De toegevoegde waarde van fysieke beveiliging. Over Thimo Keizer

Transcriptie

1 Over Thimo Keizer Met een kritische, out of the box, analytische blik help ik organisaties met bedrijfskundige vraagstukken waaronder change management, integrale beveiliging en risico management. Af van de gebaande paden en onderzoeken waar de organisatie op een efficiënte en effectieve wijze verbeterd kan worden zonder dat de organisatie daar last van ondervindt. De bedrijfsvoering, de primaire en secundaire processen en de aspecten die voor de continuïteit van de organisatie van belang zijn worden daarbij door mij steeds als uitgangspunt genomen. Op strategisch en tactisch niveau zijn mijn adviezen gebaseerd op de groei in volwassenheid van de organisatie. Mijn ervaring op het gebied van change management, risico management en integrale beveiliging binnen organisaties als het Ministerie van Defensie, de ABN AMRO Bank en KPN Telecom aangevuld met mijn universitaire opleiding Bedrijfswetenschappen en HBO opleiding Marketing Management helpen mij daarbij. Waarom Het is mijn doel om organisaties te helpen om continuïteit te waarborgen door (beveiligings)risico s en kansen zichtbaar en begrijpelijk te maken, zodat de impact op omzet, kosten en imago kan worden beheerst. Hoe Ik ben een strategische en tactische business consultant met een specialisatie in operationeel risicobeheer voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Wat Ik zorg ervoor dat organisaties hun doelen bereiken door Good Governance (goed bestuur) en maturity (volwassenheid) te waarborgen voor fysieke beveiliging, informatiebeveiliging en bedrijfscontinuïteit. Dat doe ik door het ontwikkelen en implementeren van beveiligingsbeleid, door het evalueren en aanpassen van dat beleid en door middel van quick scans en audits van het beleid en de getroffen beveiligingsmaatregelen. Copyright Thimo Keizer, Vlaardingen 2017 Voor meer informatie:

2 Het is mooi om te zien dat er hard gewerkt wordt aan het beter positioneren van fysieke beveiliging en het is tegenwoordig heel normaal om te spreken over beveiliging 2.0 (of in enkele gevallen zelfs 3.0) terwijl dat veelal nogal holle frasen zijn als we daar geen verdere betekenis aan geven. Daarom ga ik in op hoe ik aan kijk tegen de toekomst van fysieke beveiliging en hoe we de aanpak van fysieke beveiliging meer toegevoegde waarde kunnen geven door te groeien naar fysieke beveiliging 5.0. Het is een versimpelde weergave van de werkelijkheid en een moment opname want door voortschrijdend inzicht zal dit zeker nog veranderen. Geven we de volgende paragrafen visueel weer dan zou dat er als volgt uit kunnen zien: 2

