‘Risico’s bij fysieke informatiebeveiliging nauwelijks bekend’

‘Risico’s bij fysieke informatiebeveiliging nauwelijks bekend’

Fysieke maatregelen voor het beveiligen van informatie – zoals toegangscontrole om te voorkomen dat pc’s worden gestolen of via USB-sticks worden geïnfecteerd met virussen – worden meer op basis van schattingen en gevoel genomen dan op basis van objectieve risicoafwegingen. Het ophouden van de schijn dat er beveiligd wordt, het zogenaamde ‘security theater’, lijkt belangrijker dan een goede security business case. Dit blijkt uit onderzoek van Siemens Nederland.

Hoewel informatiebeveiliging erg belangrijk wordt gevonden, is de omvang van de risico’s bij fysieke informatiebeveiliging nauwelijks bekend. Daardoor kan ook niet objectief worden vastgesteld of de genomen maatregelen effectief zijn.

Johan de Wit, Solution Manager Security bij Siemens Building Technologies, deed ter verkrijging van zijn Mastertitel, onderzoek onder IT security experts naar het belang van de fysieke bescherming van informatie. “Veel organisaties nemen fysieke beschermingsmaatregelen, zoals toegangscontrole voor het beschermen van hun informatie en informatiesystemen. De effectiviteit van dergelijke maatregelen kan alleen worden bepaald als ze daadwerkelijk risico’s verkleinen”, aldus De Wit. “Door de omvang van de risico’s met en zonder maatregelen boven water te halen, kan er een goede kosten/baten afweging gemaakt. Waardoor security maatregelen niet langer een kostenpost, of lastig intern ‘te verkopen’, dan wel een constant doel voor bezuinigingen blijven.”

In de beveiliging bestaan er twee gescheiden werelden: fysieke security en informatiebeveiliging. Naast de traditionele rol van fysieke security voor het beveiligen van objecten en mensen speelt fysieke security ook een belangrijke rol bij het beveiligen van digitale informatie en informatiesystemen. Het vormt een essentieel onderdeel binnen het totaal aan beveiligingsmaatregelen die getroffen worden om informatie en informatiesystemen te beschermen.

De Wit: “In de praktijk blijkt echter dat deze werelden organisatorisch, technisch maar ook qua cultuur en taalgebruik niet op elkaar aan sluiten. In de huidige maatschappij is informatie van enorme waarde. Vrijwel dagelijks worden we geconfronteerd met berichten over diefstal, manipulatie of het openbaar maken van informatie. Het beschermen van informatie en de systemen waarin het is opgeslagen, krijgt dan ook terecht veel aandacht. Naast het beschermen van informatie tegen digitale dreigingen, dienen informatie en informatiesystemen ook fysiek beschermd te worden.”