Draagbare en verwijderbare media

Kun je het je nog herinneren? Die mooie floppy’s waar 512kb en later zelfs 1,44mb op kon? Grote kans dat je nog een handtekening moest halen wilde je een doosje met floppy’s krijgen. Het opslaggeheugen is tegenwoordig niet meer aan te slepen. Een simpele USB-stick heeft al snel 4 gigabyte en willen we er iets meer aan uitgeven dan lopen die gigabytes al snel op tot ongekende hoogtes.

Als dat opslaggeheugen het probleem niet meer is, dan moeten we daar vanuit beveiligingsoptiek ook iets mee (al moeten we dat al jaren natuurlijk). De volgende vraag moeten we beantwoorden:
Zijn de eisen ten aanzien van informatie op draagbare en verwijderbare media (laptops, pda’s, mobiele telefoons, usb-sticks, tapes, diskettes, etc.) inzichtelijk?

Hoe gaan we als organisatie om met draagbare media? Mogen alle soorten media aangesloten worden op het netwerk? Waar slaan we de informatie op en hoe houden we daar dan nog controle over? Leuke vragen, moeilijker te beantwoorden.

Lange tijd hebben we de USB-poorten dicht gezet en mochten alleen de standaard laptops op het netwerk worden aangesloten. Met de nieuwe trend; “bring your own” laten we deze maatregelen nu al massaal los. We zien besparingen en het sluit aan bij het nieuwe werken. Interessante ontwikkelingen waar zeker wat voor te zeggen is, maar vanuit beveiligingsoptiek kan het tot hoofdpijn (of erger) leiden.

We zullen de eisen die we stellen als organisatie dus inzichtelijk moeten maken. Besluiten we om te gaan voor dat “bring your own”-principe, dan moeten we de eisen daarop aanpassen. Makkelijker gezegd dan gedaan en veelal komen we er te laat achter dat dergelijke keuzes ook nog impact kunnen hebben op de beveiliging van de informatie.

Enerzijds is het dus zaak om betrokken te raken bij dergelijke keuzes omdat men anders niet weet dat wij er ook nog iets over willen roepen. Anderzijds is het belangrijk om ontwikkelingen niet in de weg te staan. Hoe vaak worden we als beveiliging niet lastig gevonden omdat we stoïcijns “nee” roepen bij nieuwe ontwikkelingen? Juist, weet men dus al dat ze ons moeten betrekken dan moeten we er ook voor zorgen dat ze ons erbij willen betrekken. Niet door dwars te liggen, maar door een constructieve bijdrage te leveren.

Ogenschijnlijk willen we deze ontwikkelingen helemaal niet want ze brengen grote risico’s met zich mee. De 1.0 gedachte van beveiliging, zullen we maar zeggen. Redeneren we meer vanuit een 2.0 gedachte dan dragen we bij aan zulke ontwikkelingen, we juichen ze toe en brengen de risico’s overzichtelijk in kaart. We roepen niet “nee”, we roepen veel eerder “ja”. Alles mag, als het maar veilig is…of anders de risico’s geaccepteerd worden.

Draagbare en verwijderbare media zijn niet meer tegen te houden. We kunnen daar lang over discussiëren, maar wat mij betreft is het een gegeven. Misschien is het nu een mooie tijd om de door ons opgestelde eisen aan draagbare en verwijderbare media weer eens tegen het licht te houden. Wacht daar niet te lang mee want dan lopen we echt achter de feiten aan en worden we ingehaald door andere ontwikkelingen als het nieuwe werken, het werken in “the cloud” en ga zo nog maar even door.

Intellectuele eigendommen

Na de teksten over vertrouwelijke informatie, gaan we vandaag wat verder in op een specifiek aspect daarvan (dat overigens breder kan gaan dan de informatie alleen). De intellectuele eigendommen van de organisatie en de bescherming daarvan.

De vraag voor vandaag:
Is inzichtelijk over welke intellectuele eigendommen de organisatie beschikt?

Als BV Nederland en Nederlandse bedrijven zijn we er nogal trots op dat we ons tot de kenniseconomie rekenen. Ons intellect schatten we erg hoog in. En hoewel we natuurlijk allerlei discussies kunnen voeren over het niveau van onze opleidingsinstituten en kennis binnen organisaties betreden we dat gevaarlijke pad maar even niet.

