#2 Slecht Gescoord bij de Audit - Wat Nu?

Show Notes

Beveiligingsaudits leveren vaak verrassende resultaten op, zeker als het gaat om fysieke beveiliging. Maar wat doe je wanneer de auditor drie verbeterpunten heeft geconstateerd over toegangsbeveiliging?

In deze aflevering bespreken we een herkenbare situatie: een ISO 27001 audit heeft aangetoond dat het toegangsbeleid ontbreekt, de toegangspassen verouderd en kopieerbaar zijn, en er ongeautoriseerde toegangsrechten zijn toegekend. Drie schijnbaar eenvoudige problemen die in werkelijkheid complexe oplossingen vereisen.

We duiken diep in de vraag wie eigenlijk verantwoordelijk is voor deze problemen. Moet de facilitaire dienst dit oppakken? Of ligt de bal bij ICT? En welke rol speelt HR hierin? Het blijkt dat een multidisciplinaire aanpak noodzakelijk is, waarbij verschillende afdelingen samenwerken aan een integrale oplossing.

Van het structureren van functie- en rolgebaseerde toegangsrechten tot het classificeren van ruimtes en het inrichten van robuuste processen voor pasuitgifte - we bespreken diverse facetten van een effectieve aanpak. En net zoals bij een auto die regelmatig APK nodig heeft, concluderen we dat beveiligingsmaatregelen continu onderhoud vereisen om effectief te blijven.

Luister nu naar deze praktische aflevering en ontdek hoe jij auditresultaten kunt omzetten in concrete verbeteringen voor de fysieke beveiliging van jouw organisatie.

Stap mee naar binnen en luister naar risicoafwegingen en besluitvorming in de wereld van fysieke weerbaarheid.

Chapters

• 0:00: Introductie
• 2:39: Uitleg over beveiligingsaudits
• 4:27: De casus: Drie verbeterpunten
• 5:09: Geen probleemeigenaar
• 6:06: Toegangspas gekopieerd
• 7:46: Ongewenst toegang tot de serverruimte
• 9:06: Integraal probleem
• 10:25: Komen tot toegangsbeleid
• 11:26: Eigenaarschap en betrokkenen
• 12:27: Belanghebbenden
• 13:52: Oplossing van de gekopieerde toegangspas
• 16:32: Toegangsrechten structureren
• 17:25: Toegang op basis van functies en rollen
• 19:54: Beleidsuitgangspunten voor rechten
• 20:18: Classificatie van ruimtes en personen
• 21:54: Inrichten van rechten
• 22:51: Communicatie voor draagvlak
• 23:43: Integrale benadering
• 24:43: Projectmatige aanpak
• 25:18: Fysieke toegang borgen
• 25:35: Afronding

Transcript

Speaker 1: 0:00

Hey, milan.

Speaker 2: 0:01

Hey Ruben, hey jongen, hoe is het? Ja, wat zou ik zeggen Met mij goed, met mij goed.

Speaker 1: 0:08

Maar jou, je kreeg net een telefoontje.

Speaker 2: 0:10

Ja, misschien kon je het al iets aan me zien, maar ik kreeg een telefoontje van de garage Mijn auto was naar de APK geweest.

Speaker 1: 0:16

Oké, en alles was goed, en je betaalde 48 euro, en toen was het klaar.

Speaker 2: 0:25

Ja, en daarom had ik ook zo'n gezicht. Nee, ik heb wel die achterveer druk over de APK, dat kan wel. Maar nee, ik had een puntje, wat opgepakt moest worden Anders komt je auto niet door de APK en zijn natuurlijk verplichte onderdelen, zoals Ik had. De achterbanden waren te weinig profiel, nou goed, daar moet je aan geloven. Oké, en ik, k had ook een adviespunt Ja, wat ook wel lekker aan tikt. Dus al met al, en wat was het adviespunt? Remschijven Vervangen, ja, als in de zin van dat remmen. Nou, ik ben het nou alweer een beetje vergeten. Je bent geschrokken, hè.

Speaker 1: 0:59

Ik zie het een beetje.

Speaker 2: 1:00

Nou, het is er toch voor ze bedragen, die ze genoemd hebben. Dat blijft vooral hangen, niet zozeer, wat de vervangen wordt, maar ja, remschijven is een keuze. Ja, in principe komt u wel de de apk, maar schreef wat advies om te vervangen.

