Tag: beveiliging

Het Nieuwe Werken bedreigt beveiliging

  door

Het midden- en kleinbedrijf heeft een blinde vlek voor de risico’s die moderne ontwikkelingen zoals het Nieuwe Werken met zich meebrengen. Informatie ligt vaak onbewust te grabbel, computernetwerken worden vanuit onverdachte hoek bedreigd en de sociale controle op wie het bedrijf binnenkomt kalft af (bron).

Voordat we nieuwe ontwikkelingen in de weg willen gaan staan (omdat ze nu eenmaal niet veilig zijn), moeten we eerst kijken over welke risico’s we het hebben. Welke nieuwe risico’s brengt het nieuwe werken eigenlijk allemaal met zich mee en hoe erg is dat dan voor onze organisatie?

Natuurlijk heeft een nieuwe ontwikkeling ook nieuwe risico’s. Dat is logisch en ook helemaal niet erg. Hoewel er natuurlijk nog genoeg beveiligers zijn die nieuwe ontwikkelingen liever zien gaan dan komen, zijn we hiermee aangekomen bij de verdere volwassenheid van beveiliging (althans, als het aan mij ligt).

We moeten niet langer redeneren vanuit allerlei beveiligingsmaatregelen, zoals we nog te vaak doen, maar we moeten uitgaan van de risico’s. Als we die eenmaal in kaart hebben kunnen we ook kijken hoe groot de kans en de impact zijn voor onze organisatie. Daarna kunnen we kijken wat we er aan willen doen om deze risico’s te beperken. Zo zien we maar dat nieuwe ontwikkelingen ook kunnen leiden tot een nieuwe aanpak van beveiliging. Niet de makkelijkste weg maar wel een heel uitdagende weg.

Lezen we het originele bericht dan kunnen we in ieder geval al aan ons risico-lijstje toevoegen:

  • Informatie ligt vaak onbewust te grabbel
  • Computernetwerken worden vanuit onverdachte hoek bedreigd
  • De sociale controle op wie het bedrijf binnenkomt kalft af

  Allemaal leuk en aardig, maar daar kan natuurlijk geen enkele organisatie iets mee. Nee, wat we moeten doen is de oorzaken achterhalen. Lukt ons dat, dan kunnen we ook gericht maatregelen nemen om die oorzaken weg te nemen.

Daarbij moeten we natuurlijk wel de juiste maatregelen nemen. Stel nu dat we de kans hoog inschatten dan moeten onze maatregelen erop gericht zijn om de kans te verlagen. Is de impact daarentegen hoog dan richten onze maatregelen zich natuurlijk op de verlaging van die impact. Toch? Theoretisch helemaal waar en hogere wiskunde hoef je voor die logica ook niet gestudeerd te hebben.

In de praktijk helaas allemaal wat lastiger. We zien nog te vaak een mismatch tussen de oorzaken en de risico’s aan de ene kant en de maatregelen die we treffen aan de andere. Een pasklaar antwoord heb ik helaas ook niet voor je. Maar door berichten als hierboven te lezen en door logisch na te denken moeten we een heel eind kunnen komen. Wacht daar niet te lang mee want dan heeft een risico zich misschien al gemanifesteerd en kunnen we de zaak op slot doen (letterlijk of figuurlijk).

We kunnen het nieuwe ontwikkelingen blijven noemen, maar inmiddels zijn ze er alweer een poosje. Heb je nog niet aan risico analyse gedaan dan wordt het zo langzamerhand wel een keertje tijd.

Kom naar beneden en sla je slag…

  door

Nu we, gisteren, gezien hebben dat de beveiliging even een weekje vakantie aan het vieren is, lopen de risico’s voor de organisatie natuurlijk enorm op. Sterker nog, misschien ben jij wel een van de weinigen die deze week gewoon aan het werk is (of aanwezig is, het is maar net hoe je het zelf bekijkt).

De beveiliging van de organisatie komt nu dus volledig op jouw schouders terecht. Jij moet er voor zorgen dat inbrekers geen kans krijgen en jij moet er voor zorgen dat het netwerk ook goed beveiligd is en blijft. Dat gaat je natuurlijk in je eentje nooit lukken maar in ieder geval ga je je best doen, toch?

Of zie jij dit nu juist als een kans om ook eens vrij door het gebouw te wandelen? Eens aan deuren rammelen waar je normaal nooit bij in de buurt mag komen. Eens in de bureaulades kijken van de collega’s die thuis van de oliebollen en appelflappen aan het genieten zijn? Je eigen kerstpakketje samenstellen met alle leuke hebbedingetjes die je in het gebouw tegen komt?

