5 βήματα για τη σωστή επιλογή ενός access control
Πως μπορεί να γίνει μια πετυχημένη επιλογή ενός σωστού access control. Ακολουθούν πέντε θεμελιώδη στάδια που μπορούν να οδηγήσουν στο προσδοκώμενο αποτέλεσμα.
Του Αριστοτέλη Λυμπερόπουλου
Η επιλογή ενός συστήματος ελέγχου πρόσβασης αποτελεί μια μακροχρόνια επένδυση για κάθε οργανισμό. Ως εκ τούτου η επιλογή του θα πρέπει να βασίζεται σε σωστά κριτήρια αξιολόγησης, ώστε η λειτουργία να επιφέρει τα προσδοκώμενα αποτελέσματα. Μια διαδικασία επιλογής και αξιολόγησης, πρέπει να συμπεριλαμβάνει κάποια θεμελιώδη βήματα τα οποία ακριβώς θα συνεισφέρουν στον παραπάνω στόχο.
Ακολουθούν περιγραφικά, πέντε βασικά στάδια τα οποία συνθέτουν μια ολοκληρωμένη διαδικασία αξιολόγησης. Το πιο βασικό για κάποιον που θέλει να προχωρήσει σε μια αξιολόγηση βάσει αυτών των σταδίων, είναι να κατανοήσει τους ανθρώπους που θα κληθούν να χειρίζονται το σύστημα. H κατανόηση της ανθρώπινης συμπεριφοράς, αποτελεί πάντα μια βασική προϋπόθεση για την επιτυχή λειτουργίας ενός συστήματος ασφάλειας. Τα συστήματα ασφάλειας δεν πρέπει να προβληματίζουν τους καθημερινούς χρήστες και να δυσχεραίνουν ακόμα περισσότερη την καθημερινότητα τους. Αντιθέτως πρέπει να τους ενισχύουν το αίσθημα ασφάλειας και άρα να τους απαλλάσσουν από την ευθύνη προστασίας των εγκαταστάσεων αφήνοντας τους το πεδίο ελεύθερο για να ασκήσουν την ουσιαστική εργασία τους.
1ο βήμα: Ανάλυση Επικινδυνότητας
Το 1ο βήμα – και όχι μόνο στην επιλογή ενός συστήματος ελέγχου πρόσβασης – αλλά στην προμήθεια οποιουδήποτε συστήματος ασφάλειας, είναι η υλοποίηση μιας μελέτης που θα εντοπίζει και θα αναλύει τα επικίνδυνα σημεία σε μια εγκατάσταση. Σε αυτό το στάδιο θα πρέπει να αποφεύγεται ένα πολύ συνηθισμένο λάθος. Οι περισσότεροι οργανισμοί επιζητούν από μια παρόμοια μελέτη την εναρμόνιση τους μόνο με τις υφιστάμενες νομικές απαιτήσεις που σχετίζονται με την ασφάλεια και στην καλύτερη περίπτωση συμμόρφωση με τυχόν απαιτήσεις επιθεωρητών των ασφαλιστικών εταιρειών. Αυτό όμως πρέπει να είναι το σημείο αφετηρίας από το οποίο θα πρέπει να ξεκινάει η μελέτη ανάλυσης επικινδυνότητας και όχι το σημείο τερματισμού. Είναι σημαντικό – ανεξαρτήτως νομοθεσίας και απαιτήσεων ασφαλιστικών εταιρειών – να βρεθούν εκείνα τα σημεία που όντως απειλούν την ασφάλεια των εγκαταστάσεων ενός οργανισμού. Σε αυτό το στάδιο δεν θα πρέπει να προβληματιζόμαστε από το διαθέσιμο budget ή από τι ενδεχομένως θεωρούμε ότι μας επιτρέπει η υφιστάμενη τεχνολογία να υλοποιήσουμε. Το μόνο που θα πρέπει να έχουμε στο νου μας είναι σε τι επίπεδο ασφάλειας θα θέλαμε να φτάσουμε σε έναν ιδανικό κόσμο. Για να το πετύχουμε αυτό θα πρέπει να απαντήσουμε στα ακόλουθα ερωτήματα:
- Ποια είναι τα σημεία που χρειάζονται να ασφαλιστούν στην εγκατάσταση; Χρειάζεται προστασία για εξοπλισμό ή δεδομένα ή θα πρέπει επίσης να εξετάσουμε και την προστασία των ανθρώπων που κινούνται μέσα στην εγκατάσταση;
- Ποιες είναι οι κρίσιμες διαδικασίες που αν παραβιαστούν θα πλήξουν τα έσοδα της επιχείρησης; Παραδείγματος χάρη σε μια βιομηχανία φαρμάκων, η διαδικασία πλήρωσης ενός φαρμάκου μέσα σε ελεγχόμενο στείρο χώρο είναι πολύ πιο κρίσιμη από τις διαδικασίες τελικής συσκευασίας.
