Zero Trust: Het nieuwe concept in bedrijfsbeveiliging

Voor het verbeteren van de beveiliging van bedrijven zijn moderne toegangscontrolesystemen nodig. Ze vormen een belangrijk onderdeel van een totaal beveiligingsconcept en bieden, indien nodig, uitgebreide fysieke bescherming in het kader van "zero-trust".

zero trust

Het beveiligen van kritieke bedrijfsprocessen krijgt steeds meer prioriteit voor bedrijven in diverse sectoren. Tegelijkertijd nemen de eisen voor cyberbeveiliging voor informatiesystemen toe – enerzijds dankzij toenemende netwerken en het nieuwe werken, en aan de andere kant omdat de dreiging van cyberaanvallen voortdurend toeneemt. Toegangscontrolesystemen zijn een belangrijk onderdeel van een beveiligingsconcept waarmee bedrijven deze uitdagingen en bedreigingen het hoofd kunnen bieden.

Veel bedrijven waren al het slachtoffer van gegevensdiefstal, spionage of sabotage. Als gevolg hiervan lijden deze bedrijven en de gehele Nederlandse economie verlies. Met name bedrijven die deel uitmaken van de kritieke infrastructuur, ook wel vitale infrastructuur genoemd, kunnen een sterke dreiging van cyberaanvallen verwachten. In het licht van deze ontwikkelingen is er sinds 2020 vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS2) directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten.

‘Zero Trust’ vervangt klassieke beveiligingsconcepten

Information security officers vertrouwen daarom steeds meer op het concept “zero-trust” bij het beveiligen van hun bedrijfsnetwerk. IT-systemen zijn zo beveiligd dat geen enkele toegang tot het systeem buiten en binnen een bedrijf wordt vertrouwd. De toegang van elke gebruiker is individueel geverifieerd en de identiteit en integriteit van het apparaat wordt continu gecontroleerd. Dit beveiligingsconcept wordt steeds relevanter, vooral in tijden van hybride werkmodellen. Reserve-proxy’s, firewalls, spamfilters, antivirusprogramma’s en encryptie zijn slechts enkele van de tools die IT-managers gebruiken om de infrastructuur van het bedrijf tegen schade te beschermen. Het onderwerp bedrijfsbescherming gaat ook over de fysieke bescherming van materiële en immateriële bedrijfswaarden. Als je een effectief zero-trust-concept wilt implementeren, moet je rekening houden met alle aspecten in een beveiligingsconcept en niet alleen focussen op de bescherming van bedrijfsnetwerken. Het concept definieert wie, wanneer, waar, waarom en hoe toegang heeft tot gegevens en wat er met deze gegevens kan worden gedaan. Dit betekent ook dat medewerkers regelmatig worden getraind in het verantwoord omgaan met bedrijfsgegevens. Dit is precies waar een modern toegangscontrolesysteem om de hoek komt kijken. Een systeem dat toegangscontrole combineert met identiteitsbeheer. Toegangscontrolesystemen en -mechanismen in omgevingen zoals datacenters en serverruimtes, maken deel uit van de basisbescherming binnen een effectief informatiebeveiligingssysteem (ISMS). Zo beschikken security managers al over uitgebreide beschermingsmechanismen: biometrische toegangslezers, kamerzonecontroles of scheidingssystemen voor toegang die speciale beveiliging vereisen.

