Fysieke beveiliging, Deel 3

Transcriptie

1 Fysieke beveiliging, Deel 3 Auteur: Cees Coumou > drs C.J. Coumou CMC is na zijn pensionering bij KPMG IRM actief op het gebied van risicomanagement en informatiebeveiliging met: Coumou Security Continued, ( cees.coumou@planet.nl). In de vorige twee artikelen gepubliceerd in Informatiebeveiliging nummer 5 van 2004 en nummer 1 van 2005 is ingegaan op de definitie van fysieke beveiliging, de dilemma s bij fysieke beveiliging en de dreigingen die onderkend zijn en de te treffen maatregelen. 4.5 Organisatorische maatregelen Omgeving Voor een ongestoorde uitvoering van de bedrijfsactiviteiten zijn omgevingsfactoren vaak een belangrijk onderdeel van de beveiligingsmaatregelen. Weten wat er in de omgeving van de organisatie gebeurt, c.q. gaat gebeuren, helpt om de maatregelen optimaal te laten zijn, ook in geval van veranderingen. Pro-actief kennisnemen van bestemmingsplannen, contacten met de buren en instanties, kan leiden tot nuttige informatie ten behoeve van de eigen fysieke beveiliging. Tot de relevante kennis over de omgeving behoort bijvoorbeeld ook de kennis over de loop van kabels. Alle toeen afvoeren (energie, communicatie) die een kritische functie vervullen, komen in aanmerking voor beveiliging tegen (onbedoeld) opgraven, vernieling of sabotage. Juist in de omgeving kunnen door derden werkzaamheden worden uitgevoerd waarbij niet altijd aan de belangen van anderen wordt gedacht. Preventie kan op dit gebied goede effecten hebben. Organisatorische maatregelen vullen de bouwkundige en technische maatregelen aan. Door de organisatorische regelingen en procedures, wordt het mogelijk het stelsel van maatregelen werkend te maken. Ook de controle van de maatregelen op actualiteit, de werkzaamheid en het naleven ervan, behoort tot de organisatorische maatregelen Toezicht en onderhoud tegen verslijten Organisatorische maatregelen tegen het verslijten hebben betrekking op controleren. In de eerste plaats gaat het dan om het regelmatig controleren van de juiste werking van beveiligingsmaatregelen. Vooral technische installaties vergen periodieke controle, vaak al door de leverancier aangegeven in onderhoudsschema s. Maar ook de controle op de organisatorische maatregelen is van belang om een goed werkend en daadwerkelijk toegepast beveiligingsstelsel te kunnen handhaven. Een tweede groep aandachtspunten vormen de regels voor onderhoud aan het gebouw en in de verschillende ruimten. Werkzaamheden door derden zowel in als rond het gebouw zijn vaak de oorzaak voor het optreden van bedreigende gebeurtenissen. Branden ontstaan vaak door werkzaamheden door derden die on(voldoende)gecontroleerd worden uitgevoerd. Ook zal controle moeten plaatsvinden op wijzigingen die worden aangebracht in het oorspronkelijke bouw- en inrichtingsplan. Indien er wijzigingen worden aangebracht moet worden geverifieerd dat de zonering in stand blijft of adequaat wordt aangepast. Datzelfde geldt voor wanden, plafonds en vloeren en de doorvoeringen van kabels. Een derde categorie vormt de ICT apparatuur. Regelmatig onderhoud en controle van de goede werking kan het optreden van storingen en uitval door mechanische problemen voorkomen. Ook hier gelden specificaties van leveranciers als uitgangspunt voor onderhoud en controle werkzaamheden Toezicht op maatregelen tegen indringen Voorkomen van ongewenste gebeurtenissen door organisatorische maatre- gelen vindt vooral plaats door het opstellen en bekendmaken van regels. Richtlijnen, procedures, gedragsregels, instructies en andere vormen van gedocumenteerde vastlegging van afspraken vormen de eerste stap die moet worden gezet om alle betrokkenen op de hoogte te brengen. De wijze waarop vervolgens de regels worden uitgedragen kan verschillen per