Het kennisniveau in relatie tot bijzondere rechten

Inmiddels hebben we al verschillende malen nagedacht over functiescheiding, rechten en plichten, beveiligingsbewustwordingsprogramma’s en ga zo nog maar even door. Nu wordt het ook tijd om te gaan kijken hoe goed al die maatregelen nu eigenlijk werken en hoe goed onze medewerkers nu echt zijn. Een gevoelig onderwerp, maar wel een waar we naar moeten kijken als we het echt veilig willen maken. Opzet en bestaan is goed, maar de werking is misschien nog wel het belangrijkst.

Daarom de vraag:
Worden alleen aan medewerkers met voldoende kennis en ervaring bijzondere rechten binnen de informatiesystemen verstrekt?

De eerste dag dat een medewerker met bijzonder rechten binnen komt, laten we hem niet los gaan op het systeem. Nee, we willen hem eerst introduceren en de systemen laten leren kennen. Maar op een gegeven moment hebben we: of geen tijd meer om hem te begeleiden, of het gevoel dat hij het nu wel zou moeten kunnen. Maar zijn beide aspecten een goede graadmeter? Kunnen we er nu echt vanuit gaan dat het hem wel gaat lukken? Misschien toch te risicovol…daarom willen we weten of hij voldoende kennis heeft om in het grote zwembad te gaan zwemmen.

Als het goed is heeft hij best zijn diploma’s en certificaten behaald, ze staan mooi op zijn CV en theoretisch moet hij het inderdaad kunnen, maar hoe zit het met de praktijk? Vergelijk het eens met je eerste skivakantie. Je las misschien eerst een boek over de basis van skiën, je bekeek wat filmpjes op YouTube en ging een keertje naar een indoorbaan. Als je er echt in geloofde heb je misschien zelfs een semi-professionele set gekocht met skischoenen en latten.

Daar ging je dan, op vakantie. Om er vervolgens achter te komen dat die berg in het echt toch wel wat hoger en steiler is dan gedacht. Maar je kent de theorie, dus niet zeuren. Durfal, is het je gelukt of moest je met de eerste gipsvlucht weer terug naar huis?

Vergelijken we dit met onze organisatie dan lopen we dus risico’s als het gaat om het kennisniveau in relatie tot bijzondere rechten. Heeft die medewerker alleen het boekje gelezen of heeft hij praktijkervaring opgedaan? Kan hij het geheel zelfstandig of moeten we er toezicht op houden? Misschien willen we erg risicovolle taken wel onder 4-ogen uit laten voeren om het risico nog verder in te perken.

Klinkt misschien absurd en erg zwaar, maar ook hier gaat het er weer om dat we eerst naar de risico’s kijken. Zijn de risico’s te groot dan moeten we aanvullende maatregelen overwegen. We willen niet dat iemand met een druk op de knop ons gehele eigen vermogen op de beurs inzet…de voorbeelden zijn daar, miljarden zijn erdoor verloren en bedrijven zijn er aan failliet gegaan.

Willen we als organisatie excelleren dan kan dat alleen met medewerkers met het juiste kennisniveau (en de juiste motivatie). Is het door ons gewenste kennisniveau nog niet bereikt dan moeten we er voor zorgen dat dat alsnog gebeurt. Is het kennisniveau eenmaal bereikt dan moeten we er vervolgens voor zorgen dat het up-to-date blijft door continue scholing en bij uitdiensttreding moeten we ervoor zorgen dat de kennis tijdig wordt overgedragen.

De juiste mensen met de juiste kennis zorgt er dus niet alleen voor dat we beter beveiligd zijn maar zorgt er ook nog eens voor dat we kunnen excelleren…wat willen we nog meer?

Bijzondere rechten en plichten

Functiescheiding en scheiding in systemen, medewerkers op verschillende posities in de organisatie en allemaal hebben ze hun eigen rechten op de systemen. Het wordt al snel een hele brei aan rechten. Maar bij die rechten horen nu eenmaal ook plichten en het is goed om de medewerkers daar ook op te wijzen.

De vraag:
Worden medewerkers met bijzondere rechten binnen de informatiesystemen opgeleid in de omgang met deze rechten/plichten?

