Fysieke toegangsbeveiliging: essentieel in het speelveld van informatiebeveiliging!
Fysieke toegangsbeveiliging, waarbij gekeken wordt naar het tegengaan van elke mogelijke lokale bedreiging van gebouwen, materiaal en werknemers, is een essentieel onderdeel van informatiebeveiliging. Daar staat echter niet altijd iedereen even goed bij stil. In dit artikel aandacht voor fysieke beveiliging!
Bradley Luijten is adviseur bij CertificeringsAdvies Nederland. "Als Adviseur Informatiebeveiliging met een bedrijfskundige achtergrond, beschik ik over gevarieerde kennis van zowel technische als zakelijke aspecten".
bradley@certificeringsadvies.nlFysieke beveiliging (van bedrijfsmiddelen) is onlosmakelijk verbonden met informatiebeveiliging. Dat heeft echter niet altijd iedereen even scherp op de radar staan. Wanneer het gaat over informatiebeveiliging of cybersecurity dan wordt al snel de associatie gemaakt met digitale beveiliging. Toch is dat maar een stukje van het hele informatiebeveiligings-speelveld. Om je informatiebeveiliging goed op orde te krijgen, dien je ook de fysieke toegangsbeveiliging in te regelen. Het is belangrijk dat er een geïntegreerde aanpak is tussen fysieke en digitale beveiliging om kwetsbaarheden te minimaliseren. In dit artikel vertellen we wat dit precies omvat en welke methoden je hiervoor kunt gebruiken.
Wat is fysieke beveiliging?
Fysieke toegangsbeveiliging is als het ware ‘het tegengaan van elke mogelijke lokale bedreiging van gebouwen, materiaal en werknemers’. Daarbij is onderscheid te maken tussen onopzettelijke en opzettelijke dreigingen:
- Onopzettelijk: hier vallen bijvoorbeeld natuurrampen, defecte hardware en menselijke fouten onder;
- Opzettelijk: diefstal, cyberaanvallen, vandalisme en onbevoegde toegang.
Onopzettelijke bedreigingen kunnen tegengegaan worden door bijvoorbeeld brandveiligheidsmaatregelen te treffen, back-ups in te regelen en bijvoorbeeld en business continuity plan (BCP) in te regelen. Opzettelijke dreigingen zijn daarentegen lastiger tegen te gaan, met name omdat je niet weet wanneer ze zich voordoen, op welke manier en door wie. Criminelen vinden telkens weer andere manieren uit en dat maakt het erg onvoorspelbaar.
Voor beide vormen van dreigingen kun je fysieke beveiligingsmaatregelen treffen met als doel om bezittingen en informatie te beschermen tegen kwaadwillenden. Zo is (gevoelige) bedrijfsinformatie veilig en heeft de organisatie in kaart wie er (wanneer) toegang heeft tot welke informatie.
Fysieke beveiliging is onder de verdelen in twee domeinen:
- Toegang tot panden;
- Bewaken van informatie.
In en om een bedrijfspand kun je allerlei fysieke beveiligingsmaatregelen treffen, zoals toegangsbadges, een alarm, een slot op de deur, afgesloten ruimten, afgesloten archiefkasten, camera’s, bezoekersregistratie etc. Maar je kunt daarnaast ook maatregelen treffen om toegang tot systemen, zoals een netwerk, domein of applicatie, te beveiligen. Dit valt onder ‘logische toegangsbeveiliging’.
Wat, net als bij informatiebeveiliging in zijn geheel, bij fysieke toegangsbeveiliging van groot belang is, is de houding en het gedrag van de mens. Je kunt nog zoveel maatregelen implementeren; als men het alarm vergeet in te schakelen, een toegangsbadge uitleent, de kast niet sluit of een computer niet vergrendelt, dan hebben alle maatregelen weinig zin. Het is daarom van essentieel belang dat medewerkers zich houden aan de maatregelen en er verantwoordelijk mee omgaan. Om dat te bereiken is het zaak om medewerkers bewust te maken door middel van training en opleiding.
Direct aan de slag met bewustzijn?
Denk dan aan een e-learning security awareness!
Wat valt onder fysieke beveiliging?
Onder fysieke beveiliging vallen een aantal fysieke beveiligingsmaatregelen. We benoemen er hieronder een aantal en leggen uit wat het inhoudt:
Toegangscontrole
Wie heeft er (geautoriseerd) toegang tot fysieke en/of digitale middelen, systemen of ruimten? Je kunt dit opsplitsen in twee vormen:
- Fysieke toegangscontrole of toegangsbeveiliging bij panden, ruimten of zones. Je kunt dit o.a. beveiligen door sleutels, badges, pasjes, biometrie, beveiligers, poortjes etc.
- Digitale toegangscontrole tot systemen en gegevens. Je kunt dit o.a. beveiligen door wachtwoorden, authenticatie, rollen en rechten.
Door toegangscontrole toe te passen kun je bepalen wie (wanneer) wel en geen toegang heeft tot een pand, ruimte of zone. Bij een ruimte kan gedacht worden aan een serverruimte, bij een zone bijvoorbeeld aan een magazijn. Toegangscontrole kan ook ingeregeld worden per functie of rol in een toegangsmatrix. Zo breng je in kaart welke functies toegang hebben tot welke panden, ruimten en zones. Per zone kun je meerdere toegangscontroles moeten uitvoeren, zoals vingerscan, pincode en badge.
