Onlangs vergat een KPN-monteur zijn laptop bij de klant. De laptop die toegang gaf tot informatie over zakelijke klanten en persoonsgegevens van KPN-medewerkers. En in Nuenen en Heeze werden in totaal ongeveer 275 iPads gestolen bij twee basisscholen. De inbrekers kenden de code van het alarmsysteem. Voor de basisscholen een enorme schadepost. Voor KPN flinke imagoschade en verplichte melding bij de Autoriteit Persoonsgegevens. Deze voorbeelden laten zien dat informatiebeveiliging meer is dan Advanced Threat Protection, Security Information and Event Management (SIEM) en end-pointsecurity voor je devices. Ook fysieke beveiliging hoort hierbij!

Waarom is fysieke beveiliging van belang voor ICT?

Dat cybersecurity van belang is, onderschrijven we allemaal. In elke organisatie is vitale informatie te vinden: bedrijfsgeheimen, privacygevoelige informatie en intellectueel eigendom. Gegevens die waardevol zijn voor jouw organisatie en je bedrijfsvoering. Informatiebeveiliging is een enorme uitdaging, maar gaat verder dan cybersecurity. Welk effect hebben cyberbeveiligingsmaatregelen als vreemden gemakkelijk binnenkomen om laptops, telefoons of andere apparatuur mee te nemen of te saboteren? Of wanneer een ontevreden medewerker bedrijfsgevoelige informatie lekt naar de media? Neem daarom fysieke beveiliging mee in jouw visie bij de beveiliging van je bedrijfsinformatie.

Hoe beveilig je een ‘open’ gebouw?

Medewerkers hebben bedrijfsinformatie op hun devices staan en nemen deze overal mee naartoe. Zoals in het geval van de KPN-monteur. Het vergroten van het veiligheidsbewustzijn van medewerkers is zeker belangrijk. Maar hoe beveilig je informatie dichter bij huis? Hoe beveilig je ‘open’ gebouwen, zoals bij grotere organisaties, kantoorverzamelgebouwen en scholengemeenschappen?

Compartimentering en toegangsbeheer.

Met compartimentering maak je bepaalde delen van je gebouw toegankelijk voor specifieke gebruikers. De toegangshal kun je bijvoorbeeld openstellen voor iedereen, maar zodra je naar de kantoren wilt, moet je door een controlepoortje of tourniquet. Met toegangspassen kun je de toegang controleren. Bezoekers moeten zich aanmelden, krijgen een bezoekerspas en moeten te allen tijde worden begeleid door een medewerker.

Sleutelgebruik en afsluitprocedure.

Wie beheert de sleutels en wie mag deze sleutels komen afhalen? En wie heeft toegang tot de code van het alarmsysteem? Zorg dat er een centrale uitgave- en innamepost is voor de sleutels, inclusief registratie, waar aan het eind van de dag de sleutels weer terug zijn.

Screening van medewerkers en externe bedrijven.

Om medewerkers toegang te verlenen tot specifieke ruimtes, waar bijvoorbeeld bedrijfsgevoelige informatie te vinden is, kun je ze preventief screenen. Hetzelfde geldt voor toegang van externe bedrijven die bijvoorbeeld regelmatig onderhoud plegen in je organisatie. Ook daar wil je zicht hebben op wie je toelaat in het gebouw.

Wat te doen bij beveiligingsincidenten?

Een beveiligingsincident kan altijd voorkomen. Het gaat erom hoe je het beveiligingsincident afhandelt:

1. Zorg dat er een meldpunt is voor beveiligingsincidenten

Zorg dat je medewerkers op de hoogte zijn van zo’n meldpunt. De melding moet ook naar ICT-beheer. Als er persoonsgegevens zijn gelekt, moet je verplicht een melding doen bij de Autoriteit Persoonsgegevens. 

2. Opvolging van het beveiligingsincident.

Als een incident is gemeld, moet je maatregelen treffen. Zo toon je je medewerkers dat het goed is om te melden en dat er wat mee wordt gedaan. En het belangrijkste: dat het incident de volgende keer kan worden voorkomen.

3. Incidentlogging.

Houd alle beveiligingsincidenten nauwkeurig bij. Omschrijf het type incident, de gevolgen en de getroffen maatregelen.

4. Communiceer over het beveiligingsincident.

Stel betrokkenen op de hoogte van wat er is gebeurd. Het maakt medewerkers, maar ook externe partijen, bewust van hun handelen en de mogelijke gevolgen ervan.