- Ποιες είναι οι κυριότερες απειλές που θέλουμε να αντιμετωπίσουμε; Μερικές από αυτές είναι η φωτιά, η πλημμύρα, η ληστεία ή ακόμα και η μη ελεγχόμενη πρόσβαση σε κάποιους κρίσιμους χώρους.
- Σε περίπτωση που συμβεί κάποια από τις παραπάνω απειλές ποιες είναι οι ενέργειες που πρέπει να ακολουθηθούν.
2ο βήμα: Σχεδιάζοντας με μακροχρόνιο ορίζοντα
Πολλά μπορούν να αλλάξουν σε μια μακροχρόνια περίοδο κατά τη διάρκεια της οποίας ένα καλοσχεδιασμένο σύστημα access control θα πρέπει να λειτουργεί αποτελεσματικά.
Για αυτό το λόγο όταν επιλέγεται και σχεδιάζεται ένα σύστημα ελέγχου πρόσβασης δεν θα πρέπει να εστιάζουμε μόνο στο παρόν, αλλά να σκεπτόμαστε πιο μακροπρόθεσμα.
Αν το κάνουμε αυτό, τότε διασφαλίζουμε ότι το σύστημα θα λειτουργεί με επιτυχία ακόμα και μετά από αρκετά χρόνια και θα προσφέρει το επιθυμητό επίπεδο ασφάλειας για το οποίο είχε επιλεχτεί εξαρχής. Αυτός είναι ο στόχος που θα επιτρέψει και τη μέγιστη απόσβεση της αρχικής επένδυσης. Για να επιτευχθεί αυτός ο στόχος όμως θα πρέπει να τηρηθούν τα ακόλουθα κριτήρια:
- Χρήση καρτών πρόσβασης – Οι κάρτες πρόσβασης αποτελούν ένα εξαίρετο εργαλείο για την υλοποίηση ενός συστήματος ελέγχου πρόσβασης. Εξυπηρετούν οργανισμούς που λειτουργούν είτε με σταθερό ωράριο είτε με κυλιόμενο (24ώρη βάρδια). Δίνουν τη δυνατότητα πρόσβασης σε πολλαπλό αριθμό κτιρίων όταν οι εγκαταστάσεις του οργανισμού είναι κατανεμημένες σε περισσότερα του ενός κτιρίου και τη δυνατότητα διαβαθμισμένης πρόσβασης σε συγκεκριμένους χώρους ανάλογα με τα δικαιώματα πρόσβασης που έχει ο κάτοχος της κάρτας.
