Na de keuzes over toegangscontrole en het inrichten van het autorisatieproces komen we bij het definiëren en afbakenen van beveiligde ruimtes.
De vraag die hier natuurlijk bijhoort is:
Zijn de fysiek te beveiligen ruimtes in het gebouw duidelijk gedefinieerd, gekenmerkt en afgebakend?
Fysieke beveiliging kunnen we zien als een ui, een ui met verschillende lagen. Dat geldt overigens niet alleen voor fysieke beveiliging, maar ook voor informatiebeveiliging (alleen zijn dan de schillen wat digitaler en dus voor velen minder concreet te benoemen).
Compartimentering kunnen we doen vanuit verschillende optieken. Namelijk vanuit brandveiligheid (brandwerende muren, verschil tussen kantoor, magazijn en werkplaats) maar hier gaat het uit van de fysieke beveiliging. Daarom hanteren de voor onze compartimenten de volgende te onderscheiden gebieden (er zijn verschillende benamingen, maar het gaat om het principe): openbare ruimte, eigen terrein, bezoekersruimte, kantoorruimte, beveiligde ruimte, kritische ruimte en daarbinnen eventueel nog kluizen en waardekasten.
We kunnen simpelweg een plattegrond van het gebouw nemen en daar de verschillende ruimtes op aangeven. Daarbij stellen we de vraag over welke ruimtes we invloed uit kunnen oefenen. Op de openbare ruimtes kunnen we dat niet (of we moeten er een vergunning voor hebben). Op ons eigen terrein kunnen we al weer iets meer en onze algemene receptie of bezoekersruimte moeten minimaal door bezoekers kunnen worden betreden.
Daarna mogen we zelf bedenken wie tot welke ruimte toegang heeft of zou moeten hebben. De medewerkers mogen natuurlijk de ruimtes na de receptie betreden omdat ze anders hun werk niet kunnen doen. Daarbij kun je je natuurlijk wel afvragen of iedere medewerker tot iedere afdeling toegang moet hebben.
Vervolgens gaan we door naar de beveiligde ruimtes en de kritische ruimtes. Afhankelijk van de aard van de organisatie kunnen we die samenvoegen of juist nog verder detailleren. Een serverruimte zal al snel kritiek zijn, de ruimtes waar de waardevolle zaken staan kunnen dat ook zijn maar kun je wellicht ook tot de beveiligde ruimtes rekenen. Het zijn keuzes die we moeten maken, zo simpel is het in weze.
Pakken we de plattegrond er nog eens bij waar we de verschillende ruimtes op hebben aangegeven dan kunnen we daarna bepalen welke organisatorische, bouwkundige en elektronische maatregelen we voor de verschillende ruimtes toe willen passen.
Zo kan het zijn dat we voor de serverruimte kiezen voor een extra toegangscontrolesysteem (elektronisch of de sleutel in bewaring geven, dat kan natuurlijk ook nog steeds). Ook kunnen we ervoor kiezen in die ruimte early smoke detection toe te passen en we installeren een computervloer voor als we kans op waterschade lopen.
Door concreet op de plattegronden te tekenen zien we al snel welke maatregelen we waar hebben genomen en hoe dat nog matched met de risicoanalyses die we eerder al eens gedaan hebben. Vervolgens vragen we ons met gezondboerenverstand af hoe lang een gemiddelde crimineel er over zal doen om onze schillen te doorbreken.
We gaan dus uit van de risico’s die we lopen en die we willen beveiligen. De daderprofielen komen hier om de hoek en we bedenken waar we ons tegen willen beveiligen. Is dat tegen een gelegenheidsdader met een steen om de ruiten in te gooien of beschermen we ons tegen de professional die ons gebouw met een thermische lans bewerkt? Alles daar tussenin is natuurlijk ook mogelijk.
Ook over compartimentering is veel te schrijven en uiteindelijk gaat het er om een evenwicht te vinden tussen de risico’s die we lopen en de maatregelen die we treffen. De praktijk wijst uit dat het werken met plattegronden nog wel eens tot hernieuwde inzichten leidt. Een aanrader dus, die we tot het low hanging fruit mogen rekenen.