Nee, laten we er inderdaad maar van uitgaan dat we echt tot die kenniseconomie behoren. Dan betekent dat vervolgens dat we allerlei nieuwe kennis toevoegen aan de wereld. Zonder filosofisch te willen worden betekent dat, dat er vele intellectuele eigendommen binnen Nederlandse organisaties aanwezig moeten zijn.

Eigendommen die beschermt moeten worden. Denk bijvoorbeeld aan allerlei wetenschappelijke modellen die ontwikkeld zijn, maar ook patenten, copyright, licenties etc., rekenen we tot het intellectuele eigendom. Vergis je niet, deze kunnen een enorme waarde in zich hebben.

We zien nog wel eens discussies tussen medewerkers en organisaties over wie nu de echte eigenaar is van het betreffende intellectuele eigendom. De medewerker heeft het wetenschappelijk model in zijn eigen tijd ontwikkeld want het koste hem zijn avonduren. De baas vindt echter dat hij in dienst is van de organisatie en dat het daarmee automatisch tot zijn intellectueel eigendom behoort.

Het antwoord? Dat is niet zo eenvoudig te geven. Misschien dat een jurist hier wat over kan roepen. Zaak is wel dat het hier met name gaat om verwachtingsmanagement. Spreek het uit en zorg dat het duidelijk wordt. Het risico voor de organisatie is te groot.

Denkt de baas dat de ontwikkelde software van de organisatie is? Denkt de medewerker dat hij de eigenaar is? Wordt een leuke discussie als de software doorverkocht is aan de klanten en zij daar licenties voor betalen. De medewerker besluit om voor een ander bedrijf te gaan werken en neemt de softwarecode mee. Kunnen we nu onze klanten nog blijven bedienen of gaan de klanten daarmee automatisch mee naar de concurrent?

De eerste stap is het inzichtelijk krijgen van de intellectuele eigendommen, de volgende stap is vastleggen wie nu de echte eigenaar is (en of alle partijen dat ook zo ervaren). Doen we dat, dan kunnen we veel plezier beleven aan ons intellectueel eigendom. Doen we het niet? Dan kunnen we er bijna op wachten tot het fout gaat. De klanten lopen weg en de claims vliegen ons om de oren.

De discussie wordt alleen maar belangrijker als we kijken naar het nieuwe werken. We willen medewerkers sturen op resultaat. Willen ze liever ’s nachts van 2 tot 3 werken om een stuk informatie af te krijgen dan vinden we dat als management prima. Maar dit betekent niet automatisch dat de medewerker ook 24 uur per dag eigendom van de baas is…Hier gaan de komende maanden en jaren waarschijnlijk nog veel (interessante) discussies over ontstaat.

Aanvullende instructies en geheimhoudinsverklaring

Na ons uitstapje van gisteren, waarbij we het artikel van Computable nog even onder de aandacht brachten, gaan we vandaag weer door met onze uitgebreide vragenlijst op het gebied van informatiebeveiliging. We zijn daarbij aanbeland bij het onderwerp dat ingaat op aanvullende instructies en geheimhoudingsverklaringen.

De vraag die hierbij hoort is:
Zijn er voor medewerkers die veel met vertrouwelijke informatie te maken krijgen aanvullende instructies opgesteld waaronder een geheimhoudingsverklaring?

Over de vertrouwelijke informatie en de omgang daarmee hebben we het vorige week ook al gehad. Toch is het belangrijk om te onderkennen dat we een basisinstructie moeten hebben voor mensen die zelden in contact komen met vertrouwelijke informatie. Zij moeten snel overzicht hebben in wat er van hen verwacht wordt.

Maar voor die medewerkers die vaker in contact komen met vertrouwelijke informatie kan het wenselijk zijn om uitgebreidere instructies ter beschikking te stellen. Uiteraard hierbij weer de gedachte dat het gaat om kennis, houding en gedrag. Alleen papiereninstructies zijn dus slechts de eerste stap, we moeten ervoor zorgen dat de houding en het gedrag daarop aangepast wordt.

