Hoe de controlerende macht fysieke beveiliging kan verbeteren

Transcriptie

1 Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van de gebaande paden en onderzoeken waar de organisatie op een efficiënte en effectieve wijze verbeterd kan worden zonder dat de organisatie daar last van ondervindt. De bedrijfsvoering, de primaire en secundaire processen en de aspecten die voor de continuïteit van de organisatie van belang zijn worden daarbij door mij steeds als uitgangspunt genomen. Op strategisch en tactisch niveau zijn mijn adviezen gebaseerd op de groei in volwassenheid van de organisatie. Mijn ervaring op het gebied van change management, risico management en integrale beveiliging binnen organisaties als het Ministerie van Defensie, de ABN AMRO Bank en KPN Telecom aangevuld met mijn universitaire opleiding Bedrijfswetenschappen en HBO opleiding Marketing Management helpen mij daarbij. Waarom Het is mijn doel om organisaties te helpen om continuïteit te waarborgen door (beveiligings)risico s en kansen zichtbaar en begrijpelijk te maken, zodat de impact op omzet, kosten en imago kan worden beheerst. Hoe Ik ben een strategische en tactische business consultant met een specialisatie in operationeel risicobeheer voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Wat Ik zorg ervoor dat organisaties hun doelen bereiken door Good Governance (goed bestuur) en maturity (volwassenheid) te waarborgen voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Dat doe ik door het ontwikkelen en implementeren van beveiligingsbeleid, door het evalueren en aanpassen van dat beleid en door middel van quick scans en audits van het beleid en de getroffen beveiligingsmaatregelen. Copyright Thimo Keizer, Vlaardingen 2017 Voor meer informatie:

2 Een meer integrale beveiligingsaanpak Er wordt al jaren gepleit voor een meer integrale beveiligingsaanpak waarbij informatiebeveiliging en fysieke beveiliging meer en meer naar elkaar toe moeten groeien. Natuurlijk was en ben ik hier niet de enige in en dat is maar goed ook. Kijken we nu, zoveel jaren later, naar de aanpak op beide beveiligingsgebieden dan zouden we kunnen concluderen dat er niet zoveel veranderd is de afgelopen jaren. De Facilitaire afdeling houdt zich immers nog steeds bezig met fysieke beveiligingsmaatregelen terwijl de IT-afdeling de informatiebeveiligingsmaatregelen voor haar rekening neemt. Maar is dat wel zo? Hebben we lopen trekken aan een dood paard of is er stiekem toch het één en ander veranderd? En als er wel wat veranderd is, waar zitten dan nog de verbeterpunten? In dit hoofdstuk geef ik aan waar (volgens mij) al flinke veranderingen gerealiseerd zijn en welke veranderingen nog noodzakelijk zijn. De belangrijkste verbetering die ik daarin zie is dat de controlerende macht op het gebied van fysieke beveiliging een grotere toegevoegde waarde kan leveren. Hoe ik dat voor me zie lees je verderop in dit hoofdstuk. Wat er zoal is veranderd de afgelopen jaren Inmiddels zijn er flink een aantal organisaties die op strategisch en tactisch niveau een integraal beveiligingsbeleid hebben (of althans dat pretenderen te hebben). Hoe integraal dat echt is, is soms nog de vraag maar in ieder geval hebben zij al een start gemaakt en een basis gelegd waarop voortgeborduurd kan worden. Dat is mooi om te zien. Zeker als er gewerkt wordt met Deming-cycli, dan komen ze er vanzelf. 2

