Op 29 januari 2016 heeft de voorzitter van de Vereniging Beveiligingsmanagers Nederland (VBN), Pieter Christiaan van Oranje-Nassau, het eerste exemplaar van de Nationale Richtlijn Toegangsbeheer in ontvangst genomen. In de richtlijn toegangsbeheer worden, net zoals in de eerder verschenen richtlijnen, geen beveiligingsmaatregelen beschreven. De nadruk ligt op de te doorlopen (proces)stappen om tot de juiste beveiligingsmaatregelen te komen.
Leestijd: +/- 3,5 minuten
Te vaak wordt er door organisaties nog gekozen voor beveiligingsmaatregelen die geen oplossing zijn voor de (be)dreiging waar een organisatie zich tegen wil beschermen. Op basis van een kosten-baten afweging wordt vaak gekozen voor (fysieke)beveiligingsmaatregelen die ook in het verleden afdoende waren. De (rest)risico’s die aan deze vertrouwde beveiligingsmaatregelen vastzitten worden niet op een transparante wijze geaccepteerd en vastgelegd. Achteraf is in dat geval iedereen erg verbaasd over hoe een incident heeft kunnen gebeuren. Dit is, mede gezien het veranderende dreigingsbeeld in Nederland, niet langer acceptabel.
Nationale Richtlijn Toegangsbeheer
Belangrijk is dat iedere toegangsverleningsmaatregel te verklaren is vanuit de binnen de organisatie vastgestelde risicoanalyse. Dat betekent dat van iedere maatregel duidelijk moet zijn waarom deze geïmplementeerd wordt. Er zal, geredeneerd vanuit een procesbenadering, altijd een geïdentificeerde
(be)dreiging moeten zijn die om een beveiligingsmaatregel vraagt. De vraag is dan ook wat het doel van een maatregel is. Alleen dan kan er iets gezegd worden over effectiviteit en efficiëntie van getroffen (fysieke) beveiligingsmaatregelen. Natuurlijk kunnen niet alle in de risicoanalyse geïdentificeerde (be)dreigingen worden afgevangen met maatregelen. Er is altijd sprake van een afweging op basis van kosten en baten. Wat in de Nationale Richtlijn Toegangsbeheer wordt aangegeven is dat bij de keuze van maatregelen, als deze geen volledige weerstand bieden tegen een (be)dreiging, het restrisico door de verantwoordelijke (lijn)manager geaccepteerd wordt.
De vraag is wat het doel van een maatregel is
Toegangsverlening
In de Nationale Richtlijn Toegangsbeheer wordt een eerste aanzet gegeven om tot duidelijke definities te komen. Daarbij is het niet zo belangrijk wat de betekenis van een specifiek woord is, maar wel wat er achter een woord schuil gaat. Een voorbeeld is het verschil tussen het woord ‘toegangsverlening’ en het woord ‘toegangscontrole’. Wordt er aan een persoon toegang gegeven op basis van het juiste toegangsverleningsmiddel of is er ook een controle of persoon en toegangsverleningsmiddel bij elkaar horen? Dit verschil is belangrijk want als er geen controle is of toegangsverleningsmiddel en persoon bij elkaar horen dan zullen door de organisatie (rest)risico’s geaccepteerd moeten worden. Bijvoorbeeld dat onbevoegden zich toegang tot de organisatie kunnen verschaffen als zij een toegangsverleningsmiddel vinden, krijgen of vervalsen. De praktijk laat helaas zien dat organisaties een toegangsverleningsysteem hebben, maar dat ze het een toegangscontrolesysteem noemen. Als onbevoegden zich toegang tot de organisatie hebben verschaft door middel van een gevonden, gekregen of vervalst toegangsverleningsmiddel, dan is iedereen in rep en roer, terwijl het eigenlijk om een (rest)risico gaat dat bij het gekozen systeem hoort. Het streven is dat, met de richtlijn in de hand, security managers bij de keuze voor bepaalde beveiligingsmaatregelen op voorhand kunnen aangeven wat maatregelen wel en wat niet afdekken. Het achteraf moeten uitleggen waarom iets heeft kunnen gebeuren is niet wenselijk en schadelijk voor de uitstraling van het vakgebied.
