennomføring av sikringsrisikoanalyser og iverksetting av tiltak Anne Egeli, Sikkerhetsrådgiver 17/11/2016

2 Hvem er vi? Safetec er en ledende tilbyder av helhetlig risikostyring. Safetec har levert sikkerhetstjenester til offshore, maritim og landbaserte industrier siden Safetec har rundt 200 ansatte som deler vår visjon om å sikre liv, helse, miljø og andre verdier i samfunnet. Safetec er en del av ABS Group, med kontorer i 35 land og over 2000 ansatte på verdensbasis.

3 Agenda NS 5831 og NS 5832: Styring og analyse av risiko for tilsiktede uønskede handlinger Karakteristikker ved tilsiktede uønskede handlinger Helhetlig sikkerhetsstyring Sikringsrisikoanalyse, debatten om sannsynlighet og vår tilnærming til dette Omfanget av sikring og prinsipper for sikringsarbeidet Barrieretenkning et godt rammeverk for sikring Avveininger og dilemmaer som man må ta hensyn til

4 Rammeverk for sikringsrisikostyring

5 Tilsiktede uønskede handlinger Hva er tilsiktede uønskede handlinger og hvordan skiller disse seg fra utilsiktede uønskede hendelser? Viljestyrte og planlagte handlinger - trusselaktøren har en intensjon og ønsker å oppnå et mål. Rasjonelle, kalkulerende, fleksible, samt tilpasningsdyktige individer. Hendelsene ofte preget av lite gjentakelse, lite empirisk data, og ved hvert tilfelle forsøker trusselaktøren å gjøre noe nytt med det formål om å skremme og overraske. Trusselen preget av stor grad av uforutsigbarhet.

6 Helhetlig sikkerhetsstyring En virksomhet ønsker å beskytte seg og sine verdier mot farer og trusler uavhengig av om det er en utilsiktet eller tilsiktet hendelse Styringen av risikoen for tilsiktede og utilsiktede hendelser vil være lik Samme prinsipper om hvordan styre og kontrollere risiko Bygger på en tankegang om kontinuerlig forbedring, der aktiviteter planlegges, utføres, kontrolleres og følges opp. Flere mener det er meningsfylt å skille disse begrepene som to separate felt for å håndtere risiko Vi mener det er viktig å ha en helhetlig sikkerhetsstyring Deming s sirkel/plan-do-check-act

7 Gjennomføring av risikoanalyse Begrep NS 5814 NS 5832 Risikovurdering / Sikringsrisikovurdering Risikoanalyse / sikringsrisikoanalyse Risiko / Sikringsrisiko Samlet prosess som består av planlegging, risikoanalyse og risikoevaluering Systematisk framgangsmåte for å beskrive og/eller beregne risiko. Risikoanalysen utføres ved kartlegging av uønskede hendelser og årsaker til og konsekvenser av disse Uttrykk for kombinasjonen av sannsynligheten for og konsekvensen av en uønsket hendelse» Helhetsvurdering basert på verdivurdering (eller konsekvensvurdering), trusselvurdering og sårbarhetsvurdering med mål om å angi en entitets risiko i en definert sikringsmessig kontekst Sikringsrisikovurdering samt vurdering av strategi og tiltak Uttrykk for forholdet mellom trusselen mot en gitt verdi og denne verdiens sårbarhet overfor den spesifiserte trusselen

8 Debatten om sannsynlighet Strategisk og kalkulerende trusselaktør som kan justere sin strategi i tråd med gjennomførte sikringstiltak Lite historisk data (ikke et veldig relevant argument mot bruk av sannsynlighet) «Risikotenkningen er fullstendig foreldet» Terje Aven. NS 5814: I hvilken grad det er trolig at en hendelse vil kunne inntreffe. Sannsynlighet kan uttrykkes med ord eller som en tallverdi Vi hevder man ikke kan unnslippe sannsynlighetsvurderinger Sitat fra Terje Aven, i FFI-Rapporten

9 Vår metodikk for gjennomføring av sikringsrisikoanalyse og presentasjon av risikobildet

10 Omfanget av sikring av en virksomhet Personellsikkerhet Gode kontrollrutiner knyttet til personellet som arbeider i virksomheten Eksempler på tiltak er rutiner ved ansettelser, ulike autorisasjonsordninger og holdningsskapende arbeid Objektsikkerhet Omfatter ulike former av sikring av viktige deler i et system Fysisk sikring av kritiske anleggsdeler og IT-sikkerhet Sikringstiltak kan både utføres for å forebygge hendelser og for å detektere hendelser Informasjonssikkerhet Alt som har med sikring av informasjon Konfidensialitet, tilgjengelighet og integritet Viktig å få med seg alle deler ved sikkerhetsplanleggingen. Ensidig fokus på et av områdene kan skape sårbarheter andre steder.

11 Noen prinsipper for sikring Sentralisering He who wants to protect everything, protects nothing, Adolf Galland Balansert sikring Sikring i dybden Sikring i soner

12 Barrieretenkning et godt rammeverk Barrierefunksjon: Adgangskontroll kan ivaretas av et barrieresystem bestående av elementene: Overvåkingsutstyr, en vakt og en bom. Ytelseskrav kan være utledet av responstid tid fra varsling til respons må være kortere enn tiden det tar å overkomme de fysiske sikringstiltakene

13 Grunnsikring og påbygningstiltak Sikkerhetssystem skal designes ifht to forhold: 1. Mulige angrep 2. Ingen angrep (vanlig drift) Må være potent nok til å håndtere mulige angrep, men nøkternt nok til at det ikke går ut over vanlig drift Ikke alle identifiserte tiltak er hensiktsmessige å innføre umiddelbart Det bør derfor planlegges og forberedes med ytterligere tiltak ved en forhøyet trussel

14 Avveininger og dilemmaer Synlige sikringstiltak Skjulte sikringstiltak Sikring i design Etterinstallere tiltak Sikringstiltak Sikkerhetstiltak Åpenhet Hemmelighold

15 Oppsummering NS 5830-serien har ulikt begrepsapparat og annerledes prosessbeskrivelse enn andre tradisjonelle måter å styre og analysere risiko Tilsiktede uønskede handlinger skiller seg fra utilsiktede ved at det er en trusselaktør som har en intensjon om å gjøre skade Vi mener det er viktig å ha en helhetlig sikkerhetsstyring Samme mål om beskyttelse mot farer og trusler Samme styringsprosesser (som bygger på en en tankegang om kontinuerlig forbedring, der aktiviteter planlegges, utføres, kontrolleres og følges opp. Vår metode for sikringsrisikoanalyser sier noe om verdi, trussel, sårbarhet samt sannsynlighet og konsekvens Barrieretenkning et godt rammeverk også for sikringstiltak Avveninger og dilemmaer det må tas hensyn til når det gjelder sikring

16 Takk for oppmerksomheten! Anne Egeli Sikkerhetsrådgiver