Speaker 1: 1:12

En wat ga je doen, want je zit best wel veel de weg ja ik de ja, en ik vind veiligheid ook heel belangrijk.

Speaker 2: 1:20

Maar ja, je moet er altijd even over nadenken, of je dat allemaal dan weer gaat vervangen, want je investeert al best wel veel in zo'n auto En je hebt ook niet altijd de expertise, om te kunnen beoordelen, of nu al vervangen echt noodzakelijk is.

Speaker 1: 1:34

Ja, dus, je zou moeten weten, hoeveel zit er, hoeveel kan ik nog en hoeveel ga ik rijden Dus elke keer maar op voorhand dingen vervangt.

Speaker 2: 1:43

Ja, dat doet goed. Uiteindelijk tikt dat wel aan. Maar goed, dat is over mijn auto. Die afweging ga ik nog maken. Weet je genoeg over mijn auto.

Speaker 1: 1:53

We gaan vandaag Ja vandaag in de podcast gaan we het hebben over. We hebben een audit gehad, en er zijn een aantal verbeterpunten uitgekomen. En wat nu? Beveiliging? Binnenskamers is een podcast over fysieke beveiliging bij complexe organisaties. Security professionals bespreken de afwegingen achter de maatregelen zoals toegangscontrole, cameratoezicht, sleutelbeheer en meldkamers Gesprekken, die normaal binnenskamers blijven. Je hoort praktijkdilemma's, inzichten en reflecties van professionals uit het veld. Stap mee naar binnen en luister naar risicoafwegingen en besluitvorming in de wereld van fysieke weerbaarheid, ja, audits.

Speaker 2: 2:41

Daar zijn natuurlijk vele verschillende varianten van, maar ik denk, op het gebied van fysieke beveiliging kunnen we misschien een aantal voorbeelden noemen. Je hebt natuurlijk audits vanuit kwaliteitsmanagement, als je kijkt naar heel veel zorginstellingen, die hebben te maken met kwalikoord, dat gaat dan over de toegang tot medicatieruimte. Je hebt ook vanuit autoriteiten autoriteit financiële markten heeft. autoriteit financiële markten heeft allerlei eisen, autoriteit, persoonsgegevens, en we weten, daar zitten best wel flinke bestuurlijke boetes op, als je daar niet aan voldoet. maar we hebben ook allerlei interne vormen van audits, zoals een pentest of, wat wij ook veel doen, een mystery visit.

Speaker 1: 3:17

dat zijn allemaal vormen van audits een veel voorkomende audit, die ons werk een beetje raakt. Dat is eigenlijk de audit op de ISO 27001. Het zal niet voor iedereen een bekende normenstelsel zijn, maar dat gaat over informatiebeveiliging. Er zijn wat afgeleide normenkaders van de BIO en de NEN 7510. Die lijken hier heel erg op, en er zitten een aantal hoofdstukken in, die ingaan op fysieke beveiliging en dus eigenlijk ook over fysieke toegang. En daar gaan we het even over hebben. Want vanuit zo'n audit komt een auditor, en die gaat bekijken, hoe het allemaal ervoor staat in zo'n organisatie, en die schrijft een paar punten op, en er komt een heel rapport uit, en dan zit er een aantal puntjes, die dan bij degene vaak ICT afdeling. Die krijgen zo'n rapport of de CISO, en er zitten een paar puntjes, waar die CISO dan even niks mee kan, en die gaat dan naar een afdeling of een team, die daarover gaat. En als we het dan hebben over fysieke beveiliging, dan komen we vaak uit bij facilitaire bedrijven of iets een beetje in die richting, want die gaan over het toegangscontrolesysteem doorgaans, en ja, daar bleken in dit geval eventjes.

Speaker 1: 4:30

Als voorbeeld bleken daar drie punten uit te zijn Rondom fysieke toegang, en het ging over toegangsbeleid. Daar ontbrak het aan, of wat er op papier stond. Dat is niet voldoende. Wat ook was, gebleken, is, dat de toegangspas verouderd is, gekraakt, dus makkelijk te kopiëren. En wat bleek uit dat steekproeven is, dat eigenlijk ongeautoriseerde mensen toch rechten hadden. En in enkel geval ging het zelfs om, dat de ICT-ruimte, dat daar toegang toe was door een onbevoegde Ja, en dat willen we natuurlijk niet laten gebeuren. En dat willen we natuurlijk niet laten gebeuren. Ja, want vaak is er dus geen vastgestelde probleem-eigenaar. Nu gaat er dus iemand naar de facilitaire bedrijf toe van jij hebt dat systeem, jij hebt ooit die passies uitgegeven aan iedereen en jij doet iets met die rechten. Nu hebben we een audit gehad, en jij hebt nu een probleem, en die manager facilitaire of die teamleider, die zegt ja, ik heb dat misschien ooit een keer aangeschaft, of mijn voorganger, maar ik wist helemaal niet, dat ik nu aan zet ben, eigenlijk.