De ene medewerker heeft nu eenmaal meer rechten nodig op de systemen dan de ander. Een “gewone” gebruiker moet een aantal applicaties kunnen gebruiken en moet bij beperkte informatie op de server kunnen. Maar er zijn ook medewerkers die die applicaties en servers moeten beheren. Deze hebben dus meer rechten nodig. Net als andere functionarissen binnen de organisatie overigens die nu eenmaal bij meer en gevoeligere informatie moeten kunnen.

We hebben al geweldige beveiligingsbewustwordingcampagnes en iedere medewerker weet de top tien gouden regels op het gebied van informatiebeveiliging. Maar bij aanvullende rechten voor functionarissen komen ook aanvullende plichten, of ze dat nu leuk vinden of niet.

Deze plichten leggen we overigens niet op om ze dwars te liggen of om ze te pesten. Nee, deze plichten zijn er omdat meer rechten nu eenmaal ook zorgt voor meer risico’s. Zo kan de systeembeheerder met een bewuste of onbewuste actie voor veel ellende zorgen en de financiële afdeling kan met een verkeerd gezette komma de winst- en verliesrekening 360 graden draaien.

We willen niet alleen de organisatie voor deze risico’s behoeden, maar willen ook voorkomen dat de medewerker deze verantwoordelijkheid in zijn of haar eentje hoeft te dragen. Het mag dan misschien over komen als een blijk van wantrouwen, maar dat kan nooit het geval zijn. We hebben nu eenmaal medewerkers die bewust de boel willen frustreren en daar willen we het liefst zo snel mogelijk vanaf. Maar daarnaast hebben we medewerkers die prima hun job uitvoeren, waar we erg blij mee zijn en die we het liefst nog 10 jaar aan ons binden.

Maar ook deze medewerkers kunnen fouten maken, niets menselijks is hen vreemd en daar willen we ze graag voor behoeden. Brengen we het op deze manier dan is het niet meer het dwarszitten, pesten of afnemen van rechten, maar dan is het beschermen van die medewerker. Leiden we ze dan ook nog eens goed op dan zijn de risico’s al een stuk lager.

Met bijzondere rechten komen bijzondere plichten, zo bijzonder is dat nu ook weer niet. Theoretisch allemaal prima uit te werken, in de praktijk toch veelal lastig. Men heeft de rechten verworven en staat ze niet graag meer af, verschillende functies kunnen verschillende rollen hebben en soms heeft een systeembeheerder inderdaad extra rechten nodig…maar hij hoeft niet met die bijzonder rechten in te loggen als hij gewoon een briefje in Word moet typen of een emailtje moet versturen. Ga jij ze dat binnenkort vertellen? Wees dan niet de boeman, maar leg uit waarom we dergelijke (vervelende) regels doorvoeren…niet om ze het werk onmogelijk te maken maar om de risico’s te beheersen. Nu je wat meer zicht hebt op de achtergrond zou het moeten lukken zeker als we ze er ook nog eens goed bij opleiden.

De legitieme doelen van persoonsgegevens

We weten inmiddels dat we serieus na moeten denken over de wijze waarop we de persoonsgegevens van onze klanten beveiligen. De Wet Bescherming Persoonsgegevens geeft daar goede kaders voor en er zijn allerlei checklists beschikbaar om na te gaan hoe goed we het doen. We haalden ook al aan dat het gaat om de legitieme doeleinden van de verzameling van persoonsgegevens.

De vraag die hier verder op ingaat is:
Worden persoonsgegevens (zowel van medewerkers als klanten) uitsluitend opgeslagen voor opgestelde en legitieme doeleinden?

Bij de Wet Bescherming Persoonsgegevens denken we al snel aan de gegevens die we van onze klanten ontvangen. Toch is het ook goed om nadrukkelijk stil te staan bij de gegevens van medewerkers. Deze vallen onder dezelfde wet en deze gegevens verzamelen we wellicht met andere doeleinden dan de gegevens van de klanten.

De Wet Bescherming Persoonsgegevens verbiedt niet om te communiceren met klanten, medewerkers en andere personen maar stelt wel nadrukkelijk kaders waarbinnen we moeten acteren. Het belangrijkste kader maken we echter zelf en dat is de omschrijving van de legitieme doeleinden waar we die gegevens voor verzamelen.

