Feitelijk zou het toegangscontrolesysteem van een organisatie het sluitstuk van de beveiligingsmaatregelen moeten zijn, passend in de totale set van voorzieningen. Waarbij het een gegeven is dat juist de toegangscontrole vaak het eenvoudigst te omzeilen is.
En dan bedoel ik niet zoiets simpels als: met iemand meelopen door de tourniquet of de toegangsdeur (tail-gating). Dat gebeurt helaas nog steeds en vaak door medewerkers die hun pas vergeten zijn. En ja, ook hieraan moet continu aandacht besteed blijven worden. Het begint immers altijd met het je bewust zijn van de risico’s. Maar ik vraag vooral aandacht voor de, noem het, gevaarlijke kant van het onbevoegd binnentreden.
Je wilt niet dat verkeerde lui bij je ‘kroonjuwelen’ kunnen
Iedere organisatie heeft in meer of mindere mate belangen te beschermen. En of die ‘kroonjuwelen’ nu materie, kennis of iets anders betreffen, je wilt niet dat de verkeerde lui daar bij kunnen. Juist voor hen gelden andere regels. Of eigenlijk gelden er geen regels voor criminelen die bij jouw waardevolle goed willen komen. Zij kunnen zich vandaag de dag vrij gemakkelijk bedienen van een valse identiteit. Soms zelfs compleet met geprepareerde pasjes of kleding als bezoeker, externe monteur of IT-specialist. Het lukt heel vaak en vaak ook met ernstige gevolgen. Nog afgezien van het vervelende gevoel dat je aan zo’n incident overhoudt, omdat je niet precies weet waar zo iemand precies geweest is.
Moedwillig in de maling genomen
Zoals bekend: de kwaliteit van het (integrale) beveiligingssysteem staat of valt met de kennis en kunde van de receptiemedewerker, de beveiliger, het management en eigenlijk alle medewerkers. Het begint met je realiseren dat je moedwillig in de maling genomen kunt worden. En dat kan, afhankelijk van de te beschermen belangen versus de risico’s, heel ver gaan.
Voorbeelden uit de praktijk zijn: het aanknopen van een relatie met een persoon bij het bedrijf via bijvoorbeeld een vereniging waar hij of zij lid van is of het verzenden van fake-mailberichten ter voorbereiding van die actie. Of men probeert als nep-politieman of -brandweerman met een kletsverhaal binnen te komen om dan zijn slag te slaan. En soms wordt er samengewerkt met een eigen medewerker die of onder druk gezet is of een andere reden heeft om mee te werken. Vergeet ook niet dat er criminelen zijn die zich toeleggen op het binnenbrengen van personen op kwetsbare functies, ook als zzp’er. Iets om ook op te controleren.
Inzet van een mystery guest als test
Goede methodes om te toetsen hoe scherp de medewerkers zijn op het manipuleren van de toegangsverlening zijn: red-teaming of de inzet van een mystery guest. Maar ook het gebruik van een digitale pentest vergroot de weerbaarheid. En daarmee is de cirkel rond. Naast het analyseren van risico’s en het bedenken en implementeren van maatregelen daartegen, is het testen van de werking van het systeem van enorm belang en vervolgens ga je (met awareness-training) door naar het verbeteren van het hele systeem. Check dubbelcheck!
Richard Franken is directeur van Franken Security Solutions. Daarvoor was hij directeur bij van Aetsveld, The Hague Security Delta, Trigion en Hoffmann bedrijfsrecherche.
Meer blogs van Richard Franken
Volg Security Management op LinkedIn
;