“In de stresstest gaan we onder andere ter plaatse met diverse scenario’s om te kijken of onze ‘mystery guests’ binnen kunnen komen.”
18 dec Giliam van der Weide MSec | RPP is inmiddels 4 jaar werkzaam bij Safetech als Senior consultant physical security & safety. De afgelopen tijd heeft hij zich voor een opdrachtgever beziggehouden met het opzetten van de 'Stresstest Security'. Wat deze test precies inhoudt en waarom dit voor andere bedrijven aan te raden is, vertelt hij in dit artikel.
“Safetech is een adviesbureau gespecialiseerd in security en safety. Wij doen adviestrajecten voor bedrijven (in de vitale infrastructuur) en overheidsinstellingen. Voornamelijk richten wij ons op beveiligingsadvies, beveiligingsonderzoek (red teaming, security awareness), brandveiligheid en informatiebeveiliging. Samen met mijn collega’s pakken wij de adviesaanvragen op, e.e.a. afhankelijk van de adviesvraag en de kennis en ervaring van onze adviseur.”
Wat houdt de Stresstest Security precies in?
“Veel bedrijven hebben, al dan niet verplicht, diverse beveiligingsmaatregelen genomen tegen de onbevoegde beïnvloeding van de bedrijfsactiviteiten. Deze bestaan uit organisatorische, bouwkundige en elektronische maatregelen”, vertelt Giliam. “Daarnaast is er een bepaalde procedure om te reageren op alarmen. Wij noemen dit bij elkaar de 'OBER-maatregelen'. Om te testen of de maatregelen voldoende zijn, voeren wij regelmatig fysieke penetratietesten (ook wel: pen-test, beveiligingsonderzoek of red teaming genoemd) uit. Hierbij komen wij achter ‘lekken’ in de beveiliging, maar zien we ook of de maatregelen werken zoals deze vooraf zijn bedacht.” Giliam vertelt dat het voor organisaties die zich doorlopend laten testen prettig is om te zien hoe de organisatie scoort ten aanzien van de beveiliging. Daarnaast kun je ook zien op welk onderdeel de organisatie zich kan verbeteren en of de awareness-campagnes effect hebben.
“Naast de mysterie guest bezoeken ter plaatse onderzoeken / meten we in de stresstest of de medewerkers voldoende kennis hebben van de procedures en of de beschikbare technische middelen goed werken en aansluiten bij de gebruikers.”
Hoe is het idee ontstaan om deze test te gaan ontwikkelen?
“Eén van onze opdrachtgevers laat zich doorlopend testen door ons. Deze opdrachtgever wilde graag inzicht in de resultaten, als een soort van KPI ten aanzien van security. Wij hebben toen een indeling gemaakt van de onderdelen waarop we momenteel bij hen de beveiliging testen, vertelt Giliam.” De input uit de testen verwerken we nu tot een ‘KPI’ per testonderdeel. Hiermee kan deze organisatie ook bepalen op welk vlak zij de medewerkers moeten aansturen, trainen of opleiden.”
Is dat bijvoorbeeld door middel van trainingen of in persoonlijke gesprekken?
“In de stresstest onderzoeken / meten we of de medewerkers voldoende kennis hebben van de procedures, bijvoorbeeld met enquetes. Daarnaast gaan we ter plaatse met diverse scenario’s om te kijken of onze ‘mystery guests’ binnen kunnen komen en ‘meten’ we hierbij of de beveiligingsmaatregelen werken en worden nageleefd. Tot slot onderzoeken we door middel van red teaming of de afhandeling van alarmen door de externe beveiligingsorganisatie of de interne crisisorganisatie juist wordt uitgevoerd.”
Wat voor soort bedrijven zou je deze test aanraden?
- Bedrijven en organisaties in de vitale infrastructuur
- Grote organisaties
- Bedrijven die interessant zijn voor bedrijfsspionage
- Gemeenten
Is het eenmalig afnemen van de stresstest voldoende? Of moet dit herhaald worden?
“De stresstest kan als momentopname worden gedaan, maar heeft meer effect als het een doorlopend proces is. Hiermee blijven de organisatie en haar medewerkers scherp, omdat ze weten dat ze doorlopend worden getest ten aanzien van de beveiliging. Als je de test blijft herhalen kan de organisatie tevens zien of er een groei zit in het beveiligingsbewustzijn en het secure handelen van haar medewerkers.”