Speaker 2: 5:40

Nee, en niet alleen vanuit facilitaire is er iemand aan zet, maar er zit natuurlijk een gedeelde verantwoordelijkheid op, als je kijkt naar ICT, die daar zelf natuurlijk ook ergens een rol in heeft. Maar bijvoorbeeld HR is op het gebied van toegang ook een belangrijke speler. Die gaat over mensen en functies en in dienstreding, maar ook vanuit technisch oogpunt.

Speaker 1: 6:06

Mensen, die verantwoordelijk zijn voor het technisch beheer van het systeem. Nou ja precies, en over die techniek gesproken Die pas bleek dus eigenlijk te kopiëren te zijn. En wat houdt dat nou precies in? Wij doen dat zelf ook wel. Je kan eigenlijk voor een paar euro een apparaatje kopen, waarmee je in sommige gevallen een kopietje kan maken van de rechten van een pas, en dan is of de pas verkeerd geïmplementeerd in de organisatie, of de pas is zo oud, dat die technologie gewoon nieuwe, betere vormen niet aankunnen, en dat betekent dat, als je bij de pas in de buurt kan komen, dat je hem dus een kloon kan maken.

Speaker 2: 6:45

Ja, daar zijn best wel veel voorbeelden van. Volgens mij is het ooit een studentenclub, die in 2008 dit aan het licht heeft gebracht, en inmiddels heeft volgens mij Alberto Stegeman er wel eens misbruik van gemaakt, door zo'n pasje te kopiëren en op Schiphol ergens naar binnen te kunnen komen. En, zoals je net zelf aangaf, we zelf doen het vaak ook het klonen van het pasje, om zeg maar inzichtelijk te maken, dat dat pasje best wel een belangrijke schakel in het geheel is en veelal, toch wel vaak, de meest kwetsbare variant is. En ja, en als het pasje kwetsbaar is en je eenvoudig dat pasje kunt kopiëren, dan kun je er ook niet meer van op aan, dat degene, die de pas heeft, ook de eigenaar is van de pas. En zo'n systeem werkt vaak, dat toegangen worden gelogd, en als jij denkt, dat Ruben Segers afgelopen vrijdagavond om 11 uur bij de serverruimte naar binnen is gegaan, dan kan dat dus ook heel iemand anders zijn geweest, die toevallig de rechten van Ruben Zeewis heeft gekopieerd. Ja, dan is die informatie niet meer betrouwbaar.

Speaker 1: 7:46

Nee, dus, daar ging het nu even om in dit voorbeeld Iemand blijkt dus, dat hij ongewenst in die serverruimte toegang heeft. Dit ging dan even niet over het kopiëren van passen, maar dit gaat erover, dat op een of andere manier een medewerker, die niet in die ruimte mag komen, toch in die ruimte kan komen. Wij verzinnen dit nu, maar dit is iets, wat vaak gebeurt, wat we tegenkomen, en daar moeten we iets mee, want dat is natuurlijk zeer ongewenst.

Speaker 2: 8:17

Ja, en dat heeft natuurlijk verschillende oorzaken. En vaak is een probleem, dat de procedures voor het beheer van een pas en van rechten best wel complex is, dat mensen rechten krijgen op persoonlijke titel, en als er dan een nieuwe collega komt, waarvan we eventjes niet weten, welke rechten we die moeten geven, dan kijken we maar naar, wie is jouw collega, en dan geven we die persoon dezelfde rechten. Vaak zijn de manieren, waarop we die rechten toekennen, ook best wel foutgevoelig. Het zijn allemaal hadmatige handelingen, dus we kunnen iets verkeerd interpreteren of iets verkeerd aanvinken.

