Gebruikers bepalen succes van beveiliging

Verbeterde gebruikerservaring leidt tot een hoger beveiligingsniveau

Beveiliging gaat over mensen

Beveiligingssystemen worden in het algemeen geïnstalleerd om de bedrijfscontinuïteit te waarborgen door aan beveiliging gerelateerde risico’s te beperken. Het doel is om de kans op incidenten te beperken en het gevolg van die incidenten te minimaliseren.

Bij toegangscontrolesystemen betekent dit dat alleen geautoriseerde personen toegang mogen krijgen tot beveiligde zones. Wat impliceert dat mensen geïdentificeerd moeten worden en dat deuren gecontroleerd geopend moeten worden. Toegangscontrole beperkt per definitie de bewegingsvrijheid van mensen. En elke beweging die overblijft, wordt bewaakt en opgeslagen in logboeken, zodat een gedegen onderzoek kan worden uitgevoerd nadat een beveiligingsincident heeft plaatsgevonden. Videobewaking is van vergelijkbare aard. De technologie wordt geïmplementeerd om situaties actief te monitoren en ervoor te zorgen dat er snel op incidenten wordt gereageerd. Beeldmateriaal wordt vaak opgeslagen om achteraf onderzoek naar beveiligingsincidenten uit te voeren.

Mensen accepteren over het algemeen de beperkende en het aanwezige karakter van beveiligingssystemen. De meesten van hen begrijpen de noodzaak van beveiligingsmaatregelen. Ze zullen beleid en systeem steunen door hun toegangspas (of hun vingerafdruk of ander identificatiemiddel) te gebruiken om toegang te krijgen. Ze begrijpen dat sommige deuren gesloten moeten blijven. En de meesten van hen begrijpen zelfs dat camera’s en lezers hun bewegingen door het pand volgen voor veiligheidsdoeleinden.

Maar mensen houden er echt niet van als toegangscontrole hen in de weg zit terwijl ze hun werk proberen te doen. Als een deurslot te vaak defect raakt of als een kaartlezer niet consistent werkt, zullen mensen hun weg eromheen vinden. Bijvoorbeeld door de deur fysiek open te houden. Dat soort gedrag maakt feitelijk al uw beveiligingsbeleid en -systemen nutteloos.

Mensen waarderen het ook niet erg wanneer beveiligingssystemen hen het laatste beetje privacy ontnemen bij het betreden van de goed beveiligde bedrijfssite. We horen mensen vaak zeggen: “Als je niets te verbergen hebt, waarom zou je het dan erg vinden dat je bewegingen, gedrag en verblijfplaats worden gevolgd en gecontroleerd?” Maar de meesten van ons zullen ook erkennen dat beveiligingsmaatregelen moeten worden afgewogen tegen het niveau van vertrouwen dat een organisatie heeft in haar werknemers en bezoekers. Uiteraard speelt wetgeving (GDPR/AVG) daarbij ook een rol.

Mensen ondersteunen systemen waarvan de waarde wordt ingezien en die hen niet in de weg zitten. Ze zullen beveiligingsbeleid accepteren zolang ze zich er prettig bij voelen. En ze zullen systemen met meer enthousiasme ondersteunen als deze systemen een goede gebruikerservaring bieden. En systemen die hen daadwerkelijk helpen om nog beter te presteren in hun werk zullen op nog meer bijval kunnen rekenen. Maar hoe vaak zijn we als security professionals echt met user experience bezig? We hebben de neiging om ons te concentreren op beveiligingsbeleid en de technologie om dit beleid in de praktijk te ondersteunen. We zien mensen vaak als een beveiligingsrisico. We zien enthousiaste en meewerkende gebruikers zelden als een onmisbare schakel in onze beveiligingsketen. Misschien is het tijd om onze blikvang wat te verruimen.

