• Is fysieke beveiliging nog van deze tijd?
03 september 2014
03 sept 2014

Is fysieke beveiliging nog van deze tijd?

Tegenwoordig zijn organisaties bijna volledig afhankelijk van de betrouwbaarheid van hun informatiesystemen en de daarop aanwezige informatie. Wanneer it-systemen uitvallen, wordt er niet meer gewerkt en wordt gewacht tot alles weer ‘up’ is. Informatiebeveiliging is steeds belangrijker om de beschikbaarheid, integriteit en vertrouwelijkheid van de bedrijfsinformatie te waarborgen. Fysieke beveiliging is daarbij nog steeds een belangrijke randvoorwaarde en aandachtsgebied.

Nog geen vijf jaar geleden werkten de meeste gebruikers ‘gewoon’ op kantoor en hadden zij hun eigen, vaste werkplek. De bedrijfsmiddelen bevonden zich vooral binnen de muren van uw organisatie. Informatie werd opgeslagen op de beveiligde centrale it-systemen, in rekencentra waarvoor u de faciliteiten en uitwijkvoorzieningen bood. Fysieke beveiligingsmaatregelen zorgden voor een betrekkelijk veilige werkomgeving, waarbinnen zelfs de minder goed beveiligde, of inmiddels wat gedateerde it-systemen nog voldoende secure konden worden gebruikt. De laatste jaren is er echter een ware informatierevolutie uitgebroken. Werknemers werken steeds vaker plaats- en tijdonafhankelijk. Ze flexwerken op kantoor, thuis, in de trein, bij een klant en zelfs op vakantie verwachten zij dezelfde faciliteiten als op de vaste werkplek. De flexibilisering zet zich nog verder door, want mensen brengen steeds vaker hun eigen laptop, tablet of smartphone mee om op te werken: het Bring Your Own Device (BYOD) principe. Bedrijfsinformatie kan zich daardoor inmiddels bijna overal bevinden: op de 'eigen centrale' systemen, maar ook op telefoons, in externe e-mail boxen, op laptops, usb-sticks, tablets, smartphones en in de cloud. Werknemers lijken zich van de risico’s nauwelijks bewust en gedragen zich ook buiten uw organisatie alsof ze gebruik maken van de beschermde kantooromgeving. Ongeveer de helft van hen stuurt wel eens werkdocumenten via het persoonlijk e-mailabonnement. Thuiswerkers laten bedrijfsgegevens regelmatig in en om het huis slingeren en een deel van hen gooit werkgerelateerde documenten weg met het huisafval. Een op de tien werknemers werkt weleens vanuit een horecagelegenheid, of maakt gebruik van een onbeveiligd wifi-netwerk om werkgerelateerde documenten te versturen. Het moge duidelijk zijn dat deze ontwikkelingen grote impact hebben op de it-organisatie, maar wat zijn de gevolgen voor de facilitaire dienstverlening en met name voor de effectiviteit van de fysieke beveiligingsmaatregelen? Is fysieke beveiliging, nu de grenzen van uw organisatie vervagen, een gelopen race? Traditionele strategie voor fysieke beveiliging Traditioneel kent fysieke beveiliging twee hoofdstrategieën.
1. Beperking van de fysieke toegang tot de bedrijfsmiddelen, tot bevoegde personen of instanties.
2 Verzorgen van voldoende en betrouwbare faciliteiten om de beschikbaarheid van de bedrijfsmiddelen in voldoende mate te borgen en verstoringen te kunnen opvangen.
Er staat daarbij een groot aantal maatregelen ter beschikking en het is de uitdaging daar een afgewogen en gebalanceerde keuze in te maken, passend bij uw organisatie.

1. Strategie 1: beheersing van de fysieke toegang tot bedrijfsmiddelen en gecontroleerd toestaan van toegang aan bevoegde personen.
a. Receptie en toegangscontrole / registratie / beveiliging / identificatie voor personeel en bezoekers.
b. Het hanteren van fysieke (beveiligings) zones en toegangscontrole maatregelen.
c. Toegang beperkende maatregelen, CCTV, beheersing van de omgeving (terrein).
d. Laden / lossen van (gevaarlijke) goederen door leveranciers in afgeschermde omgevingen.
e. Beveiliging van bekabeling (tegen aftappen en interferentie).
f. Veilige afvoer van bedrijfsmiddelen / verwijdering / hergebruik.
g. Ontruimingsplan en BHV.