Speaker 2: 8:46

Maar ja, iemand kan bijvoorbeeld ook een mailtje sturen naar een afdeling, die verantwoordelijk is voor het toekennen van die rechten, en ja, als zo'n afdeling niet weet, hoe ze sowieso een vraag moeten toetsen, ja, een enorme wildgroei aan rechten. Dus niet alleen het probleem zit hem in de rechten, het probleem zit hem niet alleen in passen, het probleem zit hem niet alleen in het beleid. Het zijn dus niet allemaal losstaande problemen, het hangt allemaal met elkaar samen. En dat betekent dus niet, dat je vanuit één invalshoek op zoek kunt naar een oplossing, maar dat je zo'n oplossing vanuit een dat noemen ze zo'n mooi woord integraal karakter, dus met elkaar op zoek moet naar een oplossing, die werkt op het gebied van beleid op het gebied van passen en op het gebied van rechten.

Speaker 1: 9:35

We maken deze podcast, om kennis met je te delen over onze praktijkervaringen. Maar de praktijk, dat ben jij, en misschien sta je in jouw organisatie wel voor een lastig beveiligingsvraagstuk. Of heb je een vraag over hoe iets in de praktijk werkt en wil je weten, hoe je dit kan aanpakken? Mail ons dan op podcast at beveiligingbinniskamersnl. Je krijgt altijd persoonlijk antwoord van ons, en misschien behandelen we jouw vraag wel in een nieuwe aflevering.

Speaker 2: 10:02

Yes, nou, welkom terug. We zitten nog steeds in de podcast, waarin we in deze kaart slecht gescoord hebben tijdens een audit. We hebben slecht gescoord op beleid, we hebben slecht gescoord op een gekraakte toegangspas En we hebben ook slecht gescoord op het gebied van toegangsrechten, en we moeten met elkaar kijken, hoe we daar een oplossing voor gaan benenken. Dus, ruben, hoe zouden we nou op zoek kunnen gaan naar een oplossing?

Speaker 1: 10:25

Ja, we hebben dus die drie onderdelen eventjes als voorbeeld, en laten we dan met dat beleid starten.

Speaker 1: 10:35

Het is verstandig, om in eerste instantie te gaan kijken, als er dan beleid moet komen, wie gaat dat dan schrijven?

Speaker 1: 10:37

gaan kijken, als er dan beleid moet komen, wie gaat dat dan schrijven? Wie is nou eigenlijk eigenaar daarvan? En het gaat niet zozeer om, wie gaat het schrijven, het gaat er meer om wie heeft de verantwoordelijkheid over wat erin komt, te staan? En eigenlijk is zo'n audit het gaat ook niet over, dat je een stukje papier mist. Dat is helemaal het probleem niet. Het gaat erover, dat je eigenlijk het geregeld moet hebben, dat je het eigenaarschap, nog een aantal dingen, dat je dat geregeld moet hebben. En als je dat dan geregeld hebt, dan schrijf je op, hoe je dat hebt geregeld, of je gaat het eerst opschrijven, van zo gaan we het regelen, en je gaat het dan vervolgens zo regelen. Dus, het beleid is eigenlijk een soort bewijsstuk van hoe we dat doen. Dus ja, er is soms een beetje een misvatting We hebben een paar pagina's nodig, en dan voldoen we. Maar zo simpel blijkt het eigenlijk dus niet te zijn. We moeten dus eerst gaan kijken, wie is eigenaar, maar niet alleen, wie is dan die centrale eigenaar? Want het is dus multidisciplinair, daar hebben we het net over gehad.

Speaker 1: 11:35

Dus, wie hebben daar dan nog meer taken en verantwoordelijkheden in. En welke taken en verantwoordelijkheden zijn dat? En dan moet je bijvoorbeeld denken aan pasuitgiften, de toekenning van rechten, waar we het dan net ook over hadden, maar ook over het intrekken van die rechten, weer En ook weer het inleveren van die pas, want die pas is vaak ook een identiteitsmiddel. En wat doen we, als er een paslezer in storing gaat en de deur niet functioneert? En wat doen we, als er een incident is geweest en we willen naar de logging kijken? Wie gaat dat dan doen? Wie mag dat doen, en wie bepaalt, welke rechten aan wie worden toegekend? Het zijn allemaal zaken, die niet terloops zo moeten gaan, zoals het maar gaat, maar die we gewoon vast moeten leggen En met elkaar moeten overeen komen En dat dan ook vervolgens zo gaan doen.

