Sådan får du den fysiske sikkerhed i organisationen på plads

Indgangspartiet til din virksomhed skal selvfølgelig byde dine kunder og ansatte velkommen, men samtidig er det også et bolværk mod uvedkommende personer, der vil tiltvinge sig fysisk adgang til dine værdier. Fysisk sikkerhed er nemlig præcis lige så essentiel som din cybersikkerhed, men den bliver ofte overset i vores tillidsbaserede virksomhedskulturer.

Klassiske udfordringer med fysisk sikkerhed kan eksempelvis være lemfældig omgang med ophold på områder, hvor man ikke har adgang, kontrol af adgangskortet på (uvedkommende)personer i virksomheden eller kontrol over adgang til fysiske enheder.

I din organisation skal der således være rammer for, hvordan, man indberetter fysiske episoder, på samme måde, som man har for at indberette eksempelvis phishing mails. Derfor skal du gøre dig overvejelser og træffe de nødvendige foranstaltninger ved at implementere retningslinjer for jeres fysiske sikkerhed.

“Vi oplever, at der tit er en opfattelse af at ’tingene er på plads’ i organisationen og måske er der ligefrem dokumenterede processer. Men du bør med jævne mellemrum spørge dig selv, om de fungerer i praksis, og om du har eventuelle mangler i den fysiske sikkerhed.” siger John Skovgaard, der er Cyber Security Business Advisor i KMD.

I Danmark er vi måske ikke så strikse, når det kommer til virksomhedens fysiske sikkerhed, som i andre lande, men på trods af vores tillidsbaserede model, så skal området være på plads - fordi det kan være den direkte vej ind i din forretning for it-kriminelle. 

Hvis du har et ønske om at efterleve ISO 27001-standarden, indeholder den også flere elementer, der omhandler den fysiske sikkerhed. Det handler fx om områder som lokations- og facilitetssikkerhed, adgangskontrol samt beskyttelse af udstyr.

Sådan kommer du godt i gang

Et godt sted at starter er med en rekognoscering af din virksomhed, der kan 
identificere potentielle svagheder i den fysiske sikkerhedsinfrastruktur, og om udefrakommende personer eller genstande kan få adgang til områder, hvor de ikke er autoriserede. 

Øvelsen indebærer en analyse af omgivelserne omkring din virksomhed og medarbejderne. Dette inkluderer observation af medarbejdernes arbejdsmønstre, anvendelse af videoovervågning, placering af sikkerhedsforanstaltninger og typen af adgangskontrol.  
Analysen giver dig et overblik over, hvor du kan styrke din sikkerhed eller, hvor du ligefrem har et forkert fokus og bør træffe andre foranstaltninger for at minimere risikoen for indtrængen, inden uheldet er ude.

Processen indebærer blandt andet at man:

• Identificerer sårbarheder
• Forstår rutiner
• Vurderer sikkerhedsinfrastruktur
• Identificerer potentielle indtrængningspunkter
• Vurderer affaldshåndtering

Næste trin er at teste, om det rent faktisk er muligt at få fysisk adgang til din organisation. På den måde får du undersøgt om uvedkommende personer eller genstande kan komme ind på områder, hvor de ikke er autoriserede.

I undersøgelsen af den fysiske adgang til virksomheden skal du blandt andet:

• Identificere og dokumentere svagheder
• Vurdere adgangskontroller og beskyttelsesmekanismer
• Identificere mangler i overvågnings- og alarmsystemer
• Vurdere reaktionstiden for sikkerhedspersonale

“Lige så naturligt det er at definere medarbejdernes brugerrettigheder i dit Active Directory, lige så naturligt bør du definere dine medarbejderes fysiske adgang til fysiske lokaliteter.,” siger John Skovgaard.

Du kan eksempelvis have brug for beskyttede zoner i din virksomhed: En som er offentligt tilgængeligt, en hvor dine medarbejdere har adgang, en hvor du har dit it-udstyr, hvor der kun er adgang for teknikere og så videre.

Digitalt detektivarbejde 

Det tredje element er en smule mere avanceret at give sig i kast med, og kan kræve assistance fra en ekstern leverandør. 

Her handler det om at se på, hvad der er af information om din virksomhed og dine medarbejdere både på det indekserede internet, på sociale medier og på dark web. 

Oplysningerne kan f.eks. bruges til at vurdere dine ansattes modstandsdygtighed overfor social engineering i forbindelse med phishing, se om der florerer data fra/om din organisation på lyssky fora eller om du har sårbarheder i din infrastruktur.

De data, du finder, kan danne grundlag for, at du kan udarbejde nye politikker eller uddannelsesprogrammer til dine medarbejdere. Ligeledes kan potentielle sårbarheder muligvis mitigeres, når du kender angrebsfladerne. 

Fremgangsmåden her er blandt andet at: 

• Identificere digitale fodspor
• Se på medarbejderprofilering
• Se efter sårbarheder
• Forstå virksomhedens relationer
• Analysere forsøg på indtrængen

Uddannelse og gentagelse
Den læring du får gennem kortlægningen af din fysiske sikkerhed, skal nu dokumenteres og kommunikeres, og så skal dine medarbejdere uddannes til at forstå og efterleve dine beslutninger.      

Sidst, men ikke mindst, skal du teste dine tiltag og evaluere dine processer regelmæssigt. Det er altid en god ide at få en ekstern person til at gennemgå dit arbejde for at se på, om du har husket det hele.

I KMD har vi eksperter, der kan hjælpe med at øge din virksomheds fysiske sikkerhed – uanset om du har brug for hjælp med hele processen eller delelementer.