Voorschriften voor communicatie-uitingen

Inmiddels hebben we gezien dat het communiceren over beveiliging en incidenten ons zowel voor- als nadelen op kan leveren. We moeten monitoren welke communicatie de deur uit gaat en moeten meten hoe deze communicatie ontvangen wordt. Het gaat er niet zo zeer om wat de waarheid is, maar hoe de waarheid ontvangen wordt. Niet de feiten maar de perceptie dus. Als communicatie zo belangrijk is (en niet alleen voor beveiliging en incidenten overigens) moeten we daar goed over nadenken.

De vraag zal dan ook niet geheel verrassend zijn:
Zijn er voorschriften opgesteld voor communicatie-uitingen?

We moeten eenduidig communiceren en we willen grip houden op de informatie of communicatie die de deur uit gaat. Een fout in de communicatie kan al snel escaleren en dan komen we voor vervelende verrassingen te staan. Ook hier is het “better to be safe than sorry”.

We zullen dus na moeten denken over de communicatie-uitingen en we moeten bepalen wie namens onze organisatie mag communiceren. Natuurlijk mag iedereen communiceren met de buitenwereld, maar dan wel graag binnen de kaders die we stellen. Doen we dat niet dan kan ons imago een grote deuk oplopen.

Met name moeten we bepalen wie mag communiceren over de beveiliging en de incidenten. We maken daarbij een keuze. Is het de Persvoorlichter die communiceert of is het toch de Chief Security Officer die namens ons het woord voert? Het heeft voor- en nadelen. De Persvoorlichter weet welke spelletjes er zoal gespeeld worden en is een expert op het gebied van communiceren. Helaas moet hij waarschijnlijk al snel afhaken als het om de inhoud gaat. De Chief Security Officer weet dan weer veel van de inhoud maar kent het klappen van de zweep van de communicatie in mindere mate. Helemaal contactgestoord zal hij of zij niet zijn, anders was deze functie nooit toegewezen.

Het best is natuurlijk nog om korte lijnen te hebben tussen de Persvoorlichter en de Chief Security Officer. De een de communicatie, de ander de inhoud. Vooral na een incident moet er snel opgeschakeld kunnen worden, we moeten geen kostbare tijd verloren laten gaan. Daarom moeten we er nu al over nadenken, we moeten de voorschriften en procedures ontwikkelen zodat we er op kunnen vertrouwen dat de communicatie niet het grootste struikelblok wordt na een incident.

Ga eens voor jezelf na wie er bij de communicatie betrokken moet zijn en wat we dan zoal gaan communiceren. Ook hiervoor geldt weer dat testen een belangrijk aspect is. We willen zeker weten dat we er op kunnen vertrouwen, we willen geoefend zijn.

Kortom: we beginnen met het nadenken over wie we er allemaal bij willen betrekken, we stellen voorschriften op voor communicatie en testen vervolgens meerdere malen of het allemaal zo verloopt als gepland. Doet het dat niet dan stellen we alles bij, we leren ervan en worden er steeds beter in.

Belangrijk is om te onderkennen dat niet iedereen onder stress hetzelfde acteert als in de “business as usual” situatie. Niet iedereen is geschikt om deel te nemen aan (crisis)communicatie. Wederom een bevestiging om te testen en dan het liefst in een zo realistisch mogelijke omgeving. Begrijp me overigens niet verkeerd, dat testen is veel eenvoudiger dan je denkt…twijfel je daarover? Dan is het gewoon een kwestie van een scenario bedenken en het proces in gang zetten.

Communicatie over beveiligingsmaatregelen

Risicomanagement, beveiliging en beveiligingsmaatregelen kunnen een lastig onderwerp zijn en het grote nadeel dat we daarbij ervaren is dat iedereen er verstand van heeft…althans, dat denken ze. Specialisten in het vakgebied weten wel beter, die weten zelfs dat geen enkele informatiebeveiliger het totale vakgebied kan overzien en zich zal moeten richten op een of meer deelgebieden.

Juist als iedereen er een mening over heeft wordt de volgende vraag belangrijk:
Verloopt de communicatie over de beveiligingsmaatregelen en incidenten altijd via één centraal punt (bijv. afdeling Communicatie, CSO, CIO)?

Beveiliging is niet iets wat we in een ivoren toren kunnen inrichten en waarbij we vervolgens achterover kunnen leunen omdat het vanzelf wel gaat werken. Beveiliging vereist communicatie…en laten we vooral niet vergeten dat communiceren een vak apart is (zelfs in de letterlijke betekenis). We zullen dus de samenwerking aan moeten gaan met andere afdelingen en als we het willen hebben over het communiceren over beveiligingsmaatregelen en incidenten dan is de communicatie afdeling daar een belangrijke “stakeholder”.

Bij onjuiste communicatie kan een beeld ontstaan dat niet juist is, dat de status van de beveiliging niet juist weergeeft. We moeten daarbij wel onderscheid maken. Net als we dat doen voor beveiligingsmaatregelen, die preventief, detectief, repressief of correctief kunnen zijn. Dezelfde indeling kunnen we gebruiken bij onze communicatie over beveiliging (met name preventief en detectief) en incidenten (met name repressief en correctief).

