Het moet toch allemaal niet gekker worden, zul je wellicht denken. Natuurlijk beschikken we als organisatie over een overzicht van locaties, toch? Hoewel dat met alle verhuizingen voor veel organisaties nog te bezien valt, gaat het hier niet zo zeer om. Nee, laten we er vanuit gaan dat er inderdaad een actueel overzicht met adresgegevens is. Maar weten we ook welke activiteiten en processen zich in welk gebouw afspelen? Weten we welke kritische systemen in welke gebouwen zijn onder gebracht? Weten we welke locaties kritisch zijn voor het voortbestaan van onze organisatie?
De vraag is daarom:
Is er een overzicht van alle locaties waar (kritische) bedrijfsprocessen plaatsvinden, waar informatiesystemen zijn gesitueerd en waar personeel werkzaam is?
Hoe groter de organisatie, hoe meer locaties we ter beschikking hebben. Het nieuwe werken brengt daar voorlopig (waarschijnlijk) nog weinig verandering in. Daarom willen we graag weten welke bedrijfsprocessen, informatiesystemen en afdelingen in welke gebouwen gesitueerd zijn. We willen dus een soort van blauwdruk, we willen een “landkaart” waarop we onze high level risico’s gerichter in kunnen tekenen en gerichter beveiligingsmaatregelen toe kunnen passen.
Laten we dus eerst beginnen met de adresgegevens waarna we al snel overstappen op de plattegronden van de gebouwen. Op die plattegronden kunnen we in gaan tekenen hoe kritisch de verschillende gebouwen en ruimtes zijn en waar welke processen en systemen geplaatst zijn. Vervolgens kunnen we de beveiligingsmaatregelen (die we op basis van de bijbehorende risico’s bepaald hebben) gericht toe gaan passen.
Dat scheelt niet alleen een berg schijnveiligheid (omdat we nu de juiste maatregel op de juiste locatie kunnen implementeren) maar het scheelt ons ook nog eens een grote berg met geld. Die gebouwen die minder kritisch zijn hoeven ook minder zwaar beveiligd te worden (let op: ik schrijf niet minder goed, maar minder zwaar. Want alle gebouwen moeten goed beveiligd worden…in overeenstemming met de risico’s).
Nu we meer en meer zicht beginnen te krijgen op onze kritische gebouwen en onze kritische ruimtes in die gebouwen, kunnen we eens een rondje door die gebouwen doen. Bij die ronde letten we goed op de maatregelen die we al genomen hebben en we noteren het een en ander op de plattegronden. Hebben we het gebouw al langer in bezit en hebben we al vaker naar de fysieke beveiliging ervan gekeken dan zullen we wellicht constateren dat we wel de maatregelen hebben genomen maar dat de kritische processen zich inmiddels in een andere ruimte bevinden. Bij de verhuizing van die kritische processen en informatiesystemen zijn we de bijbehorende beveiligingsmaatregelen even vergeten.
Hebben we nog nooit een dergelijke ronde gelopen, dan is het zaak daar op korte termijn mee te beginnen. Uiteraard kijken we eerst naar de meest kritische gebouwen…de rest volgt daarna wel. Naar mate we meer en meer ervaring krijgen, zien we ook de tekortkomingen sneller. Na verloop van tijd weten we al hoe het gesteld is met de beveiliging zodra we een stap over de drempel hebben gezet.
Wordt het gebouw niet schoon gehouden? Hebben we een beetje achterstallig onderhoud omdat we in het verleden hebben moeten bezuinigen? Dan valt dat ons snel op. Vaak kunnen we met gezond boerenverstand al een heel eind komen, we kunnen het “low hanging fruit” plukken zodat de grootste risico’s zijn afgedekt.
Voor de basis van fysieke beveiliging kunnen we dus gewoon logisch nadenken, de grootste risico’s, het “low hanging fruit” pakken we zelf op. Als de processen en systemen erg kritisch zijn dan schakelen we natuurlijk een expert in om ons te ondersteunen. Wij leren daar dan weer van, de beveiliging wordt er beter van en de onacceptabele risico’s zijn beter afgedekt.
Informatiebeveiliging kan niet zonder fysieke beveiliging. Gelukkig dienen ze allebei hetzelfde doel: continuïteit van onze bedrijfsprocessen.