Dat betrouwbare beveiliging voor multinationals van groot belang is, werd onlangs benadrukt in een TV-uitzending waarin een journalist zich toegang verschafte tot beveiligd luchthavengebied. Onlangs sprak Jan van der Sluis, solutions architect bij Unisys Continental Europe, tijdens IT Security 2008 over de strategie achter een geïntegreerde securitybenadering voor een multinational. Hierin kwamen onder andere de evaluatie en migratie van verschillende securityelementen aan bod en de mens als te beveiligen entiteit.
Slechts weinigen zijn in staat om technologie te gebruiken voor het neerzetten van een totaal securityconcept. Het voorspellen van toekomstige risico’s en trends is essentieel voor het plannen van maatregelen in het kader van security. Steeds slimmere bedreigingen gecombineerd met de afhankelijkheid van nieuwe technologieën maken het moeilijk voor IT-professionals om voorspellingen te doen. Dit houdt meer in dan alleen terugkijken en aanpassen waar nodig.
Organisaties zullen steeds verder gaan in het samensmelten van fysieke en logische security om een aantal complexe bedreigingen het hoofd te bieden (interne fraude, spionage, uitlekken van vertrouwelijke informatie, …) en te voldoen aan compliance regels zoals SOX. Dit heeft duidelijk een grote impact op multinationals; vaak wordt een diversiteit van systemen gebruikt en is de kwetsbaarheid groot. Denk hierbij aan de regelgeving en de beurswaakhonden. Technieken als Data fusion, Behaviour analysis, Biometrie, Intelligente Video, RFID e.d. zullen hier zeker een belangrijke bijdrage aan leveren. Met name de integratie van securityelementen zijn het meest van toepassing op de multinational van vandaag.
Evaluatie en migratie van een aantal securityelementen
Het is niet realistisch om uit te gaan van ‘een single corporate security’. Een onderneming van grootte herkent diverse afdelingen en kostenunits die veelal eigen procesbeveiligingen kennen. Zo zal de beveiliging bij de afdeling Securities anders zijn dan bij de afdeling Logistiek en kantoorbehoeften. Het is belangrijk deze verschillen te onderkennen om de securityelementen aan elkaar te smeden tot één ‘ketting’.
Ook zal er een diversiteit aan securityelementen aanwezig zijn. Zo kan een afdeling uitsluitend gebruik maken van een Secure e-mail faciliteit, terwijl een andere afdeling Webmail gebruikt. In de praktijk is zelfs gebleken dat een bedrijf de e-mailfunctie gebruikte die niet ‘conflicteerde met een specifieke desktopapplicatie’.
Dit houdt in dat migratie vaak een belangrijk en onderschat gegeven is. Voordat een onderneming met tienduizenden werknemers in verschillende landen een toegangssysteem heeft met smartcards en single-sign-on toepassingen, moet er nog heel wat gebeuren. Niet in de laatste plaats zijn er vaak veel cost centers bij betrokken met meerdere belangen:
• De automatisering, verantwoordelijk voor de koppelingen, helpdesk en onderhoud;
• De inkoop, die de diverse componenten moet aanschaffen c.q. afschrijven;
• Facility Management, vaak verantwoordelijk voor de fysieke beveiliging (maar ook schoonmaak e.d.)
• De verantwoordelijken voor het proces (en de daarbij behorende risico’s)
• De werknemersorganisatie
Een geïntegreerde aanpak en migratie zal de consensus van alle partijen moeten dragen. Het is de uitdaging van de corporaties om deze partijen bij elkaar te brengen en invulling te geven aan de veelal aanwezige ‘corporate security strategy’.
De mens als te beveiligen entiteit
Bij veel ondernemingen staat de mens als risicofactor, maar ook als vertrouwenspersoon voor het corporate gedachtegoed steeds meer centraal. Helaas volstaat het uitvoeren van een online compliance training al lang niet meer. Er is goede aanpak nodig. Unisys heeft deze aanpak gebruikt door het securityproces te verdelen in een viertal, samenwerkende horizontale aandachtsgebieden:
• Mensen: alles wat met mensen te maken heeft; e.g. rechten, screening, privacy, gemak, arbeidsvoorwaarden.