Na een incident (de zogenaamde crisiscommunicatie maakt daar onderdeel van uit) zien we dat de wijze van communicatie van belang is. Communiceren we op een verkeerde wijze, zeggen we de verkeerde dingen of reageren we te laat dan kan dat ons imago grote schade toebrengen. Sterker nog: veel organisaties kunnen het incident best aan…maar de gevolgschade als gevolg van een onjuiste wijze van communicatie kan hen de kop kosten.

We zouden hier natuurlijk voorbeelden kunnen noemen, maar die zijn nogal vluchtig. Google eens op beveiligingsincidenten en je hebt al snel de meest actuele te pakken. Kijk dan eens hoe er gecommuniceerd is, wat er gezegd is en met name wat de reacties van de lezers zijn. Daar kunnen we van leren, enorm veel zelfs.

De reacties van de lezers (uiteindelijk onze klanten) geven allereerst een beeld over het incident en hoe dat ervaren wordt. Maar vaak geeft het ook een goed beeld over hoe die klant toch al over ons dacht. De reacties gaan veelal niet eens meer over het incident maar over zaken die vele jaren eerder gespeeld hebben en die als negatief zijn ervaren. Klanttevredenheid meten we allemaal vooral met mooie statistische gegevens en sociaal wenselijke vragen met nog meer sociaal wenselijke antwoorden. Daar maken we een mooie grafiek van en we gaan weer door met de waan van de dag.

Juist reacties die we krijgen als gevolg van een incident kunnen ons inzicht verschaffen in de algemene klanttevredenheid.

Er zit ook een positieve kant aan dit verhaal. Als ons imago sowieso al goed was dan vergeeft onze klant ons onze misstap wel. Communiceren we daar ook nog eens juist, tijdig en volledig over dan kan dat ons imago zelfs versterken. Het vertrouwen van de klant neemt toe, we nemen ze niet in de maling maar erkennen dat ook wij fouten kunnen maken. We moeten er dan natuurlijk wel voor zorgen dat we het “low hanging fruit” waar we gisteren al kort op ingingen hebben geplukt…en dat fruit omvat meer, veel meer, dan alleen de controle op clean desk natuurlijk.

Misschien is het nu een mooi moment om je aan te sporen met “common sense” te kijken naar de maatregelen die binnen jouw organisatie genomen zijn en de wijze waarop risicomanagement is ingericht. Grote kans dat je veel laag hangend fruit tegen komt…pluk het, maar zorg ervoor dat je mandje niet te vol wordt. Laat dan liever nog wat fruit hangen zodat we dat op een later tijdstip kunnen plukken.

Controle op het naleven van de clean desk policy

De medewerkers zijn opgevoed en weten inmiddels dat ze de boel een beetje netjes moeten houden (al is het alleen maar om gele kaarten te voorkomen). We gaan nu wat verder in op de controle van naleving.

De logische vraag die daarbij hoort is:
Wordt gecontroleerd of de clean desk policy wordt nageleefd?

Het is een dooddoener, maar we halen hem toch nog even aan: “vertrouwen is goed, controle is beter.” Leuk dat we allerlei beleid hebben opgesteld en op papier (of in meer bekende termen: in opzet en/of bestaan) hebben we het erg goed voor elkaar. De werking is echter vaak een ander verhaal.

We horen er natuurlijk veel over: het “low hanging fruit”, dat je moet plukken op het moment dat het rijp is. Geen ingewikkelde lange verbetertrajecten maar gewoon een simpele actie opstarten om het te verbeteren. Het controleren van de naleving van de clean desk policy is fruit dat laag hangt en klaar is om te plukken.

Dat het in de praktijk veelal niet gebeurt, komt omdat het blijkbaar niet sexy genoeg is. De manager heeft er geen zin in (hij moet immers wachten tot de laatste medewerkers weg zijn en dan zijn de aardappelen aangekookt). Daarom wordt het veelal belegd bij de beveiligingsbeambte die “toch niets te doen heeft” in de nachtelijke uren (wij weten wel beter natuurlijk).

Op zich kan het best een optie zijn om de beveiligingsbeambtes te verzoeken periodiek een ronde te lopen, maar toch zijn wij er voorstander van om ook een dergelijke ronde te laten lopen door de manager van de afdeling of door de security manager. Die kijken toch weer naar andere zaken en kunnen wellicht risico’s inzichtelijk maken en was het niet zo dat beveiliging een lijnverantwoordelijkheid is? Een dergelijke ronde kun je natuurlijk ook leuk maken. Zorg voor pizza en loop met een aantal managers tegelijk een clean desk ronde, daarna kun je gezamenlijk evalueren en kijken hoe de vlag er bij hangt (en die vlag kan per afdeling flink anders hangen)…je kunt zelfs nog afsluiten met een borrel om er echt een feestje van te maken. Hoe noemen ze het ook weer? Oh ja, het nuttige met het aangename combineren.