- Αξιοποίηση νέων τεχνολογιών – Τα συστήματα ελέγχου πρόσβασης μπορούν να χρησιμοποιούνται και να αλληλεπιδρούν με συστήματα ελέγχου κτιριακών εγκαταστάσεων, γνωστότερα και ως BMS (building management systems). Αυτή η αλληλεπίδραση συνεισφέρει σημαντικά στην υλοποίηση των έξυπνων κτιρίων (smart buildings). Για να λειτουργήσει όμως αποτελεσματικά η συνεργασία μεταξύ αυτών των συστημάτων θα πρέπει να χρησιμοποιηθούν ανοιχτά πρότυπα επικοινωνίας όπως η γλώσσα Java για το περιβάλλον εργασίας, η χρήση της SQL για τη δημιουργία βάσης δεδομένων, το πρότυπο BAC-net για τα συστήματα BMS και το πρωτόκολλο TCP/IP για τη δικτυακή επικοινωνία. Η βιομετρική ταυτοποίηση είναι άλλο ένα εργαλείο που ήδη χρησιμοποιείται με επιτυχία στα συστήματα access control. Είναι πολύ χρήσιμο ακόμα και αν δεν υπάρχει ανάγκη για άμεση χρησιμοποίηση, να υπάρχει πρόβλεψη για μελλοντική ενσωμάτωση.
- Εναρμόνιση με νέες διαδικασίες – Καθώς οι οργανισμοί προχωρούν είναι φυσικό να αλλάζουν οι εσωτερικές διαδικασίες. Το σύστημα ελέγχου πρόσβασης δεν θα πρέπει να εξυπηρετεί μόνο την υφιστάμενη κατάσταση αλλά να μπορεί να δέχεται και μελλοντικές αλλαγές βάσει των μελλοντικών αναγκών και απαιτήσεων του οργανισμού. Μπορεί παραδείγματος χάρη να δημιουργηθεί μια διαδικασία για ελεγχόμενη πρόσβαση σε κάποιους καινούριους χώρους ή να διαχωρίζονται τα δικαιώματα πρόσβασης των υφιστάμενων χρηστών. Αυτές είναι αλλαγές που θα πρέπει να μπορούν να απορροφηθούν από το σύστημα ελέγχου πρόσβασης χωρίς ιδιαίτερο κόστος και κόπο.
- Αλλαγή νομοθετικών απαιτήσεων – Το ίδιο συμβαίνει και με τη συνεχώς μεταβαλλόμενη νομοθεσία είτε σε εθνικό είτε σε ευρωπαϊκή επίπεδο. Ζούμε σε ένα περιβάλλον έντονα ρυθμιστικό στο οποίο οι επιχειρήσεις καλούνται συνεχώς να αποδείξουν τη συμμόρφωση τους στις καινούριες νομοθετικές απαιτήσεις. Το παράδειγμα του GDPR είναι χαρακτηριστικό. Εξίσου χαρακτηριστική είναι το σχετικά πρόσφατο νομοθετικό έργο για την διασφάλιση των εγκαταστάσεων που παράγουν φαρμακευτική κάνναβη. Ως εκ τούτου ένα σύστημα ελέγχου πρόσβασης θα πρέπει να έχει τις δικλείδες ασφάλειας ώστε να μπορεί να προσαρμοστεί εύκολα σε ενδεχόμενες νομοθετικές απαιτήσεις
- Ενδοεταιρική συνεργασία – Σημαντική και χρήσιμη πολλές φορές άποψη για την ασφάλεια ενός οργανισμού και τον τρόπο με τον οποίο υλοποιείται ένα σύστημα δεν έχει μόνο το τμήμα ασφάλειας και ο επικεφαλής ενός οργανισμού. Πολλές φορές χρήσιμες και ουσιαστικές απόψεις έρχονται και από άλλα τμήματα, τόσο από τους επικεφαλείς όσο και από τους στελέχη. Τα τμήματα που κυρίως έχουν άποψη και άρα πρέπει να εισακούγεται η γνώμη τους κατά τη διαδικασία επιλογής ώστε να επιτευχθεί μια μακροχρόνια αποδοτική λειτουργία του συστήματος ελέγχου πρόσβασης είναι τα ακόλουθα: Πληροφορική, Συντήρησης Εγκαταστάσεων, Προμηθειών και όσο και αν ακούγεται παράξενο και το Τμήμα Επικοινωνίας. Η υλοποίηση μιας σωστής επικοινωνιακής στρατηγικής μέσα στον οργανισμό μπορεί να βοηθήσει πολύ στην αποτελεσματική και γρήγορη πλήρη λειτουργία του συστήματος ελέγχου πρόσβασης
Βήμα 3: Εκμετάλλευση των πλεονεκτημάτων
Η σωστή καταγραφή και αξιοποίηση των πλεονεκτημάτων που μπορεί να προσθέσει ένα σύστημα ελέγχου πρόσβασης σε έναν οργανισμό είναι ένα στοιχείο που θα βοηθήσει στην τελική επιλογή. Το σύστημα access control που θα επιλεχτεί θα πρέπει να μπορεί να φέρει αυτές τις θετικές αλλαγές:
- Μεγαλύτερη ευχρηστία: Η καθημερινότητα των εργαζομένων θα είναι πολύ ευκολότερη όταν έχουν μόνο μια κάρτα που θα τους δίνει πρόσβαση στους χώρους της επιχείρησης , στους υπολογιστές και στα συστήματα λογισμικού και παράλληλα θα μπορούν με αυτήν την κάρτα να πληρώνουν τα γεύματα τους στο εστιατόριο ή στα αυτόματα μηχανήματα πώλησης σνακ. Αυτό γίνεται με τη σωστή επιλογή προμηθευτή.