3 Fysieke beveiliging 1.0: Rule based benadering Onder fysieke beveiliging 1.0 verstaan we wat mij betreft de zogenaamde rule based benadering waarbij we vrij klakkeloos alle maatregelen uit wet- en regelgeving en ons daarop gebaseerde beleid implementeren. We kijken vooral naar de letter en niet naar de geest van fysieke beveiliging. We nemen hierbij de beveiligingsmaatregelen als uitgangspunt en niet de risico s voor de organisatie. De vraag die we ons hierbij vooral stellen is: hoe beveiligen we? Hier past bijvoorbeeld een uitspraak bij als: niets mag tenzij. We implementeren vooral beveiligingsmaatregelen zonder goed na te denken waarom we die maatregelen eigenlijk implementeren. We willen vooral compliant zijn zonder dat we daarbij ook echt in control zijn. Eigenlijk weten we niet of we wel de goede dingen goed doen en we lopen het gevaar dat er onacceptabele risico s zijn die we over het hoofd zien. Daarnaast kost het veel geld om fysieke beveiligingsmaatregelen te implementeren en dat is prima als deze maatregelen ook echt risico s afdekken maar is niet goed als de maatregel geen toegevoegde waarde heeft (lees: weggegooid geld). Omdat we de processen niet betrekken bij deze manier van beveiligen voelt de business zich nauwelijks betrokken bij fysieke beveiliging en vinden ze de maatregelen vooral lastig. We vinden fysieke beveiliging belangrijker dan de primaire processen van de organisatie. Maar als fysieke beveiliging een lijnverantwoordelijkheid is dan past deze benadering al lang niet meer. Een simpel voorbeeld: stel dat het beleid voorschrijft dat ieder gebouw is voorzien van een duur toegangscontrole systeem. Op zich prima om ongewenste bezoekers tegen te houden maar wat als het pand nog wel in de administratie staat maar al een jaar niet meer in gebruik is.of wat als duidelijk is dat het gebouw binnen een jaar verlaten zal worden. Hoeveel nut heeft het dan om alsnog een duur systeem te implementeren? Je zult begrijpen dat ik geen voorstander ben van een rule based benadering omdat daar nogal wat tekortkomingen in zitten en we vooral lastig zijn voor de organisatie. Fysieke beveiliging 2.0: Effect based benadering Bij een effect based bandering kijken we vooral naar de gevolgen van een bepaalde bedreiging op een bepaald asset (personen, informatie, materieel). Op basis daarvan proberen we maatregelen te implementeren die het gevolg voor dat specifieke asset verminderen zonder dat we daarbij rekening houden met hoe kritisch het asset voor de organisatie is. De vraag die we ons hierbij vooral stellen is: wat beveiligen we? Neem diefstal als risico. Om diefstal te kunnen plegen moet er bijvoorbeeld eerst ingebroken worden. We kunnen wel maatregelen nemen om het risico op diefstal te verminderen door diefstalgevoelige zaken aan de grond te verankeren maar dan kijken we toch vooral naar het effect en niet naar de oorzaak. We houden nog onvoldoende rekening met de oorzaken van die risico s. Misschien is het wel beter om gewoon een inbraak installatie aan te schaffen? 3

4 Diefstal van alle beeldschermen in een gebouw heeft toch echt minder impact dan diefstal van twee kritische servers in dat gebouw. Als we niet oppassen zijn we alle diefstalgevoelige zaken (in dit geval de beeldschermen) aan de grond aan het verankeren en is er straks geen budget meer om de echt belangrijke zaken te beveiligen. Een kostbare zaak omdat dit nog steeds leidt tot het nemen van veel beveiligingsmaatregelen en het gevaar bestaat dat we de echte risico s over het hoofd zien (de beeldschermen staan vast maar als er geen inbraak installatie aanwezig is kunnen de servers nog steeds gestolen worden). De risico s voor de processen nemen we bij deze benadering niet als uitgangspunt maar de assets stellen we boven de processen. Daarbij zijn we nog steeds lastig voor de business omdat we het hen moeilijk maken om de processen efficiënt uit te voeren. Een prima eerste stap om meer en meer naar een risk based benadering te groeien maar met een effect based benadering zijn we er nog lang niet. Fysieke beveiliging 3.0: Cause based benadering In de volgende fase nemen we niet langer de gevolgen op de assets (personen, informatie, materieel) als uitgangspunt maar nemen we vooral de oorzaken van bedreigingen ten aanzien van processen als uitgangspunt. Daarbij houden we dus rekening met de risico s voor een proces en daarna kijken we pas naar de mate waarin dat proces mogelijk wordt gemaakt door personen, informatie en materieel. De vraag die we ons hierbij stellen is: welke processen beveiligen we eigenlijk en kunnen we het proces niet anders inrichten. Als het antwoord daarop ja is dan hoeven we minder fysieke beveiligingsmaatregelen te treffen om de ondersteunende assets te beveiligen. Als we hier een eenvoudig voorbeeld bij pakken dan kunnen we een proces dat ondersteund wordt door de twee servers (uit het vorige voorbeeld) centraliseren op één locatie waardoor we die ene locatie goed moeten beveiligen ( effect based ). Diefstal van die servers leidt immers tot uitval van het proces. Maar we zouden natuurlijk ook het proces en de daarbij behorende servers redundant en op twee verschillende locaties uit kunnen voeren. De impact van een inbraak op één locatie verlaagd het risico omdat het proces en servers op de andere locatie gewoon door kunnen draaien (en de informatie die daarop staat dus niet verloren is gegaan, we willen immers niet zozeer de servers beveiligen maar de informatie op die servers). Op een hoger niveau kijken we dus naar het proces en daarna pas naar de bijbehorende assets. Door het proces te spreiden over meerdere locaties wordt het proces op zich al minder kritisch en hoeven we per locatie misschien minder beveiligingsmaatregelen te treffen om de assets te beschermen. Wat we hierbij nog onvoldoende meewegen is de mate waarin het proces kritisch is voor de organisatie. Als we niet oppassen dan zijn we allerlei risico analyses aan het uitvoeren op processen die niet echt relevant of kritisch zijn voor de organisatie. De meeste toegevoegde waarde hebben we als we, in de beperkte tijd die ons gegeven wordt, eerst kijken naar de meest kritische processen en assets. 4