doelgroep en per maatregel. Zo is het mogelijk om chauffeurs van vrachtwagens met gevaarlijke lading, alvorens hen toestemming te geven het bedrijfsterrein op te rijden, eerst een video te laten bekijken met tips en eisen over het te volgen rijgedrag (route, snelheid, alarmering, noodsituaties). Bezoekers van een gebouw kunnen een eenvoudige folder krijgen met regels over noodprocedures, het toezicht tijdens het bezoek en dergelijke. Systeembeheerders bijvoorbeeld kunnen tijdens het werkoverleg worden aangesproken op het gedrag met betrekking tot het afsluiten van ruimtes, het toelaten van ongeautoriseerde personen en andere afspraken. Kortom, iedere situatie kent de daarbij behorende aanpak om maatregelen bekend te maken en de naleving te controleren. Niet ieder bezoek is gewenst bezoek. Helaas kunnen we er niet van uit gaan dat alle aanwezigen in een organisatie (medewerkers, bezoekers, leveranciers, stagiaires, uitzendkrachten, et cetera die in principe een geldige reden hebben) alleen maar goede bedoelingen hebben. Ook om die reden is het van belang om er middels procedures voor te zorgen dat alleen geautoriseerde personen toegang verkrijgen tot kritische ruimten. Voorbeelden van dergelijke maatregelen zijn: Bezoekers tijdig laten aanmelden door gastheer/vrouw; bezoekers van kritische ruimten worden altijd begeleid; 16 INFORMATIEBEVEILIGING APRIL 2005

2 regels voor meenemen opnameapparatuur door eigen personeel en bezoekers ; naam, datum, doel van het bezoek, gatheer/vrouw, aankomsttijd en vertrektijd worden genoteerd; geautoriseerde personen zijn direct herkenbaar aan een zichtbare identificatie (draagplicht badges); de toegangsrechten worden direct ingetrokken als de noodzaak tot het betreden van de kritische ruimten niet meer aanwezig is; het achterwege laten van verwijzingen naar kritische ruimten (ook in telefoongidsen) in het gebouw of op het terrein; regels voor het handelen bij vermissing van de key-cards of andere toegangsmiddelen. Regels omtrent het afsluiten van bureaus, kasten en ruimten alsmede de daarbij behorende (reserve)sleutelprocedures, vormen een eerste element van wat in Angelsaksische landen clear desk gedrag wordt genoemd. Deze regels zijn bedoeld om te voorkomen dat ongeautoriseerde personen toegang krijgen tot geclassificeerde of kritische informatie. De indeling in klassen (bijvoorbeeld geheim, vertrouwelijk) en het daarbij behorende stelsel van maatregelen (welke opslag, verspreiding en transportmiddel is toegestaan, wie bepaald de classificatie, hoe kan die worden aangebracht en gehandhaafd) is bij het gebruik van netwerken niet eenvoudig. Indien besloten wordt tot toepassing van een classificatiesysteem, dan dient met de mogelijkheid van het naleven van de regels, de sancties bij niet-naleving en de controle op het gehele stelsel, rekening te worden gehouden. Door de verspreiding van ICT middelen door een gebouw, zal niet altijd de zonering kunnen worden toegepast die gewenst is. Kritische informatie kan op deze manier worden bewerkt met een personal computer die niet altijd in een kritische ruimte is opgesteld. Daarom is het aan te bevelen bij werken in niet-kritische ruimten clear screen regels op te stellen. Dergelijke maatregelen maken het mogelijk een mogelijk tekort aan fysieke beveiliging op te vangen door andere werkzame maatregelen. Een andere maatregel die in dit kader kan worden genoemd is het inrichten van ruimtes op een zodanige manier dat onbedoeld meekijken op beeldschermen en andere apparatuur, wordt tegengegaan. Dit geldt ook voor het opstellen van faxapparatuur en afdelingsprinters in algemeen toegankelijke ruimten. Een bijzonder aspect wordt gevormd door de regels die moeten gelden voor het werken in beveiligde ruimten. Door de zone indeling en de