Speaker 2: 12:27

Precies met elkaar. Dus je zult iemand moeten hebben, die als eigenaar in de regie is, die de lijnen uitzet, maar die eigenaar zal ook andere afdelingen mee moeten nemen in dat beleid, want dat beleid moet uiteindelijk integraal in zo'n organisatie worden uitgedragen. En wat ik daarmee bedoel, is, dat bijvoorbeeld HR een hele belangrijke rol heeft, zoals ik net al aangaf. Als je bijvoorbeeld kijkt naar de hele procedures rondom indienstreding, functiewijziging, uitdienstreding, dat heeft niet alleen met dat proces op zich te maken, maar ook als je in dienst komt, dan heb je een bepaalde functie, daar horen misschien bepaalde rollen bij. Je krijgt misschien een sleutel, je krijgt misschien een pas. Die spullen, die toegangsmiddelen moet je ook allemaal weer inleveren.

Speaker 2: 13:06

Dus het feit, dat je het opschrijft, dan zul je ook zo met haar echt die verantwoordelijkheden moeten beleggen van zo'n toegangscontroleoplossing. Volgens mij gaf je net ook al een beetje aan, maar zo'n FSB is natuurlijk verantwoordelijk voor het fysiek uitgeven en innemen van de pas. Misschien moet je daar dan nog voor tekenen En ook, hoe we het loggen van bepaalde gebeurtenissen controleren. Dus, dat we in beleid opschrijven, dat we steekproefsgewijs een controle uitvoeren op hoe we rechten hebben toegekend, ja, dan moeten we ook gaan beschrijven, hoe we dat dan gaan doen.

Speaker 1: 13:41

Ja, en zo zijn er eigenlijk allemaal onderdelen rondom dat beleid, die ingevuld moeten worden. We hebben ze niet allemaal genoemd, maar we hebben op hoofdlijn een beetje aangegeven, waar het om gaat, en dat was dan één probleem. Dat beleid was een verbeterpunt. Een ander was die passen, die gekraakt kunnen worden, die te kopiëren zijn, en dat betekent, dat je ze moet gaan vervangen, want je moet eerst onderzoeken, eigenlijk, wat is nou precies de oorzaak daarvan? En het kan zijn, dat je iets anders moet inregelen, maar het kan ook zijn, dat je het helemaal moet gaan vervangen. En als je het moet gaan vervangen, wat in veel gevallen wel zo is, dan is het nog maar de vraag, of jouw hardware dat allemaal aan kan. En daar bedoel ik mee Er zit een hele infrastructuur aan kabels en kastjes boven de deur en paslezers. Het is allemaal hardware, die met die technologie om moet gaan, en als dat niet kan, moet je dus meer gaan vervangen dan alleen die pas.

Speaker 2: 14:41

Ja, en naast dat de technische uitdagingen, die je hebt, zul je ook na moeten denken over, als ik die pas dan ga vervangen. Wie gebruikt die pas dan allemaal nog meer, en veelal zijn dat dan bestaande gebruikers, bijvoorbeeld Het inkunnen nog tot een pc met zo'n kastje, waar het vaak voor je poesje ligt, waar je je pasje op houdt. Die bent automatisch ingelogd. Andere functionaliteiten zoals kledinguitgifte is veel voorkomend, bijvoorbeeld het openen van het lokken of parkeren, ja, dat zijn allemaal functionaliteiten. Als jij die pas gaat vervangen, dan moet je daar ook allemaal rekening mee houden. Want hoe In dit geval faciliteert zich? Ik heb eraan voldaan, ik heb mijn pasje vervangen, maar alle andere afdelingen, die daar ook gebruik van maken, die lopen in één keer tegen allerlei uitdagingen aan.

Speaker 2: 15:24

Dus, het is niet alleen de oplossing voor toegang.

Speaker 1: 15:32

Nee, er moeten dus mogelijk allerlei koppelingen gerealiseerd worden, en naast die technische kant, die jij net aangeeft, milan, heb je ook nog gewoon de optische Vaak wordt zo'n pas ook als ID gebruikt, en vaak heeft de draagplicht van de pas Heeft een functie, namelijk dat je kan zien, als iemand in een bepaalde ruimte loopt, en je vraagt hem van Wat doe jij hier, dat je ook kan zien, van, hij zit bij die afdeling, hij zit bij de ICT afdeling, dus in ditdeling, dus hij mag in die ruimte komen, want dat is dan toegestaan, als je dat dan al als een functie kan zien. Dus ja, als we een pas gaan vervangen, denk dan ook meteen na, misschien moet je met verschillende soorten passen gaan werken.

