Aanvullende maatregelen voor beveiligde ruimtes

We hebben nu de eisen voor het werken in beveiligde ruimtes gesteld, maar we gaan er nog even op door omdat de beveiligde ruimte extra aandacht vraagt dan de andere ruimtes in het gebouw.

De vraag:
Is er vastgelegd welke aanvullende maatregelen vastgelegd moeten worden bij extra beveiligde ruimtes (deze ruimtes worden vrij gehouden van rommel, dozen, oude apparatuur, etc)?

In de praktijk zijn er vele beveiligde ruimtes te onderscheiden. Maar veelal komt het er op neer dat we ze willen beveiligen omdat ze de processen ondersteunen (bijvoorbeeld de serverruimtes) of omdat we er waardevolle zaken hebben opgeslagen (bijvoorbeeld kasgebieden en bijzondere voorraad).

Beveiligde ruimtes hebben vaak iets mysterieus over zich en mensen willen erg graag weten wat er zich achter die dichte deuren allemaal bevindt. Medewerkers die wel toegang hebben tot die ruimtes gebruiken ze ook nog wel eens voor andere doeleinden dan waarvoor ze zijn ingericht. Hoe vaak zien we niet hele voorraden dozen opgeslagen in de hoek van de serverruimte? Hoe vaak zien we niet dat een medewerker een heerlijk eigen plekkie heeft gemaakt in de beveiligde ruimte (omdat zijn manager hem daar toch niet kan controleren)? Geloof me, het gebeurt vaker dan je denkt.

Hoewel het feit dat die medewerker zich daar kan verschansen misschien meer een managementprobleem dan een beveiligingsprobleem is, zijn dergelijke situaties niet wenselijk. Hoe vaker we in die ruimte zijn, hoe groter de kans dat we per ongeluk over een snoer struikelen of koffie in een server morsen. Om dat te voorkomen zorgen we dus voor de aanvullende maatregelen en voorschriften voor die ruimtes.

Beveiligde ruimtes moeten eigenlijk spik en span zijn…een operatie voer je ook niet uit in een rommelige kamer waar de geamputeerde ledenmaten van andere patiënten nog in de hoek liggen. Het klinkt misschien wat grof, maar toch zien we het te vaak gebeuren. Een nieuwe server wordt uit de doos gehaald en de doos wordt in de hoek gesmeten…die ruimen we later wel op. Omdat het buiten regent en we niet naar buiten willen om een sigaretje te roken doen we dat stiekem in de serverruimte, niemand die daarachter komt. Totdat de oude dozen natuurlijk vlam vatten door een niet goed uitgemaakte peuk.

klinkt misschien allemaal wat ver gezocht, maar de praktijk gevallen zijn bekend. Koffiezetautomaten op een server, servers onder een lekkende waterleiding, opslag van alle oude computerapparatuur in de serverruimte, illegale handeltjes vanuit die ruimtes en ga zo maar even door.

Twijfel je hoe klinisch de beveiligde ruimtes in jouw gebouw zijn? Dan staat je wellicht niets anders te doen dan er eens een kijkje te nemen. Niet omdat je de medewerkers komt controleren natuurlijk, maar omdat je wilt weten hoe veilig die ruimte nu eigenlijk echt is. Kom je allerlei zaken tegen die er niet horen dan staat de grote schoonmaak voor de deur.

Maar je bent gewaarschuwd…ga je die ruimte binnen, doe dan extra voorzichtig. Jij wilt immers niet degene zijn die over een snoer struikelt en de fabriek stil legt. Vind je die gasten van ICT sowieso sloddervossen? Dan moet je misschien de causal friday aangrijpen om er eens een kijkje te nemen…dat scheelt je in ieder geval een ritje naar de stomerij.

Werken in beveiligde ruimtes

We weten dat niet iedereen tot iedere ruimte toegang hoeft te hebben. Dat voorkomen we door onze toegangscontrolesystemen (of die nu elektronisch zijn of niet, doet niet ter zake). Maar toch zal er wel eens iemand in die ruimte moeten zijn om werkzaamheden uit te voeren.

Daarom de vraag:
Zijn er eisen voor het werken in beveiligde ruimtes?

Misschien heb je er nog niet over nagedacht, maar ook aan het werken in beveiligde ruimtes moeten we eisen stellen. Dat doen we omdat het blijkbaar een kritische ruimte is en we graag controle willen houden op alles wat daarbinnen gebeurt. Maar dat doen we net zo goed om de medewerker die er zijn werkzaamheden uitvoert te beveiligen.