Niet de instructies over de schutting gooien dus, maar met de medewerkers in gesprek gaan. Hen toelichten wat vertrouwelijke informatie is, welke mogelijke schade er kan ontstaan na een incident, waarom we dat zo graag willen voorkomen en wat hun rol daarbij is. Daarop aansluitend moeten we ze natuurlijk ook de middelen geven om het veilig werken mogelijk te maken.

Schrijven we bijvoorbeeld voor dat vertrouwelijke informatie op een versleutelde USB-stick mag worden opgeslagen. Dan moeten we ze die stick ook ter beschikking stellen. En dan niet een stick met 64mb, maar een die een beetje moderner is, zodat we ook echt informatie kwijt kunnen.

Train de medewerkers die veel in contact komen met vertrouwelijke informatie en leg hen uit waarom we daar nu eigenlijk zo moeilijk over doen. Betrokkenheid en verantwoordelijkheid creëren, dat is het advies.

Zo, de medewerkers weten nu wat er van hen verwacht mag worden en theoretisch houden ze zich daar allemaal ook nog aan. Onze informatie komt niet meer op straat…toch?

Maar we hebben nu een goede band met die medewerker, wij betalen zijn salaris en daarvoor mogen we wat terug verwachten. Maar wat als de concurrent besluit een mooie transfersom te willen betalen voor de medewerker? Vertrekt onze informatie dan ook naar de concurrent? Hopelijk hebben we, juridisch correcte, geheimhoudinsverklaringen en staat de handtekening van de medewerker daar ook nog onder.

Op papier zal hij of zij de informatie dus niet verder verspreiden, dat mag immers niet. Maar, vertrouwen is goed, controle is beter. Bij uitdiensttreding bedanken we de medewerker voor gedane zaken maar we wijzen hem ook nog even op de geheimhoudingsverklaring. Wederom theoretisch prima, maar nu moeten we ook nog controleren of de informatie niet op een onverklaarbare wijze ons netwerk verlaat.

Willen we dat een geheimhoudingsverklaring ook echt zin heeft dan moeten we de informatie monitoren. Voor de digitale informatie is dat met allerlei technische middelen tegenwoordig goed in te richten (onderschat het niet, want het is zeker geen makkelijke opgave). Maar de kennis die in het hoofd van de medewerker zit is moeilijker geheim te houden. Misschien moeten we wel concluderen dat we alleen maar kunnen hopen dat de echt geheime informatie geheim blijft…dan helpt het als we op een prettige manier afscheid nemen van de medewerker.

Een groot risico bij reorganisaties is dat de geheimhoudingsverklaringen aan alle kanten geschonden worden. De medewerker is gefrustreerd en de informatie verlaat aan alle kanten de organisatie. Uitdaging daarbij is dat digitale informatie niet weg is als het gelekt is. Er kan immers een kopie gemaakt zijn. Diefstal van een laptop zullen we nog wel ontdekken (toch?), diefstal van informatie is al een stuk ingewikkelder.

Ik wil je zeker niet ontmoedigen, want we moeten er zeker goed naar kijken, maar we moeten ook realistisch blijven en accepteren dat hier risico’s zijn die we echt niet allemaal af kunnen dekken.

Informatiebeveiliging: ‘compliant’ of ‘in control’

Vorige week is mijn artikel geplaatst op Computable. Kleine moeite natuurlijk om dat bericht hier te herhalen.

Verbeteringen kunnen we, net als vele andere zaken, sturen op de drie algemeen bekend veronderstelde elementen van de duivelsdriehoek (geld, tijd of kwaliteit). Een waarheid die bij veel van ons wel op het netvlies staat. Hoe graag we dat misschien ook willen geloven, vormt informatiebeveiliging daar geen uitzondering op.

Inmiddels zijn we allemaal druk bezig met ‘compliant’ worden of toch liever het ‘in control’ raken op dit gebied. Houden we daarbij de elementen van de duivelsdriehoek (geld, tijd of kwaliteit) niet in de gaten, dan kan dat leiden tot frustraties en onbegrip.