Vaak is er een grijs gebied waar we ons op glad ijs kunnen bevinden. We willen claims en onnodige negatieve persberichten voorkomen. juist daarom is het goed om de doelen duidelijk te stellen, de grijze gebieden zo smal mogelijk te houden, er met de personen in kwestie over te communiceren en bij twijfel de gegevens maar vooral niet te gebruiken.

Hebben we de doelen inderdaad duidelijk en stemmen de personen daar mee in (nee, niet onder lichte dwang omdat ze niet anders kunnen, maar open en transparant), dan kunnen we nadenken over scheiding in de systemen die we hebben en scheiding in functies om te voorkomen dat men in de verleiding komt om ze toch te gebruiken. Hebben we een bepaalde monopolie positie in de markt dan is daar veelal aanvullende regelgeving voor en moeten we vanuit controlerende instanties aan aanvullende beveiligingsmaatregelen voldoen. Hebben we die monopolie positie niet, dan zouden we onze verantwoordelijkheid moeten nemen en zelf na moeten denken over de aanvullende maatregelen die we willen nemen.

We brengen dus scheiding aan in de systemen, maar brengen ook hier functiescheiding aan. De ene afdeling hoeft niet noodzakelijkerwijs te kijken in de gegevens van de andere afdeling. Het is natuurlijk erg aanlokkelijk om dat vooral wel te doen…maar het ging om vertrouwen van de klant, weten we nog? En hoe vinden we het zelf als onze gegevens te koop zijn?

Schaden we dat vertrouwen dan zijn we ze kwijt, we komen negatief in het nieuws en nog meer mensen zullen besluiten over te stappen naar een andere aanbieder. De negatieve spiraal is ingezet en kan enorm snel gaan. We zijn gewaarschuwd en willen er dus minimaal over hebben nagedacht.

De grenzen op zoeken is helemaal niet erg, het kan zelfs erg spannend zijn. We moeten er alleen voor proberen te zorgen dat we die ene grens niet overgaan. Dat doen we door vooraf de doelen te stellen en zoals met zoveel doelen maken we die ook weer zo SMART mogelijk. We verzamelen alleen die gegevens die we echt nodig hebben en bewaren ze niet langer dan noodzakelijk. Daarbij gebruiken we ze binnen de door onszelf gestelde kaders en we zijn al een heel stuk op weg.

De Wet Bescherming Persoonsgegevens

Op het gebied van informatiebeveiliging zijn (nog) niet heel erg veel relevante wetten waaraan we ons verplicht moeten houden. Uit algemene wetgeving kunnen we natuurlijk wel afleiden dat we ons als goed huisvader dienen te gedragen. In hoeverre we “goed” dan nader definiëren is aan onszelf. Toch is er minimaal een wet waaraan we ons moeten houden als we gegevens van personen ontvangen, opslaan en hopelijk tijdig weer verwijderen.

De vraag die hierbij hoort is:
Wordt regelmatig getoetst of de bepalingen van de Wet Bescherming Persoonsgegevens worden nageleefd?

Onze klanten kopen bij ons omdat ze ons vertrouwen (of omdat ze nu eenmaal geen andere aanbieder hebben, maar daar gaan we voor nu even niet vanuit). Als dat zo is dan mogen wij dat vertrouwen niet schaden, dat is niet alleen niet netjes maar zal er ook voor zorgen dat de klanten massaal hun biezen pakken en nooit meer terug zullen keren.

Kennen we niet allemaal de regel dat het behouden van een klant vele malen makkelijker is dan het werven van een nieuwe? Dat mag dan vanuit verkoop en marketing helemaal waar zijn, maar vanuit informatiebeveiliging moeten we daar dan ook actief een bijdrage aan leveren. Het is onze taak om de gegevens van personen goed beveiligd te houden.

Dat klinkt misschien niet zo ingewikkeld en wordt ook als niet meer dan logisch ervaren. Toch zien we in de praktijk vele incidenten waarbij de privé gegevens van klanten op straat zijn geraakt. Systemen worden gehackt, databases worden openbaar en USB-sticks met gegevens worden verloren. Allemaal zaken waar we bij informatiebeveiliging natuurlijk stil bij willen staan.

Maar we mogen ook niet vergeten dat we de persoonsgegevens opslaan met een bepaald, vooraf gesteld en bekend gesteld, doel. Buiten dat doel om mogen we die gegevens niet gebruiken voor bijvoorbeeld commerciële doeleinden…tenzij we daar expliciet toestemming voor hebben gekregen.