3 Toch is dat niet de enige verandering die ik bedoel. Nee, ik doel juist ook op de wijze waarop fysieke en informatiebeveiliging op operationeel niveau meer en meer naar elkaar toe groeien. Neem daarbij als voorbeeld dat fysieke beveiligingsmaatregelen meer en meer IT-systemen worden (met name cameratoezicht en toegangscontrole). Hield de Facilitaire afdeling in het verleden het beheer van dergelijke systemen nog wel eens onder de eigen paraplu. Nu zien we dat deze systemen steeds meer als IT-systemen worden gezien en zien we dat er duidelijker onderscheid wordt gemaakt tussen technisch, applicatie en functioneel beheer van deze systemen. Met name het technisch beheer van fysieke beveiligingsmaatregelen die aan het netwerk gekoppeld zijn, wordt meer en meer bij de IT-afdeling onder gebracht. We zijn er nog niet maar het is weer een stap in de goede richting. Anderzijds zien we dat de Code voor Informatiebeveiliging (de leidraad voor vele informatiebeveiligers) al jaren een hoofdstuk bevat over fysieke beveiliging. De uitvoering van de fysieke beveiligingsmaatregelen wordt door de IT-afdeling al snel ondergebracht bij de Facilitaire afdeling. Denk hierbij met name aan de bouwkundige zaken (sloten, deuren, wanden, etc.) en elektronische maatregelen (inbraakdetectie, cameratoezicht, toegangscontrole, etc.) voor serverruimtes en datacenters. Nog een stap in de goede richting. Zeker als we daarbij duidelijk voor ogen houden dat de Code zich vooral richt op de bescherming van (geautomatiseerde) informatie en in mindere mate de bescherming van materieel en personen. Kijken we naar strategisch en tactisch niveau van beveiliging dan zien we dat er meer en meer gestreefd wordt naar een integraal beleid en kijken we naar het operationele, uitvoerende, niveau dan raken beide werelden elkaar ook al en dat zal de komende jaren alleen maar toenemen. Eigenlijk hebben we dus best al wat bereikt en is het nu een kwestie van doorpakken. De neuzen dezelfde kant op De belangrijkste uitdaging wat mij betreft is dat we vanuit beide gebieden de neuzen dezelfde kant op moeten hebben en houden. Dat lijkt misschien heel ingewikkeld maar is dat in feite niet. Voor beide gebieden geldt namelijk al jaren hetzelfde uitgangspunt: een bijdrage leveren aan de continuïteit van de organisatie door onacceptabele risico s beheersbaar te maken en te houden. Dat klinkt uitermate goed in de oren (al zeg ik het zelf) maar is een container begrip waar we in de praktijk niet zo heel veel mee kunnen. Nee, in de praktijk moeten we dit verder vertalen naar de risico s die een negatieve invloed kunnen hebben op de omzet, de kosten en het imago van de organisatie (deze combinatie zorgt immers voor de continuïteit). Omzet, kosten en imago bereiken we door de primaire en secundaire processen van de organisatie die op haar beurt mogelijk worden gemaakt door de (geautomatiseerde en niet geautomatiseerde) informatie, het materieel en de personen. 3