2. Strategie 2: verzorgen van voldoende en betrouwbare faciliteiten om de beschikbaarheid van de beschermde bedrijfsmiddelen in voldoende mate te borgen en verstoringen te kunnen opvangen.
a. Brandpreventie / waterdetectie en -bestrijding / bescherming tegen (natuur) rampen.
b. Klimaatbeheersing gebouw en computerruimten.
c. Veilige (redundante) aansluiting op de openbare (NUTS) voorzieningen.
d. Het kunnen opvangen van verstoringen in nutsvoorzieningen (UPS, noodstroom).
e. Het maken van back ups en nemen van continuïteitsmaatregelen.
f. Asset Management, beheersing van de bedrijfsmiddelen (aanschaf, onderhoud, beheer, vervanging, teruggave en afvoer).
g. Opstellen en toezien op naleving van gedragsrichtlijnen (begeleiden van bezoekers, clean desk, clear screen, veilige afvoer of vernietiging van informatie / documenten, opruimen, niet eten/drinken/ roken op werkplekken e.d.).
h. Onderhoud en controle/meten van de juiste werking van maatregelen.

Effecten van mobiel werken op de strategie voor fysieke beveiliging
Het fenomeen dat personeel/gebruikers buiten de beheerste fysieke omgeving werken en vanaf daar toch toegang hebben tot de kritieke bedrijfsmiddelen en -informatie, heeft een aantal verstrekkende effecten voor de genoemde fysieke beveiligingsstrategieën.

1. Voor mobiele gebruikers hebben veel fysieke beveiligingsmaatregelen nauwelijks nog effect. Denk aan:
a. Receptie en toegangscontrole / registratie / beveiliging / identificatie voor personeel en bezoekers.
b. Het hanteren van fysieke (beveiligings) zones en toegangscontrole maatregelen.
c. Toegang beperkende maatregelen, CCTV, beheersing van de omgeving (terrein).
d. Beveiliging van bekabeling (tegen aftappen en interferentie).
e. Ontruimingsplan en BHV.

Hierdoor zijn niet alleen de werknemers en mobiele bedrijfsmiddelen minder beschermd, maar ook de interne systemen zijn potentieel benaderbaar door buitenstaanders.
2. Bedrijfsmiddelen verlaten de organisatie en kunnen daar beschadigen, verloren gaan, worden gestolen of gehackt. Onbevoegden kunnen zich via deze middelen -zonder aanvullende maatregelen- toegang verschaffen tot uw vertrouwelijke bedrijfsinformatie en gegevens kunnen worden verloren.
3. Faciliteiten van derden worden gebruikt, buiten uw invloedssfeer en fysieke beveiligingsmaatregelen (netwerk, telefonie, elektra, werkplek e.d.).
a. Het aantal benodigde werkplekken op kantoor neemt af, waardoor een relatief kleinere, flexibele kantooromgeving volstaat. Wellicht ontstaat overcapaciteit.
b. Lokale, fysieke beveiligingsmaatregelen bereiken minder personen en worden daardoor relatief duurder. ITmiddelen worden dan ook steeds vaker ondergebracht in externe datacentra, met alle benodigde faciliteiten.
c. Afhankelijkheid van de beschikbaarheid van kantoorruimte en eigen communicatiemiddelen neemt Mobiele gebruikers kunnen zich verplaatsen naar alternatieve locaties en daar doorwerken zolang de centrale it-systemen benaderbaar en beschikbaar zijn.
d. Vertrouwelijke informatie die mobiele gebruikers gebruiken, verlaat de beveiligde bedrijfsomgeving en wordt blootgesteld aan een potentieel vijandige omgeving (hacking, diefstal, aftappen van berichten, meelezen, meeluisteren e.d.).
e. Er wordt mogelijk gebruik gemaakt van openbare faciliteiten, die kwetsbaarder zijn voor inbreuken dan de beheerste kantooromgeving.
f. Bij het BYOD-principe wordt -ook vanaf externe locaties- toegang verschaft tot uw bedrijfssystemen en -informatie, waarbij gebruik wordt gemaakt van apparaten die niet door uw organisatie worden gefaciliteerd, beheerd of beveiligd. Fysieke beveiligingsmaatregelen worden hierdoor totaal omzeild.

Wij zien nog steeds dat organisaties tevergeefs het mobiele gebruik van IT-middelen en data aan banden proberen te leggen. De ontwikkelingen zijn echter niet te stoppen en fysieke beveiliging zal meer dan ooit moeten worden opgenomen in een integrale beveiligingsstrategie.

