Einde van blauwe-uniform-aan-de-balie nabij

  1. 25 feb 2016
  2. 0 reacties

U kent ze wel. De beveiligingsbeambten die in een keurig blauw uniform het gebouw bewaken. Van ’s ochtends vroeg tot laat in de avond het fort bewaken via inbraak- en camerasystemen. Deze mannen en vrouwen in uniform zitten veelal bij de ontvangstbalie of in een aparte kamer vol schermen waar ze de boel voortdurend goed in de gaten houden. Zitten deze beveiligingsfunctionarissen over 10 jaar nog op hun beeldscherm te turen? Of is hier sprake van een uitstervende beroepsgroep nu het IT-beveiligingsysteem niet alleen de digitale maar ook de fysieke beveiliging voor haar rekening neemt? Is het einde van het blauwe-uniform-aan-de-balie-tijdperk nabij? Wie weet, maar er moet hoe dan ook nog veel water door de rivier om de fysieke en digitale beveiligingswereld goed op elkaar aan te sluiten, zo niet volledig te integreren.

De snelheid waarmee IT de implementatie van fysieke beveiliging heeft meegenomen, is de afgelopen tien jaar enorm gegroeid. Zo’n 75% van de systemen die gebouwd worden, zijn volledig afhankelijk van IT-oplossingen. En hoe groter en complexer de organisatie, hoe hoger dit percentage is. Vroeger was het gesloten camerasysteem dat luistert naar de naam ‘closed-circuit-television’ (cctv) het belangrijkste systeem van de fysieke beveiligers. In tien jaar tijd is een hele klassieke industrie van VHS-videobanden, via harddisken, NAS, Edge-servers en VM Ware verschoven naar een Video Surveillance-as-a-Service (VSaaS). Dat vraagt om meer datacapaciteit, bandbreedtes en bijvoorbeeld verbeterde compressietechnieken. De klassieke beveiligingsinstallatiebedrijven hebben moeite om de snelle nieuwe technologische ontwikkelingen bij te houden. Veel fysieke beveiligers haken af of doen een beroep op IT-specialisten. Hun kennis is gebaseerd op elektrotechniek, niet op risicobeheer, laat staan op het gebied van IT.

Groot verschil tussen fysieke en IT-beveiligingswereld

De beveiligingsinstallateur zoekt dus steeds meer samenwerking met IT-bedrijven. De IT-specialist moet op zijn beurt beseffen dat er nog steeds sprake is van twee verschillende werelden. Zo zijn nog altijd 95% van de traditionele beveiligingsystemen niet gebaseerd op het Internet Protocol (native). Daarmee wordt een willekeurig apparaat niet herkend in het netwerk. De basis netwerktechnieken of protocollen zoals SNMP en Syslog zijn veelal niet van toepassing. Hoe meer niet door het netwerk herkende apparaten, hoe groter het probleem voor de netwerkbeheerders.

Een kwart van de beveiligingsystemen maken geen deel uit van de veilige schil binnen een object. Zo zit bijvoorbeeld de netwerkaansluiting op het parkeerterrein bij de slagboom of cameramast. Systeem audits betekenen in beide werelden iets anders. En wat in de IT-wereld SIEM (Security Information & Event Management) heet, wordt in de fysieke beveiliging Physical Security Information Management (PSIM) genoemd. Ook de fysieke beveiligingsinstallateur heeft hele andere taken en verantwoordelijkheden dan de Security Operation Center (SOC)-analist. Het SOC heet bovendien gewoon meldkamer in de wereld van de fysieke beveiliging. Verder moeten fysieke beveiligingsystemen vaak 10 tot 15 jaar mee. In de snelle wereld van de IT-technologie betekent dat veel hardware en software legacy.

In de digitale wereld wordt software ingezet om systemen te beschermen, terwijl de grafische userinterface (GUI) in de fysieke beveiligingswereld bedoeld is voor de bediening van het systeem. Het gesloten systeem van voorheen, is vaak nog het uitgangspunt. Daarmee worden de risico’s van de netwerk ontsloten beveiligingsystemen onderschat.

Met de transitie van analoge of op ISDN2 gebaseerde meldkamers naar Alarmtransmissie over IP (AoIP) komen nieuwe aanvalstechnieken in beeld voor de beveiligingsinstallateur. Bij problemen verwijst het installatiebedrijf al snel naar de fabrikant van de technische systemen.

Ook Service Level Agreements (SLA’s) wijken af. Verstoringen op het gebied van IT worden veelal in de avond verholpen. Dat zijn nou net de tijden waarop de fysieke beveiliging juist het meeste aandacht vraagt. En omdat alles aan elkaar vast geknoopt is, zit dat elkaar dus in de weg.

De fysieke beveiligingswereld biedt steeds meer beheer op afstand aan via een eigen applicatie. Zonder dat de organisatie daarvan bewust is, wordt daarmee een potentiele ‘achterdeur’ c.q. lek in het systeem gecreëerd. Via deze achterdeur kan het de bestaande IT-beveiliging makkelijk omzeild worden.

Sommige systemen bevatten persoonsgegevens of zijn volledig gekoppeld aan HR-applicaties. Bezoekersportals zijn voorzien van informatie over kentekens, paspoortscanners of biometrische gegevens. De bescherming van deze persoonlijke gegevens is uiteraard ook cruciaal.

Zakendoen met de IT-specialist of fysieke beveiliger?

Kortom, het is nog een flinke uitdaging om de fysieke en digitale beveiligingswereld goed geïntegreerd te krijgen. Maar linksom of rechtsom gebeurt dat wel. Dan is natuurlijk de vraag wie je welke verantwoordelijkheid geeft. Weet de IT-afdeling genoeg van de wereld van fysieke beveiliging en hoe zorg je dat beveiligingsinstallateur samen met de beveiligingsbeambten in uniform de wereld van IT gaan snappen? Op een manier dat veiligheid ook echt gewaarborgd wordt. Wat haal je daarvoor in huis en wat kun je zelf invullen? En hoe zorg je ervoor, dat beide werelden dezelfde taal spreken? In een tijdperk waarin de beveiligingsrisico’s alleen maar toenemen. Want het gaat er niet meer om òf je risico loopt maar wanneer fysieke en/of digitale inbraken plaatsvinden.

Het is hoe dan ook belangrijk dat zowel fysieke als digitale bescherming hetzelfde beveiligingsniveau krijgen. De verantwoordelijkheid hiervoor moet op 1 plek liggen. Het is niet voor niets dat afgelopen jaren steeds meer Chief Security Officers (CSO’s) worden benoemd. Deze strategische functionaris zal samen met zijn of haar beleidsmakers een integraal beveiligingsbeleid moeten ontwikkelen waarbij risicoanalyses, de rol van fysieke versus digitale bescherming van personen en hun gegevens, compliancy, ISO-2700X normeringen, Identity Access Management (IAM) in relatie tot fysieke toegangscontroles en ga zo maar door, allemaal aan bod komen.

Het zal voorlopig nog wel even duren voordat we afscheid nemen van de vertrouwde beveiligingsbeambten aan de balie. Maar dat hij of zij een beroep doet op hele andere technologie dan een aantal jaren geleden, is wel duidelijk in een wereld die steeds meer digitaliseert.

Rob Nefkens is security specialist bij IT-dienstverlener Sogeti