Als er maar weinig mensen toegang hebben tot de ruimte en als we er maar zelden komen, dan willen we het natuurlijk wel weten als er iemand naar binnen gaat. We willen niet na een aantal dagen een collega vermissen en tot de conclusie komen dat die al die tijd al in elkaar gezakt in de beveiligde ruimte ligt. Nee, we willen dat deze medewerker zich veilig kan voelen maar ook zijn werkzaamheden kan doen. We kunnen bijvoorbeeld afspreken dat de medewerker ieder uur even iets van zich laat horen, we kunnen het verbieden dat iemand in zijn eentje in de ruimte is of we kunnen de medewerker een alarmknop meegeven. Zomaar een paar mogelijkheden die we kunnen overwegen.

Maar goed, we moeten ook de spullen in die ruimte beveiligen. Waarom staan ze anders in een beveiligde ruimte? Waarschijnlijk zijn ze kritiek voor het voorbestaan van onze organisatie of vertegenwoordigen ze een grote waarde. We moeten er dus voor zorgen dat de medewerker weet wat er van hem of haar verwacht wordt. Mag er bijvoorbeeld gegeten en gedronken worden in die ruimte? Houden we deze ruimte een beetje opgeruimd of gebruiken we hem stiekem ook als opslagruimte (niemand die het weet, toch?).

We moeten niet doorschieten als het gaat om beveiligde ruimtes. Geen ruimtes zo benoemen dus die het eigenlijk niet zijn, maar andersom ook echt die ruimtes benoemen waarvan we oprecht vinden dat ze beveiligd moeten worden.

Wat we ook bedenken om de ruimtes en de medewerkers in die ruimten te beveiligen, we moeten de eisen kenbaar maken en aan ze uitleggen. Vervolgens moeten we er op toezien dat ze ook worden nageleefd en ja, dat leidt weer tot een andere vraag: wie mag er controleren?

Laten we de beveiligingsbeambte toe tot de ruimte om te kunnen controleren of is de inhoud van de ruimte daar te kritisch of te waardevol voor? En als hij er niet in mag, wie mag dat dan wel? Keuzes, keuzes. En die ruimte? Moet die nog schoongemaakt worden? En mag de schoonmaker dat doen, met het risico dat hij er een stekker uittrekt om zijn stofzuiger van stroom te kunnen voorzien? Maar ja, als hij het niet doet, wie houdt de ruimte dan schoon? Die medewerker vast niet, want dat hoort niet tot zijn of haar taken. Ook hier, keuzes, keuzes, keuzes.

Hoe je er ook mee omgaat. Denk er over na, weeg de keuzes goed af en maak een beslissing. Leg die beslissing vast en maak richtlijnen voor diegene die er zijn of haar werkzaamheden moeten doen. Heb jij zelf wel toegang tot die ruimte (onder het mom van beveiliging)? Weeg dat dan voor jezelf ook nog eens af, wil je wel toegangsrechten en hoe lang ben je er al niet geweest? Wil jij dan het risico lopen om aangekeken te worden als het een keer fout is gegaan of als je je toegangspas een keer hebt uitgeleend? Nee? Dan zullen we de toegangsautorisaties er nog eens op na moeten slaan en van een ieder die er niets te zoeken heeft de rechten af moeten nemen.

Definieren en afbakenen van beveiligde ruimtes

Na de keuzes over toegangscontrole en het inrichten van het autorisatieproces komen we bij het definiëren en afbakenen van beveiligde ruimtes.

De vraag die hier natuurlijk bijhoort is:
Zijn de fysiek te beveiligen ruimtes in het gebouw duidelijk gedefinieerd, gekenmerkt en afgebakend?

Fysieke beveiliging kunnen we zien als een ui, een ui met verschillende lagen. Dat geldt overigens niet alleen voor fysieke beveiliging, maar ook voor informatiebeveiliging (alleen zijn dan de schillen wat digitaler en dus voor velen minder concreet te benoemen).

Compartimentering kunnen we doen vanuit verschillende optieken. Namelijk vanuit brandveiligheid (brandwerende muren, verschil tussen kantoor, magazijn en werkplaats) maar hier gaat het uit van de fysieke beveiliging. Daarom hanteren de voor onze compartimenten de volgende te onderscheiden gebieden (er zijn verschillende benamingen, maar het gaat om het principe): openbare ruimte, eigen terrein, bezoekersruimte, kantoorruimte, beveiligde ruimte, kritische ruimte en daarbinnen eventueel nog kluizen en waardekasten.

We kunnen simpelweg een plattegrond van het gebouw nemen en daar de verschillende ruimtes op aangeven. Daarbij stellen we de vraag over welke ruimtes we invloed uit kunnen oefenen. Op de openbare ruimtes kunnen we dat niet (of we moeten er een vergunning voor hebben). Op ons eigen terrein kunnen we al weer iets meer en onze algemene receptie of bezoekersruimte moeten minimaal door bezoekers kunnen worden betreden.

Daarna mogen we zelf bedenken wie tot welke ruimte toegang heeft of zou moeten hebben. De medewerkers mogen natuurlijk de ruimtes na de receptie betreden omdat ze anders hun werk niet kunnen doen. Daarbij kun je je natuurlijk wel afvragen of iedere medewerker tot iedere afdeling toegang moet hebben.

