TOP

Het is bekend dat fysieke beveiliging essentieel is voor bedrijfscontinuïteit, en dat een toegangscontrolesysteem cruciaal is voor een veilige werkomgeving. Tijdens de wereldwijde pandemie van de afgelopen jaren hebben veel mensen uit de eerste hand ondervonden hoe belangrijk het is om de stroom van personen die bedrijfsterreinen betreden en verlaten, in goede banen te leiden.

Maar hanteer je ook een gedetailleerd, gedocumenteerd beleid voor fysieke toegangscontrole? En hoe vaak wordt dat bijgewerkt?

Organisaties die een toegangscontrolesysteem willen implementeren, moeten nadenken over drie abstracte elementen: beleid, modellen en mechanismen voor toegangscontrole.” – Het National Institute of Standards and Technology (NIST)

In dit artikel kijken we naar het eerste element, het beleid voor toegangscontrole. Wat is het, waarom is het nodig, wat moet er in staan en welke beproefde methoden zijn er?

 

1. Wat is een beleid voor fysieke toegangscontrole?

Een beleid voor fysieke toegangscontrole is een document waarin wordt uiteengezet wie toegang heeft tot welke locaties in uw organisatie (zoals terreinen, gebouwen en ruimten), en onder welke omstandigheden. Ook het beheer van deze toegangsrechten wordt in het beleid beschreven.

Het beleid voor fysieke toegangscontrole wordt meestal gebruikt in combinatie met technologie, zoals systemen voor fysieke toegangscontrole en voor bezoekersbeheer. En het model voor toegangscontrole dat u volgt, bepaalt een aantal belangrijke details van uw beleid.

Jeroen van Dormolen, Service Owner – Enterprise Professional Services bij Nedap Security Management, over belangrijke contactmomenten in communicatie: “Als onderdeel van het implementatieproces vragen wij organisaties wat ze verwachten van hun beheer van toegangscontrole. Vervolgens stemmen we in een iteratief proces de verwachtingen af op de werkelijke gebruiksscenario’s.

2. Waarom is een beleid voor fysieke toegangscontrole nodig?

In een veilige omgeving zijn alle drie de elementen van de beveiligingsdriehoek – systeem, procedures en mensen – goed geregeld. Hopelijk hebt u een goed toegangscontrolesysteem gekozen, zoals AEOS, en bestaat uw beveiligingsteam uit de juiste, goed getrainde personen.

Met een beleid voor fysieke toegangscontrole regelt u het derde element van de driehoek, door ervoor te zorgen dat mensen weten welke procedures ze moeten volgen wanneer ze uw systeem of systemen gebruiken. Dit is van cruciaal belang. U kunt over de allerbeste technologie voor toegangscontrole beschikken, maar als mensen niet weten hoe ze die moeten gebruiken, zijn de risico’s voor u waarschijnlijk groter.

Vergeet ook niet dat u met fysieke beveiliging niet alleen personen, plaatsen en fysieke middelen beschermt, maar ook digitale middelen. Want als mensen eenmaal toegang hebben tot uw fysieke locaties, kunnen ze ook gemakkelijker bij uw netwerk, bestanden, gegevens, intellectuele eigendom en meer.

Linda Howson, Research and Development Engineer – Future Security Solutions bij Nedap Security Management, legt het als volgt uit: “Een beleid voor toegangscontrole is slechts één onderdeel van de beveiligingsstrategie van een organisatie. Veel aspecten van de strategie kunnen worden gebruikt als input voor het opstellen of aanpassen van het beleid voor toegangscontrole. Denk bijvoorbeeld aan risico- en kwetsbaarheidsbeoordelingen, locatieonderzoeken en het verzamelen en analyseren van veiligheidsgegevens.

Het beleid voor toegangscontrole moet worden gezien als een stukje van de grotere puzzel van de totale beveiligingsstrategie van een organisatie. Maar dan wel een essentieel stukje, dat een groot aantal betrokkenen en medewerking van het management vergt.

 

3. Wat moet er in het beleid staan?

Elk beleid voor fysieke toegangscontrole is anders, maar vaak bevat het de hieronder beschreven onderdelen (zie voor een praktijkvoorbeeld dit beleid voor toegangscontrole van de University of South Alabama):

 

  • Doel

Een toelichting van de doelstellingen van het beleid. Het basisdoel is om de toegang tot fysieke ruimten te beheren, maar de redenen waarom u dat wilt, zullen specifiek voor u zijn. U wilt bijvoorbeeld diefstal van voorraden, schade aan apparatuur of toegang tot gevaarlijke locaties voorkomen, allemaal factoren die op verschillende manieren gevolgen kunnen hebben voor de continuïteit van uw bedrijf.

Wat uw doelstellingen ook zijn, omschrijf ze duidelijk, zodat iedereen begrijpt wat de bredere mogelijke gevolgen zijn als het beleid niet wordt nageleefd.

