Laatste update: 16 augustus 2016 Nadat toegangscontrole is aangeschaft en geïmplementeerd, is het toegangscontrolesysteem al snel vanzelfsprekend. Hierdoor groeit het systeem vaak niet mee met de organisatie. Met een procesmatige benadering kan de organisatie toegangscontrole naar een hoger niveau brengen.
Organisaties zijn zich veelal bewust van nut en noodzaak van een goed toegangscontrolesysteem als onderdeel van de fysieke beveiliging. Vaak geven organisatie-onderdelen zelf goed aan welke ruimten of bouwdelen goed beveiligd moeten worden, omdat zij zelf inzicht hebben in de kwetsbaarheid van die ruimten in combinatie met de attractiviteit van de aanwezige goederen, informatie of anderszins.
Maar na de aanschaf en de implementatie is het toegangscontrolesysteem al snel een vanzelfsprekendheid binnen de organisatie, waardoor het vaak niet meegroeit met de organisatie. Vanuit een procesmatige benadering kan een organisatie hier wat aan doen
‘Een proces zorgt voor continue aandacht’
Een proces zorgt voor continue aandacht en inzicht voor alle betrokkenen over alle facetten die van belang zijn voor een goed functionerend toegangscontrolesysteem, waardoor wijzigingen eraan snel en effectief zijn door te voeren. Een security manager kan hiervoor gebruik maken van een Physical Security Management System (PSMS).
Hulpmiddel is plan-do-check-act
Het PSMS is opgebouwd volgens de Plan-Do-Check-Act-cyclus. Afhankelijk van type en omvang van de organisatie kan het PSMS aansluiting vinden bij of geïntegreerd worden met al bestaande managementsystemen. Denk hier bijvoorbeeld aan ISO 9001, ISO 14001, ISO 27001 en ISO 22301.
Fase 1: Plan
De Plan-fase begint met het Fysieke Beveiligingsbeleid. Dit geeft de kaders van de wijze waarop een organisatie fysieke beveiliging wil inrichten. Vervolgens vindt er classificatie plaats van de aanwezige assets. Dit kunnen bijvoorbeeld goederen, informatie, laptops, medicatie, of telefoons zijn. De classificatie vindt plaats op basis van eisen die de organisatie stelt aan de Beschikbaarheid en Vertrouwelijkheid (BV), en voor informatie de Integriteit (I), van de assets. Ook kan, afhankelijk van de gebruikte classificatiemethodiek, elke ruimte van de accommodatie geclassificeerd worden op basis van de aanwezigheid/ opslag van assets.
Weet hoe kwetsbaar assets zijn
De opgestelde classificatie is een van de twee benodigde onderdelen om te komen tot een risicoanalyse. Het tweede onderdeel is inzicht krijgen in de kwetsbaarheden en dreigingen die betrekking hebben op deze assets. Dat inzicht betreft met name hoe kwetsbaar de assets zijn. Al dan niet gespecificeerd per ruimte en de type dreigingen die de beschikbaarheid of vertrouwelijkheid kunnen schaden.
Deze twee onderdelen samen met de classificatie van de assets vormen de risicoanalyse van de organisatie op fysieke beveiliging, waarop vervolgens een beveiligingsplan gebaseerd kan worden. In een dergelijk beveiligingsplan staan alle maatregelen beschreven die organisatie zou moeten nemen om alle risico’s naar een acceptabel risiconiveau te reduceren of op dat niveau te houden. Te nemen maatregel kunnen bijvoorbeeld aanschaf, uitbreiding, updating of inkrimping van het toegangscontrolesysteem zijn.
Risico-analyse is overtuiginstrument
Het beeld dat hiermee vanuit de Plan-fase is ontstaan, vormt een inzicht dat de organisatie periodiek – en bij voorkeur (minimaal) jaarlijks – zou moeten krijgen. Zonder dit inzicht zal het voor een security manager immers erg moeilijk zijn de organisatie te overtuigen van de noodzaak voor aanschaf van of aanpassingen aan het toegangscontrolesysteem en om een passende inzet van tijd en middelen te realiseren.
Het beveiligingsplan wordt aan de directie voorgelegd en zij neemt daarop een besluit over de daadwerkelijk te nemen fysieke beveiligingsmaatregelen.
Fase 2: Do
In de Do-fase wordt het toegangscontrolesysteem aangeschaft, geïmplementeerd, onderhouden, uitgebreid of ingekrompen. Tevens worden met de implementatie van het toegangscontrolesysteem een of meerdere verantwoordelijken voor het toegangscontrolesysteem aangewezen.
Het aantal verantwoordelijken kan per type en grootte van de organisatie verschillen, maar omvat idealiter de volgende rollen: eigenaar van het toegangscontrolesysteem; functioneel beheerder van het toegangscontrolesysteem; technisch beheerder van het toegangscontrolesysteem. Elke verantwoordelijke heeft eigen taken binnen de Do-fase.