Speaker 2: 16:13

Ja, dat doen ze ook wel veel, dat je kunt zien, wie een medewerker is, en dat wie een medewerker is en wie een externe is, of vrijwilligers Of een bezoeker.

Speaker 1: 16:18

Bezoekers passen. Ja. Dus dat is van belang, dat je gaat kijken van op welke manier technisch en functioneel ga je die passen gebruiken. En ja, dan is het slim om, als we het hebben over die passenrechten Want dat is dan weer het volgende onderdeel Is iemand had rechten, die hij niet mocht hebben, maar dat kan om allerlei redenen zijn. Dus je start in de oplossing, start je met de oorzaak. Want je kan natuurlijk gewoon zeggen oké, we passen het aan en klaar, maar hoe is het zo gekomen En doen we dit structureel op een verkeerde manier? Want als je alleen maar die rechten even rechttrekt, dan doe je een beetje aan symptoombesprijding, en het kan zijn, dat er nog veertien mensen rondlopen met de verkeerde rechten.

Speaker 2: 17:04

Dus daar moet je echt dieper op in Dat, wat je nu oplost, kan over een tijdje weer ontstaan, als je niet goed op zoek gaat naar de oorzaak van het probleem. Wat daarin natuurlijk wel kan helpen, is, om rechten niet op persoonlijke titel toe te kennen, maar veel meer te kijken. Hoe kun je nou bijvoorbeeld bij zo'n HR-proces aanhaken?

Speaker 1: 17:23

Het is heel slim, om te kijken naar wat is nou iemand zijn functie en welke rol heeft die bijvoorbeeld. En wat bedoel ik daarmee? Je hebt vanuit je functie. Dus je werkt of bij schoonmaak, of je werkt bij ICT, of je werkt bij een facilitaire bedrijf. Daar horen bepaalde ruimtes bij, die jij moet kunnen betreden voor het uitoefenen van je werk, en andere ruimtes, daar hoef je niet in, of zelfs mag je niet in, en dat noem je functiegebaseerd toekennen van rechten. Maar naast die functies en dat maakt het vaak wat complexer heb je soms ook nog rollen. Dus het kan zijn, dat je naast jouw functie ook bijvoorbeeld in de calamiteitenorganisatie zit of bij een storing in een bepaalde groep met mensen zit, die de storingsopvolging doet, waarbij je in geval van een storing ook bepaalde rechten nodig hebt. En als je kijkt naar wat verouderde software, toegangscontrole software, En als je kijkt naar, wat verouderde software, toegangscontrole software, ja, dan worden dat soort dingen heel complex, om dat goed te doen En moet je dus goed weten, van wat voor software we hebben. Wat kunnen we daarmee? Kunnen we wel functie gebaseerd en rol gebaseerd autoriseren? Is dat een beetje te beheren en vol te houden, en zo niet? ja, dan moeten we ons af gaan vragen. Je kunt er vanuit gaan, dat als het handwerk wordt En het gaat om duizenden mensen Dan kun je er echt je vingers op natellen.

Speaker 1: 18:43

Misschien niet vandaag En niet morgen, maar over twee, drie jaar Wordt het gewoon een puinhoop. En dat heeft niet alleen te maken, met Dat er hier en daar een keer een foutje gemaakt wordt, maar ook iemand, die die rechten toekent. Dat is vaak niet één persoon, het zijn er meer, er zit verloop in. Dus de kans op fouten is heel groot, als de applicatie dat niet allemaal goed kan regelen.

Speaker 2: 19:03

Voor je Idealiter wil je eigenlijk proberen, dat te automatiseren. Maar daar, waar dat misschien niet altijd kan, kun je natuurlijk wel kijken bij zo'n HR-afdeling van hoe kunnen we ervoor zorgen, dat functienamen gelijk zijn en gelijk blijven, dat, als we nadenken over welke functie welke rechten mag hebben, dat er niet elke twee weken een nieuwe functie wordt gecreëerd. En ik denk, wat ook wel even goed om te noemen is, als je kijkt naar aanvullende rollen in heel veel organisaties rondom BRV, maar als je kijkt naar ziekenhuizen zitten natuurlijk heel veel mensen in een reanimatieprofiel. Dat dat ook iets is, waar je goed mee moet afstemmen, want vanuit faciliteert zijn wij niet verantwoordelijk voor wie er in het reanimatieteam zit. Dus het beheer van welke mensen in zo'n rol zitten en dus ook automatisch daar rechten toe moeten krijgen, ja, dat ligt bij iemand anders, en dat zul je wel heel goed moeten borgen als je zoiets wilt inrichten.