 

  • Reikwijdte

Als de reikwijdte van uw beleid onduidelijk is, kunnen mensen denken dat ze zich er niet aan hoeven te houden. In dit deel moet worden gespecificeerd op wie uw beleid voor fysieke toegangscontrole van toepassing is, bijvoorbeeld medewerkers, bezoekers, aannemers en klanten, en op welke locaties het betrekking heeft. Het kan bijvoorbeeld gelden voor hoofdkantoren, fabrieken, magazijnen en winkels.

 

  • Verantwoordelijkheden

Een uiteenzetting van wie waarvoor verantwoordelijk is als het gaat om uw beleid voor toegangscontrole. Eén team kan verantwoordelijk zijn voor het schrijven en bijwerken van het beleid, terwijl een ander team is belast met de uitvoering. Eén persoon kan uw systeem voor toegangscontrole onderhouden, terwijl iemand anders het beveiligingsteam leidt dat het systeem gebruikt.

Geef nooit één persoon de volledige verantwoordelijkheid voor uw beleid, zodat deze niet in zijn of haar eentje al dan niet opzettelijk de regels kan overtreden.

 

  • Beleid en procedures

Een gedetailleerde toelichting van de afzonderlijke beleidsregels en procedures die samen uw algemene beleid voor fysieke toegangscontrole vormen.

Hierin kan bijvoorbeeld worden beschreven:

· hoe toegangsrechten voor medewerkers, bezoekers en aannemers moeten worden ingesteld en beheerd;

· wie wel en wie niet op bepaalde locaties mag komen;

· welke soorten identificatie nodig zijn om toegang te krijgen tot elk gebied.

In een degelijk beleid voor toegangscontrole is duidelijk geclassificeerd wie toegang heeft tot wat en waar, en het bevat een of andere vorm van een zonemodel. In het zonemodel wordt voorgeschreven wat het betekent om van de ene zone naar de andere te gaan.” – Jeroen van Dormolen, Service Owner – Enterprise Professional Services bij Nedap Security Management

Audits en het beheer daarvan

Er moeten regelmatig audits worden uitgevoerd om te controleren of het beleid voor toegangscontrole wordt nageleefd. In dit deel moet worden beschreven wanneer en hoe deze audits plaatsvinden.

Het beleid voor toegangscontrole moet ook voortdurend worden beheerd en bijgewerkt om het doeltreffend te houden. Hier vermeldt u in detail hoe dat gaat gebeuren.

 

Handhaving

In dit gedeelte, dat ook wel ‘Naleving’ wordt genoemd, wordt uitgelegd welke sancties worden opgelegd als mensen zich niet aan het beleid houden. Sommige mensen hebben een afschrikmiddel nodig om te voorkomen dat ze de kantjes eraf lopen of beleid overtreden, dus wees duidelijk over de persoonlijke gevolgen als zij zich niet aan de regels houden.

En om te voorkomen dat mensen de regels vergeten, is regelmatige training over het beleid nodig.

 

Versiegeschiedenis van het beleid

Uw beleid voor toegangscontrole moet een levend document zijn, dat na elke risicobeoordeling (in het ideale geval twee keer per jaar) wordt herzien, vooral als er belangrijke veranderingen plaatsvinden in uw bedrijf.

Voeg een overzicht toe van wanneer het beleid is gecontroleerd en bijgewerkt. Daarvoor kan je bijvoorbeeld een tabel gebruiken, zoals het volgende:

Dit helpt u niet alleen om overzicht te houden, het benadrukt ook dat dit een belangrijk document is, waarop mensen kunnen vertrouwen en waar ze zich aan moeten houden.

 

4. Beproefde methoden voor het opstellen van een beleid voor toegangscontrole

Betrek meteen vanaf het begin de juiste mensen erbij

Werk bij het opstellen van uw beleid voor fysieke toegangscontrole, en het toezicht op de naleving ervan, samen met de personen die uw behoeften en risico’s op het gebied van toegangscontrole echt begrijpen. Dit kunnen bijvoorbeeld mensen van beveiligingsbeheer, het facilitair management en IT-teams zijn, maar ook andere betrokkenen, zoals senior managers.

Vergeet niet dat er veel moet gebeuren voordat u kunt beginnen met het opstellen van het beleid.

 

Zorg dat de basis goed is

Thinkcurity raadt aan om te focussen op vier belangrijke onderdelen wanneer u begint met het opzetten van een beleid voor toegangscontrole: toegangsgroepen, naleving, training en implementatie.

 

Houd het beleid up-to-date

Zorg ervoor dat het beleid na de ingebruikname actueel, functioneel en gemakkelijk uitvoerbaar blijft.

 

Wilt u meer weten over beleid voor fysieke toegangscontrole? Wij helpen u graag, dus neem vandaag nog contact met ons op.