procedures rond toegang, kunnen bijzondere effecten optreden voor medewerkers die langdurig in dergelijke ruimten moeten verblijven. Zo zullen situaties vermeden moeten worden waarin personen langere tijd alleen in ruimten verblijven (Arbowet). Bovendien moet rekening worden gehouden met de mogelijkheid dat personen in kritische ruimten kunnen blootstaan aan overvallen. Kritische ruimten die (tijdelijk) niet worden gebruikt, zullen moeten worden afgesloten. Controle hierop is geboden, vooral indien de aangrenzende ruimten een gelijke zone-indeling hebben. Via de niet-gebruikte ruimte zou de beveiliging van het geheel eenvoudig kunnen worden ontkracht. Tot de organisatorische maatregelen voor fysieke beveiliging behoren ook de regels die worden gesteld aan het gedrag rond het afvoeren van gebruikte hardware. De bedoeling is te voorkomen dat ongeautoriseerde personen toegang krijgen tot informatie (gegevens en programmatuur) die achterblijft in geheugens die met de hardware wordt opgeruimd. Hieraan verwant zijn de regels rond het meenemen van middelen buiten de organisatie. Omdat buiten de organisatie de fysieke maatregelen niet gelden, zullen regels moeten worden gesteld zodat ook in die situatie het optreden van bedreigingen zoveel mogelijk wordt voorkomen. Hierbij kan worden gedacht aan voortdurend toezicht (dus niet in een auto onbeheerd achterlaten van computers of gegevensdragers) en het veilig (afgesloten) opbergen op locaties buiten de organisatie. Vaak worden ook vormen van versleuteling van opgeslagen gegevens toegepast zodat in geval van diefstal of verlies, de opgeslagen gegevens niet toegankelijk zijn. Dit is evenwel een repressieve maatregel die de kans op diefstal niet beperkt. Bij de organisatorische maatregelen behoren ook de regels die gesteld worden aan locaties buiten de eigen organisatie. Een voorbeeld daarvan is de toestand van de off site locatie waar de back-up wordt bewaard. Ook voor deze locatie dienen fysieke maatregelen te worden getroffen, vergelijkbaar aan die van de eigen organisatie teneinde de reserve kopieën van gegevens, programmatuur en documentatie veilig te kunnen bewaren. Het verzenden van informatie (ongeacht de vraag of het dragende medium papier, band, schijf of anders is), heeft ook een aspect van fysieke beveiliging. Zowel de verpakking als het transport, kunnen in aanmerking komen voor beschermende matregelen. Breuk, beschadiging, verlies en diefstal zijn dreigingen die kunnen optreden. Afhankelijk van het belang van de inhoud zullen algemeen bekende maatregelen worden getroffen Beoordeling van gedetecteerde gebeurtenissen Organisatorische maatregelen zullen moeten worden getroffen rond detectie. Het is niet voldoende daarvoor apparatuur te instaleren. Doel van detectie is signalen van gebeurtenissen (meldingen) te kunnen opvangen en interpreteren. In een handmatige situatie kan hier worden gedacht aan speciale telefoonnummers voor noodgevallen. Dergelijke nummers zullen permanent (of tenminste tijdens werktijden) bemand moeten zijn. Ook zal de apparatuur niet voor andere doeleinden mogen worden gebruikt om te voorkomen dat bij gebruik een in gesprek toon de melding tegenhoudt. Vervolgens dient geregeld te zijn hoe op de melding wordt gereageerd. Vooral als niet geoefende personen een bijzondere gebeurtenis doorgeven, moet rekening worden gehouden met vertekende beelden en niet volledig betrouwbare informatie. Deze situatie pleit ervoor de detectie met hulpmiddelen te doen en te automatiseren. Maar ook in die situaties komen valse meldingen voor en verdient een beoordeling van de situatie door een deskundige de voorkeur alvorens een alarm uit te laten gaan voor het starten van acties. Het behoort tot de organisatorische maatregelen de detectie en meldingsprocedure op te zetten die, in combinatie met apparatuur en eventuele directe INFORMATIEBEVEILIGING APRIL

