Physical Security Review

Wat is een Physical Security Review?

What is a Physical Security Review?

Een Physical Security Review onderzoekt hoe goed uw terreinen, gebouwen en kritieke ruimtes beschermd zijn tegen ongewenste toegang, diefstal, sabotage en verstoring.

A Physical Security Review evaluates how well your sites, buildings and critical rooms are protected against unauthorised access, theft, sabotage and disruption.

We kijken naar fysieke maatregelen zoals hekken, slagbomen, sloten, deuren, glas, CCTV, alarmen en bezoekersregistratie, maar ook naar processen en gedrag: hoe gaan mensen echt om met toegangspassen, sleutels, leveranciers, schoonmaak en bezoekers?

We examine physical controls such as fences, barriers, locks, doors, glazing, CCTV, alarms and visitor registration, as well as processes and behaviour: how people actually handle badges, keys, vendors, cleaners and visitors in daily operations.

De review kan worden uitgevoerd op hoofdkantoren, regionale kantoren, datacenters, warehouses, productielocaties, control rooms en andere kritieke sites. Het resultaat is een concreet beeld van de sterktes, zwaktes en prioriteiten in uw fysieke beveiliging.

The review can be performed on headquarters, regional offices, data centers, warehouses, plants, control rooms and other critical sites. The outcome is a concrete overview of strengths, weaknesses and priorities in your physical security posture.

Waarom is fysieke beveiliging cruciaal?

Why is physical security critical?

Veel digitale incidenten beginnen met een fysiek lek: een gestolen laptop, een onbeheerde serverruimte, een niet-afgesloten kast of iemand die eenvoudig kan meelopen naar binnen.

Many digital incidents start with a physical weakness: a stolen laptop, an unattended comm room, an unlocked cabinet or someone simply tailgating into the building.

Als een aanvaller eenmaal fysiek binnen is, kunnen alarmen, monitoring en loggen in IT weinig meer betekenen. Ook vanuit compliance is fysieke beveiliging een kernonderdeel van ISO 27001, NIS2, PCI DSS en veel andere normen. Toch zijn procedures op papier vaak beter dan de werkelijkheid op de vloer.

Once an attacker is physically inside, many IT controls, logs and monitoring measures lose their effectiveness. From a compliance perspective, physical security is a key part of ISO 27001, NIS2, PCI DSS and other standards – but procedures on paper are often stronger than what happens in practice.

Met een Physical Security Review krijgt u zicht op de echte risico’s: waar iemand ongezien binnen kan komen, hoe gemakkelijk kritieke ruimtes te bereiken zijn en welke verbeteringen nodig zijn om zowel veiligheid als compliance te versterken.

A Physical Security Review gives you visibility into the real risks: where someone can enter unseen, how easily critical rooms can be reached and which improvements are needed to strengthen both security and compliance.

Praktijkvoorbeelden van fysieke risico’s

Real-world physical scenarios

Hieronder twee typische scenario’s die we in audits en publieke cases terugzien. Ze laten zien hoe snel een klein fysiek lek kan uitgroeien tot een IT- of datalek.

Below are two typical scenarios seen in audits and public cases. They show how quickly a small physical gap can become an IT or data breach.

Scenario 1 – Ongecontroleerde toegang

Scenario 1 – Uncontrolled access

Meelopen naar binnen, direct toegang tot kritieke ruimtes

Tailgating into the building, fast track to critical rooms

In veel organisaties is de receptie druk en zijn medewerkers gewend om deuren “even open te houden” voor collega’s. Een aanvaller die zich als bezoeker of leverancier voordoet, kan meeliften met deze vriendelijkheid en zonder badge mee naar binnen lopen.

In many organisations reception is busy and staff are used to “holding the door” for colleagues. An attacker posing as a visitor or contractor can take advantage of this and walk in without a badge.

Als interne zones, liften, trappen en deuren vervolgens niet goed gescheiden zijn, kan iemand binnen enkele minuten bij serverruimtes, patchkasten of vertrouwelijke dossiers staan – zonder dat het beveiligingsteam dit direct ziet.

