Traditiegetrouw legt beveiliging de focus op het fysieke óf het digitale domein. Hoe komen we tot de integrale aanpak die nu zo noodzakelijk is om gecombineerde aanvallen tegen te gaan? Peter Seelen en Ton Slewe van Capgemini zien een sleutelrol voor de Chief Security Officer (CSO).
Lynsey Dubbeld
Fysieke en digitale beveiliging zijn van oudsher afzonderlijke specialismen. Maar bij beveiligingsincidenten is steeds vaker een combinatie zichtbaar van digitale en fysieke incidenten. Zo kan een medewerker aanpassingen aanbrengen in interne IT-systemen en er vervolgens cybercriminaliteit mee faciliteren.
Inhoudsopgave:
– Zowel fysieke als digitale dreiging hebben aandacht nodig
– Tips voor een holistische benadering
– Veiligheid en security onderbrengen bij één persoon
– Van CISO naar CSO
– Aparte informatiesystemen bemoeilijken identiteitsbeheer
– Beveiligingscamera’s automatisch activeren
– De businesscase voor integratie
– Inzichten in de kosten
– Holistische benadering vraagt om maatwerk
Zowel fysieke als digitale dreiging hebben aandacht nodig
Organisaties moeten een meer innovatieve aanpak kiezen om zich beter te beschermen tegen dergelijke gecombineerde aanvallen. Dat schrijven Peter Seelen en Ton Slewe in hun bijdrage aan de recente editie van het jaarlijkse Capgemini-rapport Trends in Veiligheid. “Traditioneel heeft bij beveiliging de focus meestal op fysieke of digitale beveiliging gelegen. Zo heeft de beveiliging van belangrijke personen veel meer aandacht gekregen van fysieke beveiliging en veel minder van digitale beveiliging. Bij digitale apparatuur is er een gebrek aan fysieke monitoring om het manipuleren ervan te kunnen detecteren. Het besef begint steeds meer te komen dat beide dreigingen en de combinatie ervan, aandacht moeten hebben.”
Tips voor een holistische benadering
Seelen en Slewe bepleiten een holistische beveiligingsaanpak, waarin op aspecten zoals organisatie, processen en technologie stappen worden genomen voor de integratie van digitale en fysieke beveiliging. Trends in Veiligheid doet hiervoor vijf concrete aanbevelingen. Het gaat om tips zoals: deel beveiligingsinformatie beter, breng systemen voor identiteitsbeheer samen, en integreer incidentenmanagement.
Commitment van het hoogste management is noodzakelijk
De topprioriteit is om beveiliging centraal aan te sturen met commitment van het hoogste management, zegt Seelen. “Zonder een dergelijk commitment is het heel moeilijk om de noodzakelijke integratie te realiseren. Dan komt er namelijk vaak geen budget beschikbaar om beveiligingsrisico’s te verlagen. Bovendien is het belangrijk om te bepalen wat je wilt bereiken en hoe dat bijdraagt aan de organisatiedoelen.
Veiligheid en security onderbrengen bij één persoon
Verder moet de governance binnen de organisatie op orde zijn: de CSO die de juiste plek heeft – direct onder het hoogste management – kan van daaruit de Chief Information Security Officer (CISO) en de Security Officer aansturen. Door beide verantwoordelijkheidsgebieden onder te brengen bij één persoon stimuleer je meteen de samenwerking tussen de verschillende domeinen.”
Binnen organisaties ontbreekt vaak de link tussen fysieke en digitale beveiliging
“We zien dat veel CISO’s relatief ver van het hoogste management zijn gepositioneerd, bijvoorbeeld als onderdeel van de IT-afdeling. Daardoor zijn ze niet altijd goed in staat om het management te informeren over digitale risico’s en dreigingen”, zegt Slewe over een van de actuele issues. Uit onderzoek van IDC blijkt dat nog geen 25 procent van de CISO’s direct aan het hoogste management rapporteert. Seelen voegt toe: “Binnen organisaties ontbreekt vaak de link tussen fysieke en digitale beveiliging. Zeker als fysieke beveiliging is ondergebracht bij facilitair management of een gebouwbeheerder, of is uitbesteed aan een externe partij.”
Van CISO naar CSO
De consultants zien de aanstelling van een CSO als een van de oplossingsrichtingen. Slewe: “Natuurlijk is elke organisatie anders en is het belangrijkste dat men nadenkt over de passende manier om beveiliging de aandacht te geven die het nodig heeft. Een CSO met digitale en fysieke veiligheid in de portefeuille zou de noodzakelijke samenwerking tussen de twee domeinen wel kunnen versterken.”
