Als beveiligingssystemen IT-systemen zijn, waarom worden ze dan niet beheerd door de. IT-afdeling? Over Thimo Keizer

Transcriptie

1 Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van de gebaande paden en onderzoeken waar de organisatie op een efficiënte en effectieve wijze verbeterd kan worden zonder dat de organisatie daar last van ondervindt. De bedrijfsvoering, de primaire en secundaire processen en de aspecten die voor de continuïteit van de organisatie van belang zijn worden daarbij door mij steeds als uitgangspunt genomen. Op strategisch en tactisch niveau zijn mijn adviezen gebaseerd op de groei in volwassenheid van de organisatie. Mijn ervaring op het gebied van change management, risico management en integrale beveiliging binnen organisaties als het Ministerie van Defensie, de ABN AMRO Bank en KPN Telecom aangevuld met mijn universitaire opleiding Bedrijfswetenschappen en HBO opleiding Marketing Management helpen mij daarbij. Waarom Het is mijn doel om organisaties te helpen om continuïteit te waarborgen door (beveiligings)risico s en kansen zichtbaar en begrijpelijk te maken, zodat de impact op omzet, kosten en imago kan worden beheerst. Hoe Ik ben een strategische en tactische business consultant met een specialisatie in operationeel risicobeheer voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Wat Ik zorg ervoor dat organisaties hun doelen bereiken door Good Governance (goed bestuur) en maturity (volwassenheid) te waarborgen voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Dat doe ik door het ontwikkelen en implementeren van beveiligingsbeleid, door het evalueren en aanpassen van dat beleid en door middel van quick scans en audits van het beleid en de getroffen beveiligingsmaatregelen. Copyright Thimo Keizer, Vlaardingen 2017 Voor meer informatie:

2 Elektronische beveiligingssystemen, zoals alarminstallaties, camerabewakings- en toegangscontrolesystemen worden meer en meer IT-systemen en worden meer en meer aangesloten op de IT-infrastructuur van de organisatie. Daar is niets nieuws aan en deze trend is al jaren geleden ingezet. De laatste tijd zien we binnen organisaties het beheer van de beveiligingssystemen steeds meer overgaan naar IT-afdelingen maar dit levert nog veel discussies, onduidelijkheden en onzekerheden op. Enerzijds omdat de IT-afdeling niet gewend is om dergelijke beveiligingssystemen te beheren (men heeft weinig ervaring met dit soort specifieke systemen en men kent de achterliggende gedachtes onvoldoende), anderzijds omdat de beveiligingsorganisatie niet gewend is om hun beveiligingssystemen als IT-systemen te zien en te beheren (ze doen het liever zelf omdat ze dat al jaren doen en het makkelijker is of lijkt). Maar eigenlijk is het heel simpel: als IT-systemen beheerd worden door de IT-afdeling, dan moeten de elektronische beveiligingssystemen ook beheerd worden door de IT-afdeling. En uiteraard begrijp ik dat ik met deze stelling heel wat mensen tegen de haren in strijk maar ik zal ook verduidelijken hoe het beheer dan gerealiseerd kan worden door aan te sluiten op bestaande IT-beheerprocessen. Het gaat echter te ver om in een kort artikel het hele speelveld van IT-beheer en beveiliging juist en volledig te beschrijven, vergeef me daarom als ik af en toe wat kort door de bocht ga. 2

3 Technisch, applicatie en functioneel beheer Kijken we naar beheerprocessen van IT-systemen dan maken we onderscheid in technisch beheer (ITIL), applicatie beheer (ASL) en functioneel beheer (BiSL). Deze indeling is van belang om duidelijk te maken welke rol de gebruikersorganisatie (de beveiligingsorganisatie bijvoorbeeld als onderdeel van de Facility Management afdeling) heeft en welke rol is weggelegd voor de IT-afdeling. Technisch beheer: Richt zich op het beheer van de IT-infrastructuur (servers, netwerk, verbindingen, etc.). De IT-infrastructuur is een basis waarop applicaties kunnen draaien. Applicatie beheer: Een applicatie is een programma dat bedoeld is voor de eindgebruiker (in dit voorbeeld dus de programma s waarmee de alarminstallatie, camerabewakings- en toegangscontrolesystemen door de beveiligingsorganisatie gebruikt en bediend worden). Onder applicatie beheer wordt verstaan het aanpassen van de applicatie naar aanleiding van geconstateerde fouten in de applicatie of veranderende technische of functionele eisen. Functioneel beheer: De applicaties worden gebruikt door de gebruikersorganisatie (in dit voorbeeld de beveiligingsorganisatie in de breedste zin van het woord). De gebruikersorganisatie zal aan moeten geven aan welke eisen die applicatie en de onderliggende infrastructuur moet voldoen en controleren of na een eventuele aanpassing deze inderdaad nog voldoen. Anders dan technisch en applicatie beheer richt functioneel zich niet op IT-afdelingen (supply), maar juist op de gebruikersorganisatie (demand). Als we het beheer van de elektronische beveiligingssystemen dus uit willen laten voeren door de IT-afdeling dan zal de verantwoordelijkheid voor technisch beheer en applicatie beheer bij de IT-afdeling worden gelegd. Maar daar houdt het dan ook mee op, het functioneel beheer dient belegd bij en de verantwoordelijkheid van de gebruikersorganisatie te blijven. Het voordeel van het overdragen van technisch en applicatie beheer aan de IT-afdeling is dat de beveiligingssystemen goed beheerd kunnen worden, zoals de organisatie dat ook doet met andere IT-systemen. Denk bijvoorbeeld aan processen waarbij aangesloten kan worden, zoals (in willekeurige volgorde en zeker niet uitputtend): IT Service Continuity Management: hoe kunnen we er voor zorgen dat bij uitval van de beveiligingssystemen de continuïteitsplannen in werking treden? Information Security Management: hoe zorgen we dat de beveiligingssystemen voldoen aan de beveiligingseisen beschikbaarheid, integriteit en exclusiviteit (Code voor Informatiebeveiliging)? Change Management: hoe kunnen we wijzigingen in de beveiligingssystemen via geformaliseerd wijzigingsbeheer laten verlopen om risico s te voorkomen? Problem Management: hoe kunnen we problemen in de werking van de beveiligingssystemen op een gestructureerde wijze oplossen? Incident Management: hoe kunnen we incidenten die de werking van de beveiligingssystemen nadelig beïnvloeden snel en adequaat oplossen (inclusief escalatie)? Service Asset & Configuration Management: hoe kunnen we de configuration items (de verschillende onderdelen van de beveiligingssystemen zoals detectoren, camera s, paslezers, etc.) inzichtelijk en beheersbaar krijgen? 3