Vervolgens gaan we door naar de beveiligde ruimtes en de kritische ruimtes. Afhankelijk van de aard van de organisatie kunnen we die samenvoegen of juist nog verder detailleren. Een serverruimte zal al snel kritiek zijn, de ruimtes waar de waardevolle zaken staan kunnen dat ook zijn maar kun je wellicht ook tot de beveiligde ruimtes rekenen. Het zijn keuzes die we moeten maken, zo simpel is het in weze.

Pakken we de plattegrond er nog eens bij waar we de verschillende ruimtes op hebben aangegeven dan kunnen we daarna bepalen welke organisatorische, bouwkundige en elektronische maatregelen we voor de verschillende ruimtes toe willen passen.

Zo kan het zijn dat we voor de serverruimte kiezen voor een extra toegangscontrolesysteem (elektronisch of de sleutel in bewaring geven, dat kan natuurlijk ook nog steeds). Ook kunnen we ervoor kiezen in die ruimte early smoke detection toe te passen en we installeren een computervloer voor als we kans op waterschade lopen.

Door concreet op de plattegronden te tekenen zien we al snel welke maatregelen we waar hebben genomen en hoe dat nog matched met de risicoanalyses die we eerder al eens gedaan hebben. Vervolgens vragen we ons met gezondboerenverstand af hoe lang een gemiddelde crimineel er over zal doen om onze schillen te doorbreken.

We gaan dus uit van de risico’s die we lopen en die we willen beveiligen. De daderprofielen komen hier om de hoek en we bedenken waar we ons tegen willen beveiligen. Is dat tegen een gelegenheidsdader met een steen om de ruiten in te gooien of beschermen we ons tegen de professional die ons gebouw met een thermische lans bewerkt? Alles daar tussenin is natuurlijk ook mogelijk.

Ook over compartimentering is veel te schrijven en uiteindelijk gaat het er om een evenwicht te vinden tussen de risico’s die we lopen en de maatregelen die we treffen. De praktijk wijst uit dat het werken met plattegronden nog wel eens tot hernieuwde inzichten leidt. Een aanrader dus, die we tot het low hanging fruit mogen rekenen.

Toegangsautorisaties

Eerder hebben we het al gehad over de principes die we moeten stellen en de keuzes die we moeten maken als het gaat om toegangscontrole. Daar hebben we inmiddels over nagedacht en we weten hoe zwaar de toegangscontrole moet worden voor elk van de gebouwen.

We gaan al denken aan het aanschaffen van de toegangsdeuren, de elektronica en de toegangspasjes. Maar als we daar dan toch al over aan het nadenken zijn, kunnen we dat mooi combineren met het beheer van de toegangsautorisaties.

Daarom de vraag:
Zijn er maatregelen vastgelegd rond het beheer van de toegangsautorisaties (toegangspasjes, sleutels), ook in het geval van een calamiteit?

Enerzijds moeten we nadenken over het beheer van de toegangsautorisaties tijdens de dagelijkse gang van zaken, anderzijds moeten we er ook bij stilstaan dat de maatregelen moeten werken tijdens of na een calamiteit. Laten we eerst op de dagelijkse gang van zaken ingaan.

Zodra we besloten hebben dat de toegang gecontroleerd moet worden, moeten we er ook voor zorgen dat de medewerkers (en de bezoekers en leveranciers) nog wel het gebouw in kunnen. We moeten de autorisaties nu ook weer niet zo strikt zetten dat het wel erg leeg blijft binnen de 4 muren. Sterker nog: stellen we de regels te strikt dan gaat men proberen manieren te vinden om er omheen te komen.

We zien dat bijvoorbeeld terug bij het aannemen van nieuw personeel. Alles is geregeld en maandag kunnen ze beginnen. Helaas kunnen we ze nog geen toegangspasje verstrekken…dat duurt altijd even. Maar ja, ze willen graag aan de slag dus een collega houdt wel even de deur voor hen open of we zien hele busladingen medewerkers op hetzelfde pasje door de draaideur gaan. Ja, wat kun je dan nog van de toegangscontrole verwachten?

We moeten dus zorgen voor een zo efficiënt mogelijk proces. Een nieuwe medewerker moet zo snel mogelijk een pasje krijgen, collega’s die hun pasje vergeten zijn moeten we ook naar binnen kunnen laten. Bezoekers willen we vooral ook niet te lang bij de receptie laten wachten en vaste leveranciers (schoonmakers, de monteur van de koffieautomaat, etc.) krijgen natuurlijk ook een leverancierspas.

