Auditmethoden voor toegangscontrole
Een toegangscontrolesysteem is zo sterk als de zwakste schakel. Periodieke audits brengen tekortkomingen aan het licht voordat ze worden uitgebuit. Auditmethoden variëren van loganalyse en reconciliatie tot fysieke penetratietests en compliance-checks tegen normen als ISO 27001.
Nederlandse context
In Nederland voeren beveiligingsadviesbureaus als Securitas Risk Management, Trigion en G4S Security Solutions toegangscontrole-audits uit. Bij ISO 27001-gecertificeerde organisaties is de fysieke beveiligingsaudit een vast onderdeel van de jaarlijkse hercertificering. De VEB (Vakgroep Elektronische Beveiliging van VEBON-NOVB) biedt richtlijnen voor het testen van elektronische beveiligingssystemen.
Kernbegrippen
- Loganalyse
- Systematisch onderzoek van toegangsloggegevens op afwijkingen: toegang buiten kantooruren, herhaalde geweigerde pogingen, ongebruikelijke patronen.
- Reconciliatie
- Vergelijking van de actieve autorisaties in het toegangssysteem met de actuele HR-registratie om orphan accounts en onjuiste rechten op te sporen.
- Fysieke penetratietest
- Gecontroleerde poging om zonder autorisatie fysiek toegang te krijgen tot beveiligde zones, uitgevoerd door een gespecialiseerd bureau.
- Compliance-check
- Toetsing van het toegangscontrolesysteem en -beleid tegen relevante normen en wetgeving (ISO 27001, AVG, sectorspecifieke eisen).
Toepassing in de praktijk
Plan een auditkalender met vier activiteiten. Maandelijks: loganalyse van het toegangssysteem. Zoek naar toegang buiten kantooruren door medewerkers die daar geen reden voor hebben, passen die al maanden niet zijn gebruikt maar nog actief zijn en herhaalde geweigerde toegangspogingen. Kwartaallijks: reconciliatie van autorisaties met het HR-bestand.
Halfjaarlijks: een fysieke penetratietest door een extern bureau. De tester probeert via tailgating, social engineering of technische manipulatie het gebouw binnen te komen en door te dringen tot beveiligde zones. De bevindingen worden gerapporteerd met een risicoclasSificatie en aanbevelingen. Deze test levert vaak de meest waardevolle inzichten op, omdat het laat zien hoe het systeem in de praktijk functioneert.
Jaarlijks: een volledige compliance-check tegen de relevante normen. Bij ISO 27001-gecertificeerde organisaties maakt dit deel uit van de interne audit. Controleer of het beveiligingsbeleid actueel is, of procedures worden nageleefd, of de technische maatregelen functioneren en of medewerkers getraind zijn. Documenteer alle bevindingen en volg ze op met een verbeterplan.
Verwante onderwerpen
Volg het laatste nieuws over dit onderwerp via Toegangscontrole op FM Radar →