Als het ons lukt om een gezonde competitie te creëren tussen verschillende lijnmanagers, ook op het gebied van beveiliging, dan zorgt dat niet alleen voor een beter beveiligingsbewustzijn. Nee, het zorgt er ook nog eens voor dat managers onderling informatie kunnen delen. Ze hoeven niet zelf het wiel opnieuw uit te vinden, het wiel wordt rond dat weten we toch wel.

Voor die organisaties of lezers die toch nog twijfelen. Vraag me gerust, een clean desk ronde op de juiste wijze kan erg leuk zijn…zo leuk zelfs dat ik je er graag bij help.

Achtergebleven informatie verwijderen

Vorige week hadden we het al over clean desk, clear screen en het verwijderen van informatie op printers en faxen. In de praktijk zien we dat er nog vele andere manieren zien waarop vertrouwelijke informatie bij onbevoegden bekend kan worden. Een belangrijke constante daarbij is het stelselmatig verwijderen van informatie die voor het grijpen ligt.

De vraag die daar voor vandaag bij hoort is:
Wordt aan het eind van de dag (werkperiode, vergadering, etc.) achtergebleven informatie van de uitvoerapparaten (borden) verwijderd?

Bij informatie denken we natuurlijk al snel aan alle digitale informatie die op het netwerk of onder “mijn documenten” staat. Helemaal waar, maar er zijn nog vele andere soorten van informatie. Bij de zogenaamde clean desk rondes door de bewaking (of liever nog: door het lijnmanagement) zien we dat er strak gekeken wordt naar werkplekken die nog niet gelocked zijn, naar informatie die keurig gestapeld en geniet op de printer is afgebleven en ook kijken we naar de bergen informatie die op de buro’s is achter gelaten. Staat jouw naam op die informatie dan heb je al snel een gele kaart aan je broek.

Hartstikke goed natuurlijk dat er gelet wordt op die informatie. Toch zien we nog wel dat informatie die bijvoorbeeld op whiteboards of flip-overs achter blijft nog wel eens vergeten wordt en ook informatie die na de vergadering niet meer nodig is blijft nog wel eens achter in de vergaderruimte.

Dit is niet alleen erg asociaal omdat de volgende die van de faciliteiten gebruik mag maken eerst jouw troep op moet ruimen. Maar is ook nog erg onveilig. Als het goed is ging die vergadering ergens over, daarvoor hebben we een agenda, notulen van het vorige overleg en een aantal ingebrachte stukken. Tijdens de vergadering gebruiken we het whiteboard om aantekeningen te maken en we hebben een aardig beeld van waar deze vergadering over ging.

Je ziet dat ook op dit gebied beveiliging dus geen vreemde eend in de bijt is maar gewoon onderdeel van de bedrijfscultuur. Ruim de spullen netjes op als je ze niet meer nodig hebt, dat kan een berg incidenten schelen maar zorgt er ook nog eens voor dat degene die na jou komt datzelfde doet.

Is het je bijvoorbeeld wel eens opgevallen dat je in steden die erg schoon worden gehouden minder makkelijk troep op straat gooit? Jij wilt niet degene zijn die die stad vuil maakt. Dat zelfde geldt voor de kantoren waar we zitten. Jij wilt niet de enige zijn met een stapel papier op je bureau, jij wilt niet diegene zijn die al die gele kaarten ontvangt omdat je er een zooitje van maakt. Toch?

Nu moeten we met het uitreiken van die gele kaarten ook weer oppassen, want daar kan een keerzijde aan zitten. Bij een van mijn opdrachtgevers was er een levendige handel in gele kaarten. De reden hiervan was dat er op de kaart werd aangegeven welke “overtreding” je gemaakt had. Zo waren er een stuk of 10 opties…en iedereen wilde graag zijn verzameling compleet hebben. Bijkomend geval is ook nog dat het hier om de beveiligingsafdeling ging…ik geloof dat ik niet wil weten hoe het er op andere afdelingen aan toe ging.

De strekking van het verhaal van vandaag is op zich niet zo ingewikkeld. Kijk verder dan je neus lang is en bedenk waar allemaal informatie kan worden achtergelaten. Dat begint binnen het gebouw, maar natuurlijk ook daarbuiten. Wie kunnen er bijvoorbeeld allemaal bij de papierbakken als we ze buiten zetten op de dag dat de vuilnisophaaldienst komt? Probeer het maar eens…gooi die papier bak maar eens open en kijk wat voor interessants je tegen komt.

Beveiliging van printers en faxen

Het is alweer even geleden dat we de vragen voor de volwassenheidscan van informatiebeveiliging hebben bedacht. Voor het geval je het niet wist. De afgelopen weken en de komende weken behandelen we de vragen uit deze scan afzonderlijk. Hoewel de fax toen zeker nog gemeengoed was kunnen we hem over een aantal jaar waarschijnlijk definitief uit de lijst halen…voor nu laten we hem nog even staan omdat ze toch nog gebruikt worden.

We maken even snel een printje of versturen nog snel even een fax. Tegelijkertijd worden we gebeld en vol enthousiasme gaan we het gesprek aan. Daarbij vergeten we helaas dat ons printje nog op de printer ligt. Oeps, onze vertrouwelijke informatie ligt voor het grijpen en we zijn ons er niet van bewust.