Al met al wordt het al een hele verzameling personen met toegangsrechten. Maar ja, niet iedereen hoeft dezelfde rechten te hebben. Niet iedereen hoeft onze beveiligde ruimtes in, niet iedereen hoeft in de serverruimte te kunnen. Kortom: we moeten zorgen voor compartimentering binnen onze gebouwen. Afhankelijk van hoe gedetailleerd we te werk willen gaan, kan iedere medewerker persoonlijke autorisaties krijgen en kunnen we ook nog eens per ruimte de autorisaties verstrekken. Een hele wirwar aan rechten die we in autorisatiematrixen vast leggen.

Zo, alles geregeld, toch? Maar wat als er een calamiteit ontstaat? Wat als het brandalarm af gaat? Gaan dan automatisch alle deuren naar buiten toe open? En zo ja, hoe weten we dan wie het gebouw verlaten heeft? Hoe weten we zeker dat er niet een onverlaat juist het alarm af heeft laten gaan om vrij naar binnen te kunnen? Dat weten we niet als we er niet eerst goed over nadenken.

Hier geldt weer dat de veiligheid (vanuit wetgeving) boven onze eigen regelgeving (beveiliging gaat). Natuurlijk moet iedereen veilig het gebouw kunnen verlaten, maar niet iedereen hoeft ons gebouw in te kunnen. Een pasklare oplossing is er niet, dat zul je echt per gebouw en per situatie moeten bekijken…maar dat mag geen reden zijn om er niet over na te denken.

Toegangsbeveiliging

De titel zegt het al: toegangsbeveiliging. Nu zijn er hele boeken te schrijven over toegangsbeveiliging. Dat is hier niet het doel. Het is hier slechts een van de vragen die we ons stellen in het groter geheel. We vliegen er dus wat hoog overheen, maar kunnen er natuurlijk altijd op inzoomen als we dat willen.

De vraag is daarom:
Is er een door het management opgesteld voorschrift omtrent de toegang tot (toegangsbeveiliging van) de terreinen en/of gebouwen?

Bij toegangsbeveiliging denken we natuurlijk direct aan de toegangspasjes en de poortjes in de hal van ons kantoor. Inderdaad middelen die we toe kunnen passen, maar pas nadat we de principes op het gebied van toegangsbeveiliging hebben bepaald. Voordat we naar allerlei maatregelen grijpen moeten we dus wat beleidsmatige keuzes maken.

Willen we wel aan toegangsbeveiliging doen? En zo ja hoe zwaar moet die zijn? En welke middelen overwegen we daarvoor? Laten we bij het begin beginnen: wat is ons doel met de toegangsbeveiliging? Willen we voorkomen dat ongeautoriseerde personeel makkelijk naar binnen kan? Willen we voorkomen dat zij informatie van ons onder ogen krijgen? Willen we voorkomen dat ze spullen van ons stelen? Waarschijnlijk een combinatie van voorgaande vragen.

Ook hier geldt weer dat toegangsbeveiliging situationeel afhankelijk is. Hebben we een winkel dan willen we dat de klanten zo makkelijk mogelijk naar binnen kunnen…maar in ons magazijn willen we ze liever niet hebben. Hebben we een kantoorgebouw dan willen we dat bezoekers zich aanmelden bij de receptie en dat ze begeleid worden in ons gebouw. Zijn ze eenmaal in ons gebouw dan willen we niet dat ze zomaar in onze serverruimte kunnen. Allemaal niet zo bijzonder maar wel aspecten waar we over na moeten denken en waar we standpunten over in moeten nemen voordat we tot de aanschaf van toegangsbeveiligingsmaatregelen over kunnen gaan.

Hebben we eenmaal onze principes, ons beleid, duidelijk dan zijn er nog allerlei vormen van toegangsbeveiliging. Zetten we 24 uur per dag een bewaker voor de deur die iedereen controleert? Maken we gebruik van toegangspasjes en zo ja moeten die dan wel of niet een foto bevatten? Combineren we die toegangspasjes ook nog met een pincode of gaan we toch liever voor een irisscan of aderdetectie (ik zal je niet vermoeien met de technische details, maar je bent natuurlijk vrij om te Googlen). Kortom: er zijn genoeg keuzes te maken als we het hebben over de daadwerkelijke maatregelen. Naast de hier bovengenoemde zijn er natuurlijk nog veel meer.

Maar goed, onze principes zijn duidelijk, we hebben keuzes gemaakt over de maatregelen die we nemen. Nu moeten we nog zorgen dat de juiste personen de juiste autorisaties krijgen en dat we periodiek bekijken of iedereen nog wel bij al die ruimtes moet kunnen.

In de praktijk kun je toegangsbeveiliging wel vergelijken met licht. Het is verstandig om een lichtplan te maken voordat je thuis gaat verbouwen. Zo weet je welk lichtpunt waar moet komen zodat je overal over het gewenste licht kunt beschikken. Datzelfde geldt natuurlijk voor toegangsbeveiliging. Het is wijs om vooraf een toegangsbeveiligingsplan op te stellen voordat we in allerlei elektronische maatregelen verzanden.