Speaker 1: 19:52

We hadden het net daar dan net even niet over gehad. maar in het beleid moet je het dus ook aangeven. Kijk, er is iemand, die die rechten gaat toekennen. Gewoon klik, klik, klik, en rechten zijn toegekend. Maar we moeten het dus ook vastleggen, en dat is dus niet één persoon of één functie. Wie mag nou in welk geval welke rechten nodig? maar wie beslist nou, of hij die mag hebben? En dat hoort dan weer een beetje in het beleid.

Speaker 2: 20:18

En als je dan kijkt, wie mag welke rechten hebben, dan moet je natuurlijk ook nadenken over wie mag nou waar naar binnen en onder welke omstandigheden. En wat daarbij kan helpen, is het klassificeren van ruimte. Dus als je bijvoorbeeld kijkt naar dat wordt natuurlijk vaak zonering genoemd We hebben bepaalde ruimtes, die zijn openbaar toegankelijk, daar heb je niks aan autorisaties voor nodig, om daar naar binnen te kunnen. Je hebt gebieden, die zijn afgesloten voor publiek, maar voor grote groepen personen toegankelijk, en je hebt ook wel ruimtes, die qua risico heel hoog liggen en waar alleen specifieke functies naar binnen mogen.

Speaker 1: 20:51

Die ruimteclassificatie. Die ruimteclassificatie, dat is wel een hele goeie, want je kan wel, als dat er nog niet echt is of niet goed is of niet goed functioneert, je kan wel mensen indelen in groepen, maar daar horen deuren tegenover te staan, en als je niet goed weet, welke deuren bij welke functies en rollen horen, ja, dan wordt het een beetje lastig. Dus dat moet je goed op orde hebben. Dus een onderdeel van je oplossing is, zorgen, dat je weet, hoe je ruimtes geclassificeerd zijn, en dan hebben we nog een klein stukje extra uitdaging in dat geheel. Wat anders is dan bij toegang op IT-systemen is, dat je ook een fysieke routing hebt. Dus je kunt mensen niet toegang geven tot een deur na een deur, waar ze geen toegang toe hebben.

Speaker 2: 21:36

Nee, logisch moet het kloppen. Dus de logische toegang, die je fysiek loopt, dat moet kloppen, dat moet functioneren. Dus het loont zeker de moeite, om daar op voorhand heel goed over na te denken En daar echt veel tijd en energie in te steken, om dat kloppen te krijgen.

Speaker 1: 21:54

En als je dus gaat beginnen met het inrichten van rechten en dus het uitgeven van passen, dan moet er dus in een applicatie toegangsbeheerapplicatie of een andere applicatie moet dat allemaal worden ingeregeld. Maar je hebt dus met heel veel verschillende afdelingen, die mogen beslissen, over wie waar toegang toe mag hebben, en als je met zo'n afdeling gaat praten, dan blijkt er eigenlijk allerlei nuances en dingen te zijn, die je in eerste oogopslag niet zou verwachten. Dus je moet heel erg samenwerken met andere afdelingen, om tot een goed rollenprofiel te komen, een goed profielenstelsel, en je wil eigenlijk die profielen niet onnodig honderden, profielen voor elke persoon weer in profiel, want dan ben je in je beheer weer helemaal kwijt. Dus je moet dat goed integraal aanpakken en samen met andere afdelingen toekomstbestendig en beheersbaar houden.

Speaker 2: 22:51

Ja, en dan pas, als je een hele goede oplossing hebt, is communicatie echt wel een key, want we kunnen het beleid nog zo strak bedenken En met elkaar allemaal aftikken, en we kunnen heel veel aan toegangscontrole maatregelen implementeren En iedereen mooi een pas geven, maar als we vervolgens op afdelingen komen, waar weer gewoon de deuren staan, dat mensen het toch maar lastig vinden, dat, als ze hun handen die deur moeten openen, dan hebben we ergens iets in dat proces ook niet helemaal goed gedaan. Dus het creëren van draagvlak, het beantwoorden van waarom doen we dit nou eigenlijk en welk risico proberen we nou met elkaar te voorkomen, is iets, wat je supergoed moet communiceren naar de werkvloer, want daar valt of staat uiteindelijk de totaliteit en het succes van je oplossing mee.

