Integratie van fysieke beveiliging en IT-security dringend gewenst

Onderzoek onder IT-beveiligers laat zien dat een integrale benadering van fysieke beveiliging en IT-security niet alleen onontkoombaar is, maar ook dringend gewenst. Het onderzoek - in opdracht van de vakbeurs Safety & Security Amsterdam - is uitgevoerd door Pb7 Research. Komt deze samenwerking niet van de grond, dan lopen bedrijven en overheidsinstellingen onverantwoord grote risico's, waarschuwt directeur Peter Vermeulen van Pb7.

Safety Security Amsterdam (SSA) vindt plaats van 22 tot en met 24 september in Amsterdam RAI. Beursmanager Nynke Lipsius: “Eén van de belangrijkste topics op de vakbeurs is ‘IT-security’. Onze exposanten bieden een breed scala aan geïntegreerde oplossingen. We introduceren dit jaar bovendien het SSA InnovationLAB, een podium voor vernieuwing. In het SSA Solutions-theater delen managers en ondernemers hun ervaringen over de totaaloplossingen die zij gebruiken. Zeer interessant voor andere managers en ondernemers die zoeken naar oplossingen voor hun eigen situatie.”

“We zijn dus ook heel nadrukkelijk bezig met de ontwikkeling van het vakgebied van de fysieke beveiliging. Daarbij zien we ook steeds vaker dat er een koppeling wordt gelegd tussen fysieke beveiliging en IT-security. We wilden graag meer weten over die ontwikkeling. Vandaar dat we Pb7 Research gevraagd hebben hier onderzoek naar te doen. Uit dit onderzoek komt een duidelijke conclusie naar voren: integratie tussen beide disciplines is van cruciaal belang. Organisaties die hier niet actief op inspelen, nemen grote risico's.”

Security-incidenten

“Vrijwel iedere organisatie heeft ieder jaar met security-incidenten te maken”, vertelt Peter Vermeulen van Pb7 Research. “Soms wordt ingebroken in een kantoor, in andere gevallen proberen criminelen bedrijfsgegevens langs digitale weg te ontvreemden. Hoewel er veel wet- en regelgeving is om de werkplek in fysieke zin veilig te maken, blijkt dat juist op het gebied van de digitale beveiliging de meeste incidenten plaatsvinden en er wat wetgeving betreft nog wel wat werk ligt. We zeggen wel eens gekscherend 'IT-beveiliging is te belangrijk geworden om het alleen aan IT over te laten', maar dat is natuurlijk wel waar.”

Uit het onderzoek voor de SSA-beurs blijkt dat steeds meer Nederlandse bedrijven en overheidsinstellingen de noodzaak van integratie van IT-security en fysieke beveiliging onderkennen. Maar liefst 82 procent vindt het belangrijk of zelfs zeer belangrijk dat beide vormen van beveiliging deel uitmaken van een integrale aanpak. En nog eens 80 procent is van mening dat het (zeer) belangrijk is dat beide disciplines nauw met elkaar samenwerken. Er zijn maar weinig respondenten die goede redenen zien om niet nauw samen te werken. Veelal blijkt de bestaande scheiding tussen fysieke beveiligers en IT-security vooral historisch te zijn gegroeid.

Integrale plannen

Vermeulen: “Dat is een veelbelovend resultaat. Maar ondanks alle goede intenties blijkt echter maar één op de twee ondervraagde organisaties (53 procent) te beschikken over een integraal plan met betrekking tot het voorkomen van en handelen bij veiligheidsincidenten in de breedste zin van het woord. Met andere woorden: een plan waarbij voor ieder willekeurig veiligheidsincident zowel naar de fysieke beveiliging als de IT-security wordt gekeken. Heeft men wél een dergelijk plan, dan maakt in de meeste gevallen IT-beveiliging daar wel deel van uit.”