Toegangsbeveiliging, er is enorm veel over te schrijven, maar voor hier en nu gaat dat te ver. We zijn er hoog overheen gevlogen en raden je zeker aan je er meer in te verdiepen als het een van de vragen is die jij moet beantwoorden.

Noodstroomvoorziening

We haalden het al aan bij de installatie van nieuwe apparatuur: de noodstroomvoorziening. We gaan daar nog even wat dieper op in.

De vraag is daarom niet geheel onverwacht:
Is er een toereikende noodstroomvoorziening voor de kritische systemen?

Noodstroomvoorzieningen zijn er om de voorkomen dat we gedurende stroomuitval tot stilstand komen. Geen goedkope oplossingen en hier geldt zeker: goedkoop is duurkoop. We gaan dus zeker niet voor alle gebouwen een noodstroomvoorziening aanschaffen. Nee, dat doen we alleen voor die locaties waar echt kritische processen plaats vinden. We zullen dus eerst goed moeten kijken waar we noodstroom echt noodzakelijk vinden.

Nadat we dat bepaald hebben moeten we er uiteraard ook voor zorgen dat die noodstroom werkt op het moment dat we het nodig hebben. We moeten dus zorgen voor preventief onderhoud en periodiek testen van die systemen. We willen niet dat de wet van Murphy op ons van toepassing is, toch? Maar we moeten ook bepalen hoe lang we die noodstroom nodig hebben? Hoe realistisch zijn verschillende scenario’s en hoe lang zijn we in het verleden wel eens afgekapt geweest van stroom en hoe stabiel is onze toeleveranciers?

Vliegt er een helikopter in een elektriciteitsmast dan zal onze leverancier er langer over doen om de stroom weer up-and-running te krijgen dan dat er lokaal een kortsluiting is ontstaan (die hopelijk makkelijker is op te lossen). Kortom: wat is realistisch, wat kan onze leverancier ons garanderen en hoe kunnen we doordraaien als echt alles verkeerd gaat? Kunnen we over naar een andere locatie aan de andere kant van Nederland? Kunnen onze klanten het accepteren dat we uit de lucht zijn? Dit zijn de vragen die we ons moeten stellen als we keuzes maken voor noodstroom.

Hoe noodstroom exact wordt ingeregeld is een vak apart. We moeten de juiste specialisten inschakelen om ons van een noodstroomvoorziening te voorzien. Uitdaging is daarbij dat deze leverancier je erg graag een dergelijke voorziening wil verkopen maar dat er soms te weinig rekening wordt gehouden met de wensen en behoeften van de klant. Al snel komen de negatiefste scenario’s voorbij en al snel schaft de organisatie de duurste oplossing aan om er vervolgens bij een noodsituatie achter te komen dat het toch niet blijkt te werken. Ook hier geldt dat gezondboerenverstand moet worden toegepast maar dat er ook een second opinion kan worden overwogen.

De voorkeur heeft het natuurlijk om een onafhankelijk adviseur te laten adviseren over het nut en de noodzaak van noodstroom. Deze adviseur moet dan niet direct de leverancier van de apparatuur zijn en moet ook niet achterlangs de steekpenningen ontvangen. In de praktijk zien we nog te vaak dat de leverancier ook direct het advies geeft (dat geldt overigens niet alleen voor noodstroom, maar ook voor firewalls, alarmsystemen, brandmeldsystemen en ga zo maar door). Het risico hiervan is dat we schoenmaat 45 kopen terwijl we maar maatje 38 nodig hebben.

Bij dergelijke hoge investeringen is het verstandig om niet over een nacht ijs te gaan. Beschik je over noodstroom dan is het goed om deze te blijven testen. Overweeg je noodstroom dan is het een kwestie van de juiste eisen stellen en de verschillende aanbiedingen naast elkaar leggen. Op grond daarvan kun je een keuze maken die we na installatie natuurlijk ook periodiek testen. Waarbij we niet moeten vergeten dat het bewust kiezen voor het niet toepassen van noodstroom ook een keuze is.

Installatie van nieuwe apparatuur

Hartstikke goed dat we als organisatie groeien. We nemen nieuwe mensen aan, we lanceren nieuwe producten of diensten dus we hebben meer rekencapaciteit nodig. We installeren allerlei apparaten om onze klanten zo goed mogelijk te kunnen bedienen. Na verloop van tijd veroudert de apparatuur en moeten we aan vervanging gaan denken. Een normale gang van zaken waar zeker niets mis mee is, maar waar we wel even naar moeten kijken is of onze stroomvoorziening die vernieuwingen ook allemaal aan kan.

De vraag:
Wordt bij de installatie van nieuwe apparatuur rekening gehouden met de beperkingen van de stroomvoorziening?