De vraag die hier natuurlijk bijhoort is:
Zijn printers, faxen en andere uitvoerapparaten zodanig opgesteld dat onbevoegden geen informatie mee kunnen nemen?

Laten we het hier vooral hebben over de printers. Voor de faxen geldt veelal hetzelfde maar ik kan me zomaar voorstellen dat hele jonge medewerkers nog nooit met een fax gewerkt hebben…wat een fax is? Nou, vraag dat maar aan je ouders…die kunnen je ook alles vertellen over LP’s en cassettebandjes.

Het is heel normaal om netwerk printers te hebben. Bijna niemand hoeft meer te beschikken over zijn of haar eigen printer. Geweldige apparaten tegenwoordig die dubbelzijdig kopiëren, er automatisch nietjes doorheen jassen en zowel kleur als zwart/wit aankunnen. Kleine wonderjes van machines, als je het mij vraagt.

Deze zijn aangesloten op het netwerk en na een x-aantal printjes gaat er automatisch een bericht naar de leverancier dat er onderhoud nodig is. Daarbij kun je je natuurlijk afvragen bij welke informatie de leverancier dan nog meer kan…want de printjes worden op een harde schijf in het apparaat bewaard. Maar dat is niet de vraag van vandaag.

Nee, de vraag gaat in op het feit of de geprinte informatie op een veilige plaats ligt. Gisteren zagen we al dat kantoren open instellingen worden. We kennen echt niet meer alle collega’s. De printer staat aan het eind van de gang dus zicht op ons printwerk hebben we niet meer.

Hoe vaak ben jij al naar de printer gelopen zonder dat je printjes er lagen? Vaak komt dat door een storing of een wachtij in de printer. Maar het kan ook zo zijn dat een ander er met jouw printjes vandoor is. Is dat een collega die per ongeluk de hele stapel heeft meegenomen dan is het risico misschien nog te overzien. Is het een toevallige passant die de informatie wel interessant vindt dan hebben we misschien een groter probleem.

Zaak is dus om er voor te zorgen dat medewerkers goed zicht houden op hun printjes en ze zo snel mogelijk van de printer verwijderen. Daarbij valt op dat printjes die mensen privé maken (ja, geef maar toe, iedereen print wel eens iets privé) sneller van de printer worden gehaald dan zakelijk printwerk. Maak je even een printje van je belastingopgave dan ren je naar de printer in de hoop dat niemand het onderschept. Print je vertrouwelijke gegevens namens je werk dan kan het zomaar een uur duren voordat je ze ophaalt…de kans dat je het in dat uur vergeet is enorm dus aan het eind van de dag liggen jouw printjes er nog.

Zorg er dus voor dat de printer op een veilige plaats staat. Heb je afdelingen die veel met vertrouwelijke gegevens werken dan kan het een aanrader zijn om voor hen een aparte printer te installeren. Deze staat dan veilig bij hen op de afdeling of je voorziet deze printer van een pincode waardoor er alleen geprint wordt als de medewerker er daadwerkelijk naast staat. Deze maatregel zie je tegenwoordig meer en meer toegepast. Er wordt alleen geprint na het ingeven van een pincode of een pasje. Leuk maar deels een schijnveiligheidsmaatregel. De medewerker gaat echt geen 15 minuten wachten tot al zijn printwerk netjes gesorteerd en geniet uit de automaat komt. Nee, hij geeft de pincode en loopt daarna weer terug naar zijn werkplek…om vervolgens te vergeten dat zijn werk nu wel op de printer ligt.

Beveiliging van printers en faxen. Het lijkt misschien zo makkelijk, maar in de praktijk toch een stuk weerbarstiger dan we denken. Vertel de medewerkers waarom je het zo belangrijk vindt en controleer eind van de dag of de printers weer allemaal leeg zijn dan zijn we alweer wat stappen verder.

Clean desk en clear screen

Alle technische maatregelen zijn op zijn plaats en we hebben er goed voor gezorgd dat de informatie beveiligd is. Nu komen we aan bij de hulp die we nodig hebben van de medewerkers. We zijn aanbeland bij de zogenaamde clean desk en clear screen procedure die er aan bij moeten dragen dat de informatie in goede handen blijft.

De vraag:
Geldt er een clean desk en/of clear screen policy (ook voor de draagbare apparatuur, belangrijke geschiedenis, etc.)?

De termen clean desk en clear screen liggen natuurlijk in elkaars verlengde en je zult zien dat de medewerker die zich niet houdt aan de clean desk de clear screen procedure ook niet zo nauw zal volgen. We zullen de medewerkers op hun verantwoordelijkheid moeten wijzen, hier komen dan weer de bewustwordingscampagnes om de hoek kijken en we moeten natuurlijk ook controleren of onze procedure nog een beetje wordt nageleefd.