• Processen: exact wat doen de mensen in hun dagelijkse werk; autoriseren, controleren, navragen, informeren, e-mailen.
• Identity Management and Credentialling: hulpmiddelen zoals Smartcards, PKI, Role based Access Control, Workflow en Biometrie.
• Physical Access Control: deuren, alarm, sprinklerinstallaties, video surveillance.
Door de projectaanpak enerzijds op te delen in diverse streams en anderzijds de samenhang vast te houden, wordt een coherent geheel opgeleverd. Dit kan vervolgens leiden tot een securityarchitectuur waarin de diverse componenten tot hun recht komen.
Is de mens als te beveiligen entiteit hier gelukkig mee? Vanuit de traditionele manier waarop met beveiliging werd omgegaan niet; men voelde zich een vreemde in een vertrouwde werkomgeving. Iedereen weet echter dat een bedrijf alleen kan overleven wanneer aan alle voorwaarden en regelgeving voldaan wordt. Het komt erop neer dat wanneer men zich zal gaan aanpassen, men zich ook comfortabel hierin gaat voelen. Uiteraard is het belangrijk dat de mens een stem houdt in het hele proces en de noodzaak ook echt begrijpt. Ook moet de mens weten dat het niet handig is om werk mee naar huis te nemen op een usb-stick, dat het niet gewenst is dat bedrijfslaptops worden gebruikt om allerlei onveilige websites of eBay te bezoeken.
Zijn cultuur en organisatie strijdig?
Weerstanden tegen een dergelijke aanpak zijn vaak geworteld in de bedrijfscultuur. Biometrie is een gemeengoed in de Rotterdamse haven (hand geometrie herkenning), maar stuit bij een bank soms op problemen (bijvoorbeeld aantasting privacy). Privium (irisscan) in Schiphol wordt door de gebruikers toegejuicht (door hen die er 100 euro voor over hebben) terwijl het nieuwe elektronische paspoort er jaren over doet om ingevoerd te worden.
Hoe is dit mogelijk? Onderzoeken hebben uitgewezen dat het niet zozeer de mens is die zich ongemakkelijk voelt met deze nieuwe technologieën: de acceptatiegraad stijgt immers zienderogen. Het zijn de gereserveerde houdingen van de bedrijven die al veel te maken hebben met reorganisaties, overnames, schandalen en fraude gevallen, waardoor zij voorzichtig zijn met het aangaan van nieuwe, geïntegreerde benaderingen. Kortom: bij een reorganisatie blijven de toegangspoortjes vaak hetzelfde.
Er is dus sprake van een schijnbare cultuurschok die organisatie afhankelijk is, en dan met name de bedrijfscultuur. Als het de normaalste zaak is om bezoekers zomaar binnen te laten in het gebouw, kost het wel enige moeite om iedereen ervan te overtuigen dat het anders moet, rekening houdend met de efficiency.
Waar staan we over 10 jaar?
Ver vooruit kijken is erg riskant. Wel moeten huidige securitymodellen flexibel genoeg zijn om toekomstige wijzigingen toe te staan, zoals bijvoorbeeld integratie met Biometrie, invoeren van nieuwe sleutelkenmerken, organisatiewijzigingen en dergelijke. Een coherent securitysysteem zal dus ook steeds ‘open’ moeten zijn. Ondernemingen kunnen deze trend onderkennen door de eerder genoemde, voorziene bedreigingen het hoofd te bieden. En uiteraard zullen alle organisaties security meer en meer zien als een volwaardig bedrijfsproces, al dan niet gestimuleerd door de economie en de wetgeving.
Jan van der Sluis,
Solutions architect bij Unisys Continental Europe
Da’s allemaal wel leuk, maar wat kost dat wel niet? op jaarbasis.
Alles is een prijs waard. Als er een bom ontploft op Schiphol hoor je iedereen, als ze een paar miljoen uitgeven aan de beveiliging zal er ook een groep mensen zijn die klagen. Maar, wat heb je dan liever. Ik kies dan voor de kosten van de beveiliging.