Doen we het op een handige manier dan mogen we die gegevens intern nog op een redelijke wijze gebruiken, het wordt al anders als we besluiten die gegevens ook aan anderen te verkopen. Natuurlijk kunnen we ergens in de kleine lettertjes opnemen dat dat ons recht is en als men daar niet mee instemt dat de deal dan helaas niet door kan gaan. Maar hiermee hebben we toch redelijk boter op ons hoofd. Laten we eerlijk zijn, hoe lang geleden was het dat jij zelf de kleine lettertjes bij een contract hebt gelezen? Lang? Nooit?

Vertrouwen is goed, controle is beter. Heb je zelf wel eens je persoonsgegevens in moeten vullen en werd je daarna verrast met allerlei reclamemateriaal of telefoontjes? Grote kans dat je gegevens verkocht zijn. Wil je het controleren dan kun je natuurlijk je persoonsgegevens zodanig kenmerken dat je kunt herleiden waar je ze hebt ingevuld en hoe die dan weer zijn verkocht. Je kunt dat bijvoorbeeld doen door op het formulier eens een andere voorletter in te vullen of bijvoorbeeld de eerste twee voorletters van je voornaam. Moet je eens doen en dan kijken welke adresetiketten daar wel erg mee overeen komen.

Moet je digitaal je gegevens ergens achterlaten dan kun je natuurlijk altijd een gratis emailadres aanmaken bij Hotmail, Gmail of iedere andere gratis aanbieder. Die kun je dan mooi gebruiken als je weer eens op een site je adres moet achterlaten. De SPAM komt dan vele malen eerder daar terecht dan in de mailbox die je voor meer serieuze zaken gebruikt.

Als we terug komen op het feit waarom men bij ons koopt dan gaat het er dus om dat ze ons vertrouwen. Dat vertrouwen mogen we niet te grabbel gooien omdat we dan de deksel lelijk op onze neus kunnen krijgen. Natuurlijk doen we er met allerlei beveiligingsmaatregelen van alles aan om die gegevens te beschermen (toch?), maar daarnaast zullen we dus met de verkoop en marketing afdeling in overleg moeten om legitiem gebruik van die gegevens vast te leggen.

Bekendheid met meldingsplicht beveiligingsincidenten

Zo, inmiddels hebben we de medewerkers verteld dat ze beveiligingsincidenten moeten melden en we hebben ze ook geprobeerd duidelijk te maken wat wij onder beveiligingsincidenten verstaan. Nu is het natuurlijk de vraag of het aantal meldingen inderdaad toeneemt.

Het gaat dus niet zozeer om de vraag, maar het feit of het ook echt werkt. De vraag:
Is het personeel duidelijk gemaakt dat beveiligingsincidenten gemeld moeten worden?

Bekende termen zijn “opzet”, “bestaan” en “werking”. In opzet en bestaan kunnen we het best goed geregeld hebben. We hebben mooie beleidsdocumenten, mooie procedures en voorschriften en we hebben ze ook nog eens beschikbaar gesteld op het intranet en via de mail aan iedereen verzonden. Nu willen we toch wel graag weten of het allemaal effect heeft, oftewel: werkt het? Want daar gaat het toch uiteindelijk allemaal om, is het niet?

We kunnen de medewerkers natuurlijk allemaal op de man (of vrouw) af vragen of ze weten dat ze beveiligingsincidenten moeten melden. Grote kans dat het antwoord volmondig ja is. Het is immers logisch dat we dat soort zaken melden. Toch is hier het risico op sociaal wenselijke antwoorden te groot. We zullen dus op zoek moeten naar aanvullende mogelijkheden om te testen of er ook echt gemeld wordt.

Nu wil ik je natuurlijk niet aanmoedigen om allerlei illegale of niet toegestane acties uit te voeren, maar er zijn best manieren om te kijken hoe het er mee gesteld is. Is het zichtbaar dragen van toegangspasjes binnen jouw bedrijf bijvoorbeeld verplicht? Draag dan het pasje eens een dag niet zichtbaar om te kijken of je er op wordt aangesproken (dat werk natuurlijk minder goed als je iedereen binnen het bedrijf persoonlijk kent).