Blijkens alle incidenten zien we dat de invoering van informatiebeveiliging nog niet altijd het gewenste effect heeft. We kunnen daarvoor gelukkig teruggrijpen op veel ‘lessons learned’ van bijvoorbeeld project- en kwaliteitsmanagement, wat ik je zeker aan wil raden. Maar daarnaast spelen nog andere facetten een rol zoals de dagelijkse gang van zaken, de scope en het doel van informatiebeveiliging, het risicogedrag van de organisatie, de inbedding van informatiebeveiliging in die organisatie maar juist ook de sturing er op.

Wat willen we?

Bij het opstarten van nieuwe informatiebeveiligingsprojecten vergeten we nog wel eens expliciet te maken of we ‘compliant’ of toch liever ‘in control’ willen zijn? Willen we een technische beveiligingsmaatregel implementeren of continuïteitsrisico’s afdekken? Dit is van belang omdat het een onderdeel van de business case zou moeten zijn en de sturing van informatiebeveiliging hier een afgeleide van is.

Het is natuurlijk heel verklaarbaar om te sturen op geld of tijd, omdat die goed ‘smart’ te maken zijn (iets mag X kosten en/of moet op tijdstip Y afgerond zijn). De vraag die rijst is of het verstandig is om bij de invoering of verbetering informatiebeveiliging te sturen op geld of tijd. Het is immers een kwaliteitsaspect waar we continu aandacht aan moeten besteden en dat we met behulp van regelkringen, zoals Deming, continu verbeteren. Een groot nadeel is natuurlijk dat kwaliteit, en daarmee informatiebeveiliging, veel minder makkelijk ‘smart’ te maken is. Kwaliteit is, volgens ISO 8402, immers ‘het geheel van eigenschappen en kenmerken van een product of dienst dat van belang is voor het voldoen aan vastgestelde of vanzelfsprekende behoeften’.

Over het algemeen geldt dat wanneer we ervoor kiezen om te sturen op ‘geld’ de doorlooptijd zal toenemen en de kwaliteit zal afnemen (het mag best wat langer duren en de kwaliteit mag best wat lager zijn als het budget maar niet wordt overschreden). Kiezen we er echter voor om te sturen op ’tijd’, dan zullen de kosten toenemen terwijl de kwaliteit afneemt (het mag best wat meer kosten en de kwaliteit mag best wat minder zijn, als het maar op tijd af is). Als laatste kunnen we sturen op ‘kwaliteit’. In dat geval zullen over het algemeen zowel de doorlooptijd als de kosten toenemen (het mag best wat langer duren en wat meer kosten, als het maar aan de kwaliteitscriteria voldoet).

De kunst is nu juist om het, voor de organisatie specifieke, optimum te vinden in geld, tijd en kwaliteit. Daarbij moeten keuzes gemaakt worden over welke kwaliteit wenselijk is binnen welke tijd en tegen welke kosten en welke compromissen we daarvoor dan bereid zijn om te sluiten.

In de praktijk zien we dat veelal gekozen wordt voor het sturen op ‘geld’ (ook al wordt er nog wel eens wat anders gezegd). Kiezen we daar niet voor, dan is de volgende keuze al snel sturen op ’tijd’. Een combinatie van sturen op geld en tijd is misschien nog wel de meest voorkomende combinatie in de praktijk. “Het moet morgen af zijn en mag niets kosten”; of iets genuanceerder, klinkt je vast bekend in de oren. Bij een dergelijke sturing komt de kwaliteit al snel onder druk te staan en die druk neemt alleen maar toe als de budgeten minder en de deadlines strakker zijn.

Wijs en verstandig

Dit geschreven hebbende en met in het achterhoofd dat informatiebeveiliging een kwaliteitsaspect is, komen we terug bij de vraag of het wijs en verstandig is om informatiebeveiliging te sturen op geld en/of tijd. Zouden we niet beter kunnen sturen op de kwaliteit ervan? Hoewel het antwoord op de vraag misschien volmondig ‘ja’ lijkt, ligt dat toch wat weerbarstiger. We moeten kijken naar de ondersteunende rol van informatiebeveiliging binnen de organisatie.