Kantoren worden steeds meer open instellingen. Het flexibele werken zorgt ervoor dat niemand meer zijn eigen plek heeft (nou ja, die managers die zichzelf belangrijk genoeg vinden hebben natuurlijk nog wel hun eigen kantoortje geregeld). De ene dag zit je links van de gang, de andere rechts. Kastruimte is nauwelijks meer beschikbaar en een ladeblok kunnen we al helemaal vergeten.

Dat heeft voor en nadelen. Zeker als het gaat om de clean desk. Overdag hebben we geen ruimte om de papieren informatie veilig op te bergen, dus die ligt de hele dag op ons buro. Nou ja, ons buro…voor die dag dan. Lopen we even naar de WC of de koffieautomaat dan blijft die informatie daar achter. Iedereen die even snel kan spieken waar we zoal mee bezig zijn. Sterker nog, als iemand informatie wegneemt dan komen we daar pas na een paar dagen achter (als we er al achter komen).

Het voordeel is natuurlijk dat we aan het eind van de dag het buro weer opgeruimd achter moeten laten. Je weet immers nooit waar je morgen mag zitten. De papieren worden in de tas gepropt of weggegooid en er is geen bewijs meer dat jij gisteren achter dat buro hebt gezeten.

Clear screen sluit hier natuurlijk bij aan. Lopen we weer even weg, misschien wil je nog een bak koffie of moet je van al die koffie weer naar de WC, dan blokkeren we onze laptop toch niet? Dat is alleen maar lastig. Komen we terug moeten we ons wachtwoord weer invoeren. Al mijn collega’s zitten hier en die zijn toch wel te vertrouwen? Ja dat mag ik hopen, maar misschien beschik jij over informatie die zij ook graag willen hebben. Of misschien sturen ze voor de gein onder jouw naam een email de organisatie in waarin de hele afdeling wordt uitgenodigd voor gebak op jouw kosten.

Natuurlijk mag je je collega’s vertrouwen (met een lichte argwaan misschien). Maar komen we terug op de open instellingen die kantoren tegenwoordig worden dan weten we niet meer precies wie onze collega is. Is diegene die voorbij loopt niet toevallig een collega van de concurrent? Hoe gemakkelijk kan hij of zij bij de informatie?

Vergeet niet dat je als medewerker verantwoordelijk bent voor de activiteiten die onder jouw inlognaam gepleegd worden. Daar wil je dan toch graag zelf de controle over houden? Het blokkeren van je pc als je even wegloopt is een kleine moeite. Het daadwerkelijk opbergen van de papieren informatie gedurende de werkdag is inderdaad wat lastiger. Misschien een goede reden om met minder geprint werk aan de slag te gaan? Niet alleen goed voor de beveiliging, maar ook voor het milieu. Heb je hele lappen tekst die je moet lezen? Dan kun je een printje maken, de informatie lezen en daarna weer zo snel mogelijk vernietigen. Scheelt je aan het eind van de dag ook nog eens een hoop gezeul met papieren in je laptop tas. Een keer per dag even checken welke informatie je nog echt nodig hebt en de rest door de shredder.

Clean desk en clear screen, beide op papier hele makkelijke procedures. Helaas in de praktijk nog te weinig toegepast. Dan volstaat een periodieke check…een clean desk ronde als alle collega’s lekker naar huis zijn. Niet alleen goed om te doen, maar voor de beveiliging ook nog eens leuk, je weet immers nooit wat je tegen komt.

Een keertje een clean desk ronde uit laten voeren? Bel of mail me gerust, ik kom je er graag bij helpen. Niet om de informatie in te zien, maar om je te wijzen op de risico’s. Hebben we het wel eens over het zogenoemde “low hanging fruit”, dan heb je er hier echt een te pakken. Nou, ik hoor wel van je als we samen een dergelijke ronde uit moeten voeren.

Software zonder geldige licentie

Illegale software, zo noemen we het al snel. Maar eigenlijk draait het om software zonder een geldige licentie. De software op zich is legaal, alleen de wijze waarop wij er aangekomen zijn en hoe wij het gebruiken voldoet niet. Toch ook een aspect waar we ons op moeten richten door bijvoorbeeld licentiebeheer goed in te richten.

De vraag is dan ook niet geheel toevallig:
Zijn er maatregelen tegen “illegale” software (software zonder geldige licentie)?

Aan het gebruik van software zonder licentie zitten een aantal kanten. Zo kunnen we kijken naar de software die niet in onze standaard zit maar door medewerkers wel op hun werkstation wordt geïnstalleerd. Maar we kunnen ook kijken naar de software die wel onze standaard is maar waarvoor we het gebruik niet goed monitoren (of in gewoon Nederlands: we hebben meer gebruikers dan licenties).

Het draait om licentiebeheer en zicht op welke software er allemaal draait op ons netwerk. We willen geen claims aan onze broek omdat we teveel gebruikers hebben. Dat kost ons niet alleen geld in de vorm van boetes maar kan ook ons imago een deuk bezorgen. Daarnaast willen we ook geen software op ons netwerk dat we niet kennen. Hoe veilig is die software eigenlijk en door wie wordt die software op welke wijze dan up-to-date gehouden?