Het wiel van gebruiksgemak bij toegangscontrole

Bij het nadenken over gebruikerservaring in beveiliging in het algemeen en in toegangscontrole in het bijzonder, vragen beveiligingsmanagers zich zelden serieus af waar gebruikers mee worden geconfronteerd wanneer ze in de dagelijkse praktijk het toegangscontrolesysteem gebruiken. Ga maar eens na: Gebruikers moeten zijn ingeschreven. Ze krijgen op basis van een autorisatieniveau een toegangspas uitgereikt, die ze vervolgens de hele dag bij zich moeten dragen. Bij het betreden van een beveiligde zone moeten ze zich met die pas, of met hun telefoon of biometrisch kenmerk, laten identificeren door een kaartlezer of andere apparaat. Vervolgens kunnen ze, als ze daartoe bevoegd zijn, de deur binnengaan. Als ze hun kaart verliezen, moet deze worden vervangen,  waarbij hun registratie moet worden geverifieerd en een nieuwe pas moet worden uitgegeven. En het hele proces begint vervolgens opnieuw. Als een soort cyclus waarin de meeste stappen telkens weer opnieuw moeten worden uitgevoerd.

Die cyclus wordt gevisualiseerd in het onderstaande model; ‘Het wiel van gebruiksgemak’ (wheel of convenience).

Gebruikers communiceren in elke stap van de cyclus met het beveiligingssysteem. Ze ervaren het gebruik van dat systeem meerdere keren per dag. In onze beveiligingsbranche zijn niet veel fabrikanten en installateurs van toegangscontrolesystemen echt op zoek zijn naar de ‘WOW!-factor’ bij het gebruik van hun systeem. Gebruikers worden echter meerdere keren per dag geconfronteerd met het toegangscontrolesysteem en zouden op zijn minst enig comfort moeten ervaren bij het gebruik van het systeem. En misschien worden ze wel echte voorstanders en supporters van het systeem als daadwerkelijk hun verwachtingen als gebruikers worden overtroffen.

Het wiel in beweging…

Hoe helpt de ‘Wheel of Convenience’-cyclus bij het ontwerpen, plannen en implementeren van een toegangscontrolesysteem?

Het idee is om het wiel te bekijken met als uitgangspunt een specifieke combinatie van een identificatietechnologie, een toegangscontrolesysteem en de fysieke toegang. Laten we bijvoorbeeld kijken naar traditionele toegangspassen, te gebruiken met een toegangscontrolesysteem en deuren met magnetische deursloten in een fictieve organisatie ergens in Nederland.

De registratie (enrollment) gebeurt waarschijnlijk bij de receptie. Dat betekent dat gebruikers zich daar fysiek moeten melden. Om hun identiteit te verifiëren, wordt van hen verwacht dat ze een geldig identiteitsbewijs met foto tonen. Alle relevante gebruikersgegevens worden vervolgens handmatig in het systeem ingevoerd, wat vaak wachtrijen bij de receptie veroorzaakt.

De gebruiker ontvangt (obtaining credential) detoegangspas persoonlijk van de receptioniste. De pas wordt overhandigd en soms moeten gebruikers daarbij een ontvangstbevestiging ondertekenen en gerelateerd bedrijfsbeleid accepteren.

Hij /zij wordt verzocht om de pas zichtbaar te dragen (carrying), zodat andere werknemers de pas kunnen zien en het kleur-gecodeerde beveiligingsniveau en soms een foto van de drager kunnen verifiëren.

Bij het naderen van een deur moet de gebruiker de pas actief en op korte afstand presenteren (presenting) aan de RFID-lezer.

Om toegang te krijgen (obtaining access) moet hij/zij vaak handmatig de deur openen als deze ontgrendeld is.

Als de gebruiker de kaart verliest of als de kaart niet werkt, moet hij / zij persoonlijk teruggaan naar de receptie om een vervangende kaart te krijgen  .

Wat denkt u? Is er ruimte voor verbetering als het gaat om de gebruikerservaring die de medewerker wordt geboden? Dit scenario is daadwerkelijk min of meer de dagelijkse realiteit voor miljoenen gebruikers van beveiligingssystemen wereldwijd.

Draaien aan het wiel

Als u nu naar elke stap in het proces kijkt, zijn er tal van manieren om gemak toe te voegen aan deze toegangscontrole-ervaring.

