Fysieke beveiliging blijft problemen oplossen die IT jaren geleden al heeft opgelost

Cybersecurity heeft veel van de problemen opgelost waar fysieke beveiliging nog mee worstelt. Identiteit is het duidelijkste voorbeeld.

In de IT is de vraag 'wie is deze persoon en waar moet die toegang toe krijgen' jaren geleden al beantwoord. Platforms als Okta en Microsoft Entra ID verbinden HR-systemen met toegang tot applicaties. Wie in dienst komt, krijgt de juiste rechten. Wie vertrekt, verliest ze. Verandert iemands functie, dan volgen de rechten. Het proces is automatisch, controleerbaar en verbonden met de bron van waarheid: het HR-systeem.

Fysieke beveiliging heeft die stap nog niet gezet.

Een parallelle wereld

In plaats van aan te sluiten op wat er al is, heeft de sector voor fysieke toegang een eigen identiteitslaag gebouwd. Aparte databases voor kaarthouders. Aparte aanmeldprocessen. Een apart lifecycle-beheer dat zelden op een gestructureerde manier met HR- of IT-systemen praat.

Het gevolg laat zich raden. Iemand verlaat de organisatie. IT schakelt het account binnen enkele uren uit. De toegang tot het gebouw blijft weken, soms maanden actief. Niet omdat iemand dat zo heeft besloten, maar omdat de systemen niet verbonden zijn en niemand de intrekking in gang zet.

Mechanische sleutels maken het nog erger. Een sleutel verloopt niet. Hij blijft in een jaszak. Hij overleeft contracten, reorganisaties en dienstverbanden. Zonder een geregeld inleverproces blijft de toegang onbeperkt bestaan.

Waarom de kloof bestaat

Deels is het technisch. Systemen voor fysieke toegang zijn gebouwd als gesloten, on-premise omgevingen met propriëtaire protocollen. Ze met iets verbinden vroeg om maatwerkintegraties, en de meeste organisaties hadden daar het budget noch de zin voor.

Deels is het structureel. De sector van de fysieke beveiliging werkt van oudsher in een eigen spoor. De teams die sloten en toegangspassen beheren, zijn zelden dezelfde die de IT-identiteit beheren. Ze rapporteren aan andere mensen, gebruiken andere tools en volgen andere processen. Het probleem is niet dat identiteit onopgelost is. Het probleem is dat de oplossing ligt bij een afdeling waar fysieke beveiliging doorgaans nauwelijks contact mee heeft.

En deels is het commercieel. Leveranciers hebben er belang bij om hun eigen identiteitsbeheer als functie te verkopen. Beseft de klant dat zijn HR-systeem of identiteitsplatform de beslissingen over fysieke toegang zou kunnen aansturen, dan verdwijnt een aanzienlijk deel van de productwaarde.

Wat er verandert als je stopt met opnieuw uitvinden

Zodra fysieke toegang aansluit op de identiteitsbronnen die er al zijn, gebeuren er drie dingen.

Ten eerste volgt de toegang organisatorische wijzigingen zonder handmatig ingrijpen. Iemand stapt over naar een andere afdeling, de fysieke toegang past zich aan. Loopt een contract af, dan worden pasjes en sleutels aangemerkt voor inname. Het HR-systeem wordt de trigger, niet een facility manager die een spreadsheet doorneemt.

Ten tweede worden registraties volledig zonder extra moeite. Elke toegangsbeslissing is te herleiden tot een organisatorische gebeurtenis. Auditors zien niet alleen wie toegang heeft, maar ook waarom, en wanneer die reden veranderde. Het dossier bouwt zich tijdens het proces zelf op, in plaats van achteraf gereconstrueerd te worden.

Ten derde wordt toegang die er niet zou mogen zijn opeens zichtbaar. Als de bron van waarheid is aangesloten, kun je bestaande toegang vergelijken met de toegang die er hoort te zijn. Het verschil wordt zichtbaar. En een zichtbaar verschil laat zich corrigeren voordat het een incident wordt.

Het patroon, niet de voorspelling

Dit is geen speculatie over waar de sector heen zou kunnen gaan. Het is een patroon dat zich al heeft voltrokken in IT, HR en finance. Elk van die functies maakte een periode door waarin gegevens in silo's leefden, processen handmatig waren en integratie optioneel voelde. Vervolgens dwongen toezicht en schaalgrootte de samensmelting af.

Fysieke toegang bevindt zich nu op datzelfde kantelpunt. NIS2, DORA en de aangescherpte eisen van ISO 27001 maken het steeds moeilijker om losse systemen en handmatige processen te verantwoorden. De organisaties die hun fysieke toegang koppelen aan hun bestaande identiteitsinfrastructuur, zijn degenen die bij elke auditcyclus compliance kunnen aantonen zonder hun registratie opnieuw op te bouwen.

De technologie is niet de hindernis. De interfaces zijn er. REST-API's zijn standaard. De hindernis zit in het erkennen dat het probleem al opgelost was, en in het bouwen van de verbinding in plaats van de kopie.