Toegangsrechten centraal en automatisch geregeld

Hoe hoger de beveiligingseisen voor de te beveiligen terreinen en gebouwen, hoe complexer het wordt voor een toegangscontrolesysteem. Het beveiligingsrisico neemt verder toe door toenemende wisseling van medewerkers, grote bezoekersstromen en wanneer externe bedrijven activiteiten uitvoeren op het bedrijfsterrein. Een oplossing die aan deze hoge beveiligingseisen van bedrijven kan voldoen, is bijvoorbeeld het toegangscontrolesysteem IF-6040 van Interflex. Deze software bevat modules voor toegangscontrole, tijdbeheer en bezoekersbeheer en kan worden gebruikt als on-premise of cloud oplossing (Interflex Managed Services). Met IF-6040 kunnen toegangsautorisaties centraal worden beheerd en automatisch worden gecontroleerd. Security managers krijgen dus snel een duidelijk overzicht van de bewegingen op alle toegangspunten. De toegangsautorisaties kunnen ook wereldwijd en op verschillende locaties worden beheerd, bijvoorbeeld via een uitgebreid gebruikers-/rolautorisatieconcept. Aangezien deze dynamisch kunnen worden toegewezen in het systeem, kan het beheer van mogelijk duizenden toegangsautorisaties worden vereenvoudigd. Ze worden dus niet direct aan een persoon toegewezen, maar indirect aan de organisatie-eenheid in een bedrijf. Beveiligingsmanagers en IT-afdelingen worden ontlast door de geautomatiseerde en dynamische toewijzing en controle van autorisaties, zodat ze zich kunnen wijden aan andere belangrijke taken van IT-beveiliging. Een toegangsoplossing zoals IF-6040 biedt echter nog meer mogelijkheden, zoals het organiseren van toegangsautorisaties, het herhalen van toegang, de toegangscontrole voor twee personen, een lift- of vergrendelingsbediening of een tijdsafhankelijke vergrendeling van individuele deuren. Security managers kunnen zones definiëren om toegangsbewegingen in bijzonder gevoelige gebieden van het bedrijf te volgen of deze te gebruiken als basis voor geavanceerd evacuatiebeheer. Daarnaast kan de oplossing flexibel worden uitgebreid via de OpenAPI REST als de bedrijfsbeveiligingsvereisten veranderen.

Een holistische en zero trust benadering

Het belangrijkste van moderne toegangscontrolesystemen is de versleuteling van alle communicatiekanalen en de mogelijkheid om snel en eenvoudig beveiligingsupdates te installeren, zodat de software altijd up-to-date is. Toegangscontrolesystemen moeten bij de zero trust benadering „Security-by-Default“ en „Security-by-Design“ volgen, wat betekent dat bij de ontwikkeling en de gehele levenscyclus van de software en hardware rekening wordt gehouden met belangrijke beveiligingsaspecten zoals het gebruik van coderingstechnologieën en authenticatiemaatregelen. Het IF-6040-systeem volgt ook deze principes, wat vooral belangrijk is bij sloten die werken op basis van draadloze radioverbindingen (RFID). Vorig jaar presenteerde Interflex bijvoorbeeld de nieuwe productlijn Opendor air een batterijgevoede, draadloze serie vergrendelingscomponenten. Het voorbeeld laat zien: zelfs als de radiogolven worden onderbroken, zoals in het scenario van een black-out, is autonome bediening mogelijk – toegangsboekingen kunnen dan nog steeds aan de deur worden uitgevoerd – omdat de laatste 1.000 geautoriseerde boekingen op de sluitcomponent zijn opgeslagen.

Beveiliging als momentopname

Uiteindelijk gaat bij het thema toegangscontrole als onderdeel van een moderne bedrijfsinfrastructuur over meer dan alleen pure toegangscontrole. Beveiligingssystemen zoals de IF-6040 laten zien dat het ook gaat om het optimaliseren van organisatorische en technische bedrijfsprocessen en het verlichten van belangrijke IT-taken. IT-beveiligingsmanagers moeten alle niveaus in de gaten houden bij het intern en extern beveiligen van de bedrijfsinfrastructuur en alle aspecten meenemen. Dit zorgt voor fysieke bescherming in de zin van een zero trust model. Toch is beveiliging geen staat, maar altijd een momentopname. Het vereist daarom altijd een continue evaluatie van de bedreigingen en verdere ontwikkeling van alle veiligheidsmaatregelen om nu en in de toekomst een succesvol schild tegen cyberaanvallen op te bouwen.