3 doorschakelingen, verbindingen met instanties buiten de organisatie (politie, brandweer, GGD) tot stand brengen. Tot de maatregelen voor detectie kan ook worden gerekend, de verplichting aan medewerkers incidenten te rapporteren. Dit kan een algemene maatregel zijn, maar voor de fysieke beveiliging zeker ook belangrijk. Vooral als naast de beveiligingsincidenten ook de zwakheden in maatregelen worden gerapporteerd. Medewerkers zijn immers de ogen en de oren van de organisatie dus is meekijken en denken nuttig. Bovendien stimuleert een dergelijke regeling ook het bewustzijn voor informatiebeveiliging. In het verlengde van deze maatregel ligt de zorg voor het verzamelen van bewijsmateriaal. In die gevallen waarin inbreuken een strafbaar feit opleveren en een dader kan worden gevonden, kan bewijsmateriaal helpen om bijvoorbeeld schadevergoeding te claimen. Snel reageren op meldingen van nietreglementaire gebeurtenissen kan helpen voorkomen dat bewijsmateriaal verdwijnt. Ook hier kan adequaat optreden van eigen personeel een praktische hulp zijn Plannen en regelingen voor bestrijding en vermindering Organisatorische maatregelen voor bestrijding van incidenten en het verminderen van mogelijke schade, worden veelal in de vorm van plannen aangetroffen. Dergelijke plannen bevatten een aantal elementen zoals een procedure om vast te stellen wat de ernst is van een incident, alarmeringsprocedures, de verantwoordelijke tijdens een incident, uit te voeren acties, het inschakelen van instanties zoals politie en brandweer, communicatie met andere officiële instanties, leveranciers en dergelijke. Op het gebied van fysieke veiligheid kan verwezen worden naar de algemene richtlijnen ontvluchting en redding (AROR), bijlage II Model-Brandbeveiligingsverordening van de VNG, waarin de volgende (organisatorische) onderwerpen beschreven zijn: voorschriften omtrent verlichting, detectie, alarmering, stoffering, versiering en meubilering; maatregelen ten behoeve van ontvluchting, onder andere stroef houden van vloeren en trappen, sluiten van deuren, ramen en andere afsluitingen; vrijhouden van vluchtwegen; ontsteken van verlichting; instructies en ontruimingsoefeningen. Volgens de Arbo-wet wordt iedere organisatie geacht te weten wie er in het gebouw aanwezig is. Als zich een incident voordoet in het gebouw dan is de werkgever niet alleen verantwoordelijk voor zijn personeelsleden, maar ook voor de aanwezige bezoekers. Op dat moment is het dus relevant te weten wie in het gebouw aanwezig zijn. Een van de maatregelen is het opstellen van een bedrijfsnoodplan waarin de volgende onderdelen zijn opgenomen: een veiligheidsplan; een brandpreventieplan; een aanvalsplan; een ontruimingsplan. Ad 1: Veiligheidsplan Het veiligheidsplan is een onderdeel is van het bedrijfsnoodplan en bestaat uit aanwijzingen, waarschuwingen, geboden en verboden, die verband houden met de gevaren die zich onder normale werkomstandigheden kunnen voordoen. Ten aanzien hiervan moeten signaleringen, door middel van pictogrammen, worden aangebracht in die omgevingen waar dit nodig is. Het moge duidelijk zijn dat alleen pictogrammen niet voldoende zijn. Personeelsleden dienen ook door opleiding en voorlichting op de hoogte te zijn van de gevaren, geboden en verboden. Ad 2: Brandpreventieplan De meeste branden ontstaan direct of indirect door handelingen van mensen. Dit betekent dat het ontstaan van brand nooit voor honderd procent kan worden voorkomen. Om wel zo dicht mogelijk bij die honderd procent te komen wordt een brandpreventieplan opgesteld. In een brandpreventieplan moet minimaal aandacht worden besteed aan de volgende punten: bouwkundige