Hoewel het schillenconcept in de beveiligingswereld veel toegepast wordt, is de theoretische achtergrond ervan niet altijd bekend. Hierdoor kunnen gebreken in de toepassing sluipen met een soort schijnveiligheid tot gevolg.

Johan de Wit, Solution Manager Enterprise Security bij Siemens, gaf onlangs een lezing over dit thema bij het European Energy Infrastructure Security Network (EISN). Dit netwerk bestaat uit providers van kritische infrastructuur. Ze kwamen in maart bijeen op de campus van The Hague Security Delta in Den Haag.

Layers of defence

Het schillenconcept, ook wel defence in depth of layers of defence genoemd, gaat ervan uit dat een goede bescherming is opgebouwd uit meerdere beschermingslagen. Mocht een beschermingslaag doorbroken worden, dan kan de daaropvolgende beschermingslaag het gevaar alsnog keren. De Wit wees in zijn lezing op de verborgen gebreken die in dit concept kunnen sluipen. Zo gebruiken bedrijven vaak hetzelfde technische en organisatorische systeem om meerdere schillen in te richten. Als dit systeem dan niet (juist) functioneert of gemanipuleerd wordt, functioneren meerdere, opeenvolgende schillen onvoldoende.

Onafhankelijkheid

De onafhankelijkheid van beveiligingsschillen ontsnapt volgens De Wit nog vaak aan de aandacht van security-specialisten. In de praktijk gebruiken organisaties vaak meerdere, complementaire technologieën om zich te beschermen. Denk aan elektronische inbraakdetectie, toegangscontrole en camerabewaking. Het combineren van dergelijke systemen leidt in veel gevallen tot meer gebruiksgemak en efficiency. Er ontstaan echter ook extra risico’s doordat systemen niet meer technisch onafhankelijk zijn en veelal organisatorisch onder hetzelfde beheer vallen. Met name voor de meest risicovolle bedrijfsonderdelen acht De Wit het zinvol om technische en organisatorische scheidingen van beveiliging te hanteren. Ook het gebruik van verschillende technologieën en zelfs verschillende fabricaten kunnen volgens hem de beveiliging verhogen. Hij adviseert bedrijven een soortgelijke benadering te overwegen bij fysieke beveiligingssystemen.

Lees ook het essay over dit onderwerp dat Johan de Wit publiceerde in Securitymanagement.