Tenzij je van beveiliging bent en tenzij het tot je taken behoort hoop ik dat je je weet in te houden. Maar toch is dit een mooie periode om de clean desk ronde nog eens te lopen. Grote kans dat je een nog grotere slag kunt slaan. Je collega’s zijn hals-over-kop naar huis gegaan vorige week en hebben de boel de boel gelaten. Omdat het toch rustig is in het gebouw en omdat er een stuk minder spoed mailtjes binnenkomen dan de rest van het jaar, is dit de aangewezen periode.

Als je deze ronde vandaag loopt, heb je ook nog voldoende tijd om de rest van de week een mooie presentatie in elkaar te draaien die je in de eerste week van 2012 aan het management kunt tonen. Sta je in ieder geval voor 2012 goed op de kaart en heb je in ieder geval genoeg nieuwe plannen om de rest van het jaar lekker aan de slag te gaan.

Loop dus een rondje door het gebouw, trek eens aan deuren die normaal gesproken gesloten zijn, kijk eens op de bureau’s of er nog interessante informatie is achtergebleven, kijk ook direct even of de nooduitgangen en vluchtwegen vrij zijn van obstakels en je hebt jezelf weer nuttig gemaakt. Kom je dan toch een verdwaalde collega tegen (die helaas ook al door zijn vrije dagen heen was of semi-vrijwillig is aangewezen om aanwezig te zijn) dan kun je ook nog even socialiseren en er een praatje mee houden, leer je ook direct weer iets meer over een tot dan toe onbekende collega.

Een mooie afsluiting van dit jaar en een mooie start voor het nieuwe jaar…wat wil een mens nog meer?

Tijdens de feestdagen is de beveiliging tijdelijk niet aanwezig…

  door

Zoals wij natuurlijk weten is beveiliging niet iets wat je aan en uit zet, het is niet iets dat even een weekje met vakantie gaat, het is niet iets dat een pauze kan nemen. Nee, het is iets dat gewoon 24 x 7 moet werken, 365 (of voor 2012 366) dagen per jaar.

Toch zijn er partijen die daar anders over denken. Zo kwam ik op de site van de Radbout Universiteit van Nijmegen het volgende pakkende bericht tegen:

Geen beveiligingscertificaten tussen Kerst en nieuwjaar

Datum bericht: 9 december 2011

In de periode van 21-12-2011 t/m 2-1-2012 zullen aanvragen voor beveiligingscertificaten niet  in behandeling worden genomen.  U kunt uw aanvragen nog wel naar scs-ra@ru.nl toesturen maar ze worden pas na 2 januari 2012 in behandeling genomen. (bron)

Verzoek aan alle studenten is om dus tijdens de kerstvakantie de studie ook maar even te laten voor wat hij is. Vooral niet proberen om certificaten aan te vragen want de beveiliging is even met vakantie. Jammer dat jij hiermee je studiepunten voor 2011 niet meer haalt, maar dan had je maar beter moeten plannen.

Alle potentiële inbrekers verzoeken we ook om tussen 21-12-2011 en 2-1-2012 geen inbraakpogingen te doen. Doet u dat toch dan bent u gewaarschuwd: de beveiliging is niet aanwezig en zal dus geen alarm slaan. Gevolg hiervan is dat u zeer waarschijnlijk toch niet wordt opgepakt en de nacht ook niet in de cel hoeft door te brengen. Het is maar dat u het weet.

Nou, hopelijk had jij ook nog wat verlofuren over zodat je deze week even lekker bij kunt komen. Geniet ervan maar vergeet niet om je taken aan een ander over te dragen als je een kritische beveiligingsfunctie hebt.

Bedrijven slecht voorbereid op netwerkuitval

  door

Bijna driekwart van de Europese bedrijven heeft er weinig vertrouwen in dat ze alle computersystemen en gegevens kunnen herstellen na netwerkproblemen. Dat blijkt uit onderzoek van IT-aanbieder EMC. Het Europese bedrijfsleven lijkt dus niet goed voorbereid op een IT-ramp, terwijl 54 procent van de ondervraagde bedrijven toegeeft de afgelopen twaalf maanden gegevens te zijn kwijtgeraakt of te maken heeft gehad met niet-werkende systemen (bron).

Ik weet niet of het jullie de laatste weken ook is opgevallen, maar er lijkt toch meer en meer informatie te komen over de status van informatiebeveiliging. Meer en meer incidenten worden onder de aandacht gebracht en meer en meer onderzoeken worden openbaar gemaakt.