Installatie van software kan er zomaar voor zorgen dat ons netwerk uit de lucht gaat. Daarom willen we alleen die software waar we zicht op hebben en waar we eerst tests op hebben uitgevoerd. Theoretisch allemaal heel erg leuk. In de praktijk komen we nog wel tegen dat er niet goed naar de gebruikers is geluisterd. Zij hebben behoefte aan een bepaald soort software dat niet tot onze standaard behoort. Helaas voor deze gebruiker, maar die software gaan we niet installeren, toch? Eerlijk gezegd slaan we dan een verkeerde weg in. We moeten niet vergeten dat we ondersteunend zijn. Die medewerker zal een goede reden hebben om die software te willen. Hebben we al eens aan hem of haar gevraagd waarom deze software nodig is? Hebben we al eens gekeken of we niet al een dergelijke soort software met dezelfde functionaliteit in onze standaard hebben zitten? Hebben we al eens gekeken of we het toch niet op een veilige wijze mogelijk kunnen maken voor die medewerker?

Doen we dat niet dan is de kans groot dat hij of zij zelf probeert de software te installeren en dan worden er al snel illegale downloads gemaakt. De medewerker gaat natuurlijk zelf niet betalen voor een dure applicatie en een download is dan al snel opgestart. Wordt deze software inderdaad op ons netwerk geïnstalleerd dan zijn we het overzicht aan het kwijtraken. Ha, zeg je, installeren op ons netwerk is voor gebruikers niet mogelijk, probleem opgelost, toch?

Nou, niet helemaal. Nogmaals: die gebruiker heeft vast een goede reden om die software te willen. Kan er niet geïnstalleerd worden op het netwerk dan is de kans groot dat hij of zij het op eigen middelen installeert. Hop, de software op de eigen laptop en op de dag dat we thuiswerken gebruiken we die. Ons netwerk loopt in ieder geval minder gevaar, maar we zijn de informatie die gebruikt wordt wel kwijt. Die informatie staat nu op middelen die wij niet kennen of ondersteunen en de vraag is zomaar hoe veilig die dan wordt opgeslagen en hoe we dan zorgen voor back-ups.

We moeten bij het kijken naar software zonder licentie dus niet zomaar roepen dat we alles blokkeren dat niet tot de standaard behoort. Daarmee leggen we het probleem bij de gebruikers neer. Nee, we zijn en blijven ondersteunend en moeten dus goed kijken naar de behoefte van onze “klanten”. Waarom willen zij bepaalde software en hoe kunnen we dat zo goed mogelijk faciliteren? Doen we dat, dan leveren we een meerwaarde en worden we ook nog eens geaccepteerd door de gebruikers. Hoe mooi wil je het hebben?

Netwerkscheiding

De organisatie beschikt over allerlei soorten systemen en netwerken om de processen goed uit te kunnen voeren. Voor een buitenstaander lijkt het misschien of de hele informatiestroom uit een groot netwerk bestaat maar toch zitten er grenzen aan die netwerken die we moeten bewaken. Denk alleen maar aan het verschil tussen ons interne netwerk en het internet. Twee netwerken met grensbewaking er tussen. We moeten deze netwerken gescheiden houden om de vertrouwelijke informatie te beschermen.

De vraag die hier bij hoort is:
Zijn er beperkingen voor gebruikers tot delen van de vertrouwelijke informatie (netwerkscheiding)?

Zonder in te gaan op allerlei netwerk typologieën kunnen we onderscheid maken in het interne netwerk en het internet, ons eigen netwerk en het netwerk van onze leveranciers en afnemers en ons operationele en test netwerk. De termen zijn hier overigens wat vereenvoudigd, maar we willen het niet moeilijker maken dan nodig en het gaat om de basis ideeën.

Uiteraard is er een firewall geïnstalleerd die de grens tussen ons netwerk en het internet beveiligd. Het gaat hier te ver om op de details in te gaan, maar over het inrichten van een dergelijke grens (die vele malen verder gaat dan die firewall alleen) zijn hele studies te voeren. Voor het gemak gaan we er vanuit dat er een veilige grens is ingericht.

Vervolgens zien we dat meer en meer in de keten gewerkt wordt. Leveranciers en afnemers maken gebruik van de informatie die in onze systemen is opgeslagen. Zij zitten dus al op ons netwerk, maar we willen zeker niet dat ze bij al onze informatie kunnen. Heb jij er goed zicht op wie bij welke informatie kan en wat daarvoor nodig is? Zetten we alle informatie zomaar open voor leveranciers en afnemers of voeren we goede analyses uit en geven we ze alleen die informatie die ze echt nodig hebben? Uiteraard evalueren we geregeld of ze deze informatie nog nodig hebben…want de wereld verandert continu.

Als laatste gaan we hier in op het verschil tussen het operationele netwerk en de testomgeving. Deze mogen niet door elkaar lopen omdat ze elkaar kunnen beïnvloeden. Je moet er bijvoorbeeld niet aandenken dat we vergeten een patch te testen waardoor onze productieomgeving uit de lucht gaat. Het medicijn (de patch) is in dat geval misschien wel erger dan de kwaal.

