De waarde van security audits voor integrale beveiliging

Er wordt al jaren gepleit voor een meer integrale beveiligingsaanpak, waarbij informatiebeveiliging en fysieke beveiliging meer en meer naar elkaar toe moeten groeien. Als de toezichthoudende partijen – de tweedelijns partijen – beter weten aan te haken, dan kunnen echt stappen vooruit worden gemaakt.

Het begin is er

Er zijn flink wat organisaties die op strategisch en tactisch niveau een integraal beveiligingsbeleid hebben. Hoe ver ‘integraal’ reikt, dat kan verschillen, maar in ieder geval hebben deze organisaties een basis gelegd waarop kan worden voortgebouwd.

Fysieke en informatiebeveiliging zijn op operationeel niveau al naar elkaar toe aan het groeien. Fysieke beveiligingssystemen worden meer en meer IT-systemen, vooral cameratoezicht en toegangscontrole. We zien dat er onderscheid wordt gemaakt tussen technisch, applicatie en functioneel beheer van deze systemen. Technisch en applicatiebeheer zijn dan veelal bij IT belegd, waar de gebruiker als eigenaar het functioneel beheer invulling geeft.

Andersom zien we ook dat IT zaken aan de facilitaire afdeling overlaat. Zo bevat de Code voor Informatiebeveiliging een hoofdstuk over fysieke beveiliging met daarin de nodige bepalingen t.a.v. wanden, deuren en sloten, maar ook de hardware van fysieke beveiligingssystemen. De IT-afdeling laat de uitvoering hiervan, ook die van de eigen ruimten, vaker dan ooit over aan de afdeling die het gebouw beheert, vaak de facilitaire afdeling.

De neuzen dezelfde kant op

De belangrijkste uitdaging is dat de neuzen dezelfde kant op richten en dat ook zo te houden. Voor informatiebeveiliging en voor fysieke beveiliging geldt immers hetzelfde uitgangspunt: een bijdrage leveren aan de continuïteit van de organisatie door onacceptabele risico’s beheersbaar te maken en te houden.

In de praktijk moeten we dit vertalen naar die risico’s, die een negatieve invloed kunnen hebben op de omzet, de kosten en het imago van de organisatie. Omzet, kosten en imago bepalen de continuïteit en ze komen voort uit de primaire en secundaire processen van de organisatie. En deze processen worden dan weer mogelijk gemaakt door de combinatie van personen, informatie en materieel.

Willen we spreken over een integrale aanpak, dan moeten we dus de onacceptabele risico’s die van invloed kunnen zijn op de informatie, het materieel en de personen aanpakken. Hiervoor zijn verschillende soorten van maatregelen nodig vanuit de gebieden informatiebeveiliging en fysieke beveiliging:

  • Informatiebeveiliging richt zich met name op de technische, procedurele en organisatorische maatregelen om de (geautomatiseerde) data te beschermen;
  • Fysieke beveiliging richt zich met name op de organisatorische, bouwkundige, elektronische en reactieve maatregelen om de (niet geautomatiseerde) data, het materieel en de personen te beschermen.

Schoenmaker blijf bij je leest

Als beide disciplines van elkaar begrijpen dat ze hetzelfde doel nastreven en accepteren dat ze daarvoor een andere set aan maatregelen implementeren, dan zit de kracht in het samenwerken om het totaalpakket aan maatregelen beheersbaar te maken.

Ze hoeven de details van elkaars werk niet te kennen. Een informatiebeveiliger hoeft niet te weten hoe een passieve infrarood detector werkt, en de fysieke beveiliger niet hoe encryptie werkt.

Vanuit het gemeenschappelijke belang – continuïteit – moeten ze erop vertrouwen dat ieder zijn werk doet met het oog op hetzelfde doel. De kunst is daarbij om ieders set aan maatregelen zo goed mogelijk op elkaar aan te laten sluiten en te voorkomen dat er te weinig of te veel wordt gedaan.