voorzieningen; inrichting en gebruik van gebouw/werkplek; branddetectie en brandmelding; beschikbaarheid van (kleine) blusmiddelen; vluchtwegen en hun veiligheid; opleiding en instructie personeel; controle op naleving. Ad 3: Aanvalsplan Het opstellen van een aanvalsplan is in feite een aangelegenheid van de lokale brandweer. Toch is het belangrijk voor de eigen organisatie dit plan te kennen. Vooral de bedrijfshulpverleningsorganisatie (BHV) dient van dit plan op de hoogte te zijn. In het aanvalsplan zijn gegevens opgenomen over: de ligging van het gebouw; de constructie van het gebouw; de indeling van het gebouw; de inhoud van het gebouw (materialen, hulpmiddelen); de aanwezigheid van brandtechnische voorzieningen; de activiteiten die in het gebouw worden uitgevoerd. Van groot belang is het actualiseren van het plan indien een wijziging plaatsvindt in of aan het gebouw. In dat geval moet worden gecontroleerd of het aanvalsplan inhoudelijk moet worden aangepast. In veel gemeenten controleert de lokale brandweer periodiek de in haar verzorgingsgebied vallende gebouwen. Het is echter raadzaam zelf aan te geven dat er veranderingen gaan plaatsvinden of hebben plaatsgevonden. Indien de organisatie op de hoogte is van de inhoud van het aanvalsplan, kan regelmatig controle worden uitgevoerd op de volgende punten: is de aanrij route op het eigen terrein vrij; is de opstelplaats(en) voor de brandweervoertuigen vrij; is/zijn de brandweeringang(en) vrij; zijn de bluswatervoorzieningen en eventuele stijgleidingen bereikbaar. Ad 4: Ontruimingsplan De grootste zorg, in geval van een bedreigende situatie, is het in veiligheid brengen van de personeelsleden en eventuele bezoekers. Bij een bedreigende situatie wordt bijna altijd direct gedacht aan brand. Echter, er zijn ook andere omstandigheden, zoals een lekkende gas- of waterleiding, een bommelding, explosiegevaar of het vrijkomen van gevaarlijke stoffen. Daarnaast kunnen zich omstandigheden voordoen in de omgeving van het gebouw waardoor ontruiming noodzakelijk wordt geacht. De tot hier toe beschreven plannen hebben vooral betrekking op het in veiligheid brengen van personen direct 18 INFORMATIEBEVEILIGING APRIL 2005

4 na een incident. De terminologie die hiervoor veelal wordt gebruikt is: calamiteitenplan of noodplan. Voor de bestrijding van schade aan bedrijfsprocessen kunnen uitwijkplannen worden opgesteld en ingevoerd. Hier komt een relatie tot stand tussen fysieke maatregelen en de continuïteit van de organisatie. Vaak hebben fysieke dreigingen grote gevolgen voor de continuïteit. Continuïteitsplannen worden opgesteld om daarin te voorzien. Overigens kunnen incidenten die op zichzelf geen calamiteit zijn, door escalatie tot een calamiteit worden. Ogenschijnlijk eenvoudig te verhelpen storingen kunnen uiteindelijk langdurig blijken te zijn en veel schade voor de bedrijfsprocessen opleveren. Plannen ter waarborging van de continuïteit van de bedrijfsvoering, richten zich in het algemeen op het zo snel mogelijk kunnen voortzetten van de bedrijvigheid na het optreden van een dreigende gebeurtenis. Zodra na een incident blijkt dat de ruimten of hulpmiddelen waarvan het bedrijfsproces gebruik maakt, niet meer beschikbaar zullen zijn, zal de beslissing moeten worden genomen uit te wijken naar een alternatieve locatie alwaar voorzieningen zijn getroffen die een snelle start van het bedrijfsproces mogelijk maken. Deze alternatieve of uitwijklocatie zal tijdelijk kunnen worden gebruikt (eventueel door een deel van het bedrijfsproces, zodat zo min mogelijk verlies ontstaat door het uitgevallen bedrijfsproces. De samenhang tussen de verschillende plannen is in de figuur hieronder weergegeven: Essentieel is de wijze waarop beslissingen plaatsvinden gedurende de periode dat de