Speaker 1: 23:43

Dus communicatie en draagvlak creëren op de werkvloer is echt superbelangrijk. Ja, we hebben dus nu eventjes gekeken, naar wat de oplossing kan zijn van het vraagstuk rondom. We hebben drie verbeterpunten uit de audit, en dat ging over beleid, dat ging over passen en dat ging over rechten. En dat ging over beleid, het ging over passen en het ging over rechten. En ja, we gaan nu eventjes een beetje samenvatten, wat nou die verbeterpunten zijn Of hoe je dat nou zou kunnen aanpakken.

Speaker 2: 24:05

Ja, en ik denk, dat we wel kunnen concluderen met elkaar En dat hebben we, denk ik, ook wel een paar keer gezegd Dat deze vormen van nou in dit geval beleid passen en rechten niet op zichzelf staande problemen zijn, dat je daar andere afdelingen voor bij nodig hebt, om met elkaar te bedenken, hoe we dit gaan oplossen, en uiteindelijk ook met elkaar die oplossing moet implementeren, om dat ook succesvol te kunnen krijgen. Dus dat betekent uiteindelijk wel, dat je vanuit Faciliteit dit niet alleen kunt, en dat prachtige woord, wat daar altijd ooit voor bedacht is, die multidisciplinaire aanpak, is toch wel echt belangrijk hierin.

Speaker 1: 24:42

Ja, en het is ook iets, waarvan je waarschijnlijk er niet meer weg komt, dat mensen dat eventjes erbij gaan doen. Dus je zal daar toch in ieder geval een soort van projectaanpak voor moeten opzetten, waar ook gewoon tijd, geld en middelen voor vrijgemaakt worden, dus een projectplan, waarbij want het zijn drie kleine puntjes, die we moeten oppakken voor de audit. Maar ja, als je het zo een beetje beluistert, dan wordt het al snel heel omvangrijk met veel mensen, complexiteit en afhankelijkheden, en het gaat om geld en om inzet. Dus daar moeten we gewoon systematisch mee omgaan En gewoon een project voor opzetten, precies.

Speaker 2: 25:18

En ik denk, dat je het goed zegt, je zou dit op kunnen pakken als project, maar het moet ook systematisch opgelost worden. Dus na het project is het ook niet klaar, want ruimtes veranderen van functionaliteit, er komen nieuwe functies bij, er gaan functies af, er ont risico's, er ontstaan nieuwe eisen vanuit wetgeving. Het is niet een eenmalig aanpak, dit is een onderweg op wat gewoon continu aandacht behoeft, continu aandacht behoeft Milan.

Speaker 1: 25:42

Dat is eigenlijk net zoiets als je APK. Het is iets, wat elke keer terugkomt en waar je steeds van weer iets mee moet En waar je eigenlijk dus ook op blijvend moet, op investeren, om voor je eigen veiligheid, in dit geval de beveiliging van de organisatie moet waarborgen, en ik denk, dat daar een heel mooi parallel ligt eigenlijk.

Speaker 2: 26:05

Wat weet jij al, wat je gaat doen? dan? Nou, ik denk, dat ik er wel over uit ben. Misschien verklapte ik dat al aan het begin, maar ik denk, dat ik gewoon die remmen ga vervangen. Vroeg of laat komt het een keer, het is iets, wat terug blijft komen. Vroeg of laat komt het een keer, het is iets, wat terug blijft komen. Dus, ik ga gewoon nu de keuze maken, om die remmetjes lekker te vervangen. Dus, ik ga even aan de garage bellen.

Speaker 1: 26:23

Dat lijkt me een verstandig besluit. Je luisterde naar Beveiliging Binnenskamers via Spotify, youtube of Apple Podcasts. Wil je geen aflevering missen? Abonneer je in je favoriete podcast app. Geef een beoordeling of like. Dit helpt ons, om door te blijven gaan, en zo help je anderen, deze podcast ook te vinden. Bedankt voor het luisteren en tot de volgende keer Een podcast van Security Risk Watch.