Fysieke beveiliging van bedrijven is essentieel om de bedrijfscontinuïteit te waarborgen. Daarnaast speelt een toegangscontrolesysteem een belangrijke rol bij het creëren van een veilige werkomgeving. Door de coronapandemie hebben we de afgelopen jaren aan den lijve ondervonden hoe belangrijk het is om de stroom mensen die bedrijfslocaties binnenkomt en verlaat te beheren en in te beperken. Maar wat is een goed beleid voor fysieke toegangscontroles? En waar moet het aan voldoen?
- Wat is een fysiek toegangscontrolebeleid?
Zoals de naam doet vermoeden, is dit een document dat beschrijft wie toegang heeft tot welke locaties in je organisatie en onder welke omstandigheden. Daarnaast beschrijft het hoe deze toegangsrechten worden beheerd. Meestal wordt het gebruikt in combinatie met technologieën, zoals een fysiek toegangscontrolesysteem en een bezoekersbeheersysteem. Het toegangscontrolemodel dat je volgt, bepaalt een aantal cruciale details in het toegangscontrolebeleid.
- Waarom is een beleid belangrijk?
Om een beveiligde omgeving te creëren, moet je rekening houden met alle elementen uit de veiligheidsdriehoek: systeem, procedures en mensen. Vooral voor de laatste groep is een juist beleid van belang. Dat stimuleert dat de mensen in de organisatie de procedures kennen die zij moeten volgen bij gebruik van je bedrijfssystemen. Zelfs met de allerbeste toegangscontroletechnologie nemen de risico’s toe als mensen niet weten hoe ze die moeten gebruiken. Onderzoek heeft uitgewezen dat tussen de tachtig en negentig procent van de ongelukken op de werkplek worden veroorzaakt door menselijke fouten.
Fysieke beveiliging zorgt er ook voor dat de digitale activa beschermd worden. Een belangrijk gegeven, want als mensen eenmaal toegang hebben tot fysieke locaties van een bedrijf, is het gemakkelijker om toegang te krijgen tot je netwerk, bestanden, gegevens, intellectuele eigendom en meer. Met dit in gedachten is het duidelijk waarom we het beleid moeten zien als één stukje van de grotere beveiligingspuzzel. Het is echter wel een heel belangrijk stukje.
- Wat moet er in een beleid staan?
Elk beleid is anders, maar bevat vaak een aantal vaste onderdelen:
Doel
Hierin worden de doelstellingen van je beleid uitgelegd en geschetst. Hoewel het fundamentele doel is om de toegang tot fysieke ruimten te beheren, zijn de redenen waarom je deze toegang wilt controleren voor iedereen anders. De één wil diefstal van voorraden en schade aan apparatuur voorkomen, terwijl een ander de toegang tot gevaarlijke locaties wil beperken. Dit zijn allemaal zaken die de bedrijfscontinuïteit op verschillende manieren beïnvloeden. Wat je doelstellingen ook zijn, het is belangrijk dat je ze duidelijk uiteenzet, zodat mensen de bredere potentiële gevolgen begrijpen van beleid.
Reikwijdte
Als mensen niet zeker zijn van de reikwijdte van je beleid, nemen ze misschien aan dat ze het niet hoeven te volgen. Daarom is het belangrijk om goed aan te geven op wie het beleid van toepassing is. Zijn dit werknemers, bezoekers, aannemers of klanten? Op welke locaties is het beleid van toepassing, hoofdkantoren, fabrieken, magazijnen of winkels? Het meest solide beleid is specifiek en laat amper ruimte voor interpretatie.
Verantwoordelijkheden
Leg hier vast wie waarvoor verantwoordelijk is. Eén team kan verantwoordelijk zijn voor het opstellen en bijwerken ervan, terwijl een ander team verantwoordelijk is voor de uitvoering. Eén persoon kan het toegangscontrolesysteem onderhouden, terwijl een ander het beveiligingsteam aanstuurt dat het gebruikt. Geef nooit één persoon de volledige verantwoordelijkheid – dit neemt de mogelijkheid van individuele menselijke fouten weg of een al dan niet opzettelijke schending van het beleid.
Beleid & procedures
Hierin staan de details van de afzonderlijke beleidslijnen en procedures die samen je algemene beleid vormen.
Je kunt beschrijven:
- Hoe autorisaties voor werknemers, bezoekers en aannemers worden opgezet en beheerd.
- Wie wel en wie niet tot locaties worden toegelaten.
- Welke soorten identificatie nodig zijn om toegang te krijgen tot elk gebied.
Controle en beheer
Om te controleren of je beleid wordt gevolgd, moet je regelmatig audits uitvoeren. Beschrijf in je beleid daarom hoe en wanneer die plaatsvinden. Ook het beheren en bijwerken is essentieel om efficiëntie te waarborgen.
Handhaving
Onder handhaving wordt toegelicht welke sancties men krijgt bij het schenden van het beleid. Sommige mensen hebben een afschrikmiddel nodig om te voorkomen dat zij de kantjes eraf lopen of het beleid negeren. Daarnaast is het belangrijk om regelmatig training te geven over de details van het beleid.
Versiegeschiedenis van het beleid
Het beleid moet een dynamisch document zijn dat na elke risicobeoordeling (idealiter twee keer per jaar) wordt herzien.
Hoe houd je het up to-date?
Dan blijft er nog een laatste stap over: het in werking laten treden van je beleid. Daarna is het alleen nog noodzaak dat het een dynamisch document blijft, dat actueel, functioneel en gemakkelijk uitvoerbaar is.
(Auteur Jun Song is brand relations bij Nedap Security Management.)
Een lang verhaal kort gemaakt begint een fysiek toegangsbeleid bij de identificatie van de persoon. En wij van WC-eend zijn hierin van mening dat biometrie nog altijd de beste garantie geeft over wie-is-wie. We zullen niet uitwijden over use cases die dit bewijzen maar het verhaal van ongelukken op de werkplek die worden veroorzaakt door menselijke fouten kent wat details over persoonswisselingen. Denk dat Henri wel wat voorbeelden heeft van niet gevolgde veiligheidstrainingen.
Aangaande beleid en risico’s is het goed dat er eens aandacht besteed wordt aan een fysiek toegangsbeleid want hoewel de kantoortuin niet een jungle is waar onder elke struik een gevaar loert gelden er wel eisen aangaande het beschermen van de menselijke assets omdat een beschading hiervan tot vervelende rechtzaken kan leiden. Het toegangsbeleid gedurende de pandemie ging niet om om het beschermen van netwerk, bestanden, gegevens, intellectuele eigendom en meer. En ja, privacy daarin is een issue want vanuit een risico mitigatie is het goed om beleid op te stellen maar nog belangrijker is een controle hierop.
Simpele vraag over hoelang je een bezoekersregister bewaard levert nog weleens een stilzwijgen op en dat geldt natuurlijk ook voor de toenemende camerabeelden. Hiervoor kunnen trouwens ‘legal holds’ gelden als het om bewijs in de vervelende rechtszaken gaat, Glennnis Grace weet daar ondertussen alles van.