Toegangscontrole geldt overigens niet alleen voor fysieke locaties, maar ook voor digitale locaties. Ook in systemen, bestandsmappen en dergelijke kan onderscheid gemaakt worden tussen functies die wel en geen toegang hebben. Denk daarom goed na wie bij welke informatie moet kunnen en wie niet en neem ook dat mee in je beleid en matrix.
Ook het afspreken van kantooruren valt onder informatiebeveiliging. Toegang buiten kantooruren kan namelijk issues opleveren met betrekking tot een ingeschakeld alarmsysteem, maar ook met het oog op bedrijfshulpverlening. Wanneer je op een locatie moet zijn buiten kantooruren, zorg dan in elk geval dat hier toestemming voor is verleend.
Surveillance
Door (actief) te observeren, monitoren en controleren van een locatie, activiteit of systeem kun je ongewenste activiteiten signaleren en/of voorkomen. Dit kan zowel op fysieke locaties, door beveiliging met camera’s, beveiligingspersoneel, sensoren etc., alsmede digitaal waarbij gedacht kan worden aan monitoren van netwerken, systemen, informatie om cyberaanvallen te voorkomen door o.a. netwerkbewaking, logging en een intrusion detection system (IDS).
Clean desk en clear screen
Om informatie binnen je panden en in je online systemen beter te beveiligingen, kun je een clean desk en clear screen beleid toepassen. Daarmee wordt de kans op dat een ongeautoriseerd persoon aan de haal gaat met vertrouwelijke informatie, zowel fysiek als digitaal, aanzienlijk kleiner. Een clean desk en clear screen beleid zorgt ervoor dat informatie, zowel fysiek als digitaal, en apparaten zoals laptops, mobiele telefoons, niet onbeschermd worden achtergelaten in persoonlijke en publieke ruimten zodra iemand die verlaat.
- Clean desk: dit betekent simpelweg dat er zo weinig mogelijk op je bureau ligt. (Gevoelige) informatie berg je op in een gesloten archiefkast of vernietig je met een shredder, whiteboards wis je nadat de meeting klaar is, afdrukken haal je op uit de printer. Allemaal vormen van clean desk die borgen dat een ongeautoriseerd persoon met informatie aan de haal gaat die niet voor hem bestemd is.
- Bij een clear screen policy lock je onder andere je computerscherm, zodra je de werkplek verlaat. Je kunt het scherm enkel ontgrendelen door bijv. een wachtwoord, vingerprint of gezichtsherkenning. Tevens zorg je ervoor dat er zo min mogelijk bestanden op je bureaublad staan; zodat iemand niet direct vanaf het bureaublad toegang heeft, voor het geval je computer een keer onbeheerd is achtergelaten. Daarnaast moeten schermen ook zodanig geplaatst worden dat gevoelige informatie niet van het scherm af te lezen is door personen waarvoor die informatie niet bedoeld is.
Bezoekersregistratie
Ook bezoekersregistratie is een vorm van fysieke toegangsbeveiliging. Laat bezoekers nooit alleen in een bedrijfspand rondlopen, maar begeleidt ze en blijf toezicht houden. Bij grotere panden kun je ook werken met bezoekersregistratie of een bezoekerspas inregelen waarbij de bezoeker bepaalde restricties heeft (zoals toegang tot bepaalde ruimten of zones). Op die manier weet je ook altijd wie er in het pand is (geweest) bij calamiteiten of wanneer er een incident heeft plaatsgevonden.
Fysieke beveiliging: regel het in!
Zoals eerder in dit artikel benoemd is fysieke (toegangs)beveiliging een onderdeel van informatiebeveiliging dat wel eens over het hoofd wordt gezien. Zorgelijk, want zoals je uit dit blog kunt opmaken is fysieke beveiliging net zo essentieel als digitale beveiliging. Al tref je nog zoveel maatregelen, als iemand gegevens kan stelen uit je bedrijfspand of toegang heeft tot een onbeveiligde computer, dan kan dat grote gevolgen hebben. Het is dus belangrijk om je informatiebeveiliging, inclusief fysieke beveiliging, op orde te brengen! En net zo belangrijk: de maatregelen kenbaar te maken bij je medewerkers en hen bewust te maken van hun verantwoordelijkheid en juiste manier van handelen hierin.
Wil je aan de slag met informatiebeveiliging? Specifiek een ISO 27001 managementsysteem optuigen of onderhouden? Of je fysieke beveiliging eens kritisch onder de loep nemen? Neem gerust contact met ons op. Onze adviseurs zijn hierin gespecialiseerd en helpen je graag verder met het op verhogen van de informatieveiligheid binnen jouw organisatie!
Bradley Luijten is adviseur bij CertificeringsAdvies Nederland. "Als Adviseur Informatiebeveiliging met een bedrijfskundige achtergrond, beschik ik over gevarieerde kennis van zowel technische als zakelijke aspecten".
bradley@certificeringsadvies.nlVerhoog het bewustzijn onder medewerkers...
Met de e-learning security awareness!
- Krijg grip
- Flexibel
- Verhoog bewustzijn