Informatiebeveiliging begint bij de voordeur

Firewalls, intrusion detection, cryptografie, demilitarized zones: veelal onmisbare maatregelen ter bescherming van onze kritische bedrijfsdata, en allemaal bekende begrippen voor de ‘die hard’ cybersecurity professional. Te midden vandit technische ICT-geweld kan het gebeuren dat de fysieke beveiliging onvoldoende aandacht krijgt.

Door alle aandacht voor cybersecurity blijven de fysieke beveiliging en de implementatie van de beheersmaatregelen conform de ISO 27002-richtlijn soms onderbelicht. Beveiliging van kantoor- en serverruimtes, apparatuur, hardware en fysieke dossiers is belangrijk om onbevoegde fysieke toegang tot (kritische) bedrijfsgegevens te voorkomen. Inderdaad, net zoals de pure ICT-maatregelen voor netwerk, infrastructuur en applicaties dit doen!

Afspraken

Belangrijk bij het implementeren van het beveiligingsplan is de nauwe samenwerking met en afspraken tussen de verantwoordelijken voor IT security en beveiliging/facility management. Welke ruimtes bevatten informatie en ICT-voorzieningen en moeten in dat kader als kritisch worden aangemerkt? In welk deel van het kantoorpand bevinden deze ruimtes zich? Moet compartimentering van bouwdelen plaatsvinden? De te ontwerpen maatregelen voor toegangscontrole dienen te steunen op een weloverwogen plan. Belangrijk is dat hierbij rekening wordt gehouden met alle toegangswegen tot het gebouw. Het komt regelmatig voor dat de hal is uitgerust met adequate toegangscontrolemiddelen, terwijl de leveranciers(achter)ingang open wordt gehouden door een wigje…

OBE-maatregelen

Organisatorische, Bouwkundige en Elektrotechnische maatregelen bieden fysieke bescherming van bedrijfsinformatie tegen schade door brand, overstroming en andere natuurlijke of menselijke calamiteiten. Te denken valt aan bijvoorbeeld een camerasysteem (CCTV: closed circuit television), inbraakdetectie met passief infrarood (PIR) en bouwkundige toepassingen zoals een verhoogde vloer in de computerruimte. Al deze maatregelen moeten procesmatig ingebed en procedureel beschreven worden. Veel van deze maatregelen worden primair genomen door de verantwoordelijk facility/beveiligingsmanager. Ook hier geldt dat het belangrijk is dat dit in goede afstemming met de verantwoordelijke Information Security Officer plaatsvindt. De maatregelen maken deel uit van het ingerichte Information Security Management Systeem (ISMS), waarvoor geldt dat ze in de Plan-Do-Check-Act-kwaliteitscyclus worden opgenomen.

Awareness en gedrag

Toezicht door een bemenste receptiebalie bij de ingang, ondersteund met bezoekersregistratie, een sleutelplan en een beveiligde toegangsdeur met paslezer vormt de eerste ‘barrieres’ in het toegangs- en compartimenteringsplan. De ogen, oren en het beveiligingsbewustzijn van medewerkers zijn erg belangrijk. Er zijn legio voorbeelden bekend waarbij ‘behulpzame’ (onbewust onbekwame) medewerkers de deur openhielden voor onbevoegden, die zich vervolgens toegang konden verschaffen tot kritische ruimtes en gegevens. Zo konden onder andere onbeheerde dossiers, kluissleutels en op de printer aanwezige documenten worden buitgemaakt.

De mens-factor

Het instellen van draagplicht van bedrijfspassen (met foto!) voor eigen personeel en zichtbare passen voor bezoekers kan een goed werkende maatregel zijn. Een logische gevolg is dan dat eigen medewerkers onbekende personen op de werkvloer die de pas niet dragen aanspreken. Dit gedrag kan alleen worden verwacht als de verantwoordelijke Security Officer en lijnmanagers hier actief op sturen, in gezamenlijke bewustwordingssessies. Want net als voor de pure ICT-hoofdstukken uit ISO 27002 geldt voor het hoofdstuk ‘Fysieke beveiliging en beveiliging van de omgeving’ dat de grootste winst ter borging ervan te halen valt bij de positieve houding van de factor mens!