Loop eind van de dag, als iedereen al lekker naar huis is, nog eens een rondje over je afdeling en kijk welke waardevolle spullen of informatie voor het grijpen ligt. Je zou dat kunnen melden, je zou er niets mee kunnen doen, of je zou de informatie kunnen verzamelen en eventueel een briefje achter kunnen laten dat ze het bij jou op kunnen komen halen. In principe mist iemand de volgende dag de informatie en hij gaat op zoek. Heb je een briefje achter gelaten dan zal hij het bij je op komen halen, ligt dat briefje er niet dan zal hij met een zoekende blik over de afdeling lopen.

Laat eens een deur open staan (uiteraard even in de gaten houden wie er stiekem naar binnen glipt) en kijk wat mensen doen. Laten ze de deur zelf ook open staan, doen ze de deur juist dicht of bellen ze even met de beveiliging om door te geven dat deze deur open staat?

Een aantal simpele manieren om te testen hoe het gesteld is met de beveiligingscultuur van de medewerkers. Nemen ze zelf actie, doen ze juist helemaal niets of maken ze er melding van? Zodra we dat weten kunnen we weer volgende stappen zetten en het melden van beveiligingsincidenten verder onder de aandacht brengen.

We moeten er dan natuurlijk wel voor zorgen dat het melden makkelijk is. Dus geen lange wachttijden als ze telefonisch melden en geen ingewikkelde formulieren om het op papier te doen.

Een leuke optie is om er een competitie van te maken. Iedere zoveelste melder krijgt een taart, gemelde beveiligingsincidenten worden gebruikt om de medewerkers te trainen (bijvoorbeeld door ze te behandelen in ons “security krantje”). Oppassen natuurlijk dat medewerkers er geen sport van gaan maken om maar zoveel mogelijk incidenten te veroorzaken, dan schieten we juist weer door naar de verkeerde kant.

Voorwaarde is natuurlijk wel dat we over voldoende (en kwalitatief goede) capaciteit beschikken om de incidenten op te pakken, te analyseren en verbeteringen door te voeren.

Beveiligingsincidenten zien er op papier vaak ingewikkeld uit: zware aanvallen op het netwerk, ramkraken om ons gebouw binnen te dringen…maar juist de dagelijkse gang van zaken kunnen grote risico’s met zich meebrengen en voor die dagelijkse gang van zaken hebben we de oren en ogen van onze medewerkers nodig om de boel steeds veiliger te krijgen.

Duidelijkheid over beveiligingsincidenten

We willen graag zicht hebben op de beveiligingsincidenten die zich voordoen zodat we kunnen analyseren en waar mogelijk verbeteringen door kunnen voeren om dergelijke incidenten in de toekomst te voorkomen.

Daarvoor kunnen we natuurlijk een procedure opstellen en in het beleid opnemen dat beveiligingsincidenten gemeld moeten worden, maar zijn we er dan?

De vraag:
Is het personeel duidelijk gemaakt wat onder een beveiligingsincident verstaan wordt (niet alleen beschadigingen of verlies van bedrijfsmiddelen, maar ook het verrichten van handelingen die in strijd zijn met de beveiligingsprocedures)?

Technisch kunnen we allerlei systemen inzetten om beveiligingsincidenten te constateren. We hebben mooie alarmsystemen en als een inbreker het in zijn hoofd haalt om bij ons in te breken dan gaan alle toeters en bellen af. Ook op het netwerk of de firewall hebben we systemen ingericht die automatisch melding maken als onze policies worden overtreden.

Hiermee hebben we een mooie basis, maar we moeten niet vergeten dat de medewerkers onze ogen en oren zijn binnen de organisatie. We moeten ze duidelijk maken wat het verschil is tussen een incident en een beveiligingsincident en dat is makkelijker gezegd dan gedaan. Het inloggen na de vakantie met een verkeerd wachtwoord is een incident, gewoon even de helpdesk bellen die je wachtwoord wijzigt in “Welkom01”. Maar wat als een collega, tijdens jouw vakantie, geprobeerd heeft in te loggen met jouw account? Dan is het al snel een beveiligingsincident als jij er geen toestemming voor hebt gegeven.