4 Ik geef het toe, ik race wat snel door continuïteit heen maar als je daar meer over wilt weten dan verwijs ik je graag naar één van de eerdere hoofdstukken: Waar is de Chief Business Continuity Officer eigenlijk? Of je nodigt me natuurlijk gewoon uit voor een bak koffie. Willen we spreken over een integrale aanpak dan moeten we dus de onacceptabele risico s die van invloed kunnen zijn op de informatie, het materieel en de personen aanpakken. Dat we daarvoor verschillende soorten maatregelen moeten treffen is duidelijk: Informatiebeveiliging richt zich met name op de technische, procedurele en organisatorische maatregelen om de (geautomatiseerde) data te beschermen Fysieke beveiliging richt zich met name op de organisatorische, bouwkundige en elektronische maatregelen aangevuld met alarmopvolging om de (niet geautomatiseerde) data, het materieel en de personen te beschermen Schoenmaker blijf bij je leest Als beide disciplines van elkaar begrijpen dat ze hetzelfde doel nastreven en als beide disciplines van elkaar accepteren dat ze daarvoor een andere set aan maatregelen implementeren dan zit de kracht hem nu juist in het samenwerken om die totale set aan risico s voor de continuïteit van de organisatie beheersbaar te maken. En juist in die acceptatie en samenwerking is nog wel een verbetering door te voeren. Wat informatiebeveiligers moeten weten over fysieke beveiliging (en wat fysieke beveiligers moeten weten over informatiebeveiliging) is dat ze hetzelfde doel nastreven met een andere, deels overlappende deels aanvullende, set aan maatregelen. De kunst is nu juist om die set aan maatregelen zo goed mogelijk op elkaar aan te laten sluiten (zodat er geen gaten vallen en ook geen dubbele maatregelen worden getroffen). Wat ze niet van elkaars discipline hoeven te weten zijn de details. Ze hoeven niet exact dezelfde taal te spreken, als ze elkaar maar begrijpen (en dat begrijpen zit hem nu juist in dat uniforme doel: continuïteit). Een informatiebeveiliger hoeft niet te weten hoe een passieve infrarood detector met anti-crawlingfunctie precies werkt terwijl de fysieke beveiliger niet hoef te weten hoe een firewall of encryptie werkt. Als ze er maar op kunnen vertrouwen dat ieder zijn werk doet en dat de totale set aan maatregelen de onacceptabele risico s voldoende afdekt. Het één is niet beter, minder of slechter dan het ander maar het is juist complementair aan elkaar en kan elkaar versterken als we er maar samen de schouders onder zetten. Een integrale aanpak hoeft nog niet een geïntegreerde afdeling te betekenen Nu zou je kunnen pleiten voor één geïntegreerde hiërarchische afdeling voor beveiliging maar de vraag is of dat geen brug te ver is. Want in de organisaties zie je nog een grote scheiding tussen de Facilitaire afdeling en de IT-afdeling. Tel daarbij op dat er ook nog zoiets bestaat als de trias politica en je ziet dat er al minimaal drie functies (of afdelingen) zijn die hier een rol in spelen. De trias politica, driemachtenleer of scheiding der macht(en) is een theorie van de staatsinrichting waarin de staat opgedeeld is in drie organen die elkaars functioneren bewaken. De tegenwoordig verdeling kent een wetgevende macht die wetten opstelt, een uitvoerende macht die het dagelijks bestuur van de staat uitoefent en een rechterlijke macht die deze uitvoering toetst aan de bestaande wetten (bron: aangepast adhv wikipedia). 4

5 Als we dat vertalen naar organisaties en dan specifiek naar de aanpak van beveiliging binnen organisaties dan komen we al snel op de volgende indeling: Wetgevende macht: de beleidsmakers die het beveiligingsbeleid maken, het liefst dus een integraal beveiligingsbeleid Uitvoerende macht: degene die het beveiligingsbeleid uitvoeren. Voor fysieke beveiliging is dit meestal de Facilitaire afdeling terwijl dit voor informatiebeveiliging veelal de ITafdeling is. Beide eventueel aangevuld met uitvoering belegd in de lijnorganisatie en/of bij de HR-afdeling Rechterlijke macht: ook wel de controlerende macht die toetst aan bestaande wet- en regelgeving. Hierbij krijgen we te maken met afdelingen als Compliance, Legal en Internal Audit De wetgevende macht De wetgevende macht (beleidsmakers op het gebied van fysieke en informatiebeveiliging) is er meestal wel binnen organisaties want er is immers een beleid geschreven. Dat is soms geïntegreerd tot één integraal beveiligingsbeleid maar kan ook nog best verspreid zijn over twee verschillende beleidsdocumenten. In dat geval maakt de CISO-afdeling bijvoorbeeld het informatiebeveiligingsbeleid terwijl zij dat niet doen voor fysieke beveiliging (wie het fysieke beveiligingsbeleid maakt verschilt een beetje per organisatie en is niet gemakkelijk onder één noemer te vangen, soms is het de Facilitaire afdeling, soms een functionaris in de staf die het er een beetje bij doet). De uitvoerende macht De uitvoerende macht (Facility Management, IT, de lijn en HR) is er natuurlijk ook binnen organisaties en zoals eerder beschreven groeien die op onderdelen van beveiliging al aardig naar elkaar toe. Natuurlijk is daar nog veel winst te behalen maar als de neuzen dezelfde kant op staan, als we elkaars aanpak accepteren en streven naar samenwerking dan hebben we al behoorlijk wat vorderingen gemaakt. Als er dan toch nog verbeteringen doorgevoerd moeten worden zouden we eens kunnen kijken of we de samenwerking tussen de fysieke beveiligers en de informatiebeveiligers verder kunnen versterken door structureel met elkaar af te stemmen waarbij de operationele risico s centraal staan en waarbij beide disciplines een set aan beveiligingsmaatregelen voor mogen stellen die zo goed mogelijk bijdraagt aan het beheersen van die risico s. De controlerende macht De uitdaging zit hem toch vooral in de controlerende macht (eerste lijnsinspecties, compliance, interne controles en audits). De risico s van cybercrime zijn al jaren een hottopic. De risico managementafdeling binnen de organisatie heeft daar aandacht voor terwijl de IT-auditors zich aanvullend richten op de toetsing van informatiebeveiliging (in opzet, bestaan en werking). Tot zover niets aan de hand. Maar op het gebied van fysieke beveiliging lijkt deze aandacht er nauwelijks te zijn. Als fysieke beveiliging al binnen de scope van de controlerende macht valt dan hebben ze er weinig interesse in en als ze daar wel interesse in hebben dan is het de vraag of ze voldoende kennis en ervaring hebben op dit gebied om echt toegevoegde waarde te kunnen leveren. 5