Aparte informatiesystemen bemoeilijken identiteitsbeheer
Seelen en Slewe signaleren ook een andere uitdaging bij de integratie van digitale en fysieke beveiliging: de optimalisatie van identiteitsbeheer. Bij grote organisaties beheren diverse onderdelen nogal eens de eigen identiteiten waarmee medewerkers toegang hebben tot bijvoorbeeld het gebouw en de informatiesystemen. Dit is inefficiënt en creëert beveiligingsrisico’s. Wat gebeurt er als een medewerker volgens het ene systeem nog wel toegang heeft tot bedrijfsinformatie en volgens het andere uit dienst is? Aparte informatiesystemen voor gasten, leveranciers en andere externe partijen maken de situatie nog ingewikkelder.
Beveiligingscamera’s automatisch activeren
Seelen benadrukt dat de detectie van incidenten niet goed op orde kan worden gebracht als de werelden van fysieke en digitale beveiliging gescheiden blijven. “Bovendien kunnen organisaties dan niet de juiste maatregelen nemen. Denk aan de mogelijkheid om een beveiligingscamera automatisch te activeren bij het signaleren van een digitale inbraak op een bepaalde locatie.”
De businesscase voor integratie
Er kunnen bovendien diverse voordelen worden behaald met het integreren van digitale en fysieke beveiliging. Deze voordelen ondersteunen een positieve businesscase. Slewe: “Cybersecurity kan organisaties helpen om hun zaken beter voor elkaar te krijgen. Zo kunnen organisaties die nu vanuit veiligheidsoverwegingen terughoudend zijn om bepaalde processen te digitaliseren er toch toe overgaan als het vertrouwen er is dat het veilig is. Deze digitalisering kan vervolgens kostenvermindering opleveren.” Er zijn ook andere optimalisaties mogelijk door een integrale aanpak, bijvoorbeeld als identiteitsmanagementsystemen voor fysieke toegang te combineren met digitaal toegangsbeheer.
Inzichten in de kosten
Bovendien levert een integrale aanpak nieuwe inzichten op over de inrichting en kosten van beveiliging. “Als je fysieke en digitale beveiliging combineert, krijgt de organisatie beter zicht op de maatregelen die worden genomen en de uitgaven die daarvoor worden gedaan. Dat kan tot de conclusie leiden dat meer maatregelen nodig zijn, of juist andere”, vertelt Seelen.
Soms moet er eerst iets mis gaan om het onderwerp actueel te maken
Zijn al deze voordelen van een integrale aanpak voldoende om organisaties in beweging te brengen? Seelen: “Het hoogste management moet eerst doordrongen zijn van de noodzaak om te integreren. Als de CISO op het juiste niveau is ondergebracht kan deze daarvoor aandacht vragen. Maar soms moet er eerst iets (bijna) misgaan – binnen de organisatie, of bij bedrijven in de sector – voordat het onderwerp actueel wordt.”
Holistische benadering vraagt om maatwerk
Hoewel er steeds meer bedrijven zijn die het belang van een holistische benadering inzien – en beseffen dat er voordeel mee is te behalen – is de aanpak niet voor elke organisatie de juiste. Slewe: “Bij organisaties die veel infrastructuur gebruiken via de cloud is een holistische aanpak minder urgent. Voor het MKB is het ook niet haalbaar. Maar voor grote bedrijven in de maakindustrie, of die vanuit hun bedrijfsvoering veel fysieke assets hebben, is het zeker belangrijk om de fysieke en digitale werelden bij elkaar te brengen.”
Er zijn niet heel veel professionals die goed op de hoogte zijn van fysieke én digitale beveiliging
Slewe en Seelen zien dat er nog veel werk aan de winkel is. Slewe: “De eerste stap is om de CSO de juiste plek in de organisatie te geven. Verder is het kennisniveau van de betrokkenen een aandachtspunt: er zijn niet heel veel professionals die goed op de hoogte zijn van fysieke én digitale beveiliging. Als externe partijen zijn ingehuurd is het niet makkelijk om bestaande afspraken snel aan te passen, omdat deze vaak in meerjarencontracten zijn vastgelegd. Denk hierbij bijvoorbeeld aan afspraken voor informatie-uitwisseling. Bovendien moet rekening worden gehouden met privacyregels. Daarnaast zijn er nogal eens cultuurverschillen tussen cyberspecialisten en mensen die met fysieke beveiliging bezig zijn. Het staat dan ook vast dat de werelden van fysieke en digitale beveiliging niet vanzelf samen komen. Daar moet je serieus werk van maken.”
Lynsey Dubbeld is communicatieadviseur, contentstrateeg, trendanalist en copywriter
– Big brother is watching you?!
– 5G: kansen en uitdagingen voor veiligheid
– Kritische kanttekeningen bij cameratoezicht
Volg Security Management op LinkedIn