organisatie niet normaal kan functioneren door de opgetreden gebeurtenis. De eerste fase is gericht op het redden van mensen en het stabiliseren van de situatie. Vervolgens zal door een schade-inventarisatie moeten worden vastgesteld of de opgetreden gebeurtenis ertoe leidt dat een of meer processen tijdelijk op een alternatieve wijze moeten worden uitgevoerd. In deze uitwijkfase geldt een uitwijkplan waarin de werkwijze is beschreven die noodzakelijk is om de alternatieve werkwijze te starten. Uitwijkplannen bestaan uit de volgende elementen: detectie en alarmering (voorzover niet al geregeld in een bedrijfsnoodplan); diagnose en beslissing over de eventuele uitwijk; het crisisteam dat verantwoordelijk is voor de uitwijkfase; andere teams en de taken die zij tijdens de uitwijkfase moeten verrichten (draaiboeken); alle voorzieningen die tijdens de uitwijk zullen worden gebruikt; namen en adressen van instanties en personen die bij de uitwijk een rol spelen. Opgemerkt wordt dat het onderhouden van dergelijke plannen en het oefenen van betrokkenen een belangrijke voorwaarde is voor het succesvol gebruiken van de plannen. Herstelplannen worden gemaakt om snel en doeltreffend de reparatie van gebouw en ruimten alsmede de verkrijging van (reserve) apparatuur te waarborgen. Voor de herstelfase is van belang dat de uitwijklocatie veelal beperkt bruikbaar is. Daarom moet worden gestreefd naar een snelle terugkeer naar de herstelde situatie. Soms wordt het herstelplan als onderdeel van het uitwijkplan gerealiseerd. De terugkeer kan speciale regelingen vergen, bijvoorbeeld als tijdelijk een afwijkende procedure is gevolgd. Mogelijk moet dan de invoer van vele gegevens opnieuw in het herstelde systeem worden ingebracht. Veelal worden daarom terugkeer procedures als onderdeel van de herstelplannen opgenomen. Tot de voorbereidingen van continuïteitsplannen behoort naast het opstellen ervan, de reservering van ruimten en middelen, het testen van actieplannen en het onderhoud. Voor een goede periodieke controle van alle elementen van de plannen kan een controleplan worden opgesteld en uitgevoerd. Een controleplan wordt opgesteld om periodiek op een gestructureerde manier alle noodzakelijke controles op een plan te kunnen uitvoeren. Doelstelling daarvan is de plannen actueel te houden door zowel de inhoud op actualiteit te toetsen als de uitvoerbaarheid te beoordelen. Er kunnen drie vormen van controle worden onderscheiden: Verificatie; Walk through; Praktijktoets. Ad 1: Verificatie Hierbij wordt vastgesteld of de gegevens van het plan inhoudelijk nog correct zijn. Met name gegevens over namen, adressen, functies en dergelijke zijn aan verandering onderhevig en dienen regelmatig in de plannen te worden bijgewerkt. Een verificatie laat Calamiteit Noodfase (bedrijfsnoodplan) Normale Bedrijfs- Situatie Incident Escalatie Schade-inventarisatie Uitwijkfase (Uitwijkplan) Normale Bedrijfs- Situatie Herstelfase (Herstelplan) Continuiteitsplan Legenda: =Beslissing INFORMATIEBEVEILIGING APRIL

5 zich meestal eenvoudig realiseren door de confrontatie van de gegevens uit het plan met de werkelijkheid. Bijvoorbeeld door na te gaan of een telefoonnummer daadwerkelijk hoort bij de vastgelegde naam, door te informeren of bedoelde werknemers nog in dienst en in functie zijn. Ad 2: Walk through Hierdoor wordt beoordeeld of het continuïteitsplan nog uitvoerbaar is. Hiertoe vinden bijeenkomsten plaats met allen die bij de uitvoering van het continuïteitsplan een taak hebben in één van de teams. Door het team de taken te laten naspelen of tekstueel door te nemen, kan worden beoordeeld of de opgenomen acties zowel inhoudelijk als naar volgorde en samenhang nog aansluit op de praktijk. Door de betrokkenen kan meestal direct worden aangegeven