De strekking van de nieuwsberichten is veelal hetzelfde: het is niet goed geregeld met de informatiebeveiliging.

De komende maanden en jaren staan ons dus nog veel, heel veel, incidenten te wachten. Meer bedrijven zullen erachter komen dat ze niet meer om informatiebeveiliging heen kunnen. We gaan meer in de gaten krijgen waar we het nu eigenlijk allemaal voor doen…en dat is en blijft de continuïteit van onze dienstverlening of productie.

Uiteraard vind ik het goede signalen, want insiders weten al jaren hoe het gesteld is met de status van informatiebeveiliging binnen ondernemingen. Maar ook hierbij wil ik weer graag de waarschuwing plaatsen dat we niet in de val moeten trappen.

We moeten niet in blinde paniek besluiten dure technische maatregelen te implementeren. Nee, we moeten rust behouden en goed kijken naar wat nu eigenlijk ons primaire proces is. Waar verdienen we als organisatie ons geld mee? Zodra we dat inzichtelijk hebben, kunnen we ook kijken naar de ondersteunende middelen die we nodig hebben om die processen goed te laten draaien.

De ondersteunende middelen bestaan inderdaad veelal uit informatie, maar bedenk dat we dan nog wel onderscheid moeten maken in de digitale en de analoge informatie. Bedenk ook dat we naast de informatie nog over andere ondersteunende middelen moeten kunnen beschikken. Zo zijn er onze medewerkers die een belangrijke rol spelen, maar natuurlijk ook onze “assets” (denk aan: de gebouwen, de hardware, productiestraten en ga zo maar door).

Voordat we dus grijpen naar de maatregelen gaan we eerst een top-down benadering invoeren. We nemen even afstand van onze organisatie en de dagelijkse gang van zaken en gaan eens goed bekijken wat nu echt belangrijk is voor onze organisatie. Grote kans dat we tot de conclusie komen dat we de afgelopen jaren wel veel hebben gedaan aan informatiebeveiliging, maar niet altijd de goede dingen.

Er is een gevoel van schijnveiligheid ontstaan en als we niet oppassen worden we binnenkort zelf ook verrast door incidenten. We halen het (slechte) nieuws en ons imago loopt een enorme deuk op.

Ik kan er niet genoeg op wijzen: beveiliging is niet het doel maar een ondersteunend middel om een hoger liggend doel te bereiken. Wat mij betreft is dat hoger liggende doel de continuïteit van onze organisaties. we moeten dan ook onze oogkleppen af doen en vanuit beveiliging de operationele risico’s inzichtelijk maken die die continuïteit kunnen verstoren.

We lijken, vanuit het nieuws, meer en meer ondersteuning te krijgen, het advies is om die ondersteuning ook te gebruiken. Informeer het management, gebruik cases van je concurrenten, haal nieuwsberichten aan. Niet om maar zoveel mogelijk budget te krijgen maar om het bewustzijn bij het topmanagement te stimuleren.

Lukt het ons om de managers op alle lagen te betrekken bij beveiliging en hanteren we ook nog eens een reële aanpak op basis van risicomanagement dan worden we wellicht een volwaardig gesprekspartners van dat management. Als dat lukt is in ieder geval een deel van onze missie geslaagd…waar wachten we nog op?

En natuurlijk weet je me te vinden, mocht ik je er mee kunnen helpen dan is een seintje genoeg en bespreken we snel de aanpak die voor jouw organisatie het best passend is.

Drie principes voor een veilige webomgeving…maar dan wel met een integrale benadering

  door

De golf aan beveiligingsincidenten maakt duidelijk dat gemeenten nog een flinke stap te maken hebben. Dat hoeft niet ingewikkeld te zijn als de problematiek maar serieus wordt genomen. In ieder geval volgens Brenno de Winter (bron). Kort geleden schreef hij hier een artikel over.

Wie beveiliging serieus neemt geeft ongeveer tien procent van het IT-budget uit aan de bescherming. Met dat getal rekenen veel auditors die controleren of organisaties aan eisen voldoen. Een verplichte standaard is de ISO-27001, omdat deze op de lijst van open standaarden van het Forum Standaardisatie staan. Daarnaast valt moeilijk te ontkomen aan het uitvoeren van goede technische controles.