- Καλύτερη εκμετάλλευση χώρων: Η χρήση του κατάλληλου access control επιτρέπει την κατανομή ανθρώπων στους διαθέσιμους χώρους. Παραδείγματος χάρη, σε κτίρια προσωρινής ενοικίασης γραφείων κάτι το οποίο βλέπουμε πολύ συχνά και στην Ελλάδα τελευταία, ένα σωστά υλοποιημένο access control θα δίνει πρόσβαση μόνο στους διαθέσιμους χώρους. Επίσης η χρήση των access control σε συνεργασία με τα συστήματα ελέγχου των εγκαταστάσεων συμβάλλει και σε σημαντική ενεργειακή εξοικονόμηση.
- Βελτιστοποίηση επιχειρησιακών διαδικασιών: Έχει συζητηθεί πολλές φορές ότι ένα σύστημα ελέγχου πρόσβασης δεν βοηθάει μόνο στην αναβάθμιση της ασφάλειας. Συνεισφέρει και στη βελτίωση της καθημερινότητας της επιχείρησης. Μπορεί να είναι συνδεδεμένο με τα συστήματα του HR και άρα όταν υπάρχει κάποια αλλαγή στον ρόλο ενός εργαζομένου να αλλάζουν κατευθείαν τα δικαιώματα πρόσβασης σε όλα τα συστήματα και τις εγκαταστάσεις της επιχείρησης. Με αυτόν τον τρόπο εξοικονομούνται εργατοώρες και παράλληλα ελαχιστοποιείται η πιθανότητα λάθους.
- Βελτιώνεται η υποδοχή των επισκεπτών: Ο τρόπος με τον οποίο υποδέχεται ένας οργανισμός τους επισκέπτες του είναι πολύ σημαντικός για την εικόνα που αυτοί σχηματίζουν για αυτόν. Ένα καλοσχεδιασμένο και εύχρηστο σύστημα access control επιτρέπει την γρήγορη δημιουργία καρτών πρόσβασης για τους επισκέπτες με τα σωστά δικαιώματα πρόσβασης
Βήμα 4: Δημιουργία τεύχους προδιαγραφών
Ίσως το πιο σημαντικό βήμα για τη σωστή επιλογή του κατάλληλου συστήματος πρόσβασης είναι η δημιουργία ενός ολοκληρωμένου τεύχους προδιαγραφών το οποίο θα μοιραστεί από το τμήμα προμηθειών στους υποψηφίους προμηθευτές. Βάσει αυτού θα μπορεί να γίνει η σύγκριση (συγκρίνοντας τα ίδια ακριβώς πράγματα) και η τελική επιλογή. Σε αυτό το τεύχος θα πρέπει να συνυπάρχει και μια τεχνική περιγραφή στην οποία να περιγράφοντα με σαφήνεια τα ακόλουθα:
- Η ανάγκη που οδηγεί τον οργανισμό στην προμήθεια ενός νέου συστήματος
- Αν υπάρχει ήδη τοποθετημένο σύστημα ελέγχου πρόσβασης ποια είναι τα στοιχεία που θέλουμε να διατηρήσουμε από αυτό το σύστημα στο νέο σύστημα και πως θα γίνει η μετάβαση.
