Tag: fysieke beveiliging

Definieren en afbakenen van beveiligde ruimtes

  door

Na de keuzes over toegangscontrole en het inrichten van het autorisatieproces komen we bij het definiëren en afbakenen van beveiligde ruimtes.

De vraag die hier natuurlijk bijhoort is:
Zijn de fysiek te beveiligen ruimtes in het gebouw duidelijk gedefinieerd, gekenmerkt en afgebakend?

Fysieke beveiliging kunnen we zien als een ui, een ui met verschillende lagen. Dat geldt overigens niet alleen voor fysieke beveiliging, maar ook voor informatiebeveiliging (alleen zijn dan de schillen wat digitaler en dus voor velen minder concreet te benoemen).

Compartimentering kunnen we doen vanuit verschillende optieken. Namelijk vanuit brandveiligheid (brandwerende muren, verschil tussen kantoor, magazijn en werkplaats) maar hier gaat het uit van de fysieke beveiliging. Daarom hanteren de voor onze compartimenten de volgende te onderscheiden gebieden (er zijn verschillende benamingen, maar het gaat om het principe): openbare ruimte, eigen terrein, bezoekersruimte, kantoorruimte, beveiligde ruimte, kritische ruimte en daarbinnen eventueel nog kluizen en waardekasten.

We kunnen simpelweg een plattegrond van het gebouw nemen en daar de verschillende ruimtes op aangeven. Daarbij stellen we de vraag over welke ruimtes we invloed uit kunnen oefenen. Op de openbare ruimtes kunnen we dat niet (of we moeten er een vergunning voor hebben). Op ons eigen terrein kunnen we al weer iets meer en onze algemene receptie of bezoekersruimte moeten minimaal door bezoekers kunnen worden betreden.

Daarna mogen we zelf bedenken wie tot welke ruimte toegang heeft of zou moeten hebben. De medewerkers mogen natuurlijk de ruimtes na de receptie betreden omdat ze anders hun werk niet kunnen doen. Daarbij kun je je natuurlijk wel afvragen of iedere medewerker tot iedere afdeling toegang moet hebben.

Vervolgens gaan we door naar de beveiligde ruimtes en de kritische ruimtes. Afhankelijk van de aard van de organisatie kunnen we die samenvoegen of juist nog verder detailleren. Een serverruimte zal al snel kritiek zijn, de ruimtes waar de waardevolle zaken staan kunnen dat ook zijn maar kun je wellicht ook tot de beveiligde ruimtes rekenen. Het zijn keuzes die we moeten maken, zo simpel is het in weze.

Pakken we de plattegrond er nog eens bij waar we de verschillende ruimtes op hebben aangegeven dan kunnen we daarna bepalen welke organisatorische, bouwkundige en elektronische maatregelen we voor de verschillende ruimtes toe willen passen.

Zo kan het zijn dat we voor de serverruimte kiezen voor een extra toegangscontrolesysteem (elektronisch of de sleutel in bewaring geven, dat kan natuurlijk ook nog steeds). Ook kunnen we ervoor kiezen in die ruimte early smoke detection toe te passen en we installeren een computervloer voor als we kans op waterschade lopen.

Door concreet op de plattegronden te tekenen zien we al snel welke maatregelen we waar hebben genomen en hoe dat nog matched met de risicoanalyses die we eerder al eens gedaan hebben. Vervolgens vragen we ons met gezondboerenverstand af hoe lang een gemiddelde crimineel er over zal doen om onze schillen te doorbreken.

We gaan dus uit van de risico’s die we lopen en die we willen beveiligen. De daderprofielen komen hier om de hoek en we bedenken waar we ons tegen willen beveiligen. Is dat tegen een gelegenheidsdader met een steen om de ruiten in te gooien of beschermen we ons tegen de professional die ons gebouw met een thermische lans bewerkt? Alles daar tussenin is natuurlijk ook mogelijk.

Ook over compartimentering is veel te schrijven en uiteindelijk gaat het er om een evenwicht te vinden tussen de risico’s die we lopen en de maatregelen die we treffen. De praktijk wijst uit dat het werken met plattegronden nog wel eens tot hernieuwde inzichten leidt. Een aanrader dus, die we tot het low hanging fruit mogen rekenen.

Een overzicht van locaties

  door

Het moet toch allemaal niet gekker worden, zul je wellicht denken. Natuurlijk beschikken we als organisatie over een overzicht van locaties, toch? Hoewel dat met alle verhuizingen voor veel organisaties nog te bezien valt, gaat het hier niet zo zeer om. Nee, laten we er vanuit gaan dat er inderdaad een actueel overzicht met adresgegevens is. Maar weten we ook welke activiteiten en processen zich in welk gebouw afspelen? Weten we welke kritische systemen in welke gebouwen zijn onder gebracht? Weten we welke locaties kritisch zijn voor het voortbestaan van onze organisatie?

De vraag is daarom:
Is er een overzicht van alle locaties waar (kritische) bedrijfsprocessen plaatsvinden, waar informatiesystemen zijn gesitueerd en waar personeel werkzaam is?

Hoe groter de organisatie, hoe meer locaties we ter beschikking hebben. Het nieuwe werken brengt daar voorlopig (waarschijnlijk) nog weinig verandering in. Daarom willen we graag weten welke bedrijfsprocessen, informatiesystemen en afdelingen in welke gebouwen gesitueerd zijn. We willen dus een soort van blauwdruk, we willen een “landkaart” waarop we onze high level risico’s gerichter in kunnen tekenen en gerichter beveiligingsmaatregelen toe kunnen passen.