If internal zones, lifts, stairwells and doors are not well segregated, an intruder can reach server rooms, patch cabinets or confidential files within minutes – often without the security team noticing in time.

Scenario 2 – Onbeveiligde server- en netwerkruimtes

Scenario 2 – Unsecured server and network rooms

Kast open, sleutel overal – systemen direct benaderbaar

Unlocked cabinets, keys everywhere – systems exposed

Tijdens reviews komen we regelmatig serverruimtes, telekasten en OT-kasten tegen die niet of nauwelijks zijn afgesloten, waarvan de sleutel in de deur hangt of op een algemene plek ligt. Iedereen met fysieke toegang tot de verdieping kan in principe aan apparatuur komen.

During reviews we frequently encounter server rooms, telecom closets and OT cabinets that are unlocked, or where the key is left in the door or in a shared location. Anyone with physical access to the floor can essentially reach critical equipment.

Dit soort situaties maakt het eenvoudig om apparatuur te verstoren, kabels los te trekken, hardware te vervangen of clandestiene apparatuur te plaatsen – met directe impact op beschikbaarheid, integriteit en vertrouwelijkheid.

Such situations make it easy to disrupt equipment, unplug cables, swap hardware or add rogue devices – with direct impact on availability, integrity and confidentiality.

Scope van de fysieke review

Scope of the physical review

De Physical Security Review is gebaseerd op praktijkervaring en best practices uit onder andere ISO 27001/27002, NEN- en datacenterstandaarden. We kijken naar de hele keten – van terrein tot kritieke ruimtes en ondersteunende processen.

The Physical Security Review is based on field experience and best practices from ISO 27001/27002, data center standards and related frameworks. We look at the full chain – from site perimeter to critical rooms and supporting processes.

1. Perimeter & terrein

1. Perimeter & site

Hoe goed zijn terrein, hekken en toegangspunten ontworpen en beschermd tegen ongeautoriseerde toegang?

How well are the site, fences and access points designed and protected against unauthorised entry?

Hekken, slagbomen, poorten en laadkuilen.
Verlichting, blinde hoeken en natuurlijke surveillance.
Toegang tot parkeergarages en logistieke zones.
Fences, barriers, gates and loading areas.
Lighting, blind spots and natural surveillance.
Access to parking and logistics areas.

2. Ingangen, receptie & badges

2. Entrances, reception & badges

Toegangsbeheer voor medewerkers, bezoekers en leveranciers – van receptie tot tourniquets en badgebeleid.

Access control for staff, visitors and vendors – from reception to turnstiles and badge policies.

Receptieprocedures, ID-checks en bezoekerspassen.
Badgegebruik, escortbeleid en anti-tailgating.
24/7 ingangen, nooddeuren en deliveries.
Reception procedures, ID checks and visitor badges.
Badge usage, escort policies and anti-tailgating.
24/7 entrances, emergency exits and deliveries.

3. Interne zones & kritieke ruimtes

3. Internal zoning & critical rooms

Scheiding tussen publieke, interne en hoog-beveiligde zones en de toegang tot kritieke ruimtes.

Separation between public, internal and high-security zones and access to critical areas.

Zone-indeling en segmentatie van verdiepingen.
Control rooms, datacenters en kluizen.
Toegangsrechten en sleutelbeheer voor kritieke ruimtes.
Zoning and segmentation of floors.
Control rooms, data centers and safes.
Access rights and key management for critical rooms.

4. CCTV, alarmen & monitoring

4. CCTV, alarms & monitoring

Effectiviteit van camera’s, alarmen en meldingen – zowel preventief als detectief.

Effectiveness of cameras, alarms and alerts – both preventive and detective.

Dekingsgraad en kwaliteit van camerabeelden.
Alarmconfiguratie, responstijden en escalaties.
Integratie met SOC, meldkamer of externe beveiliging.
Coverage and quality of CCTV footage.
Alarm configuration, response times and escalation.
Integration with SOC, control room or guard services.

5. Omgevings- & levensreddende voorzieningen

5. Environmental & life-safety controls

Bescherming tegen brand, rook, water, temperatuur en andere omgevingsrisico’s.