Vraag om een integrale beveiligingsstrategie
Over integrale beveiligingsstrategieën worden boeken volgeschreven. Waar het in de kern echter op neerkomt, is dat de continuïteit van uw organisatie en de beveiliging van uw bedrijfsmiddelen alleen succesvol kan worden gerealiseerd, wanneer beveiliging integraal (dus in samenhang) en interdisciplinair wordt opgezet. In onderstaande figuur kunt u zien, dat informatiebeveiliging en fysieke beveiliging elkaar aanvullen en complementeren. Daar waar informatiebeveiliging zich primair richt op de bescherming van informatie en informatiedragers, richt fysieke beveiliging zich primair op de bescherming van uw mensen en bedrijfsmiddelen. Daar waar de fysieke beveiligingsmogelijkheden beperkt zijn, kunnen aanvullende informatiebeveiligingsmaatregelen worden overwogen. Daar waar de informatiebeveiligingsmaatregelen beperkt zijn, kunnen toegang beperkende maatregelen oftewel fysieke beveiligingsmogelijkheden aanvullende zekerheid bieden. Er zijn een aantal mogelijke fysieke maatregelen die kunnen worden toegepast bij mobiel werken. Echter de opties zijn beperkt:
• Faciliteren van thuiswerkfaciliteiten, waardoor de werkomgeving en gebruikte middelen kunnen worden beheerst.
• Fysiek beveiligen van mobiele apparaten tegen verlies of diefstal (met bijv. een kabel en het apparaat nimmer onbeheerd achter laten).
• Beveiliging van mobiele apparaten met een toegangscode en automatische vergrendeling.
• Gecontroleerde verwijdering van informatie van mobiele apparatuur.
• Procedure voor het maken van back ups van mobiele apparaten en het nemen van continuïteitsmaatregelen in geval van verlies.

Deze mobiele beveiligingsmaatregelen kunnen worden versterkt met (niet fysieke) informatiebeveiligingsmaatregelen:
• Logische toegangsbeveiliging (authenticatie, autorisatie, accountability).
• Cryptografie op gegevensdragers en gegevensuitwisseling.
• Bescherming tegen malware / firewall / virusbestrijding.
• Verplichten van personeel om in veilige locaties te werken (dus niet in openbare gelegenheden zoals cafés en restaurants e.d.).
• Richtlijn omgang met (mobiele) apparatuur en gegevens (niet onbeheerd achter mogen laten gegevensdragers, encryptie, alleen zakelijke, vertrouwde faciliteiten gebruiken)
• Audit en monitoring, waardoor misbruik kan worden vastgesteld.
• Niet toestaan van gebruik van / opslag op privé apparatuur.
• Risico analyse uitvoeren voor off site werken.
• Scheiding privé en zakelijk gebruik van mobiele apparaten.
• Classificatie van informatie.
• Niet mogen roken, eten, drinken bij de IT-middelen (ook extern).
• Logische toegangsbeveiliging (authenticatie, autorisatie, accountability).

Fysieke beveiliging is juist nu nog belangrijker voor een organisatie
Voor fysieke beveiliging is daarom het uur der waarheid aangebroken. Zolang fysieke beveiliging geen onderdeel uitmaakt van een integrale beveiligingsstrategie, zullen ze aan kracht en belang blijven inboeten. De beveiligingsrisico’s die het mobiele en flexibele werken met zich meebrengt zullen in onvoldoende samenhang worden geadresseerd. Fysieke beveiliging lijkt dan inderdaad een gelopen race. Pas wanneer (grote) incidenten zich voordoen en de continuïteit van ‘de business’ wordt verstoord, zal alsnog een herbezinning plaatsvinden. Echter, wanneer het senior management een integrale beveiligingsstrategie tot stand brengt, brengt dat het facilitair management (met HRM) direct aan de bestuurstafel. Fysieke beveiliging is dan zeker geen gelopen race, maar kan in een integrale beveiligingsstrategie juist een prominente bijdrage blijven leveren aan het behalen van de bedrijfsresultaten en het succes van de organisatie.



Mercuri Urval is een internationale adviesorganisatie

Het corporate gevoel van een sympathieke headhunter

Als je een interview hebt bij Mercuri Urval met Marcel L’Herminez, komen er spontaan drie vragen bovendrijven.

Coenen Concept bouwt tandartspraktijk in Veldhoven

‘Interieur draagt bij aan optimale dienstverlening 5504 Mondzorg’

‘Niets is onmogelijk’. Dat is het motto van Lars van Breukelen.

Mkb’ers ontdek het internationaal talent in de regio!

What about the spouses?

Eindhoven gloeit nog na van twee prachtige, drukbezochte evenementen: DDW en Glow. De regio leeft en bruist, bloeit en groeit, onderneemt en innoveert en de toekomst lacht ons tegemoet.

Wim van Wessel maakt Wesco toekomstbestendig

Eigenwijze visie en werkwijze werpen vruchten af in schoonmaakbranche

De schoonmaakbranche is volop in beweging.

De duidelijke meerwaarde van Ergon-medewerkers

‘Ik zou willen dat ik er meer kon aannemen’

Bij het horen van de naam Ergon, denken veel mensen al snel aan de schoffelaars in de gemeenteplantsoenen.

Meten is weten

Nul40 on- en offline mediabureau in Eindhoven

‘Onze klanten hebben altijd rechtstreeks contact met senior adviseurs’