Als we het over samenwerken hebben, denken respondenten vooral aan de fysieke bescherming van de IT-apparatuur. Met andere woorden: hoe voorkomen we dat apparatuur wordt gestolen? Dat geldt niet alleen voor apparatuur in het datacenter, maar ook voor IT-systemen op de werkplek én voor de mobiele apparaten (laptops, tablets, smartphones) waarmee de medewerkers werken. Hierbij denkt men eerst aan toegangsbewaking en pas in tweede instantie aan brandpreventie. Maar ook bij calamiteiten zullen de verschillende typen beveiligers (fysiek én IT) met elkaar moeten samenwerken. Omgekeerd zijn fysieke beveiligers steeds meer gebruik gaan maken van IT-hulpmiddelen en zijn ze afhankelijk geworden van een goede werking daarvan.

Van elkaar leren

Wat Vermeulen betreft is het ook voor specialisten op het gebied van IT-security belangrijk om de SSA-beurs te bezoeken. Pb7 constateert namelijk dat - ondanks de groeiende afhankelijkheid - de fysieke beveiligers en de specialisten op het gebied van IT-security van elkaar verschillen als dag en nacht. “In plaats van te kijken naar de verschillen, hebben we in het onderzoek vooral gevraagd wat beide groepen van elkaar zouden kunnen leren. Dat levert een aantal bijzondere inzichten op.”

Zo laten veel IT-beveiligers zich in het onderzoek kennen als mensen die zich sterk op de techniek richting. Zeg maar: enigszins 'nerdy'.

“Hoewel het zeker niet voor iedere organisatie geldt, zien IT-beveiligers wel degelijk dat ze veel kunnen leren van fysieke beveiligers. Het gaat dan met name om de gestructureerde en procesmatige aanpak die binnen de fysieke beveiliging wordt gehanteerd en de veelal goed georganiseerde communicatie met medewerkers . Veel IT-beveiligers geven daarentegen aan dat ze geen plannen van aanpak hebben klaarliggen voor bijvoorbeeld een cyberaanval, dat ze niet geregeld op calamiteiten oefenen en dat de afstand tot de gebruiker toch wel erg groot is. Dat zijn allemaal punten waar fysieke beveiligers duidelijk verder zijn dan hun IT-collega's. Alleen al daarom is een bezoek aan de SSA-beurs zeker de moeite waard”, stelt Vermeulen vast.

Toegangsbeveiliging

IT-beveiligers zijn daarentegen ook van mening dat de fysieke beveiligers nog wel het een en ander van hen zouden kunnen leren. Allereerst vinden zij dat fysieke beveiligers te weinig afwegingen maken met betrekking tot zakelijke belangen: wanneer mag een deur open blijven staan en op grond van welke criteria wordt dit bepaald? Ook constateren IT-beveiligers dat er een gebrek aan structurele toegangsbeveiliging bestaat. Met name het sleutelbeheer is hierbij in hun ogen een heikel punt.

Vermeulen: “Een ander punt is het concept 'secure by design'. Hiermee wordt bedoeld dat veiligheid niet iets is dat achteraf is toegevoegd, maar dat al vanaf het allereerste begin tot de ontwerpdoelstellingen behoorde. Deze manier van werken heeft al zijn intrede bij IT gedaan, maar is in de wereld van de fysieke veiligheid nog een onbekend fenomeen. Tenslotte ziet men dat IT een onlosmakelijk onderdeel is geworden van fysieke beveiliging, maar dat de kennis van deze mogelijkheden vaak onder de maat is.”

Over het onderzoek

In juni 2015 heeft onafhankelijk ICT-onderzoeksbureau Pb7 Research in opdracht van SSA 2015 114 beslissers op het gebied van IT-beveiliging ondervraagd met behulp van een webgebaseerde survey. Het doel van het onderzoek was het in kaart brengen van de afhankelijkheid van IT-beveiliging en fysieke beveiliging, om beide nader tot elkaar te laten komen en ze te uitnodigen om zich in elkaars wereld te verdiepen. De resultaten van het onderzoek worden tijdens Safety Security Amsterdam 2015 aan het publiek gepresenteerd.

Safety & Security Amsterdam in RAI

Safety & Security Amsterdam (SSA) 2015 is een belangrijke vakbeurs voor beveiliging en (brand)veiligheid. Het evenement vindt plaats in de Amsterdam RAI van 22 tot en met 24 september. Dit jaar zal heel duidelijk zichtbaar zijn hoe belangrijk de integratie van fysieke beveiliging en IT-security is.

Hans Vandam is journalist