Protection against fire, smoke, water, temperature and other environmental risks.

Branddetectie, blusmiddelen en compartimentering.
Nooduitgangen, vluchtwegen en noodverlichting.
Koeling, UPS en fysieke scheiding van kritieke infrastructuur.
Fire detection, extinguishers and compartmentalisation.
Emergency exits, escape routes and emergency lighting.
Cooling, UPS and separation of critical infrastructure.

6. Apparatuur, racks & media

6. Equipment, racks & media

Hoe worden servers, netwerkapparatuur, back-updragers en gevoelige documenten fysiek beschermd?

How are servers, network gear, backup media and sensitive documents physically protected?

Vergrendeling van racks, kasten en safes.
Opslag van back-upmedia en archiefmateriaal.
Beheer van sleutels, codes en toegangsmiddelen.
Locking of racks, cabinets and safes.
Storage of backup media and archives.
Management of keys, codes and access devices.

7. Bezoekers-, leverancier- & schoonmaakstromen

7. Visitor, vendor & cleaning flows

Beheer van externe partijen die regelmatig of incidenteel op de locatie aanwezig zijn.

Management of external parties that regularly or occasionally access the site.

Aan- en afmelding van bezoekers en leveranciers.
Escortregels en beperking van toegang tot kritieke zones.
Toegang van schoonmaakploegen en facility-partners.
Onboarding and sign-off of visitors and vendors.
Escort rules and restriction of access to critical zones.
Access for cleaning staff and facility partners.

8. Procedures, training & bewustzijn

8. Procedures, training & awareness

Het beste ontwerp werkt alleen als mensen weten wat er van hen verwacht wordt en waarom.

Even the best design only works when people understand what is expected and why.

Fysieke beveiligingsrichtlijnen en werkafspraken.
Training van receptie, beveiliging en medewerkers.
Bewustzijn rond tailgating, bezoekers en clean desk.
Physical security policies and procedures.
Training for reception, guards and staff.
Awareness on tailgating, visitors and clean desk.

Hoe helpt dit bij normen & certificeringen?

How does this support standards & certifications?

De resultaten van de Physical Security Review sluiten direct aan op diverse normen en rapportage-kaders. Uw organisatie profiteert zowel inhoudelijk als richting audits, klanten en toezichthouders.

The outcomes of the Physical Security Review map directly to a range of standards and reporting frameworks, helping you both internally and in discussions with auditors, customers and regulators.

ISO 27001 / ISO 27002

De review ondersteunt fysieke beveiligingscontrols in ISO 27001/27002 (bijvoorbeeld rond fysieke beveiliging van locaties, apparatuur, media en toegang). Bevindingen kunnen direct als input dienen voor uw ISMS en risk register.

The review supports the physical security controls in ISO 27001/27002 (covering secure areas, equipment, media and physical access). Findings can feed directly into your ISMS and risk register.

NIS2 & kritieke infrastructuur

NIS2 & critical infrastructure

Voor organisaties onder NIS2 of vergelijkbare wetgeving draagt fysieke beveiliging bij aan weerbaarheid, incidentpreventie en het aantoonbaar beheersen van risico’s op kritieke processen en diensten.

For organisations under NIS2 or similar regulations, physical security is a key element in resilience, incident prevention and demonstrable risk management for critical services and processes.

PCI DSS & kaartgegevens

PCI DSS & cardholder data

In omgevingen waar betaalkaarten worden verwerkt, ondersteund de review de fysieke controls in PCI DSS – zoals bescherming van terminals, servers, logbestanden en back-ups die kaartgegevens bevatten.

In environments processing payment cards, the review supports physical controls in PCI DSS – for terminals, servers, logs and backups that store or process cardholder data.

ISAE / SOC-rapportages

ISAE / SOC reporting

Voor organisaties die ISAE- of SOC-rapportages leveren aan klanten, kan de Physical Security Review dienen als onderbouwing voor de beschrijving en werking van fysieke controls in het control framework.

For organisations providing ISAE or SOC reports to customers, the Physical Security Review helps underpin the description and operating effectiveness of physical controls in your control framework.