4 Service Desk: hoe kunnen we storingen aan beveiligingssystemen melden en vragen stellen over de beveiligingssystemen? Access Management: autorisatiebeheer, wie mag welke rechten hebben op het beveiligingssysteem (bedienen, uitschakelen, camerabeelden terugkijken, etc.) en hoe kunnen we dat managen? Kortom: het overdragen van het technisch en applicatie beheer van de beveiligingssystemen aan de IT-afdeling zorgt ervoor dat deze beveiligingssystemen procesmatig beter beheerd kunnen worden. We sluiten hiermee aan op andere beheerprocessen binnen de organisatie en de beveiligingssystemen zijn geen vreemde eend in de bijt meer. Maar wat is dan de rol van de gebruikersorganisatie? De gebruikersorganisatie dient ervoor te zorgen dat beveiliging adequaat werkt (door ervoor te zorgen dat de onacceptabele risico s worden afgedekt), hoe men behoeften in het beveiligingsproces vertaalt naar IT-oplossingen en niet-it-oplossingen, hoe men de beveiligingssystemen en IT-dienstverlening vanuit een gebruiksoptiek stuurt en hoe men de beveiligingssystemen op lange termijn vormgeeft. Daarbij kijken we vanuit de gebruikersorganisatie dus naar de juiste OBE-mix (organisatorische, bouwkundige en elektronische beveiligingsmaatregelen) die we aanvullen met Reactie (adequate alarmopvolging). Voor de elektronische beveiligingssystemen zoals alarminstallaties, camerabewakings- en toegangscontrolesystemen bepaald de beveiligingsorganisatie nog steeds welke maatregelen nodig zijn en welke eisen er aan die maatregelen gesteld worden. Processen die we aan de zijde van de gebruikersorganisatie inrichten zijn bijvoorbeeld: Opstellen beveiligingsstrategie: hoe ziet onze beveiligingsstrategie eruit inclusief leveranciersmanagement en afstemming met ketenpartners? Portfoliomanagement: hoe ziet ons beveiligingsportfolio eruit en welke beveiligingssystemen hebben we nodig? Technologische ontwikkelingen: welke ontwikkelingen spelen er binnen de beveiligingswereld en hoe kunnen we die toepassen binnen onze organisatie? Ontwikkeling bedrijfsprocessen: hoe zien onze beveiligingsprocessen eruit en hoe kunnen die ondersteund worden met beveiligingssystemen? Gebruikersbeheer: wie mag met welke rechten waarbij? Functionaliteitenbeheer: welke specificaties stellen we aan de beveiligingssystemen? Voordeel hiervan is bijvoorbeeld dat de gebruikersorganisatie de functionele eisen en wensen die gesteld worden aan de elektronische beveiligingssystemen vastlegt in een Service Level Agreement tussen de gebruikersorganisatie en de IT-afdeling. De beveiligingsorganisatie mag (en moet) dus eisen stellen aan de IT-afdeling en deze afspraken moeten formeel vastgelegd worden in SLA s. De beveiligingsorganisatie mag de IT-afdeling aanspreken als niet aan de eisen wordt voldaan. 4

5 En hoe krijgen we dit beheer dan goed werkend? Om de overgang van het beheer van de beveiligingssystemen naar de IT-afdeling in gang te zetten en soepel te laten verlopen zijn er minimaal 2 partijen nodig: de (latende) beveiligingsorganisatie en de (ontvangende) IT-afdeling. Belangrijkste daarbij is begrip over en weer. Zo zal de beveiligingsorganisatie ervaring op moeten doen met IT-beheerprocessen (zoals ITIL, ASL en BiSL) en zal de IT-afdeling begrip moeten krijgen van de beveiligingssystemen (alarminstallaties, camerabewakings- en toegangscontrolesystemen). Dit goed voor elkaar krijgen is echter bepaald geen sinecure, het is geen korte termijn oplossing die alle problemen direct oplost en het zal alleen slagen met de juiste steun van het management. Maar als het eenmaal gelukt is dan kunnen we wel spreken over een volwassen beheer van de beveiligingssystemen. De vraag die iedere organisatie zich wat mij betreft moet stellen: worden mijn beveiligingssystemen al door de IT-afdeling beheerd? En zo nee: hoe gaan we dit voor elkaar krijgen? 5