5 Het lijkt misschien logisch en het lijkt misschien of we dit al uitvoeren voor alle kritische processen en servers. Maar in de praktijk zien we toch nog vaak dat er veel risico analyses worden uitgevoerd op de niet kritische processen en assets. Hierbij worden de echt kritische processen en assets nog wel eens uit het oog verloren en dus niet van een risico analyse voorzien. Dat is ook logisch omdat wij vanuit beveiliging niet goed in kunnen schatten hoe kritisch een proces is. Juist daarom is beveiliging een lijnverantwoordelijkheid en juist daarom moet de business betrokken worden: alleen zij kunnen goed inschatten hoe kritisch een proces is voor de organisatie. Geen nood daarom hebben we nog fysieke beveiliging 4.0 in het verschiet. Fysieke beveiliging 4.0: Continuity based benadering Bij fysieke beveiliging 4.0 beginnen we niet met een risico analyse voordat we vast hebben gesteld welke kritische processen en assets er zijn en hoe kritisch het één en ander is voor het voortbestaan van de organisatie als geheel. Zoals eerder beschreven hebben we daar de business dus bij nodig. Theoretisch kunnen we hierbij hergebruik maken van zogenaamde Business Impact Analyses (BIA s) zoals die veelal voor Business Continuity worden uitgevoerd, maar dan alleen als de kwaliteit van die BIA s toereikend is. De vraag die we ons hierbij stellen is: waarom beveiligen we eigenlijk? Dit klinkt allemaal erg logisch maar in de praktijk zien we toch vaak dat er allerlei risico analyses op allerlei objecten worden uitgevoerd zonder dat we rekening houden met de mate waarin dat object kritisch is voor het voortbestaan van de organisatie. We lopen dus het gevaar dat kritische objecten over het hoofd worden gezien. We zouden dus niet één BIA als uitgangspunt moeten nemen maar moeten kijken naar alle BIA s en dan starten met de meest kritische objecten die door de business bepaald worden (prioriteiten stellen dus). We kunnen bijvoorbeeld diepgaande risico analyses op alle filialen uitvoeren om alle relevante bedreigingen (in het kader van fysieke beveiliging) vast te stellen maar misschien kunnen we beter beginnen met het uitvoeren van risico analyses voor onze kritische locaties (en wees eerlijk: weet jij zeker dat je alle kritische processen en dus ook alle kritische locaties echt in beeld hebt?). Wie ook de andere hoofdstukken gelezen heeft weet dat ik er bij beveiliging altijd vanuit ga dat continuïteit van de organisatie bereikt wordt door omzet (verhoging), kosten(verlaging) en imago(verbetering). Dit zijn prima doelstellingen als we maar begrijpen dat omzet, kosten en imago bereikt worden door de primaire en secundaire processen die we uitvoeren. Maar dan zijn we er nog niet, processen worden mogelijk gemaakt door personen, informatie en materieel. Onze fysieke beveiligingsmaatregelen moeten we daar dus op afstemmen. We kunnen dus alleen bepalen hoe kritisch een persoon, informatie of materieel is als we weten aan welke processen zij een bijdrage leveren. Voor die processen moeten we dan vervolgens bepalen in hoeverre zij bijdragen aan omzet, kosten en imago om vast te kunnen stellen in hoeverre het de continuïteit van de organisatie in gevaar brengt als een asset weg valt. Nog maar een keer herhalen: dat kunnen we niet solistisch vanuit beveiliging doen 5