Probleem hierbij is natuurlijk dat je er maar moeilijk achter komt waardoor jouw account geblokkeerd is. Ben je het echt vergeten of is er iets anders aan de hand? We zullen dus niet alleen de medewerker duidelijk moeten maken wat we onder een beveiligingsincident verstaan maar moeten ook (bijvoorbeeld) de medewerkers van de helpdesk nadere instructies geven zodat zij beveiligingsincidenten kunnen achterhalen.

Termen die we daar tegenwoordig wel voor gebruiken zijn de zogenaamde: “first line of defense” (de medewerker), “second line of defense” (de helpdesk) en “third line of defense” (de beveiligingsafdeling). Hoe meer deze 3 lijnen weten over beveiligingsincidenten, hoe groter de kans dat we ze gemeld krijgen.

Het lijkt misschien tegenstrijdig, en leg het inderdaad maar eens aan het management uit: we doen van alles aan beveiliging en vertellen de medewerkers dat beveiligingsincidenten gemeld moeten worden. Dan zal er wel een afname plaatsvinden op dit gebied, toch? Nou, die afname ontstaat pas na verloop van tijd. Doen we het goed dan zullen we eerst juist meer meldingen ontvangen. Meer zaken worden immers opgemerkt als beveiligingsincident.

Met een goed verhaal krijgen we dat wel aan het management uitgelegd. Het gaat er hierbij om of we “compliant” willen zijn of juist “in control” willen komen. In het eerste geval zetten we mooie zaken op papier en hopen er het beste van (het aantal meldingen zal waarschijnlijk niet toenemen). In het tweede geval zorgen we ervoor dat wat we bedenken ook echt gaat werken en dat kost tijd (en het aantal meldingen zal waarschijnlijk toenemen).

Een mooie graadmeter dus. Zien we een toename in het aantal meldingen van beveiligingsincidenten dan hoeft dat niet perse te betekenen dat we een groter risico lopen dan vorig jaar. Nee, het kan net zo goed betekenen dat we juist erg goed bezig zijn en meer grip op de zaak beginnen te krijgen.

Begeleiding van nieuwe medewerkers

Inmiddels is de nieuwe medewerker alweer een aantal dagen aan de slag. Het gaat goed en hij begint zijn draai aardig te vinden. Zijn introductie zit er op en we durven hem of haar steeds meer los te laten. Toch willen we nog wel wat controle houden en vertrouwen moet groeien dus daar nemen we de tijd voor.

De vraag:
Zijn er maatregelen genomen om te voorkomen dat nieuw en onervaren personeel schade veroorzaakt (kan veroorzaken) aan gevoelige systemen en kritische bedrijfsprocessen?

De systemen worden tegenwoordig steeds ingewikkelder en handleidingen of trainingen voor het gebruik van nieuwe systemen geven we inmiddels niet meer. Iedereen moet maar gewoon aan de slag en de systemen moeten maar “foolproof” zijn. Klinkt waarschijnlijk allemaal bekend.

Toch moeten we ons de vraag stellen of we onze gloednieuwe peperdure auto zomaar aan iemand meegeven zonder dat we weten of hij een rijbewijs heeft en als hij dat al heeft, hoe goed hij dan kan rijden. Dit zelfde geldt natuurlijk voor de gevoelige en kritische systemen.

Leuk hoor dat de nieuwe medewerker zijn certificaat voor dat systeem heeft, maar hoe goed kan hij er echt mee omgaan? En is hij bekend met de wijze waarop wij dat systeem hebben ingericht. Zet iemand voor het eerst in een rechts gestuurde auto en het is toch weer even wennen en uitkijken. Laat hem los op onze systemen en hij zal zich toch onze inrichting eigen moeten maken.

We zullen de medewerker dus moeten begeleiden. Dat is niet alleen erg vriendelijk van ons, maar kan ook grote problemen voorkomen. Hoeveel begeleiding de medewerker nodig heeft hangt af van zijn ervaring en zijn leercurve. Misschien hebben we aan een uur of een middag genoeg misschien moeten we een begeleidingstraject opzetten waar we een senior verantwoordelijk voor maken.

Doen we dat op een goede manier dan helpen we de nieuwe medewerker in het zadel en zorgen we ervoor dat de senior er (tijdelijk) een leuke nieuwe uitdaging bij krijgt. Iedereen blij, mits het allemaal niet te belerend wordt, natuurlijk.

