VERDIVURDERING OBJEKTSIKKERHET Sikkerhetsmåneden, oktober 2014 Bjørn Egeland Seniorrådgiver Seksjon for objektsikkerhet SLIDE 1
Γνώθι Σεαυτόν «Kjenn deg selv» Overlegen krigføring er å vinne uten strid Sun Tzu, The Art of War 2 2
HVA ER EN VERDI? Verdi (NS5830) Ressurs som hvis den som blir utsatt for uønsket påvirkning vil medføre negativ konsekvens for den som eier, forvalter eller drar fordel av ressursen Ressursen her er både materiell eller immateriell Uønsket påvirkning er ødeleggelse, kompromittering eller forstyrrelse Verdivurdering (NS5830) er kartlegging og rangering av en entitets verdier SLIDE 3
HVILKEN VERDI? Verdivurdering er naturlig Verdivurdering er instinktivt Er verdivurdering individuelt? Gjør virksomheten din en verdivurdering? SLIDE 4
RISIKOHÅNDTERINGSSYKLUSEN Kontroll og revisjon Plan & organisering Verdivurdering Gjennomføring av sikringstiltak Risikoanalyse og avstemming av sikringstiltak Revurdering av sikringsmål Valg av strategi Sikringsambisjon Trusselvurdering Sårbarhetsvurdering Risikovurdering 5
SO WHAT? Hvordan kan du utforme beskyttelse om du ikke vet hva som skal beskyttes? Verdivurdering er et verktøy for å forstå primærfunksjonene i virksomheten og kunne se sammenhengen i dem forstå utfordringene og kunne møte dem legge tilrette organiseringen av sikring av informasjon og objekt inngi et ferskt perspektiv på den situasjon virksomheten opererer i (og eskalerer i) legge grunnlag for en risikoanalyse bygge virksomhetens sikringsstrategi på Svette sparer blod!. og penger, ressurser, tid osv 6
IKKE BARE KLINGENDE MYNT Risikohåndtering: hvordan? En metode: overføring av risiko [forsikring] De aller fleste virksomheter håndterer risiko slik Men: Drammen 1997 angrepet på Bandidos SLIDE 7
HVEM SKAL VÆRE MED PÅ EN VERDIVURDERING? Menneskelig, teknisk og organisatorisk Alle investerte parter må med og ha eierskap! mao dette er ikke noe sikkerhetssjefen gjør alene Ta med kjentmann! Hvem kjenner virksomheten? Hva med andre? Finansielle verdier, intellektuelle verdier? Lag en sjekkliste! Dine verdier er her 8
FALLGRUVER Verdivurderinger er kvalitative, ikke kvantitative De er utsatt for subjektivitet Noe kan bli tillatt urimelig stor eller liten betydning De kan bli prediktive Trusselsituasjonen endrer seg, mens trusselen er konstant Verdier og konsekvenser kan bli glemt eller utelatt Tenk på sorte og grå svaner! 9 NASJONAL SIKKERHETSMYNDIGHE
BEHOVET FOR HEMMELIGHOLD (1) Operasjonell sikkerhet Beskytte kilder og metoder Avverge motstanders mottiltak Beskytte og sette personell i stand til å utføre sine oppgaver Poker Hand Å gi bort strategier og mål Hindre motstanderen å manipulere informasjonstilgangen din 10
BEHOVET FOR HEMMELIGHOLD (2) Sementteorien Politisk myndighet vs offisiell ekspertise Kjølingseffekt på beslutningsprosess - Politisering av byråkrater - Analytisk risk-aversjon Forvaltningsansvar Databeskyttelse - Eks persondata Omdømme Styring av forebyggende sikkerhet 11
«NEED TO KNOW» PRINSIPPET «Need to know» «Need to share» «Obligation to share» Åpent og demokratisk samfunn osv osv All informasjon produseres med en hensikt: en beslutning Hvem sin beslutning? Den rette beslutningstager har et need to know SIKRE SAMFUNNSVERDIER 12
EKSEMPLER PÅ MULIG GRADERT INFORMASJON Planverk Sårbarhetsbeskrivelser Oversikt over fysisk sikring Forskning Metode Kalendere Databaser Plantegninger Personelloversikt hva annet? SIKRE SAMFUNNSVERDIER 13
ET PRAKTISK EKSEMPEL HELSESEKTOREN Alle landets helseforetak hadde i 2012 blodbestrålingsanlegg Blodbestrålingsanlegg som inneholder radioaktive kilder er blant landets kraftigste strålekilder. Disse strålekildene hadde et alvorlig skadepotensiale ved sabotasjehandlinger SLIDE 14
ET PRAKTISK EKSEMPEL HELSESEKTOREN Hvilke alternativer foreligger? Kan man tenke utenfor boksen? Samarbeid om løsninger Kan verdien eller sårbarheten reduseres? Forutsetter at man kjenner disse faktorene! SLIDE 15
SPØRSMÅL? 16 SIKRE SAMFUNNSVERDIER