Ooit, toen we ons gebouw lieten bouwen of gingen huren, beschikten we over een bepaald aantal apparaten (servers, computers, koffiezetapparaten en alle andere apparatuur met een stekker). De stroomvoorziening kon dat makkelijk aan dus er waren geen “issues”. Nu, jaren later, hebben we allerlei apparaten bijgekocht en inmiddels weten we niet meer hoeveel computers en laptops we hebben laat staan dat we nog zicht hebben op alle Senseo-apparaten die de medewerkers zelf mee hebben gebracht. “Raar, de laatste tijd komt het steeds vaker voor dat de stoppen in de meterkast er uit springen”.

Grotere organisaties beschikken misschien over een noodstroomvoorziening. Grote dieselmotoren in de kelder die vanzelf aan gaan als de stroom de geest geeft. Ook die noodstroomvoorziening is ingericht op de situatie uit het verleden. Als dit specifieke gebouw echt zo kritisch is dat we noodstroomvoorzieningen getroffen hebben, dan moeten we periodiek nog wel even bekijken of die nog toereikend is.

Of het nu gaat om de stroom- of noodstroomvoorziening, beide zijn er om ons te ondersteunen in ons werk. Ze zijn net zo normaal als het water uit de kraan en de medewerkers vinden het niet meer dan normaal dat het allemaal vlotjes werkt. Totdat het er een keer niet meer is. De lichten in het gebouw zijn uit, de computers komen abrupt tot stilstand (waardoor de medewerkers het werk dat nog niet was opgeslagen kwijt zijn), de telefoons zijn niet meer bereikbaar. Kortom: onze organisatie komt tot stilstand.

Hoe erg dat is? Dat hangt natuurlijk van de processen af die er plaats vinden. Dat hebben we bepaald bij de risicoanalyses, toch? Voor de ene organisatie zal het lastig zijn als de stroom 4 uur uitvalt, voor de andere organisatie zal het onacceptabel zijn. Stel dat in een ziekenhuis, midden in een operatie, de stroom uitvalt en het ons niet lukt om die dip goed op te vangen…wat zijn daar de gevolgen dan van?

Knap lullig, als we aan de nabestaanden en de media, uit moeten leggen dat de patiënt is overleden omdat Dokter Bernhard op de derde verdieping zijn Senseo-apparaat opdracht gaf een bakkie koffie te maken. Stroomvoorziening is een van de ondersteunende systemen waar we vanuit gaan dat het werkt en waar we pas last van gaan ondervinden als het er een keer niet is. Daarom is het goed om bij installatie van nieuwe apparatuur kort stil te staan bij het stroomverbruik en periodiek nog eens door te laten meten of we nog wel genoeg restcapaciteit beschikbaar hebben om piekstroom op te vangen.

Beveiligingsplannen voor locaties

Eerder hebben we al kunnen lezen dat er meer onder de zon is dan brandmelders en brandblussers om brand te voorkomen. Naast brand zijn er natuurlijk nog vele andere fysieke beveiligingsrisico’s die we willen beheersen. Denk alleen maar aan overstroming, inbraak, ramkraak, aardbevingen en ga zo maar door. Voor alle risico’s die we onderkennen zullen we de mogelijke oorzaken moeten achterhalen op basis waarvan we de beveiligingsmaatregelen kunnen bepalen om ze te beheersen. Deze organisatorische, bouwkundige en elektronische beveiligingsmaatregelen (de wellicht bekende OBE-mix uit de Haagse methode) moeten we vastleggen.

De vraag die daarbij hoort is:
Zijn, naar aanleiding van de risicoanalyse, de te nemen beveiligingsmaatregelen vastgelegd in een beveiligingsplan?

We hebben nu inmiddels zicht op de locaties, de kritische processen in die locaties en de bedreigingen die ons mogelijk uit het veld kunnen slaan in de vorm van risicoanalyses. Waarschijnlijk beschikken we over een pak papier waar we iets mee moeten. We kunnen per gebouw een dossier aanleggen op basis waarvan we een beveiligingsplan maken voor dat specifieke gebouw.

Hoe zo’n plan er exact uitziet kan per organisatie verschillen. Willen we toch liever een vaste en meer bekende standaard dan kunnen we zeker kiezen voor de Haagse methode. De uitkomsten hiervan zijn voor leveranciers van beveiligingsmaatregelen bekende materie en het kan een berg miscommunicatie voorkomen. Kies je toch liever voor een eigen methode dan ben je daar natuurlijk geheel vrij in.

Welke methode je ook kiest, van belang is wel dat de beveiligingsmaatregelen die je neemt vastliggen in een plan. Dat plan zal initieel meer tijd kosten maar na verloop van tijd is het een kwestie van bijhouden, of in andere woorden: periodieke evaluatie en bijstelling.