De drie principes omschrijft hij verder als volgt:

  1. Up-to-date zijn
  2. Wees minimalistisch
  3. Wees alert

Voor een volledige toelichting op wat er bedoeld wordt verwijs ik graag naar het originele artikel dat te vinden is op www.gemeente.nu of door simpel weg hier te klikken.

Inderdaad uitstekende principes. Niets op tegen natuurlijk. Als het de gemeente dan ook nog eens lukt om een integrale beveiligingsbenadering te hanteren, gebaseerd op risico management, dan zijn we nog een stap verder. We moeten immers niet vergeten dat de informatiebeveiliging ondersteunend is aan de bedrijfsvoering van de gemeente…en die kan best een dagje zonder een website.

We moeten er vooral voor waken dat de beveiligingsmaatregelen die we nemen niet alleen maar technisch van aard zijn. Natuurlijk komen we vanzelf bij de techniek, maar een goede set bestaat uit technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen.

We hebben er niets aan als we de techniek niet juist beheren met procedures, we willen er ook zeker van zijn dat iemand zich verantwoordelijk voelt voor die nieuwe firewall van ons. En dat mooie doosje met knipperende lampjes bergen we natuurlijk veilig op in onze serverruimte waarop toegangscontrole van toepassing is en waarin we netjes een alarmsysteem hebben aangebracht om fysieke inbraken te kunnen detecteren.

Vullen we de drie principe dus aan met risico management en een integrale benadering dan zijn we lekker op weg. De techniek kunnen we op die manier best onder controle houden. Waar we extra aandacht aan moeten besteden is aan de medewerkers binnen de gemeente. Veelal zien we dat de gevolgen van incidenten zich uitten als een security incident. De oorzaak ligt veelal ergens anders.

Men wil best die systemen goed beheren, men wil best patches en updates doorvoeren, men wil zich best aan de beveiligingsregels houden…maar ja, als er geen budget is of als het management niet begrijpt dat er iets moet gebeuren dan lopen we vast.

We kunnen dat natuurlijk makkelijk het management in de schoenen schuiven, maar dat is niet terecht. Het gaat er om om de beveiligingsmaatregelen (rule based benadering) door te vertalen naar de operationele risico’s (oorzaak en gevolg) die we vervolgens uitleggen in enterprise risks (omzet/budget, kosten en imago). Dit is overigens niet specifiek voor gemeenten maar ook voor alle andere organisaties. Het verschil zit hem er in dat een gemeente minder belang hecht aan de “omzet” en eerder denkt in termen als budget. Waar dan wel weer extra de nadruk op ligt is het imago.

Imago geschaad? Burgemeesterspositie op de tocht. Kunnen we dus geen rationele redenen bedenken om de beveiliging van de gemeente te verbeteren dan kunnen we het altijd nog proberen in te steken vanuit het imago van de burgemeester en wethouders…wie weet krijg je als beveiliger dan de aandacht die je verdient (maar ga daar wel gepast mee om).

Ondernemers verzaken goede beveiliging

  door

Eind van de week en tijd om de IT-managers een hart onder de riem te steken. Kijken of het ons lukt om ze een rustig weekend te bezorgen zodat ze weer wat slaap van alle slapeloze nachten in kunnen halen.

Als IT-manager sta je niet alleen. Er vanuit gaande dat je als manager in dienst bent van een organisatie. De ondernemer (veelal dus de baas van de IT-manager) weet ook dat alles nog niet in kannen en kruiken is.

IT-systemen goed beveiligen is belangrijk, dat blijkt wel uit alle meldingen van inbraak en misbruik. Ondanks alle (met name technische) activiteiten zegt zeventig procent van de ondernemers over onvoldoende geschoold personeel, budget en kennis te beschikken waardoor de IT-systemen niet goed beveiligd zijn. Dertig procent van hen heeft niet eens antivirus-software geïnstalleerd. (bron)

Tijd dus om eens een goed gesprek met de ondernemer te hebben. Als IT-manager kun je met een gerust hart je zorgen uiten. Sterker nog, de ondernemer zal je dankbaar zijn. Tenzij hij jou natuurlijk ziet als bron van al het kwaad omdat hij jou schaart onder het onvoldoende geschoolde personeel (maar daar gaan we niet vanuit, want dan had je deze functie waarschijnlijk nooit gekregen).

Ook hierbij zien we weer dat ondernemers en managers nog te vaak redeneren vanuit de (technische) beveiligingsmaatregelen en niet vanuit de risico’s voor de organisatie. In de paniek en waan van de dag installeren we nog een firewall omdat dat nu eenmaal een gevoel van veiligheid geeft. We vergeten daarbij helaas nog wel eens te kijken naar onze kritische bedrijfsprocessen en kritische informatie.