Fase 3: Check
Met het doorlopen van de Do-fase kan het wenselijk zijn om periodiek de effectiviteit van het toegangscontrolesysteem te toetsen en te controleren of gebruikers van het toegangscontrolesysteem het gebruiken zoals bedoeld en beschreven in het toepasselijke beveiligingsbeleid en de procedures.
Check-fase fungeert voor controle toegangscontrolesysteem
In de Check-fase vinden deze controles plaats. Dit gebeurt binnen de eigen organisatie, maar kan ook bij een leverancier plaatsvinden. Bijvoorbeeld wanneer die het beheer van het toegangscontrolesysteem (op afstand) verzorgt. Bij een controle van een leverancier is het belangrijk om te toetsen in hoeverre de leverancier voldoet aan de gemaakte afspraken en/of zij de juiste certificaten heeft die geëist zijn tijdens het inkooptraject?
Medewerkers of audit-organiseren doen de check
De controles kunnen uitgevoerd worden door eigen medewerkers, de interne audit-organisatie of een onafhankelijke externe audit organisatie. Op basis van een auditplan worden over een bepaalde periode alle controlepunten ingepland en getoetst.
Fase 4: Act
Periodiek wordt fysieke beveiliging, waaronder het toegangscontrolesysteem, besproken tussen de stakeholders en kan worden besloten welke acties de security manager zou moeten oppakken om het toegangscontrolesysteem effectiever te maken en te zorgen dat de wijze van inrichting en werking van het toegangscontrolesysteem nog beter aansluit op de eisen en wensen vanuit het primaire proces.
Uiteindelijk wordt tijdens deze overleggen gezocht naar een balans tussen kosten en baten, een goede, passende werking van het toegangscontrolesysteem en een minimale hinder/belemmering voor het verloop van de primaire processen. De acties die de security manager zou moeten nemen, worden in een verbeterplan omgezet en uitgevoerd. Daarbij kijkt de security manager ook of deze acties invloed hebben op de risicoanalyse.
Als PDCA-cyclus is doorlopen start deze opnieuw
Vervolgens is de gehele PDCA-cyclus doorlopen en begint deze weer van voor af aan. Verbeterplannen kunnen op deze manier ook eenvoudig opgenomen worden in jaarplannen, zodat het hogere management gedurende het gehele jaar betrokken blijft bij fysieke beveiliging.
Toegangscontrole als een proces zien
7 voordelen
De voordelen zelf zijn uiteraard voor elke security manager anders, maar globaal kan gezegd worden dat:
- Integreren of aansluiting vinden met andere managementsystemen helpt de security manager om de meerwaarde van fysieke beveiliging inzichtelijk te maken;
- De security manager heeft continu inzicht en overzicht van de zwakke plekken in de fysieke beveiliging en kan dit makkelijker vertalen naar het management;
- Integratie met bestaande managementsystemen verlicht de werklast van de security manager. Veel overkoepelende PDCA-onderdelen zijn dan namelijk al genomen. Denk hierbij aan een interne audit organisatie en een directiebeoordeling;
- Periodiek overleg met stakeholders om fysieke beveiliging te toetsen en te evalueren verhoogt het algehele niveau van fysieke beveiliging doordat de business direct betrokken wordt en mee kan denken over de inrichting van fysieke beveiliging;
- De security manager heeft te allen tijde het beveiligingsbeleid en alle benodigde procedures in place die nodig zijn om het PSMS goed te kunnen laten functioneren.
2 nadelen
Kleven er aan een managementsysteem ook nadelen? Ja, nadelen zijn er ook. Het kan wat inspanningen kosten voordat het management het PSMS omarmt en middelen beschikbaar stelt om het te implementeren en in stand te houden. Dit nadeel kan worden weggenomen door het proces te integreren met al bestaande managementsystemen, waardoor de implementatiekosten veel lager liggen.
Daarnaast wordt een managementsysteem helaas vaak gezien als een papieren tijger, waar eens in de zoveel jaar een externe adviseur doorheen worstelt. Het opstellen van documenten hoeft echter geen papieren tijger te worden. Beschrijf wat je doet, doe wat je hebt beschreven en toon dat aan. Als dat de security manager lukt met een enkel vel papier, dan hoeft hij er zeker geen twintig van te maken.
Dit artikel schreef Jos Maas en is gepubliceerd in Security Management 05/ 2015. Maas is werkzaam bij Centric als consultant informatiebeveiliging en bedrijfscontinuïteit. Hij ondersteunt en adviseert organisaties onder andere met het implementeren van managementsystemen (o.a. ISO 27001, NEN 7510, BIG en BIWA). Daarnaast is hij bestuurslid ISACA Netherlands Chapter en IAHSS (Int. Ass. for Healthcare Security & Safety). Reacties op dit artikel kunnen gestuurd worden naar Jos.Maas@centric.eu.
> Bekijk ook de speciale overzichtpagina over toegangscontrole van Security Management