of de bestaande praktijk binnen het bedrijfsproces nog voldoende in de plannen wordt weergegeven. Ad 3: Praktijktoets Hierbij wordt beoordeeld of het continuïteitsplan in de praktijk werkt. De praktijktoets is een simulatie van (een deel van) het plan dat bij optreden van een calamiteit zal worden gebruikt. De praktijktoets kan op verschillende delen van de plannen worden toegepast maar ook op het geheel. Door een gefaseerde opbouw van een aantal praktijktoetsen kan het vertrouwen in de uitvoerbaarheid van de plannen toenemen. Zo kan bijvoorbeeld de praktijktoets van de alarmering (daadwerkelijke bereikbaarheid teamleden) apart van andere onderdelen van het plan worden uitgevoerd. Tenslotte nog een opmerking over het gebruik van technische middelen voor de vermindering van de schade als een incident optreedt. Organisatorische regelingen zullen afspraken moeten bevatten over de toepassing en het gebruik van deze middelen. Als voorbeeld dient een noodstroomvoorziening. Welke apparatuur wordt hierop aangesloten? Alleen de apparatuur die moet kunnen doordraaien als de stroom uitvalt? Of wordt er ook gedacht aan een mogelijke noodsituatie? In dat geval verdient het aanbeveling in ieder geval ook de noodverlichting op de voorziening voor noodstroom aan te sluiten. 5 Het audit perspectief Het meten van de doeltreffendheid van maatregelen op het gebied van de informatiebeveiliging is onmiskenbaar een taak van de EDP auditor. Op het gebied van de fysieke beveiliging kunnen zich evenwel een aantal problemen voordoen bij het beoordelen van de aanwezige maatregelen. Met name de relatie tussen de getroffen maatregelen en de gestelde beveiligingsdoelen vergt vaak enig technisch inzicht. Bovendien zijn vele partijen betrokken bij de opzet en de inrichting van de maatregelen. Dat leidt tot uitdagingen. Compliance testing, neemt in belang toe naarmate een directer verband kan worden gelegd met aansprakelijkheid voor schades die het gevolg zijn van het niet invoeren en navolgen van maatregelen. Dat geldt ook voor fysieke beveiliging. Een ander aspect is bijvoorbeeld de uitspraak van de auditor over de kwaliteit van maatregelen in relatie tot de wet computercriminaliteit. Hoe verhoudt zich bijvoorbeeld de mening van een rechter zich tot die van de auditor? Als in een voorkomend geval door de rechter wordt geoordeeld dat de getroffen maatregelen onvoldoende waren waardoor daders eenvoudige toegang hadden? Voor de auditor zal het in veel gevallen erop aan komen het oordeel van anderen te beoordelen. Bijvoorbeeld door aandacht te schenken aan de resultaten van de controle van de status van maatregelen die door beheerders wordt uitgevoerd. In de omgeving van gebouwen worden vaak bouwwerkzaamheden uitgevoerd. Het stuktrekken van kabels is een veel voorkomende oorzaak van storingen. Dat ligt niet alleen aan de aannemer die de activiteit uitvoert, ook aan de opdrachtgever die zich op de hoogte dient te stellen van de plaats van kabels. Daardoor is de eigenaar van de ruimte waarin de kabels (die overigens niet altijd keurig op dezelfde plaats blijven liggen) betrokkene maar ook de gebruiker van de kabel die zou moeten weten dat er werkzaamheden gaan plaats vinden en dus na zou kunnen gaan of voldoende zorgvuldig wordt gewerkt. Installaties worden door leveranciers opgeleverd, meestal inclusief onderhoud en controle schema s. Het daadwerkelijk opvolgen van deze schema s kan eenvoudig worden gecontroleerd. Op sommige brandblusinstallaties kan het controleschema door iedere voorbijganger worden gelezen. Achterstallig onderhoud is op deze wijze eenvoudig te constateren. Lastiger wordt het bij complexere installaties. Daarvoor worden in veel gevallen periodiek testen uitgevoerd om de goede werking te contoleren zoals bij