Maar ook de gegevens op onze testomgeving moeten we selecteren. Willen we met (een kopie van onze) productiegegevens werken in de testomgeving of maken we fictieve gegevens aan? Als we besluiten om met kopieën van de echte omgeving te werken, zitten hier dan ook de vertrouwelijke gegevens tussen? De financiële gegevens, de privacygevoelige gegevens..willen we die in onze testomgeving terug zien?

Over netwerken en netwerkscheidingen kun je boeken vol schrijven en je kunt er vele studies naar doen. Dat gaat hier te ver (en eerlijk gezegd is het ook niet mijn specialisme). Nee, willen we het echt goed aanpakken dan halen we er een specialist bij. Iemand die weet hoe je de grensbewaking in moet richten, iemand die weet hoe je de gegevens op de testomgeving beveiligd en iemand die analyseert bij welke gegevens onze leveranciers en afnemers moeten kunnen. De kans dat je zo’n expert vindt is klein, waarschijnlijk heb je meerdere mensen nodig om de technische en procedurele maatregelen goed in te richten…een project…en daar heb je dan ook nog een goede projectmanager voor nodig.

Middelen voor het behandelen, opslaan, versturen en vernietigen van informatie

We blijven aan de slag met informatie en maken vandaag onderscheid in het behandelen, opslaan, versturen en vernietigen van informatie. Dit is, op hoofdlijnen, de levenscyclus van informatie…maar uiteraard pas nadat de we informatie hebben gecreëerd. Bij al deze stappen moeten we de beveiliging van die informatie in het achterhoofd houden.

De vraag van vandaag is daarom:
Zijn er middelen beschikbaar om informatie en vertrouwelijke informatie conform de gestelde eisen te behandelen, op te slaan, te versturen en te vernietigen?

Nadat we de informatie gemaakt hebben moeten we er iets mee doen. Die informatie heeft immers een doel omdat het anders gewoon gegevens waren gebleven. Overigens moeten we aan gegevens natuurlijk ook beveiligingseisen stellen omdat anders onbevoegden daar informatie van maken die ons lelijk kan verrassen.

Maar goed, we hebben het dus over het behandelen, opslaan, versturen en vernietigen van de informatie. Bij deze stappen zijn bijvoorbeeld de voorschriften van belang zodat de mensen ook daadwerkelijk weten wat er van hen verwacht wordt. Maar op deze voorschriften zijn we eerder al ingegaan, dus we gaan er vanuit dat deze inmiddels ook zijn opgesteld. Zo niet, dan is dat de eerste stap.

We hebben nu voorgeschreven hoe men met de informatie om dient te gaan. Daarvoor moeten we ze dan wel de middelen ter beschikking stellen. Anders staat het leuk op papier maar kunnen de medewerkers er niet zoveel mee.

Schrijven we dus voor dat de gegevens veilig opgeslagen moeten worden dan moeten we nadenken hoe we dat zo makkelijk mogelijk maken voor de medewerkers. Wordt het een centrale sharepoint omgeving waarop automatisch encryptie wordt toegepast of mag het ook op de laptops van afzonderlijke medewerkers worden opgeslagen? En hoe zorgen we er dan voor dat de informatie goed beveiligd is? Hoe zorgen we dan dat we back-ups maken van die informatie? Hoe zorgen we voor autorisatiebeheer?

Hier komt uiteraard ook weer de classificatie (of rubricering) van de informatie om te hoek kijken. Daarnaast moeten we goed nadenken over welke medewerker in welke rol bij welke informatie moet kunnen. Niet iedereen hoeft immers bij de informatie en niet iedere medewerker heeft dezelfde rollen te vervullen binnen de organisatie. Ja, we zullen er toch aan moeten geloven om ons te verdiepen in Role Based Access Control en dat is makkelijker gezegd dan gedaan. Hiervoor zullen we eerst inzicht moeten hebben in onze medewerkers (op ieder moment, dus ook de nieuwe medewerkers en de medewerkers die net uit dienst zijn getreden). Daarna moeten we bekijken welke rollen zij vervullen en welke informatie ze daarbij nodig hebben.

Voor een kleine of middelgrote organisatie nog wel te doen, maar als de organisatie groter wordt, worden de aantallen ook groter en moeilijker up-to-date te houden.

Speciale aandacht moeten we besteden aan het versturen en vernietigen van de informatie. Mogen we geheime gegevens bijvoorbeeld via de mail versturen? En passen we daar dan encryptie op toe? Of mag deze informatie alleen maar persoonlijk overhandigd worden? En hoe praktisch is dat dan? We moeten afwegen wat praktisch is voor de medewerker en veilig voor de organisatie. Daarbij maken we keuzes die we ondersteunen met middelen om het voor de medewerkers mogelijk te maken.