Apart eigenlijk dat we veel inspanningen doen om nieuwe medewerkers te recruiten, te screenen, te beoordelen om ze vervolgens los te laten in de organisatie. Iedereen moet zijn eigen weg maar zien te vinden, alle informatie die ze nodig hebben staat op het intranet en als ze nog meer willen weten dan vragen ze het wel aan een collega of hun manager.

Maar hoe goed is ons intranet ingericht en hoe makkelijk is de informatie te vinden? Hoeveel weet de collega of manager eigenlijk van informatiebeveiliging? Of wordt het erg makkelijk afgedaan allemaal?

We zeiden het eerder al: we hebben maar een kans om een eerste indruk te maken en dat geldt zeker niet alleen voor informatiebeveiliging. We moeten dus niet stoppen met onze inspanningen zodra de medewerker zijn of haar handtekening onder het contract heeft gezet, nee, dan begint het pas.

Introductie voor nieuwe medewerkers

Als het goed is, hebben we een gezonde groeidoelstelling. We zijn dan ook enorm blij als we weer een nieuwe medewerker aan ons personeelsbestand toe kunnen voegen. We zorgen ervoor dat de medewerker zich welkom voelt en we zorgen ervoor dat hij of zij snel een laptop ter beschikking krijgt om aan het werk te gaan.

Ook vanuit beveiligingsoptiek zijn we natuurlijk blij met die nieuwe medewerker, maar we willen het wel graag tijdig weten om hem of haar bij te praten over hoe wij het aanpakken.

De vraag:
Worden nieuwe (vaste en tijdelijke) personeelsleden bij de eerste binnenkomst geïnformeerd over rechten en plichten in het kader van beveiliging (huisregels, cultuur, gewoonten, goede gebruiken, absolute verboden, etc.)?

In de eerste dagen wordt de nieuwe medewerker overladen met informatie en indrukken. Grote kans dat hij of zij eind van de dag helemaal kapot is en geestelijk bij moet komen om de volgende dag weer fris en fruitig te zijn. Ergens in die grote berg informatie is ook nog iets opgenomen over beveiliging (waarschijnlijk ergens op de laatste pagina).

Het liefst maken we een aantal standaard huisregels en voorschriften die hij of zij moet lezen en waar hij of zij zich aan moet houden. We zetten ze op het intranet en we geven ze in de map voor nieuwe medewerkers als printje. Zo, klaar zijn we. De medewerker gaat het lezen en veilig zijn we. Toch? Helaas blijkt het in de praktijk veelal niet te werken. De medewerker krijgt zoveel informatie over zich heen en ziet door de bomen het bos niet meer.

Het gevolg is dat het langere tijd duurt voordat de medewerker de organisatie, haar processen en haar producten of diensten een beetje kan doorgronden.

Zou het niet veel efficiënter zijn om periodiek de nieuwe medewerkers bij elkaar te roepen voor een soort van algemene startdag. We kunnen ze dan vertellen wat de organisatie is, waar ze voor staat, hoe we dat doen, en…oh ja, daar kan ook een korte introductie voor beveiliging bij. Pakken we dit goed aan dan kan dit efficiënt zijn, zeker als we het ook nog eens leuk weten te houden. Niet teveel informatie dus, maar een afgewogen set om ze een vliegende start te geven.

Voor beveiliging geven we ze op die dag een korte introductie met de highlights, de 10 gouden regels, de 10 geboden, of weet ik hoe we ze noemen. Later gaan we daar wel dieper op in en geven we niet jaarlijks herhalingscursussen aan alle medewerkers? In die cyclus kan de nieuwe medewerker prima meedraaien.

Een introductie voor nieuwe medewerkers is van groot belang en dan niet alleen voor beveiliging maar voor het gevoel dat de medewerker daar aan over houdt. We hebben maar een keer een kans om een eerste indruk te maken, zonde als we daar niet een keer goed bij stil staan, een gemiste kans die we maar moeilijk weer weg kunnen poetsen. Doel is en blijft nog steeds om een beveiligingscultuur te kweken en die begint bij nieuwe medewerkers. Doen we dat niet op de juiste wijze dan hebben we daar nog jaren last van.