6 maar moeten we holistisch aanpakken met alle relevante stakeholders (waaronder in ieder geval de business ). Hoewel ik het al een grote winst zou vinden als we op deze wijze naar fysieke beveiliging gingen kijken kunnen we nog verder in de toekomst kijken. Voordat je de volgende alinea leest geef ik gelijk toe dat dit misschien nog wat vergezocht is en dat het er sterk vanaf hangt wie je opdrachtgever/werkgever is. Fysieke beveiliging 5.0: Social based benadering Onder een social based benadering versta ik dat de risico s die van grote invloed (kunnen) zijn op de maatschappij als geheel als uitgangspunt genomen worden. Hoewel de scope van iedere organisatie continuïteit van die organisatie moet zijn, hoeft dat nog niet relevant te zijn voor de maatschappij als geheel. Vanuit de scope van de maatschappij moet iedere organisatie een bepaalde toegevoegde waarde hebben. Heeft de organisatie geen of onvoldoende toegevoegde waarde dan heeft de maatschappij geen behoefte aan die organisatie en zal zij afstevenen op een faillissement. Neem als, spijtig, voorbeeld V&D. De laatste maanden dat V&D bestond hadden er allerlei risico analyses naar de filialen uitgevoerd kunnen worden en hadden er op basis daarvan nog allerlei dure fysieke beveiligingsmaatregelen getroffen kunnen worden maar hoe relevant zouden die nog zijn geweest? Zelfs al zouden de deuren van de datacenters van V&D de laatste weken wagenwijd open hebben gestaan dan zouden we slechts minimale maatregelen moeten nemen om de risico s te beperken. We zouden namelijk slechts die maatregelen moeten nemen waardoor V&D eerder failliet zou zijn gegaan door fysieke beveiligingsrisico s (als inbraak en diefstal) dan nu het geval is: dus gewoon de deuren op slot maar geen dure toegangscontrole systemen, inbraak installaties en camera s. Interessant feit hiervan is dat iets dat in de business as usual als onacceptabel risico zou worden gezien (ontbreken van toegangscontrole systemen, inbraakinstallaties en camera s) voor een bepaalde organisatie ineens een acceptabel risico kan worden als de organisatie failliet dreigt te gaan. Dit bewijst maar weer dat fysieke beveiliging niet het belangrijkste aspect is en slechts ondersteunend aan de continuïteit van de organisatie. Bij een social based benadering moeten we dus eerst kijken naar het bestaansrecht van de organisatie. Is er geen of te weinig bestaansrecht dan heeft het uitvoeren van risico analyses op het gebied van fysieke beveiliging nauwelijks toegevoegde waarde (de organisatie kan haar tijd beter steken in het vinden van haar nieuwe of gewijzigde toegevoegde waarde). Heeft de organisatie nog wel bestaansrecht dan hanteren we voor die organisatie een continuity based benadering waarbij we dan uitgaan van de meest kritische processen, personen, informatie en materieel. Kortom In plaats van uit te gaan van allerlei beveiligingsmaatregelen moeten we het gehele proces omdraaien. We moeten beginnen met het bepalen van de risico s op de maatschappij als geheel en de toegevoegde waarde van de organisatie voor die maatschappij, daarna moeten we kijken naar de risico s voor de continuïteit van de organisatie waarna we de oorzaken weg moeten nemen door waar mogelijk de processen te wijzigen. Als laatste kijken we naar wat we moeten beveiligen en hoe we dat dan precies willen gaan doen door beveiligingsmaatregelen te treffen. 6

7 We steken meer tijd in het voorbereidende werk (het denkwerk) dan in het doen (implementeren van maatregelen). De uitspraak die daarbij hoort is: alles mag tenzij en als we dat voor ogen (kunnen) houden dan leveren we met fysieke beveiliging de meeste toegevoegde. 7