Wat is eigenlijk het doel van beveiligingsmaatregelen? En wat houdt de fysieke kant van informatiebeveiliging in? Dat zijn vragen die belangrijk zijn voor het begrijpen van security. In deze blog worden 5 vragen over security beantwoord.
1. Wat is het verschil tussen security management en operationele beveiliging?
Er is nog wel eens enige verwarring omtrent de begrippen security management en operationele beveiliging, want wat is het verschil? Security management is een managementproces waarin dreigingen en kwetsbaarheden binnen de gehele organisatie worden afgewogen die de bedrijfscontinuïteit kunnen schaden. Op basis van de resultaten worden passende maatregelen georganiseerd. Operationele beveiliging betreft het uitvoeren van fysieke beveiligingstaken op een locatie. Denk hierbij bijvoorbeeld aan het houden van toezicht en het uitvoeren van veiligheidscontroles. Operationele beveiliging is een uitvoering die gedaan wordt op basis van het gehandhaafde security management.
2. Wat is het doel van beveiligingsmaatregelen?
Beveiligingsmaatregelen worden opgesteld aan de hand van een beveiligingsplan. Met deze beveiligingsmaatregelen wil je de risico’s die naar voren zijn gekomen uit een Security Audit of inventarisatie beheersbaar maken. De beveiligingsmaatregelen moeten zo veel als mogelijk voorkomen dat de bedrijfscontinuïteit wordt aangetast. Het kan hierbij gaan om zowel organisatorische, bouwkundige als elektronische (OBE) maatregelen. Denk bijvoorbeeld aan een sleutelplan, compartimentering of een toegangsbeheersysteem.
3. Wat hoort er bij de fysieke kant van informatiebeveiliging?
Vaak wordt vergeten dat informatiebeveiliging niet alleen bestaat uit ICT-gerelateerde aspecten. Er komt ook een fysieke kant aan te pas. Sterker nog, er kan geen goede informatiebeveiliging plaatsvinden zonder fysieke aspecten. Een screening van medewerkers is bijvoorbeeld noodzakelijk om de kans op niet-integere medewerkers, en daarmee bijvoorbeeld misbruik van informatie, te verkleinen. Daarnaast draagt toegangscontrole bijvoorbeeld bij aan de fysieke kant van informatiebeveiliging. Ook al is de informatiebeveiliging helemaal in orde, zonder goede toegangscontrole kunnen er toch incidenten plaatsvinden. Een onbevoegd persoon zou bijvoorbeeld bij de serverruimte of specifieke fysieke documenten kunnen komen.
4. In de organisatie zijn goede maatregelen geïmplementeerd. Toch gaat het regelmatig mis, hoe kan dat?
Medewerkers moeten weten hoe zij om moeten gaan met maatregelen én ze moeten zich bewust zijn van de risico’s die er zijn. Er moet sprake zijn van security awareness onder de medewerkers. Zolang dat niet het geval is, zullen de geïmplementeerde maatregelen niet optimaal effectief zijn. Het beste toegangscontrolesysteem kan geïmplementeerd zijn, maar zolang medewerkers niet beseffen dat er een risico op bijvoorbeeld social engineering bestaat, zullen zij daar intrappen en zal het toegangscontrolesysteem niet optimaal werken.
5. Wat houdt het inzetten van een mystery guest in?
Een mystery guest kan worden ingezet wanneer een organisatie wil controleren of de genomen maatregelen binnen de organisatie adequaat functioneren en om te kijken waar de verbeterpunten liggen. Hierbij kun je denken aan de fysieke beveiligingsmaatregelen zoals de toegangscontrole, maar ook aan de security awareness van medewerkers. Wordt een vreemd persoon bijvoorbeeld opgemerkt en aangesproken in de wandelgangen? In overleg worden verschillende scenario’s en onderdelen bepaald die door de mystery guest onderzocht worden. Een voorbeeld: als organisatie wil je graag weten of de toegangscontrole adequaat functioneert. De mystery guest zal in dit geval (onbevoegd) proberen de organisatie te betreden.
Na het lezen van deze blog nog andere vragen? AVAQ is specialist op het gebied van safety & security. Onze adviseurs helpen graag verder. Neem vrijblijvend contact met ons op.