Document
De komende twee jaar zal de VBN vakgroep fysieke beveiliging, in samenwerking met leden van de ASIS Benelux Chapter, de in de richtlijn genoemde ‘benodigde documenten’ gaan uitwerken. Door middel van workshops met vakgenoten van beide vakverenigingen worden voorbeelden uitgewerkt. Gedacht kan dan worden aan te nemen fysieke beveiligingsmaatregelen bij zoneovergangen, maar ook aan een voorbeeld van een zoneringsmethodiek. De (fysieke) beveiligingsnormen, die afdoende weerstand moeten bieden tegen de onderkende (be)dreigingen, moeten duidelijk worden opgeschreven. Per zoneovergang zal duidelijk moeten zijn op basis waarvan een persoon toegelaten wordt, of er een controle nodig is om specifieke goederen en stoffen te weren tot zones, of meelopen is toegestaan, wenselijk is of niet is toegestaan en of er bij het verlaten van zones controles plaatsvinden op goederen die mee naar buiten worden genomen. De antwoorden op al deze vragen zijn belangrijk om goede functionele eisen voor (fysieke) beveiligingsmaatregelen te formuleren. Zodra er een voorbeelddocument beschikbaar is, dat antwoord geeft op een deel van deze vragen, wordt deze toegevoegd aan de Nationale Richtlijn Toegangsbeheer. Ook zal regelmatig de discussie met de achterban worden aangegaan over de in de richtlijn opgenomen definities. Naast dat er aanscherpingen van definities te verwachten zijn, zullen er ook in de loop van tijd ook zeker nog definities worden toegevoegd.
De Richtlijn Toegangsbeheer schrijft voor dat dit transparant gebeurd
Beveiligingsmaatregelen
Bij het op de juiste wijze implementeren van het proces toegangsbeheer, het accepteren van (rest)risico’s en het formuleren van de juiste functionele eisen voor (fysieke) beveiligingsmaatregelen zal de organisatie ook de juiste keuzes gaan maken. Pas dan kunnen de getroffen beveiligingsmaatregelen effectief en efficiënt zijn. Als meelopen niet is toegestaan zal de organisatie niet langer deuren met sloten gebruiken, die meelopen immers mogelijk maken, maar bijvoorbeeld een circlelock met gewichtdetectie. Als alleen aan geautoriseerde personen toegang gegeven mag worden zal de kaartlezer, die iedereen met het juiste toegangsverleningsmiddel toelaat, vervangen worden door een kaartlezer met biometrie of een beveiliger die de identiteit van een persoon kan vaststellen. Als een organisatie niet wil dat er wapens of explosieven een gebouw binnenkomen zullen personen en goederen door middel van de juiste apparatuur gecontroleerd moeten worden. Zijn deze maatregelen te duur of hebben zij een te grote impact op bedrijfsprocessen, terwijl zij gezien de risicoanalyse en geïdentificeerde (be)dreigingen eigenlijk wel nodig zijn, dan zullen (rest)risico’s geaccepteerd moeten worden. De Nationale Richtlijn Toegangsbeheer schrijft voor dat dit op een transparante wijze gebeurd. De security manager hoeft dan bij een incident niet langer tekst en uitleg te geven. Voorwaarde is natuurlijk wel dat de risicoanalyse en geïdentificeerde (be)dreigingen up-to-date en juist zijn. Maar als de organisatie ook het proces geïmplementeerd heeft, dat beschreven staat in de Nationale Richtlijn Protective Intelligence, dan zal dat geen probleem opleveren.
Dit artikel verscheen in Security Management 05/ 2016 en is geschreven door Berndt Rif MSc MBA CPP. Rif is Voorzitter Vakgroep Fysieke Beveiliging VBN.
>> Lees iedere week een achtergrondartikel en column in de nieuwsbrief, vraag een proefnummer aan of neem een abonnement
> Bekijk ook de speciale overzichtpagina overtoegangscontrole van Security Management