Laten we dus eerst beginnen met de adresgegevens waarna we al snel overstappen op de plattegronden van de gebouwen. Op die plattegronden kunnen we in gaan tekenen hoe kritisch de verschillende gebouwen en ruimtes zijn en waar welke processen en systemen geplaatst zijn. Vervolgens kunnen we de beveiligingsmaatregelen (die we op basis van de bijbehorende risico’s bepaald hebben) gericht toe gaan passen.

Dat scheelt niet alleen een berg schijnveiligheid (omdat we nu de juiste maatregel op de juiste locatie kunnen implementeren) maar het scheelt ons ook nog eens een grote berg met geld. Die gebouwen die minder kritisch zijn hoeven ook minder zwaar beveiligd te worden (let op: ik schrijf niet minder goed, maar minder zwaar. Want alle gebouwen moeten goed beveiligd worden…in overeenstemming met de risico’s).

Nu we meer en meer zicht beginnen te krijgen op onze kritische gebouwen en onze kritische ruimtes in die gebouwen, kunnen we eens een rondje door die gebouwen doen. Bij die ronde letten we goed op de maatregelen die we al genomen hebben en we noteren het een en ander op de plattegronden. Hebben we het gebouw al langer in bezit en hebben we al vaker naar de fysieke beveiliging ervan gekeken dan zullen we wellicht constateren dat we wel de maatregelen hebben genomen maar dat de kritische processen zich inmiddels in een andere ruimte bevinden. Bij de verhuizing van die kritische processen en informatiesystemen zijn we de bijbehorende beveiligingsmaatregelen even vergeten.

Hebben we nog nooit een dergelijke ronde gelopen, dan is het zaak daar op korte termijn mee te beginnen. Uiteraard kijken we eerst naar de meest kritische gebouwen…de rest volgt daarna wel. Naar mate we meer en meer ervaring krijgen, zien we ook de tekortkomingen sneller. Na verloop van tijd weten we al hoe het gesteld is met de beveiliging zodra we een stap over de drempel hebben gezet.

Wordt het gebouw niet schoon gehouden? Hebben we een beetje achterstallig onderhoud omdat we in het verleden hebben moeten bezuinigen? Dan valt dat ons snel op. Vaak kunnen we met gezond boerenverstand al een heel eind komen, we kunnen het “low hanging fruit” plukken zodat de grootste risico’s zijn afgedekt.

Voor de basis van fysieke beveiliging kunnen we dus gewoon logisch nadenken, de grootste risico’s, het “low hanging fruit” pakken we zelf op. Als de processen en systemen erg kritisch zijn dan schakelen we natuurlijk een expert in om ons te ondersteunen. Wij leren daar dan weer van, de beveiliging wordt er beter van en de onacceptabele risico’s zijn beter afgedekt.

Informatiebeveiliging kan niet zonder fysieke beveiliging. Gelukkig dienen ze allebei hetzelfde doel: continuïteit van onze bedrijfsprocessen.

Kritische assets en middelen

  door

Inmiddels hebben we het gehad over de kritische informatie en de kritische afdelingen en medewerkers. Zoals eerder aangegeven worden processen ondersteund door die informatie en dat personeel, maar de assets of middelen mogen we ook niet vergeten tegen het licht te houden. De volgende vraag die we stellen zal je inmiddels niet meer verrassen:

Zijn de kritische assets en middelen van de organisatie inzichtelijk?

Kritische assets en middelen. Daar valt eigenlijk alles onder wat we niet konden vatten onder de informatie (geautomatiseerd of niet) en het personeel. Het kunnen dus zijn de gebouwen waar we in gehuisvest zijn, de robotstraat die de producten maakt maar ook bijvoorbeeld de hardware (pc’s, laptops, servers, etc.).

Het hangt helemaal af van de organisatie en de aard van die organisatie over hoeveel kritische assets en middelen beschikken. De ene locatie zal een grotere impact hebben op ons voortbestaan dan de ander. Kijk ook goed naar waar de informatie is opgeslagen, hebben we die uitbesteed of beheren we ons eigen data center?

Een kleine organisatie in de dienstverlening zal misschien snel door kunnen werken na een brand omdat iedereen beschik over een laptop en de data is ondergebracht in een goed beveiligd data center. Een grotere organisatie die zelf een data center beheert heeft wellicht meer problemen bij het uitbranden van dat data center.

Bij het beveiligen van de kritische assets en middelen komen we misschien al meer terecht op het gebied van de fysieke beveiliging. Maar dat heeft alles te maken met de definitie die we er aan koppelen. Wij maken liever geen onderscheid en benaderen de aanpak integraal. We kunnen immers de firewall wel dichtzetten met inlognaam en wachtwoord maar als er een crimineel met een hamer de firewall aan gort slaat dan hebben we toch echt problemen.

Dit is ook de gedachte achter de filosofie dat we niet zozeer naar de maatregelen moeten kijken maar dat we de risico’s als uitgangspunt moeten nemen. Als het risico is: uitval van de firewall, dan moeten we goed kijken wat daar de mogelijke oorzaken van kunnen zijn. Denk bijvoorbeeld aan een hack poging van buiten af of een crimineel die inbreekt en de firewall steelt. In beide gevallen kan het gevolg uitval van de firewall zijn terwijl de oorzaken en dus de maatregelen totaal anders kunnen zijn.

Hoe meer we doen aan informatiebeveiliging hoe groter de kans wordt dat een aanvaller voor de makkelijkere weg kiest. Informatiebeveiliging en fysieke beveiliging moeten elkaar dan ook ondersteunen en met elkaar in evenwicht zijn. Ook hier geldt: de keten is zo zwak als de zwakste schakel. Een superieure aanpak van informatiebeveiliging met een zeer zwakke fysieke beveiliging lost het probleem niet op…of anders gezegd: dekt het risico niet voldoende af.