Kijk nog eens goed naar het introductiepakket dat we geven, is het niet teveel informatie, is het niet te saai voor woorden (zou je het zelf allemaal gaan lezen), kan het allemaal niet wat fleuriger en kunnen we het niet misschien combineren met de eerste indruk die we graag willen maken op de medewerker?

Een eerste indruk maken we maar een keer, zullen we het dan proberen in een keer goed te doen?

Functiescheiding

Van het hebben van rechten en het ontbreken van volledige overzichten van gebruikers is het een kleine stap naar het doorvoeren van functiescheiding.

De vraag:
Zijn er maatregelen getroffen die er in voorzien dat niet alle bevoegdheden bij het uitvoeren van specifieke werkzaamheden in één hand terechtkomen (functiescheiding)?

Bij functiescheiding denken we wellicht direct aan financiële gebieden waarin we die scheiding graag door willen voeren. We willen immers niet dat een persoon ons hele eigen vermogen met een druk op de knop naar zijn of haar Zwitserse bankrekening over kan schrijven. Daar ligt inderdaad de oorsprong van functiescheiding.

Maar zoals we al eerder zagen, willen we ook niet dat er mensen zijn met teveel rechten op de systemen. Niet teveel rechten op de financiële systemen maar ook niet teveel (beheer)rechten op de informatiesystemen. Het risico is gewoon te groot dat iemand, bewust of onbewust, het hele systeem lam legt.

Een discussie die hierbij al vaker gevoerd is, is die tussen beheerwerkzaamheden op de informatiesystemen en de inhoud van de informatie op die systemen. De beheerders hebben graag veel rechten omdat ze zo hun werk goed kunnen doen. Toch moeten we er even bij stil staan dat zij (veelal) geen toegang tot de inhoud van de informatie nodig hebben om back-ups uit te voeren of terug te zetten. Of in gewoon Nederlands: een beheerder moet wel een back-up kunnen maken van een Word-document maar hoeft niet te kunnen zien welke woorden er in dat Word-document staan. Ook hier kun je dus kijken op welke wijze we functiescheiding door kunnen voeren. Maar bereid je voor op de discussie die zal komen en bedenk nu alvast hoe je gaat controleren dat die rechten inderdaad zijn afgenomen…het is immers de beheerder die zichzelf die rechten af moet nemen.

Nu we zicht hebben op de medewerkers van de financiële afdeling en de IT-afdeling beginnen we al een aardig beeld te krijgen over de gebieden waar we functiescheiding toe kunnen passen. Deze basis kunnen we uitbreiden door op onderzoek uit te gaan naar die functies die ook een risico vormen als ze teveel rechten bezitten. Dat kunnen hele specifieke functies zijn, maar kunnen ook gewone gebruikers zijn.

Wilden we eerder al zicht hebben op de rechten die gebruikers hebben dan ligt daar de overeenkomst met functiescheiding. We zijn niet zo zeer bang voor het feit dat ze grote bedragen over kunnen maken of systemen plat kunnen leggen. We zien wel een risico als het gaat om de grote hoeveelheid informatie waarover ze kunnen beschikken. Hebben ze echt al die informatie nodig? En aan de andere kant: beschikken ze wel weer over alle informatie die ze nodig hebben om hun werk goed te doen?

Het doen aan functiescheiding lijkt een logische maar er komt een berg finetuning bij kijken. Niet teveel rechten geven, niet teveel rechten afnemen. Ze moeten hun werk kunnen doen maar wel binnen de kaders die we acceptabel vinden. Het klinkt dan ook makkelijker dan het in de praktijk is. We moeten keuzes maken, die keuzes effectueren en controleren en dat zijn geen gemakkelijke stappen.

Daarbij moeten we dan ook nog eens rekening houden met de omvang van de organisatie. In een grotere organisatie kunnen we risicovolle taken gemakkelijker over meerdere personen verdelen dan dat we dat in kleine organisaties kunnen doen. Denk nu niet dat functiescheiding voor een kleinere organisatie niet kan worden doorgevoerd of minder belangrijk is. Nee, misschien is het zelfs voor een kleinere organisatie nog wel veel belangrijker om eens goed te kijken naar wie wat kan.

Functiescheiding, een belangrijk aspect en zeker niet alleen voor beveiliging. Toch nog vaak een moeilijk praktijkgeval waar we goed over na moeten denken om het allemaal werkbaar te houden.