Samenwerken vanuit beide vakgebieden

Volledige integratie van kennis of kunde is ondergeschikt aan samenwerking en vertrouwen. Samenwerken aan hetzelfde doel – continuïteit – vanuit de vakgebieden informatiebeveiliging en fysieke beveiliging staat voorop. Feitelijk conform de trias politica.

Deze scheiding der machten is een theorie vanuit de staatsinrichting, waarin de staat opgedeeld is in drie organen die elkaars functioneren bewaken: de wetgevende, de uitvoerende en de toezichthoudende macht, die ook wel als rechterlijke macht bekend staat.

Vertalen we dit naar organisaties en dan specifiek naar de aanpak van beveiliging, dan komen we op de volgende indeling:

  • Wetgevende macht: deze maken het beleid, bijvoorbeeld een integraal beveiligingsbeleid of minimaal een afstemming tussen informatiebeveiligingsbeleid en fysiek beveiligingsbeleid.
  • Uitvoerende macht: deze voert het beveiligingsbeleid uit. Vaak de facilitaire afdeling voor fysieke beveiliging, terwijl de IT-afdeling dit voor informatiebeveiliging is. Zoals hiervoor aangegeven groeien deze beiden al aardig naar elkaar toe maar ze hoeven hiërarchisch niet één afdeling te zijn.
  • Toezichthoudende macht: deze toetst aan bestaande wet- en regelgeving, denk aan afdelingen als Compliance, Legal en Audit.

Hoe de toezichthoudende macht beveiliging kan verbeteren

Bij informatiebeveiliging loopt het ‘smooth’. De risico’s van cybercrime zijn al jaren een hot-topic. De risicomanagementafdeling binnen de organisatie heeft daar aandacht voor, terwijl de IT-auditors zich aanvullend richten op de toetsing van informatiebeveiliging. Prima samenwerking.

Maar als fysieke beveiliging al binnen de scope van de toezichthoudende macht valt, dan is er over het algemeen weinig interesse voor. Belangrijke oorzaak hiervoor is de ontbrekende kwalitatieve en kwantitatieve capaciteit om op dit gebied toegevoegde waarde te kunnen leveren.

De toezichthoudende macht zou hun controlerende processen en de aanpak zoals ze deze hanteren voor informatiebeveiliging ook moeten toepassen op fysieke beveiliging. Voor de detailkennis van het vakgebied fysieke beveiliging kunnen specialisten ter ondersteuning van de toezichthoudende macht worden ingeschakeld.

Hier ligt dan ook in onze ogen de verbetering, wetend dat we allemaal hetzelfde doel hebben: continuïteit van de organisatie. Een goede controle van de toezichthoudende macht op fysieke beveiliging gaat daar enorm aan bijdragen. Dit is de enige manier om onomstoten helder te krijgen of we op het gebied van fysieke beveiliging de goede dingen goed doen en waar het beter kan.

Conclusie

Er is voortgang geboekt met integrale beveiliging. Belangrijk hierin is dat we onderkennen dat met fysieke en informatiebeveiliging eenzelfde doel wordt nagestreefd en dat we proberen de onacceptabele risico’s beheersbaar te maken en te houden met de juiste set aan beveiligingsmaatregelen.

Wel moet er binnen de organisatie meer aandacht komen voor de toetsing van fysieke beveiliging. De lijnorganisatie moet beseffen dat beveiliging bijdraagt aan een reductie van de risico’s van hun processen en kan gericht om toetsing vragen. Bij de toezichthoudende macht moet meer aandacht voor fysieke beveiliging komen om zo meer zekerheid te krijgen of in opzet, bestaan en werking op het gebied van fysieke beveiliging het goede wordt gedaan en daarmee dus eenzelfde bijdrage wordt geleverd aan hetgeen de essentie is van dit vakgebied: de continuïteit van de organisatie.