Beheer van beveiligingsinstallaties

Fysieke beveiligingsinstallaties worden steeds vaker aangesloten op het IT-netwerk van de organisatie. Beveiligingsinstallaties worden zo meer en meer IT-systemen. En daarmee ontstaat de logica om deze via de afdeling IT te laten beheren.

Elektronische beveiligingssystemen, zoals alarminstallaties, camerabewakings- en toegangscontrolesystemen worden meer en meer aangesloten op de IT-infrastructuur van de organisatie. De laatste tijd zien we binnen organisaties het beheer van de beveiligingssystemen steeds meer overgaan naar IT-afdelingen. Dit levert helaas nog veel discussies, onduidelijkheden en onzekerheden op.

Dit komt enerzijds omdat de IT-afdeling niet gewend is om dergelijke specifieke beveiligingssystemen te beheren. Men heeft weinig ervaring met dit soort systemen en men kent de achterliggende gedachtes onvoldoende. Anderzijds komt dit omdat de beveiligingsorganisatie niet gewend is om hun beveiligingssystemen als IT-systemen te zien en te beheren. Men doet dit op een geheel eigen wijze, al jaren, omdat dit makkelijk gevonden wordt.

Maar eigenlijk is het heel simpel: als IT-systemen beheerd worden door de IT-afdeling, dan moeten de elektronische beveiligingssystemen ook beheerd worden door de IT-afdeling.

Technisch-, applicatie- en functioneel beheer

Wanneer we kijken naar beheerprocessen van IT-systemen, dan maken we onderscheid in:

  • Technisch beheer (ITIL): Richt zich op het beheer van de IT-infrastructuur (servers, netwerk, verbindingen, etc.). De IT-infrastructuur is een basis waarop applicaties kunnen draaien.
  • Applicatiebeheer (ASL): Een applicatie is een programma dat bedoeld is voor de eindgebruiker (in dit voorbeeld dus de programma’s waarmee de alarminstallatie, camerabewakings-en toegangscontrolesystemen door de beveiligingsorganisatie gebruikt en bediend worden). Onder applicatiebeheer wordt verstaan het aanpassen van de applicatie naar aanleiding van geconstateerde fouten in de applicatie of veranderende technische of functionele eisen.
  • Functioneel beheer (BiSL): De applicaties worden gebruikt door de gebruikersorganisatie, in dit voorbeeld de beveiligingsorganisatie. De gebruikersorganisatie zal aan moeten geven aan welke eisen de applicatie en de onderliggende infrastructuur moet voldoen en controleren of deze na een aanpassing inderdaad nog voldoen.

Deze indeling is van belang om duidelijk te maken welke rol de gebruikersorganisatie, bijvoorbeeld de beveiligingsorganisatie, heeft en welke rol is weggelegd voor de IT-afdeling.

Uniformiteit in beheer

Het voordeel van het overdragen van technisch en applicatie beheer aan de IT-afdeling is dat de beveiligingssystemen goed beheerd kunnen worden, zoals de organisatie dat ook doet met andere IT- systemen.

Denk bijvoorbeeld aan de volgende IT-processen waarbij aangesloten kan worden, zoals:

  • IT Service Continuity Management: hoe kunnen we ervoor zorgen dat bij uitval van de beveiligingssystemen de continuïteitsplannen in werking treden?
  • Information Security Management: hoe zorgen we dat de beveiligingssystemen voldoen aan de beveiligingseisen beschikbaarheid, integriteit en exclusiviteit?
  • Change Management: hoe kunnen we wijzigingen in de beveiligingssystemen via een geformaliseerd wijzigingsbeheer laten verlopen om risico’s te voorkomen?
  • Problem Management: hoe kunnen we problemen in de werking van de beveiligingssystemen op een gestructureerde wijze oplossen?
  • Incident Management: hoe kunnen we incidenten die de werking van de beveiligingssystemen nadelig beïnvloeden snel en adequaat oplossen, inclusief escalatie?
  • Service Asset & Configuration Management: hoe kunnen we de configuratie-items, in casu de verschillende onderdelen van de beveiligingssystemen zoals detectoren, camera’s, paslezers, etc. inzichtelijk en beheersbaar krijgen?
  • Service Desk: hoe kunnen we storingen aan beveiligingssystemen melden en vragen stellen over de beveiligingssystemen?
  • Access Management: autorisatiebeheer, wie mag welke rechten hebben op het beveiligingssysteem qua bedienen, uitschakelen, camerabeelden terugkijken, etc. en hoe kunnen we dat managen?