Onze aanpak

Our approach

Onze aanpak is ontworpen voor locaties waar continuïteit, veiligheid en vertrouwelijkheid kritiek zijn – van hoofdkantoor tot datacenter en productielocatie.

Our approach is designed for locations where continuity, safety and confidentiality are critical – from headquarters to data centers and production sites.

Stap 1

Step 1

Scoping & prioriteiten

Scoping & priorities

We bepalen samen welke sites, gebouwen, verdiepingen en ruimtes in scope zijn en welke het meest kritisch zijn voor uw organisatie.

Together we define which sites, buildings, floors and rooms are in scope and which are most critical for your organisation.

Inventarisatie van locaties, ruimtes en gebruik.
Afstemming met security, facility en IT.
Inventory of locations, rooms and usage.
Alignment with security, facility and IT.

Stap 2

Step 2

Documentatie & ontwerp-review

Documentation & design review

We analyseren plattegronden, zone-indelingen, beveiligingsprocedures, toegangsregels, cameraplannen en relevante contracten met beveiligingspartners.

We review floor plans, zoning diagrams, security procedures, access rules, CCTV layouts and relevant contracts with guard or security providers.

Vergelijking tussen beleid en praktijk.
Identificatie van aandachtspunten voor de rondgang.
Comparing design versus reality.
Identifying focus points for the walkthrough.

Stap 3

Step 3

On-site rondgang & observatie

On-site walkthrough & observation

We lopen mee over terrein, door gebouwen en langs kritieke ruimtes om te zien hoe toegang, bezoekers, leveranciers en beveiliging in de praktijk werken.

We walk through the site, buildings and critical rooms to see how access, visitors, vendors and security actually work in practice.

Observatie van gedrag, routes en controlepunten.
Controle van deuren, sloten, badges en signage.
Observation of behaviour, routes and checkpoints.
Checking doors, locks, badges and signage.

Stap 4

Step 4

Technische & procedurele checks

Technical & procedural checks

We toetsen toegangscontrole, CCTV, alarmen, sleutelbeheer, bezoekersregistratie en schoonmaak-/leveranciersprocessen aan beleid en best practices.

We test access control, CCTV, alarms, key management, visitor logging and cleaning/vendor processes against policies and best practices.

Steekproeven op logs, configuraties en rechten.
Beoordeling van responstijden en escalaties.
Sampling of logs, configurations and rights.
Assessment of response times and escalation paths.

Stap 5

Step 5

Rapportage & verbeterplan

Reporting & improvement plan

U ontvangt een helder rapport met bevindingen, risico-inschatting en prioriteiten per locatie of ruimte – inclusief praktische verbetermaatregelen.

You receive a clear report with findings, risk ratings and priorities per site or room – including practical improvement measures.

Managementsamenvatting en detailoverzicht.
Concrete acties met korte en lange termijn.
Executive summary and detailed overview.
Concrete short- and long-term actions.

Stap 6

Step 6

Follow-up & begeleiding

Follow-up & guidance

Na de review blijven we beschikbaar voor toelichting, sessies met facility- en securityteams en, indien gewenst, een herbeoordeling na het doorvoeren van maatregelen.

After the review we remain available for clarifications, sessions with facility and security teams and, if desired, a re-assessment after improvements have been implemented.

Toelichting richting management en auditoren.
Ondersteuning bij opvolging en optionele her-review.
Explanation to management and auditors.
Support during remediation and optional re-review.

Sensitive information is handled with utmost care during the assessment and securely destroyed after the retention period.

Wilt u zeker weten dat uw gebouwen, datacenters en kritieke ruimtes fysiek net zo sterk zijn als uw technische maatregelen? We helpen u de zwakke plekken te vinden en gericht te verbeteren.

Want to be sure your buildings, data centers and critical rooms are physically as strong as your technical controls? We help you find the weak spots and improve them in a focused way.

Vraag uw Physical Security Review aan Request your Physical Security Review

Beveiliging van gebouwen, datacenters en sites – getest in de praktijk.

Testing the real-world security of your buildings, data centers and sites.