Access Control as a Service (ACaaS) is bezig met een opmars op de markt voor toegangscontrolesystemen. Maar voordat een organisatie kiest voor deze oplossing is het belangrijk om te weten wat de risico’s zijn, of die beheersbaar kunnen worden gemaakt en of ze al dan niet acceptabel zijn.
“Grote ondernemingen outsourcen hun IT-activiteiten steeds vaker aan grote technologiebedrijven. Die maken op hun beurt niet zelden gebruik van externe datacenters. Begrijpelijk, maar er is natuurlijk wel een zeker risico aan verbonden. Want hoe weet je zeker dat er bij die externe partijen voldoende aandacht is besteed aan essentiële zaken als fysieke en digitale toegangscontrole?” Aan het woord is Arjan Bouter, Sales Director bij Nedap Security Management.
Outsourcen betekent ontzorgen
Volgens Bouter kiezen tegenwoordig ook steeds meer kleine ondernemingen voor outsourcen. “Een belangrijk argument is, net als voor grotere partijen, dat zij ontzorgd willen worden. Outsourcen scheelt nu eenmaal veel tijd en moeite. Maar wat ook meespeelt, is dat kleinere ondernemingen hun software en systemen zien verouderen. Zij maken gebruik van een server die het op zich prima doet, tot het moment dat er iets misgaat. Dan ontstaat er een serieus probleem. Om dat te voorkomen wordt er dan voor gekozen een externe partij te betrekken.”
ACaaS is een populaire oplossing voor organisaties die kiezen voor ontzorgen
Sinds enkele jaren staat ook bij de implementatie van toegangscontrolesystemen het onderwerp ontzorgen steeds meer centraal. Sterk in opkomst in dit verband is het zogenaamde Access Control as a Service (ACaaS). Bouter: “Dit komt er kort gezegd op neer, dat de principes van Software as a Service (SaaS) worden toegepast op toegangscontrole. Als gekozen wordt voor ACaaS is het belangrijk om inzichtelijk te krijgen wat de risico’s zijn, of die beheersbaar kunnen worden gemaakt en of zij al dan niet acceptabel zijn.”
Hosten en de cloud
Een belangrijk onderdeel van de discussie over ACaaS spitst zich toe op de vraag of – en hoe – er gebruik wordt gemaakt van hosten en de cloud? Bouter licht beide begrippen toe. “Hosted noemen we het model waarbij het centrale IT-systeem – de server en de database – en het onderhoud daarvan worden uitbesteed aan een datacenter. Het systeem zelf verandert niet en is nog steeds een on-premise ontwerp, maar bepaalde componenten en services worden bij de klant weggehaald. Cloud is een containerbegrip voor online dienstverlening waarbij de zorg voor data, beschikbaarheid, schaalbaarheid enzovoort worden uitbesteed en er letterlijk een dienst wordt ingekocht. Omdat een dienstverlener dit doorgaans voor een groot aantal klanten tegelijk doet, kan hij profiteren van economies of scale – zoals het bedienen van meerdere klanten op dezelfde server – of kiezen voor maatwerkoplossingen tegen hogere kosten. Denk bij de laatste variant bijvoorbeeld aan private cloud.”
De achterliggende businessmodellen en verantwoordelijkheden voor hosting en cloudservices zijn verschillend, legt Bouter uit. “Dat verschil wordt met name veroorzaakt door de gewenste mate van ontzorging en de omvang en het niveau van het aangeboden dienstenpakket.”
Volgens Arjan Bouter is de belangrijkste vraag die je moet stellen op het moment dat je gaat outsourcen: hoe staat het met de kwaliteit van de toegangscontrole en wie is daar verantwoordelijk voor?
Outsourcen
Bouter is in beginsel voorstander van het outsourcen van IT-diensten, bijvoorbeeld in de vorm van ACaaS, ook als daarbij gebruik wordt gemaakt van de cloud. “De cloud is praktisch en efficiënt, al was het maar omdat software er altijd up-to-date is. Maar de risico’s moeten niet worden onderschat. Zo moet er bij grote bedrijven vaak een koppeling worden gemaakt met andere systemen, zoals met de HR-database. Dan gaat het om gevoelige informatie, die men over het algemeen graag wil of moet afschermen.”
“Het toch een beetje of je de sleutels van je huis uit handen geeft”
Echt veilig?
Meer in het algemeen is volgens Bouter de belangrijkste vraag die je moet stellen op het moment dat je gaat outsourcen: hoe staat het met de kwaliteit van de toegangscontrole en wie is daar verantwoordelijk voor? “Op het moment dat je kiest voor de cloud en daarbij ook je toegangscontrole uitbesteedt, dan is het toch een beetje of je de sleutels van je huis uit handen geeft. Dat doe je niet zomaar en in ieder geval na een zorgvuldige beoordeling van de leverancier. Stel jezelf dus altijd de vraag: waar staat mijn data? Wie kan erbij? Is het écht veilig? En wat gebeurt er bij een eventuele poging om in te breken? Voordat je ACaas gaat afnemen, moeten die vragen beantwoord zijn. Je wilt nu eenmaal niet, dat een serverlocatie waar jouw data worden bewaard door iedereen te betreden is. Met name de technologie achter pasjes en de mobiele telefoons die gebruikt worden om deuren van een datacenter te openen, is een potentieel zwakke plek. Sommige varianten zijn binnen vijftien seconden te hacken. Uiteraard is dit veilig te maken, maar alleen als je dat door een professionele partij laat doen.”
Digitaal op orde
Met een waterdichte fysieke toegangscontrole in de cloud zijn bedrijven er nog niet, zo benadrukt Bouter. Ook de communicatie tussen de cloud en de klant moet veilig zijn. Dan gaat het aan de ene kant om de computer of mobiele telefoon van de gebruiker en aan de andere kant om de apparatuur die de deur opent. Met de huidige technologie kan dit door middel van digitale sleutels en certificaten veilig worden gerealiseerd. “Het is belangrijk dat deze sleutels en certificaten op ieder moment kunnen worden vervangen. In de regel leveren bedrijven die clouddiensten aanbieden deze veiligheid by design mee. Ook hier wordt de klant ontzorgd, omdat hij niet meer zelf over dit veiligheidsaspect hoeft na te denken. Het is wel raadzaam om goed de uitgangspunten van veiligheid met betrekking tot de communicatie met de cloud vast te leggen.”
Rol installateur
Bij het aanbieden van ACaaS diensten is een belangrijke rol weggelegd voor de installateur, vertelt Bouter. De aangeboden dienst kan immers nog zo veilig zijn, maar het is uiteindelijk de deur die de fysieke toegangsbarrière vormt. Wanneer een installatie niet door specialisten met verstand van dergelijke deuren wordt uitgevoerd, dan kunnen er ongewenste situaties ontstaan. “Het zal niet de eerste keer zijn dat een deur van een paslezer wordt voorzien, maar niet automatisch sluit. Dan heb je – ondanks de aanwezigheid van geavanceerde digitale systemen – toch een veiligheidsprobleem.”
Ontwikkelingen
ACaaS is een populaire oplossing voor organisaties die kiezen voor ontzorgen en graag continu up-to-date willen blijven. Veel aanbieders in de markt leveren nu nog vaak beperkte functionaliteit en de beveiliging van zowel data als de apparatuur op locatie verdienen extra aandacht. De verwachting is dat ontwikkelingen op het gebied van functionaliteit en veiligheid elkaar in de komende jaren snel zullen opvolgen. Dat maakt ACaaS beschikbaar voor een steeds grotere groep afnemers.
Betty Rombout is freelance journalist