Naast al deze technische beveiligingsmaatregelen zijn er nog een hele berg procedurele en organisatorische maatregelen te bedenken die bijdragen aan het beheersen van de risico’s. Deze maatregelen zijn veelal goedkoper dan technische maatregelen en leveren een hogere bijdrage aan de informatiebeveiliging. Toch worden ze nog vergeten omdat ze misschien minder voor de hand liggen dan een nieuwe firewall, een nieuw anti-viruspakket enzovoorts.

Als we kunnen accepteren dat beveiliging een bedrijfskundig aspect is dan valt er een last van onze schouders. Natuurlijk kijken we eerst tegen een berg aan waar we overheen moeten, maar we zullen zien dat als we eenmaal halverwege die berg zijn de weg naar boven minder steil is dan gedacht.

Wil je als IT-manager (of Security Manager) slagen slaan, dan moeten we dus gaan kijken vanuit de risico’s van de organisatie. Dat is in het begin misschien lastig (uiteraard help ik je daar graag bij, misschien is een risk awareness sessie wat voor jou…maar goed ik schrijf hier niet om mijzelf te verkopen).

Nu het toch vrijdag is, kun je misschien een uurtje vrij maken om eens na te denken over de risico’s waar je wakker van ligt. Je ligt niet wakker van de technische maatregel, maar je ligt wakker van het bijbehorende risico. Hebben we die eenmaal inzichtelijk dan gaan we daarna wel eens denken over de juiste set beveiligingsmaatregelen om dat risico af te dekken.

Geloof me, al snel zul je tot de conclusie komen dat er meer onder de zon is dan nog een technische beveiligingsmaatregel. Je hebt dus niet nog meer techneuten nodig om de boel veilig te houden, nee je hebt bedrijfskundigen nodig die jou bij gaan staan (nou ja, nog een keer dan: je mag me altijd een mailtje sturen).

Ik wens alle managers een rustig weekend waarin ze wat slaap in kunnen halen.

Werken in beveiligde ruimtes

  door

We weten dat niet iedereen tot iedere ruimte toegang hoeft te hebben. Dat voorkomen we door onze toegangscontrolesystemen (of die nu elektronisch zijn of niet, doet niet ter zake). Maar toch zal er wel eens iemand in die ruimte moeten zijn om werkzaamheden uit te voeren.

Daarom de vraag:
Zijn er eisen voor het werken in beveiligde ruimtes?

Misschien heb je er nog niet over nagedacht, maar ook aan het werken in beveiligde ruimtes moeten we eisen stellen. Dat doen we omdat het blijkbaar een kritische ruimte is en we graag controle willen houden op alles wat daarbinnen gebeurt. Maar dat doen we net zo goed om de medewerker die er zijn werkzaamheden uitvoert te beveiligen.

Als er maar weinig mensen toegang hebben tot de ruimte en als we er maar zelden komen, dan willen we het natuurlijk wel weten als er iemand naar binnen gaat. We willen niet na een aantal dagen een collega vermissen en tot de conclusie komen dat die al die tijd al in elkaar gezakt in de beveiligde ruimte ligt. Nee, we willen dat deze medewerker zich veilig kan voelen maar ook zijn werkzaamheden kan doen. We kunnen bijvoorbeeld afspreken dat de medewerker ieder uur even iets van zich laat horen, we kunnen het verbieden dat iemand in zijn eentje in de ruimte is of we kunnen de medewerker een alarmknop meegeven. Zomaar een paar mogelijkheden die we kunnen overwegen.

Maar goed, we moeten ook de spullen in die ruimte beveiligen. Waarom staan ze anders in een beveiligde ruimte? Waarschijnlijk zijn ze kritiek voor het voorbestaan van onze organisatie of vertegenwoordigen ze een grote waarde. We moeten er dus voor zorgen dat de medewerker weet wat er van hem of haar verwacht wordt. Mag er bijvoorbeeld gegeten en gedronken worden in die ruimte? Houden we deze ruimte een beetje opgeruimd of gebruiken we hem stiekem ook als opslagruimte (niemand die het weet, toch?).

We moeten niet doorschieten als het gaat om beveiligde ruimtes. Geen ruimtes zo benoemen dus die het eigenlijk niet zijn, maar andersom ook echt die ruimtes benoemen waarvan we oprecht vinden dat ze beveiligd moeten worden.