Laten we bovenstaande situatie bijvoorbeeld vergelijken met een andere combinatie van technieken: De kaart wordt vervangen door een virtuele toegangscontrolekaart die deel uitmaakt van een app die BLE gebruikt. Het toegangscontrolesysteem is verbonden met BLE-lezers en heeft een interface “naar de cloud”. De deuren worden vervangen door automatische schuifdeuren.

Inschrijving gebeurt via een online instapproces.

De gebruiker verkrijgt de toegangsbadge virtueel in de app op een tijdstip en plaats die hem/haar uitkomt.

Hij/zij wordt geïnstrueerd om de zakelijke (of BYOD) smartphone te dragen met de bedrijfsapp die de virtuele toegangspas bevat.

Bij het naderen van een deur wordt de gebruiker gedetecteerd de app presenteert automatisch de virtuele kaart op afstand aan de kaartlezer.

Om toegang te krijgen loopt de gebruiker gewoon door de automatisch geopende schuifdeuren.

Als iets niet goed werkt, kan de gebruiker de app gebruiken om op afstand ondersteuning te krijgen en bijvoorbeeld een vervangende virtuele pas te ontvangen.

Vanuit het gebruiksperspectief ziet dit proces er al veel handiger uit. Er kunnen natuurlijk beveiligingsoverwegingen of budgettaire beperkingen zijn om delen van dit proces te heroverwegen.

Veel andere combinaties van beveiligingstechnologie kunnen worden beoordeeld met het Wheel of Convenience in gedachten. Misschien zijn bijvoorbeeld er biometrische stations geïnstalleerd die gezichtsherkenning ondersteunen. Welke combinatie van toegangscontroletechnologie ook wordt geïmplementeerd: Het strekt tot aanbeveling om techniek niet enkel op basis van beveiligingskenmerken te beoordelen, maar ook vanuit de perceptie van de gebruiker.

Het is mijn stellige overtuiging dat het toevoegen van gemak aan beveiliging heel vaak gelijk staat aan het verhogen van het beveiligingsniveau van uw organisatie. Onthoud: gebruikers maken of breken uw beveiligingsbeleid. Waarom zou u de ervaring van gebruikers niet verbeteren en zo de support voor uw beveiligingsbeleid vergroten?

Maximale versus optimale beveiligingsniveaus

Bij beveiliging kan het gaan om bescherming van gegevens, goederen, processen of personen. Een maximaal beveiligingsniveau wordt bereikt als elke toegang tot die zaken volledig onmogelijk wordt gemaakt. De meeste data, processen, goederen en mensen zouden echter hun waarde verliezen als ze niet me de omgeving kunnen interacteren. Volledig onbeschermde toegang leidt in de praktijk echter vaak tot onverantwoorde risico’s.

Securitymanagers streven per definitie altijd naar het optimale beveiligingsniveau. En er is altijd een menselijk element om rekening mee te houden. Waarom zou u deze twee ontwerpprincipes niet overwegen bij het implementeren van een beveiligingsoplossing?

  1. Mensen moeten zich op zijn minst op hun gemak voelen als onderdeel binnen het beveiligingssysteem. Het systeem mag niet te beperkend zijn en mensen onnodig hinderen.
  2. En waar mogelijk moeten mensen zelfs enthousiast worden van het gebruik van het systeem, omdat het hen bijvoorbeeld helpt om hun dagelijkse werk beter of sneller uit te voeren.

We leven in een interessante tijden waarin binnen onze branche sprake is van enorme technologische innovatie. Videoanalyse wordt steeds beter. Kunstmatige intelligentie en deep learning-algoritmes bieden ongekende nieuwe mogelijkheden. Smartphones en slimme wearables bieden nieuwe mogelijkheden voor integratie met andere applicaties. De prestaties van RFID-systemen verbeteren nog steeds. De convergentie van fysieke beveiliging en informatiebeveiliging lijkt eindelijk te gebeuren. En cloud-gebaseerde architecturen maken wereldwijde implementatie van systemen eenvoudiger mogelijk. Maar al deze beveiligingstechnologie is waardeloos als deze niet uiteindelijk door gebruikers wordt omarmd en ondersteund.

Dit artikel is eerder geplaatst in het Engels op:
https://www.securityinfowatch.com

Geplaatst in Berichten en getagd met , , , , , , , , .