detectieapparatuur en sprinklerinstallaties. In hoeverre kan hier certificering als toereikend controle-instrument worden geaccepteerd? Bij de beoordeling van de mate waarin maatregelen doeltreffend zijn speelt de praktijk ook een rol. Zoals in het geval waarin bleek dat de omroepinstallatie van de organisatie niet op de voorziening voor noodstroom was aangesloten. Dat werd pas ontdekt toen de installatie gebruikt moest worden om aan het personeel te melden dat er een stroomstoring was opgetreden. Bij het beoordelen van de kwaliteit van maatregelen voor fysieke beveiliging zal de hele opzet van het stelsel van maatregelen moeten worden beoordeeld. Bouwkundige maatregelen worden door allerlei instanties bekeken en beoordeeld. Zo zal de brandweer bijvoorbeeld uitspraken doen over materialen en vluchtwegen bij nieuwe gebouwen en verbouwingen. Maar dat is een initiële beoordeling die niet altijd regelmatig wordt herhaald. Het naleven van maatregelen kan op verschillende manieren worden gecontroleerd. Zo zijn de inspectierondes na werktijd een goed voorbeeld van de wijze waarop het naleven van clear desk regels op een afdeling of binnen een organisatie gebeurt. De controle op regels voor clear screen gedrag wordt al lastiger. Dat moet onder werktijd gebeuren en stelt eisen aan het gedrag van degene die de controle uitvoert. Een stap verder is de controle van de naleving van de maatregelen voor toegangsbeheersing. Hoe wordt die controle opgezet zonder het te controleren personeel te beïnvloeden in hun gedrag? Welke grenzen worden in acht genomen bij dergelijke fysieke penetratietesten? Van de logische penetratietesten is tegenwoordig de ethische hacker een bekend fenomeen. Maar op het fysieke terrein is de ethische inbreker nog niet geïntroduceerd. De conclusie hieruit moet zijn dat controles beperkt blijven tot acceptabele acties waarbij vernieling, 20 INFORMATIEBEVEILIGING APRIL 2005

6 intimidatie en geweld worden nagelaten. Het bewijs dat gebruik van grof geweld niet succesvol zou kunnen zijn, kan dus niet geleverd worden. Wat is het domein van de auditor? Thuiswerken en mobiele ICT is aan de orde van de dag. Valt het bestaan en het naleven van de maatregelen te beoordelen? En hoe zit dat met de maatregelen die door providers (maar ook bewakingsdiensten) worden geleverd? In de SLA kan een beveiligingsniveau of zelfs concrete maatregelen worden beschreven. Controle van de naleving van de afspraken kan gecompliceerd zijn. De praktijk geeft voorbeelden achteraf, zoals de personeelsleden van bewakingsbedrijven of schoonmaakdiensten die van tijd tot tijd in de pers worden genoemd als dader van diefstallen. Maar dat is het analyseren van incidenten en het opsporen van daders. Hoe wordt vastgesteld dat de bewakingsdienst de voorziene controlerondes uitvoert of de voorschriften voor cameratoezicht steeds naleeft? Controle van maatregelen houdt in dat op de volgende vragen een zo goed mogelijk antwoord kan worden gegeven: Vormen de maatregelen een consequent, compleet en doeltreffend geheel dat past binnen het beleid? Zijn de maatregelen daadwerkelijk aanwezig op die plaatsen en in die situaties waarvoor ze zijn bedoeld? Worden de maatregelen nageleefd? Startpunt, ook bij fysieke beveiliging, zijn de doelen die worden gesteld voor de bescherming van personen en middelen tegen fysiek bedreigingen. Vervolgens kan op vele terreinen een oordeel worden gegeven over de wijze waarop maatregelen zijn geselecteerd en ingevoerd. Bovendien kan in veel gevallen de status van de maatregelen worden beoordeeld. De grote vraag blijft: kan een compleet beeld worden gegeven en voor welke periode blijft dat beeld geldig? Dit artikel is eerder verschenen in Handboek EDP Auditing en is met toestemming van Uitgeverij Kluwer gepubliceerd.