Wat we ook bedenken om de ruimtes en de medewerkers in die ruimten te beveiligen, we moeten de eisen kenbaar maken en aan ze uitleggen. Vervolgens moeten we er op toezien dat ze ook worden nageleefd en ja, dat leidt weer tot een andere vraag: wie mag er controleren?

Laten we de beveiligingsbeambte toe tot de ruimte om te kunnen controleren of is de inhoud van de ruimte daar te kritisch of te waardevol voor? En als hij er niet in mag, wie mag dat dan wel? Keuzes, keuzes. En die ruimte? Moet die nog schoongemaakt worden? En mag de schoonmaker dat doen, met het risico dat hij er een stekker uittrekt om zijn stofzuiger van stroom te kunnen voorzien? Maar ja, als hij het niet doet, wie houdt de ruimte dan schoon? Die medewerker vast niet, want dat hoort niet tot zijn of haar taken. Ook hier, keuzes, keuzes, keuzes.

Hoe je er ook mee omgaat. Denk er over na, weeg de keuzes goed af en maak een beslissing. Leg die beslissing vast en maak richtlijnen voor diegene die er zijn of haar werkzaamheden moeten doen. Heb jij zelf wel toegang tot die ruimte (onder het mom van beveiliging)? Weeg dat dan voor jezelf ook nog eens af, wil je wel toegangsrechten en hoe lang ben je er al niet geweest? Wil jij dan het risico lopen om aangekeken te worden als het een keer fout is gegaan of als je je toegangspas een keer hebt uitgeleend? Nee? Dan zullen we de toegangsautorisaties er nog eens op na moeten slaan en van een ieder die er niets te zoeken heeft de rechten af moeten nemen.

Toegangsautorisaties

  door

Eerder hebben we het al gehad over de principes die we moeten stellen en de keuzes die we moeten maken als het gaat om toegangscontrole. Daar hebben we inmiddels over nagedacht en we weten hoe zwaar de toegangscontrole moet worden voor elk van de gebouwen.

We gaan al denken aan het aanschaffen van de toegangsdeuren, de elektronica en de toegangspasjes. Maar als we daar dan toch al over aan het nadenken zijn, kunnen we dat mooi combineren met het beheer van de toegangsautorisaties.

Daarom de vraag:
Zijn er maatregelen vastgelegd rond het beheer van de toegangsautorisaties (toegangspasjes, sleutels), ook in het geval van een calamiteit?

Enerzijds moeten we nadenken over het beheer van de toegangsautorisaties tijdens de dagelijkse gang van zaken, anderzijds moeten we er ook bij stilstaan dat de maatregelen moeten werken tijdens of na een calamiteit. Laten we eerst op de dagelijkse gang van zaken ingaan.

Zodra we besloten hebben dat de toegang gecontroleerd moet worden, moeten we er ook voor zorgen dat de medewerkers (en de bezoekers en leveranciers) nog wel het gebouw in kunnen. We moeten de autorisaties nu ook weer niet zo strikt zetten dat het wel erg leeg blijft binnen de 4 muren. Sterker nog: stellen we de regels te strikt dan gaat men proberen manieren te vinden om er omheen te komen.

We zien dat bijvoorbeeld terug bij het aannemen van nieuw personeel. Alles is geregeld en maandag kunnen ze beginnen. Helaas kunnen we ze nog geen toegangspasje verstrekken…dat duurt altijd even. Maar ja, ze willen graag aan de slag dus een collega houdt wel even de deur voor hen open of we zien hele busladingen medewerkers op hetzelfde pasje door de draaideur gaan. Ja, wat kun je dan nog van de toegangscontrole verwachten?

We moeten dus zorgen voor een zo efficiënt mogelijk proces. Een nieuwe medewerker moet zo snel mogelijk een pasje krijgen, collega’s die hun pasje vergeten zijn moeten we ook naar binnen kunnen laten. Bezoekers willen we vooral ook niet te lang bij de receptie laten wachten en vaste leveranciers (schoonmakers, de monteur van de koffieautomaat, etc.) krijgen natuurlijk ook een leverancierspas.

Al met al wordt het al een hele verzameling personen met toegangsrechten. Maar ja, niet iedereen hoeft dezelfde rechten te hebben. Niet iedereen hoeft onze beveiligde ruimtes in, niet iedereen hoeft in de serverruimte te kunnen. Kortom: we moeten zorgen voor compartimentering binnen onze gebouwen. Afhankelijk van hoe gedetailleerd we te werk willen gaan, kan iedere medewerker persoonlijke autorisaties krijgen en kunnen we ook nog eens per ruimte de autorisaties verstrekken. Een hele wirwar aan rechten die we in autorisatiematrixen vast leggen.