Het vernietigen van informatie is de laatste stap in de levenscyclus van de informatie. Na verloop van tijd is de informatie niet meer actueel en niet meer nodig. Buiten wat gegevens die we wettelijk 5 of 7 jaar moeten bewaren, kunnen we andere stukken informatie met een gerust hart vernietigen. Vertrouwelijke informatie gooien we natuurlijk niet zomaar bij het oud papier. Het risico op “dumpster diving” is te groot. En wie denkt dat dat in Nederland niet gebeurt, moet ik teleurstellen…het is een groter risico dan je denkt. Informatie op papier halen we natuurlijk door een shredder en digitale informatie wissen we ook met veilige middelen (bijvoorbeeld door ze verschillende malen te overschrijven). Alleen “deleten” volstaat niet en het is zelfs mogelijk om informatie te halen van schijven die we verbrand hebben, hoewel we natuurlijk ook weer niet door moeten schieten.

De levenscyclus van informatie…interessante stappen waarbij we na moeten denken over hoe we daar mee omgaan. Niet door zoveel mogelijk te verbieden (op papier) of door zoveel mogelijk beperkende maatregelen in te voeren. Nee, door te kijken wat praktisch is voor de medewerkers en veilig voor de organisatie. Het optimum hierin vinden is makkelijker gezegd dan gedaan en er lijkt een hefboomwerking in te zitten: hoe praktischer voor de medewerker hoe onveiliger…hoe veiliger voor de informatie hoe onpraktischer voor de medewerkers. Feit is wel dat als we allerlei beperkende maatregelen nemen de medewerker zo creatief wordt om er omheen te werken…en dat is nu juist wat we willen voorkomen.

Aanvullende maatregelen voor draagbare en verwijderbare media

Nu we gezien hebben dat de draagbare en verwijderbare media niet meer zijn weg te denken moeten we doorpakken naar de risico’s die dat met zich meebrengt. Hebben we die risico’s in kaart dan kunnen op basis daarvan besluiten er iets aan te doen of de risico’s gewoon te accepteren.

De volgende vraag is dan ook niet echt een verrassing:
Zijn er aanvullende maatregelen genomen om de informatie op draagbare en verwijderbare media te beschermen (encryptie, wisprocedures, kluis, etc.)?

Het is een gegeven dat er draagbare media zijn en dat er media door medewerkers in gebruik zijn die niet onder onze controle staan. Dat gegeven kunnen we accepteren maar dan lopen we enorme risico’s met onze informatie. We moeten deze risico’s inzichtelijk maken en aan het management voorleggen. Zij kunnen er vervolgens een oordeel over vellen.

Het gaat hier te ver om structureel alle bijbehorende risico’s in kaart te brengen. We pakken er een aantal uit en laten de rest over aan jouw eigen inbeeldingsvermogen. De vraag omvat al wat maatregelen waar uiteraard risico’s bijhoren: encryptie, wisprocedures en kluizen.

Het zal je niet verrassen dat encryptie met name bedoeld is om de exclusiviteit van de informatie te waarborgen. We willen niet dat iedereen zomaar bij de informatie kan als een medium verloren wordt. Te vaak hebben we al in het nieuws gehoord dat een USB-stick gevonden en bij een krant ingeleverd is.

De wisprocedures gaan ook in op exclusiviteit, maar ook bijvoorbeeld op de integriteit van de informatie. Waar is de meest actuele informatie beschikbaar? Nemen we beslissingen op basis van de juiste informatie of is de informatie inmiddels al lang achterhaald? Niet alle informatie hoeft voor eeuwig bewaard te worden, sommige informatie is na verloop van tijd echt niet meer nodig. Weggooien dus…of, begrijp me niet verkeerd: wissen dus en dan het liefst op een veilige manier.

De draagbare media verlaten ons gebouw. Maar waar worden deze opgeslagen? Liggen ze in de auto van een medewerker, zit het in een jaszak of ligt het thuis op de keukentafel? Als het om vertrouwelijke informatie gaat is het goed om na te gaan waar die mogelijk wordt opgeslagen. Een kluis kan een maatregel zijn om diefstal te bemoeilijken…maar er zijn natuurlijk ook andere maatregelen te bedenken.

Andere risico’s waar je aan kunt denken zijn de opslag en toegankelijkheid van de gegevens. Slaan medewerkers hun documenten op op de C-schijf van hun laptop of is deze informatie centraal beschikbaar? We willen wel dat we over de informatie kunnen beschikken als dat nodig is. Met het nieuwe werken zien we dat meer informatie lokaal wordt opgeslagen, hoe gaan we om met de back-up van die gegevens? Kunnen andere medewerkers ook bij die gegevens als onze medewerker lekker van zijn of haar vakantie geniet? Zomaar wat vragen om eens over na te denken. Ja maar wij werken met Sharepoint of op een andere manier “in the cloud”…prima, maar is alle relevante informatie daar ook opgeslagen dan?

Het probleem (of voor diegene die dat liever hebben: de uitdaging) is niet zozeer de draagbare media maar het feit dat de gegevens en informatie daarmee dus ook draagbaar worden. Ze zijn niet meer binnen de muren van ons gebouw aanwezig maar kunnen zich overal op de wereld bevinden. Een risico? Ja zeker. Moeten we daar tegen zijn? Nee, absoluut niet, dan worden we een 1.0 beveiliger en dat is wat we nu juist willen voorkomen, toch?