Het doel is natuurlijk niet een kast vol met plannen waar het stof mooi op kan gaan liggen. Het doel is om inzicht te verkrijgen in de risico’s en de maatregelen die we daartegen genomen hebben. Leuk dat wij van alles verzinnen, maar het is ook handig als we de kennis kunnen delen en er verantwoording over af kunnen leggen.

Niet, onder het mom van het is geheim, in het eigen brein houden dus, die risicoanalyses en beveiligingsplannen, maar gewoon inzichtelijk maken. Daarbij zullen we natuurlijk zien dat het ons de eerste keer best wat moeite zal kosten allemaal, maar vooral de hoop niet verliezen. Als we eenmaal het achterstallig onderhoud op plan gebied achter ons hebben gelaten wordt het allemaal eenvoudiger. We zullen door de volwassenheidsfases heen gaan en “in control” komen op het gebied van fysieke beveiliging.

Niet makkelijk, wel belangrijk. Wacht niet te lang met het opstarten van de risicoanalyses en het vastleggen van de plannen. De bedreigingen gaan echt niet wachten tot wij klaar zijn met de plannen en voordat we het weten worden we verrast door de gevolgen van bedreigingen die we niet onderkend hadden of die we niet inzichtelijk hebben gemaakt…en dat mag het management ons wel kwalijk nemen.

Risicoanalyse voor locaties

We zijn al uitgebreid ingegaan op het overzicht van locaties en de risicoanalyses die we uit kunnen voeren. We gaan er nog wat dieper op in.

Daarom is de vraag:
Is een risicoanalyse uitgevoerd voor iedere locatie waar (kritische) bedrijfsprocessen plaats vinden, medewerkers zijn gestationeerd of informatiesystemen zijn gesitueerd.

Als we weten welke locaties we hebben en welke kritische bedrijfsprocessen waar plaats vinden dan kunnen we de risicoanalyses per gebouw uitvoeren. Risicoanalyse bestaat hierbij op hoofdlijnen uit kans x impact. Dat klinkt misschien wat eenvoudig maar geldt wel als basis voor het afdekken van de risico’s.

We moeten kijken welke bedreigingen we onderkennen. Daarbij moeten we dan vooral kijken naar de oorzaak en gevolg relaties. Ook dit klinkt niet zo moeilijk, maar lijkt in de praktijk toch niet altijd juist te worden opgepakt.

Laten we er nu eens vanuit gaan dat we inderdaad risico’s onderkend hebben. Het risico op “brand” schatten we hoog in. Nu kunnen we direct allerlei exotische maatregelen nemen om het risico af te dekken en we denken dan al snel aan brand- of rookmelders, brandblusinstallaties en misschien zelfs een interne brandweerafdeling met eigen spuitwagens. Op zich inderdaad maatregelen die je kunt relateren aan het risico op brand, maar wel allemaal maatregelen die pas in werking treden als de brand al is ontstaan.

Als we het risico echt zo hoog inschatten (de kans is hoog, de impact is hoog). Zou het dan niet veel beter zijn om er voor te zorgen dat de brand niet of slechts moeilijk kan ontstaan? Ja, natuurlijk zul je zeggen. Ok, als we die lijn vasthouden dan moeten we gaan kijken naar de oorzaak-gevolg relatie.

Brand is inderdaad een risico, maar het is ook het gevolg ergens van. Dat “ergens” is dan de oorzaak. Er kunnen allerlei oorzaken aan brand ten grondslag liggen. Laten we er twee als voorbeeld nemen:
1. Een gefrustreerde medewerker die het gebouw in de brand steekt;
2. De installatie van nog een firewall waardoor de stoppen in de meterkast voor kortsluiting zorgen.

Twee totaal verschillende mogelijke oorzaken (die op zichzelf weer het gevolg zijn van andere oorzaken) voor een brand die dus ook andere maatregelen vereisen. Zo zullen we in het eerste geval moet voorkomen dat medewerkers gefrustreerd raken (niet direct een taak voor beveiliging, toch?). In het tweede geval moeten we goed zicht houden op de verdeling van de stroomvoorziening (en je kunt je afvragen of dat nu direct een taak voor beveiliging is).

Wat we hieruit kunnen concluderen is dat het gevolg veelal in het gebied van beveiliging valt (brand). De oorzaak ligt veelal buiten dit gebied en is de verantwoordelijkheid van een ander binnen de organisatie. Dat is nu juist ook wat het voorkomen van risico’s zo ingewikkeld maakt. Wij, vanuit beveiliging, zijn niet verantwoordelijk voor de oorzaken maar worden wel aangekeken op de gevolgen.

Als we de risico’s voor gebouwen (maar ook voor alle andere aspecten waarop we risicoanalyse los laten) inzichtelijk willen maken, dan moeten we kijken naar de echte oorzaken. Daarna kunnen we bepalen in hoeverre we preventieve, detectieve, repressieve of correctieve maatregelen willen nemen om de kans of de impact te beheersen waarbij we ook nog in het achterhoofd moeten houden dat een geaccepteerd risico eveneens tot de mogelijkheden behoort.