Zo, alles geregeld, toch? Maar wat als er een calamiteit ontstaat? Wat als het brandalarm af gaat? Gaan dan automatisch alle deuren naar buiten toe open? En zo ja, hoe weten we dan wie het gebouw verlaten heeft? Hoe weten we zeker dat er niet een onverlaat juist het alarm af heeft laten gaan om vrij naar binnen te kunnen? Dat weten we niet als we er niet eerst goed over nadenken.

Hier geldt weer dat de veiligheid (vanuit wetgeving) boven onze eigen regelgeving (beveiliging gaat). Natuurlijk moet iedereen veilig het gebouw kunnen verlaten, maar niet iedereen hoeft ons gebouw in te kunnen. Een pasklare oplossing is er niet, dat zul je echt per gebouw en per situatie moeten bekijken…maar dat mag geen reden zijn om er niet over na te denken.

Beveiliging en samenwerking met andere organisaties

  door

De titel klinkt misschien wat vreemd. We gaan onze beveiliging toch niet open en bloot op straat gooien? Stel je voor…zo weet iedereen exact wat we doen en hoe ze ons aan kunnen vallen. Natuurlijk zit daar een kern van waarheid in, de details gaan we natuurlijk niet zomaar prijsgeven. Toch kunnen we op het gebied van de beveiliging heel goed samenwerken met andere organisaties. We kunnen daarbij denken aan de brancheverenigingen maar ook aan onze concurrenten. Daarom stellen we ons de vraag:

Wordt er op het gebied van beveiliging samengewerkt met andere organisaties (zoals brancheverenigingen)?

Allereerst beginnen we met de brancheverenigingen en de instanties die gespecialiseerd zijn op het gebied van de informatiebeveiliging. We kunnen met een gerust hart Googlen op de aspecten van informatiebeveiliging die we willen verbeteren. Nationaal en internationaal zijn bergen informatie beschikbaar. We hoeven echt het wiel niet steeds opnieuw uit te vinden…en de conclusie te trekken dat het wiel weer rond is geworden. Nee, we kunnen de informatie die in de buitenwereld beschikbaar is gewoon hergebruiken en toepassen op onze organisatie. Uiteraard moeten we niet klakkeloos alles maar implementeren en moeten we een vertaalslag maken naar de wensen en behoeften van onze organisatie.

Tot zover niks geks. Waarschijnlijk maken we voor andere aspecten ook gebruik van informatie die tot onze beschikking staat. Dat moeten we bij beveiliging ook gewoon kunnen doen.

Maar dan hebben we nog onze concurrenten. Daar gaan we toch zeker niet mee in zee? De vraag is waarom niet? Natuurlijk hoef je de vuile was daar niet uit te hangen, natuurlijk moet je niet alle details prijsgeven. Maar kun je in gesprek komen met de Security Managers van je concurrent dan kan dat grote voordelen opleveren. Misschien zitten zij wel met dezelfde vragen, misschien kun je gezamenlijk de markt benaderen om een geheel nieuwe maatregel voor jullie te ontwikkelen. Je kunt dan de kosten delen.

Binnen de security wereld heb je natuurlijk te maken met vertrouwen en integriteit. Het is niet verstandig om direct al je vragen bij je concurrent neer te leggen. Nee, eerst bouwen we een onderlinge vertrouwensband op (als die er nog niet is). Op beveiliging hoeven we (veelal) niet te concurreren, daar moeten en kunnen we goed gebruik van maken. Daarbij geldt natuurlijk dat we niet alleen informatie komen halen, nee we brengen daar ook de informatie waar onze concullega wat aan heeft.

Beveiliging zien we (nog) niet als onderscheidend vermogen ten opzichte van de concurrent en we kunnen hergebruiken wat er al beschikbaar is. Willen we beveiliging wel inzetten als onderscheidend vermogen dan nog kunnen we de gesprekken aan met concurrenten, we geven dan alleen nog minder details bloot. Denk bij concurrenten trouwens ook in de breedte, misschien zijn er wel andere branches met dezelfde soorten problemen, misschien voelt het beter om met hen in gesprek te gaan.

De praktijk leert dat als we vanuit een organisatie contact zoeken met een andere organisatie om kennis te delen (dus niet om je producten en diensten te verkopen) dat er dan al snel interesse is. Maak daar gebruik van en de beveiliging zal er beter van worden.