Het overdragen van het technisch en applicatie beheer van de beveiligingssystemen aan de IT- afdeling zorgt ervoor dat deze beveiligingssystemen procesmatig beter beheerd kunnen worden. We sluiten hiermee aan op andere beheerprocessen binnen de IT-organisatie en de beveiligingssystemen zijn dan geen vreemde eend meer in de bijt.

Maar wat is (en blijft) de dan de rol van de gebruikersorganisatie?

Anders dan technisch en applicatie beheer richt functioneel zich niet op IT-afdelingen (supply), maar juist op de gebruikersorganisatie (demand). Dit functioneel beheer dient dan ook belegd te zijn bij en de verantwoordelijkheid te zijn van de gebruikersorganisatie.

Vanuit de gebruikersorganisatie wordt gekeken naar de juiste OBER-mix: organisatorische, bouwkundige, elektronische en reactieve beveiligingsmaatregelen. Dit impliceert dat voor de elektronische beveiligingssystemen zoals alarminstallaties, camerabewakings- en toegangscontrolesystemen de gebruikersorganisatie nog steeds bepaalt welke maatregelen nodig zijn en welke eisen er aan die maatregelen gesteld worden.

Samenwerken vanuit verschillende rollen

Processen die we aan de zijde van de gebruikersorganisatie inrichten zijn bijvoorbeeld:

  • Opstellen beveiligingsstrategie: hoe ziet onze beveiligingsstrategie eruit inclusief leveranciersmanagement en afstemming met ketenpartners?
  • Portfoliomanagement: hoe ziet ons beveiligingsportfolio eruit en welke beveiligingssystemen hebben we nodig?
  • Technologische ontwikkelingen: welke ontwikkelingen spelen er binnen de beveiligingswereld en hoe kunnen we die toepassen binnen onze organisatie?
  • Ontwikkeling bedrijfsprocessen: hoe zien onze beveiligingsprocessen eruit en hoe kunnen die ondersteund worden met beveiligingssystemen?
  • Gebruikersbeheer: wie mag met welke rechten waarbij?
  • Functionaliteitenbeheer: welke specificaties stellen we aan de beveiligingssystemen?

Een belangrijk voordeel van deze aanpak is dat de gebruikersorganisatie zo in staat is de functionele eisen en wensen die gesteld worden aan de elektronische beveiligingssystemen vast te kunnen leggen in een Service Level Agreement (SLA) tussen de gebruikersorganisatie en de IT-afdeling.

De beveiligingsorganisatie mag en moet dus eisen stellen aan de IT-afdeling en deze afspraken moeten formeel vastgelegd worden in SLA’s. De beveiligingsorganisatie mag de IT-afdeling aanspreken als niet aan de eisen wordt voldaan.

En hoe krijgen we dit beheer dan goed werkend?

Om de overgang van het beheer van de beveiligingssystemen naar de IT-afdeling in gang te zetten en soepel te laten verlopen zijn er minimaal twee partijen nodig: de latende gebruikersorganisatie en de ontvangende IT-afdeling.

Belangrijkste daarbij is begrip over en weer. Zo zal de beveiligingsorganisatie ervaring op moeten doen met IT-beheerprocessen zoals ITIL, ASL en BiSL. Gelijktijdig zal de IT-afdeling begrip moeten krijgen van de beveiligingssystemen zoals alarminstallaties, camerabewakings- en toegangscontrolesystemen.

Dit goed voor elkaar krijgen is echter bepaald geen sinecure, het is geen kortetermijnoplossing die alle problemen direct oplost en het zal alleen slagen met de juiste steun van het management. Maar als het eenmaal gelukt is dan kunnen we wel spreken over een volwassen beheer van de beveiligingssystemen.