Om veiligheidsrisico’s tot een minimum te beperken is het van belang deze zoveel mogelijk af te dichten. Duidelijk veiligheidsbeleid, een goede informatiepositie en een integrale beveiligingsaanpak kunnen u daarbij helpen. Op deze manier integreert u het veiligheidsdenken op alle niveaus in uw organisatie.
Organisaties zijn kwetsbaar en lopen uiteenlopende risico’s. Om nieuwe dreigingen de baas te zijn is een integrale aanpak essentieel. In deze werkwijze staan samenwerken, sturing op strategisch niveau en een organisatiebrede aanpak centraal. Daarnaast is het versterken van de informatiepositie een voorwaarde om dreigingen zoals bijvoorbeeld insider threat het hoofd te bieden.
Maar hoe versterk je je informatiepositie? Een van de technieken die je daarvoor kunt inzetten is het 3-poorten model. Een model dat, als het gaat om integrale beveiliging, tussen 2008 en 2012 tijdens bijeenkomsten van de Vereniging Beveiligingsprofessionals Nederland (VBN) werd geïntroduceerd door de Nederlandsche Bank. Het idee is dat kwaadwillenden zich toegang tot een organisatie kunnen verschaffen door middel van drie poorten: de fysieke poort, de logische poort en de menselijke poort.
De fysieke poort is de ingang waar fysieke maatregelen zoals dikke muren, hekken en beveiligers inbrekers buiten de deur moeten houden. De tweede poort is de logische poort, de toegang die kwaadwillenden zichzelf verschaffen door middel van ICT. De derde poort is de menselijke poort. Kwaadwillenden komen deze poort binnen door bijvoorbeeld te solliciteren of zich anders voor te doen. Met name de menselijke en logische poort zijn kwetsbaar. Informatie- en communicatiesystemen liggen steeds meer onder vuur. Daarnaast komen dreigingen als insider threat en social engineering niet alleen vaker voor, deze worden ook steeds geavanceerder.
Om je informatiepositie te verstevigen, is het goed om zicht te krijgen op welke manier mensen toegang hebben tot je organisatie. Door deze informatie aan te vullen met informatie van openbare bronnen (internet), hulpdiensten, ketenpartners en (voorspellende) data krijg je zicht op (nieuwe) risico’s. Ook kan het interessant zijn om techniek te koppelen aan databases. Een voorbeeld daarvan is kentekenregistratie. Zo kun je techniek proactief inzetten om je informatiepositie te verbeteren. Daarbij is het vanzelfsprekend van belang om rekening te houden met de privacywetgeving.
Het 3-poortenmodel is uitermate geschikt om dreigingen te ondervangen en inzicht te krijgen in data die afwijkt van een bepaalde norm. Zo registreer je niet alleen een raar telefoontje dat op een bijzonder tijdstip binnenkomt, maar ben je ook alerter op verdachte mail en/of ongewenste bezoekers. Zo kun je een dreigingsbeeld creëren waarop je je risicoanalyse en beveiligingsmaatregelen kunt aanpassen. Veranderende dreigingen betekenen bijvoorbeeld dat je misschien wat vaker met ketenpartners om de tafel gaat zitten of met de wijkagent en branchegenoten overlegt.
Om het veiligheidsdenken tot slot echt op alle niveaus in je organisatie te integreren is een integrale beveiligingsaanpak essentieel. Deze stelt je in staat informatie in een breder perspectief te plaatsen en alle puzzelstukjes te analyseren. Het is goed als verschillende afdelingen en ketenpartners informatie met elkaar delen. Het dreigingsniveau kan vervolgens worden afgeleid uit de totale informatievoorziening, gebaseerd op (openbare) bronnen, contacten met overheidsdiensten en de signalen binnen de organisatie zelf.