- Τι περιμένουμε από το καινούριο σύστημα.
- Θα πρέπει να καταγραφούν συγκεκριμένα οι απαιτήσεις σε επίπεδο απόδοσης, ευελιξίας, επεκτασιμότητας που υπάρχουν από το νέο σύστημα. Ακόμα καλύτερο είναι να υπάρχουν –όπου είναι εφικτό- μετρήσιμοι δείκτες
- Να περιγράφεται πως θα χρησιμοποιείται το σύστημα από τους χρήστες και ποιοι θα είναι οι ρόλοι του κάθε χρήστη.
- Να υπάρχει με σαφήνεια η περιγραφή των εγκαταστάσεων και των χώρων στους οποίους θα εγκατασταθεί το σύστημα και ποιους ενδεχόμενους κινδύνους θα κληθεί να εξαλείψει.
Βήμα 5: Εύρεση ενός κατάλληλου προμηθευτή
Η σύνθεση των προηγούμενων βημάτων οδηγεί στο τελικό 5 βήμα που αποτελεί άλλωστε το επιστέγασμα της όλης προσπάθειας. Από τη στιγμή που έχει ολοκληρωθεί το τεύχος των προδιαγραφών σε μια αξιόπιστη και υλοποιήσιμη μορφή μπορεί να δοθεί στους υποψήφιους προμηθευτές προκειμένου να υποβάλλουν αυτοί τις προσφορές τους. Συνήθως αυτή η διαδικασία υλοποιείται από το τμήμα προμηθειών των οργανισμών.
Στη φάση είναι και επειδή πάντα οι προμηθευτές είναι πιο εξοικειωμένοι με τις τελευταίες τεχνολογικές εξελίξεις θα μπορούν να προτείνουν μαζί με την οικονομική τους πρόταση και ορισμένα σχόλια σχετικά με τον τρόπο υλοποίησης του συστήματος. Εδώ θέλει πολύ προσοχή προκειμένου να γίνει σωστή τεχνική αξιολόγηση και να συγκριθούν όμοιες προτάσεις. Είναι μια εργασία που πρέπει να την αναλάβει το τμήμα ασφάλειας και να υποβάλλει την τελική εισήγηση προς τη Διοίκηση και το τμήμα προμηθειών ώστε να γίνει η τελική επιλογή. Στη συνέχεια πολύ σημαντικό ρόλο παίζει και η διαδικασία παράδοσης του συστήματος ώστε αυτό να λειτουργεί σύμφωνα με τις προδιαγραφές που είχαν τεθεί. Το commissioning (διαδικασία λειτουργικής παραλαβής) μια αναπόσπαστη διαδικασία σε κάθε νέα εγκατάσταση είναι το τελικό στάδιο το οποίο διασφαλίζει ότι το τελικό αποτέλεσμα έρχεται σε συμφωνία με τις αρχικές προσδοκίες του χρήστη. Δυστυχώς , συχνά έχει παρατηρηθεί ότι η διαδικασία της λειτουργικής παράδοσης δεν αντιμετωπίζεται με την πρέπουσα σημασία με αποτέλεσμα να έχουμε ένα τελικό αποτέλεσμα που απέχει κατά πολύ από τις προσδοκίες του χρήστη και το χειρότερο ότι πληρώνεται ο προμηθευτής βάσει των τιμολογίων που έχει εκδώσει χωρίς να συνυπολογίζεται ότι δεν έχει επιτευχθεί το επιθυμητό αποτέλεσμα.
Η τήρηση των πέντε προαναφερθέντων βημάτων χωρίς να διασφαλίζει 100% την επιτυχία ενός εγχειρήματος αρχικής προμήθειας ή αντικατάστασης ενός συστήματος access control, μπορεί όμως να βοηθήσει κατά πολύ προς αυτήν την κατεύθυνση.