Nu je dit gelezen hebt, denk je misschien dat het allemaal zo ingewikkeld is dat je er beter maar niet aan kunt beginnen. Inderdaad: het kan best zijn dat je een beerput open trekt. Maar dat mag geen reden zijn om er niet aan te beginnen. We hebben liever zicht op de mogelijke risico’s zodat we er wat mee kunnen dan dat we verrast worden door risico’s die we niet op ons netvlies hadden. Toch?

Een overzicht van locaties

Het moet toch allemaal niet gekker worden, zul je wellicht denken. Natuurlijk beschikken we als organisatie over een overzicht van locaties, toch? Hoewel dat met alle verhuizingen voor veel organisaties nog te bezien valt, gaat het hier niet zo zeer om. Nee, laten we er vanuit gaan dat er inderdaad een actueel overzicht met adresgegevens is. Maar weten we ook welke activiteiten en processen zich in welk gebouw afspelen? Weten we welke kritische systemen in welke gebouwen zijn onder gebracht? Weten we welke locaties kritisch zijn voor het voortbestaan van onze organisatie?

De vraag is daarom:
Is er een overzicht van alle locaties waar (kritische) bedrijfsprocessen plaatsvinden, waar informatiesystemen zijn gesitueerd en waar personeel werkzaam is?

Hoe groter de organisatie, hoe meer locaties we ter beschikking hebben. Het nieuwe werken brengt daar voorlopig (waarschijnlijk) nog weinig verandering in. Daarom willen we graag weten welke bedrijfsprocessen, informatiesystemen en afdelingen in welke gebouwen gesitueerd zijn. We willen dus een soort van blauwdruk, we willen een “landkaart” waarop we onze high level risico’s gerichter in kunnen tekenen en gerichter beveiligingsmaatregelen toe kunnen passen.

Laten we dus eerst beginnen met de adresgegevens waarna we al snel overstappen op de plattegronden van de gebouwen. Op die plattegronden kunnen we in gaan tekenen hoe kritisch de verschillende gebouwen en ruimtes zijn en waar welke processen en systemen geplaatst zijn. Vervolgens kunnen we de beveiligingsmaatregelen (die we op basis van de bijbehorende risico’s bepaald hebben) gericht toe gaan passen.

Dat scheelt niet alleen een berg schijnveiligheid (omdat we nu de juiste maatregel op de juiste locatie kunnen implementeren) maar het scheelt ons ook nog eens een grote berg met geld. Die gebouwen die minder kritisch zijn hoeven ook minder zwaar beveiligd te worden (let op: ik schrijf niet minder goed, maar minder zwaar. Want alle gebouwen moeten goed beveiligd worden…in overeenstemming met de risico’s).

Nu we meer en meer zicht beginnen te krijgen op onze kritische gebouwen en onze kritische ruimtes in die gebouwen, kunnen we eens een rondje door die gebouwen doen. Bij die ronde letten we goed op de maatregelen die we al genomen hebben en we noteren het een en ander op de plattegronden. Hebben we het gebouw al langer in bezit en hebben we al vaker naar de fysieke beveiliging ervan gekeken dan zullen we wellicht constateren dat we wel de maatregelen hebben genomen maar dat de kritische processen zich inmiddels in een andere ruimte bevinden. Bij de verhuizing van die kritische processen en informatiesystemen zijn we de bijbehorende beveiligingsmaatregelen even vergeten.

Hebben we nog nooit een dergelijke ronde gelopen, dan is het zaak daar op korte termijn mee te beginnen. Uiteraard kijken we eerst naar de meest kritische gebouwen…de rest volgt daarna wel. Naar mate we meer en meer ervaring krijgen, zien we ook de tekortkomingen sneller. Na verloop van tijd weten we al hoe het gesteld is met de beveiliging zodra we een stap over de drempel hebben gezet.

Wordt het gebouw niet schoon gehouden? Hebben we een beetje achterstallig onderhoud omdat we in het verleden hebben moeten bezuinigen? Dan valt dat ons snel op. Vaak kunnen we met gezond boerenverstand al een heel eind komen, we kunnen het “low hanging fruit” plukken zodat de grootste risico’s zijn afgedekt.

Voor de basis van fysieke beveiliging kunnen we dus gewoon logisch nadenken, de grootste risico’s, het “low hanging fruit” pakken we zelf op. Als de processen en systemen erg kritisch zijn dan schakelen we natuurlijk een expert in om ons te ondersteunen. Wij leren daar dan weer van, de beveiliging wordt er beter van en de onacceptabele risico’s zijn beter afgedekt.

Informatiebeveiliging kan niet zonder fysieke beveiliging. Gelukkig dienen ze allebei hetzelfde doel: continuïteit van onze bedrijfsprocessen.