Inrichting van de beveiligingsorganisatie

  door

Vandaag gaan we in op de inrichting van de beveiligingsorganisatie. Dat klinkt natuurlijk allemaal erg zwaar en of er een formele beveiligingsorganisatie hoeft te zijn of dat we hem functioneel inrichten hangt helemaal van de omvang en de aard van de organisatie af.

Toch is het belangrijk om onszelf de volgende vraag te stellen:

Is de beveiligingsorganisatie ingericht?

Daarmee hoeven we dus niet direct een hele nieuwe afdeling op te tuigen die zich met alle aspecten van de beveiliging bezig gaat houden, een afdeling waarbij technische informatiebeveiligers en beveiligers die verstand hebben van bouwkundige zaken bijeen zijn gebracht is niet noodzakelijker wijs nodig. Er kan ook voor gekozen worden om de taken die horen bij de Security Manager onder te brengen bij reeds bestaande functies. Dan is het uiteraard van groot belang om die manager die de taken er bij krijgt goed te informeren en goed op te leiden.

Een kleine beveiligingsorganisatie binnen de staf en direct vallend onder de directeur die verantwoordelijk is voor de totale beveiliging. Met functionele lijnen naar de staande organisatie waarbij met name de link met IT, Facility en HR (of P&O) van belang is. Hij of zij moet een escalatie mogelijkheid hebben naar het hoogste management en moet daar alleen gebruik van maken als dat strikt noodzakelijk is.

We willen het hoogste management niet lastig vallen met allerlei details en escalaties. Nee, als we een goede band opbouwen met de staande organisatie, als de lijnmanagers weten dat ze hun verantwoordelijkheid moeten nemen en als we een functionele relatie hebben met goed opgeleide mensen binnen de organisatie, dan kunnen we spreken over een beveiligingsorganisatie die een slagingskans heeft.

In de praktijk zien we veelal dat de taken van beveiliging neergelegd worden bij de IT-manager of de Facility Manager. Op zich kan dat, maar we moeten ons wel bedenken dat de doelstellingen van die organisaties anders kunnen zijn dan de doelstellingen van de totale organisatie. Beide afdelingen zijn met een specifiek aspect van de bedrijfsvoering bezig en richten zich minder op de totale strategie van de organisatie. Leggen we de taken bij IT neer, dan zal er veel aandacht zijn voor technische beveiligingsmiddelen als firewalls en anti-virus. Leggen we de taken neer bij Facility dan wordt er al vaker gekeken naar de bouwkundige elementen. Voor de uitvoering van de beveiliging kunnen beide afdelingen zeker betrokken worden, het is alleen de vraag of we hen ook het integraal beveiligingsbeleid op willen laten stellen. Persoonlijk geef ik er de voorkeur aan hier functiescheiding toe te passen. Een functionaris in de staf stelt het beleid en de kaders (bijvoorbeeld de kwaliteitsmanager), IT en Facility voeren binnen die kaders hun werkzaamheden uit (en hebben dus absoluut een belangrijke rol).

Voor grotere organisaties of organisaties die veel met vertrouwelijke informatie werken kan uiteraard gekozen worden om de functie van Security Manager om te bouwen naar een formele Security afdeling. Waarbij overigens nog steeds geldt dat die afdeling de kaders aanreikt, die de adviezen geeft, die de lijn ondersteunt. Maar de lijn blijft zelf verantwoordelijk voor de door haar gemaakte keuzes…zijn we het niet met de keuze van de lijn eens dan gaan we eerst met ze in overleg. Bereiken we daarmee geen succes, dan kunnen we altijd nog kiezen om de escalatie naar het management in te zetten. Niet op een vervelende manier waarbij we de lijnmanager passeren. Nee, helemaal niet nodig, we leggen de keuze gewoon gezamenlijk voor aan het hoogste management, niemand die hiervoor gezichtsverlies hoeft te lijden.

De beveiligingsorganisatie. Het hoeft dus niet perse een formele afdeling binnen de organisatie te zijn, maar kan net zo goed een functionele organisatie zijn. Uiteraard komen er bij de inrichting van de organisatie ook zaken als de budgetten, taken, bevoegdheden en verantwoordelijkheden, de bezetting, de doelstellingen, de verantwoordingen etc., etc. aan de orden. Maar het gaat hier te ver om exact in te gaan op de wijze waarin we de organisatie daarmee inrichten…dat moet gewoon aansluiten bij de rest van de organisatie. Niets exotisch, maar gewoon een reguliere afdeling die past bij de aard en omvang van de totale organisatie.