6 Maar als we echt verbeteringen door mogen voeren (en dat hoop ik want daar is echt nog winst te behalen) laten we dan ook eens een poging wagen om de controlerende macht op het gebied van fysieke beveiliging te verbeteren. Laten we eens kijken of we de afdelingen als risico management, de auditafdeling, legal en compliance aan kunnen haken. Als zij hun controlerende processen los kunnen laten op fysieke beveiliging dan worden we daar allemaal beter van. Zij hoeven daarvoor op detail niveau niet alle ins- en outs van fysieke beveiligingsmaatregelen te kennen (daar kunnen ze specialisten voor inschakelen). Wel kunnen zij de aanpak die ze hanteren voor informatiebeveiliging toepassen op fysieke beveiliging. Het lijkt misschien raar omdat er gevraagd wordt om een controle terwijl we normaal gesproken niet graag gecontroleerd worden. Maar dat is nu juist een verkeerde mindset. Want hoe weten we of we de goede dingen goed doen als er niet iemand over onze schouder meekijkt? Maar eerlijk is eerlijk, niemand zit te wachten op een slechte controle. Daar wordt echt niemand beter van. We moeten er dus voor zorgen dat de goede inspecteurs, controleurs, auditors, compliance officers voldoende kennis krijgen van fysieke beveiliging om zich daar een oordeel over te vormen. Lukt ons dat dan kunnen zij ons aangeven waar we het al goed doen en waar eventueel nog verbeteringen te realiseren zijn. De eerste stap die we hiervoor moeten zetten is de controlerende macht de nodige kennis op het gebied van fysieke beveiliging bij brengen. Zie je dat zelf niet zitten of laat je toch liever de controles aan een andere partij over: geen nood, ik vervul die rol graag voor je. Conclusie Als ik een conclusie mag trekken dan is er stiekem toch wel het één en ander veranderd. We mogen best tevreden terug kijken op de afgelopen jaren en we groeien door naar een integraal beveiligingsbeleid, fysieke beveiligingssystemen worden meer en meer beheert als IT-systemen en de fysieke beveiligingsmaatregelen uit de Code voor Informatiebeveiliging worden door de Facilitaire afdeling uitgevoerd. De neuzen gaan langzaam dezelfde kant op en we hoeven (wat mij betreft) echt niet naar één geïntegreerde hiërarchische afdeling te streven om te kunnen spreken over integrale beveiliging. Als we maar onderkennen dat we allemaal hetzelfde doel nastreven: continuïteit van de organisatie door onacceptabele risico s beheersbaar te maken en te houden met de juiste set aan beveiligingsmaatregelen. Als we daadwerkelijk de onacceptabele risico s voor de organisatie willen beheersen dan volstaat een scheiding tussen fysieke en informatiebeveiliging al lang niet meer en moeten we meer en meer naar elkaar toe groeien. Maar dat betekent ook dat er binnen de organisatie meer aandacht moet komen voor fysieke beveiliging en dan bedoel ik met name dat er binnen de controlerende macht meer aandacht voor moet komen zodat we meer zekerheid krijgen of we het (in opzet, bestaan en werking) op het gebied van fysieke beveiliging ook goed genoeg doen. Lukt ons dat dan kunnen we over een paar jaar nog eens terug kijken om te bepalen waar dan nog verbeteringen te realiseren zijn. 6