Laten we eerst nog even kort ingaan op de gevolgen van het sturen van beveiliging op andere aspecten dan kwaliteit. Sturen we op geld dan blijkt dat er veelal onvoldoende budget beschikbaar is waardoor het niet realistisch is dat er tijdig een, volgens onze normen, goede beveiliging wordt afgeleverd. We zullen onacceptabele risico’s blijven lopen. Sturen we daarentegen op tijd dan zijn de deadlines meestal te strak waardoor het niet realistisch is om binnen het beschikbare budget een bepaalde mate van beveiliging te leveren die aan onze eisen voldoet. Ook in dit geval blijven we onacceptabele risico’s lopen. Gaan we echter sturen op kwaliteit, wat dat dan ook moge zijn, van de beveiligingsmaatregel, dan zullen we zien dat het meer geld en tijd in beslag zal nemen om de beveiligingsmaatregel daadwerkelijk goed te implementeren. Daarentegen neemt de kans enorm toe dat we het onderkende risico ook daadwerkelijk afdekken. De keuze over wat een onacceptabel risico is, is echter veelal niet aan ons als beveiligers, maar aan het management. Wel is het onze verantwoordelijkheid om ze op de mogelijke gevolgen te wijzen. Of anders gezegd: het besluit over het compromis dat we bereid zijn te sluiten voor de variabelen geld, tijd en kwaliteit ligt bij het management.

De keuze om te kiezen voor een bepaald stuurelement hangt dus erg af van de vraag waarom de organisatie eigenlijk aan informatiebeveiliging doet en wat we daarbij onder kwalitatief goede beveiliging verstaan. Willen we ‘compliant’ zijn dan kunnen we inderdaad (of misschien zelfs wel beter) sturen op geld en/of tijd waarbij het voor de buitenwereld lijkt of we het goed voor elkaar hebben maar we in de praktijk accepteren dat we risico’s lopen. Willen we echter ‘in control’ zijn en de operationele risico’s die onze bedrijfsprocessen kunnen bedreigen echt beheersen, dan kunnen we wellicht beter sturen op de kwaliteit. De kunst is om het optimum te vinden waarbij ‘geld’, ’tijd’ en informatiebeveiliging in evenwicht zijn binnen het compromis van het management.
Voordat je aan je volgende informatiebeveiligingsklus begint, is het misschien een goed idee om jezelf en je opdrachtgever nog even de vraag te stellen wat het doel eigenlijk is: willen we ‘compliant’ zijn of toch liever ‘in control’? Dat scheelt een berg frustratie en miscommunicatie en de kans dat de resultaten als een succes worden gezien neemt toe.

Is duidelijk wat het doel van informatiebeveiliging is, dan heb je de volgende twee keuzes. Of er wordt gestuurd op het juiste sturingselement en je kunt aan de slag. Of je moet de opdrachtgever teleurstellen en de opdracht terug geven…tenzij hij of zij natuurlijk bereid is alsnog voor het best passende sturingselement te kiezen. En dat hoeft dus niet altijd ‘kwaliteit’ te zijn als de bijbehorende risico’s maar worden begrepen.

De kwaliteit van informatiebeveiliging: ‘compliant’ of ‘in control’…ook dat is een keuze.

Hier kun je het origineel vinden.

Omgang met vertrouwelijke informatie

De voorschriften voor informatie en vertrouwelijke informatie zijn opgesteld. Hopelijk hebben we het aantal velletjes papier kunnen minimaliseren zodat het allemaal nog goed leesbaar (en begrijpelijk) blijft voor degene die er echt mee moeten werken: de medewerkers.

Kunst is nu om deze voorschriften in te voeren, de bijbehorende vraag is niet voor niets:
Is bij de medewerkers duidelijk welke informatie als vertrouwelijk behandeld dient te worden?

Het lijkt misschien een simpele vraag maar het antwoord is toch wat lastiger. Enerzijds moeten de voorschriften er dus zijn, anderzijds moeten de voorschriften ook nog bij de medewerkers bekend zijn. Zijn ze bij de medewerkers bekend dan moeten ze ook nog duidelijk zijn en moeten we er vervolgens nog voor proberen te zorgen dat er gewerkt wordt conform deze voorschriften. Kennis, houding en gedrag, succes ga er maar aan staan.

De voorschriften plaatsen we natuurlijk op onze intranetomgeving en nieuwe medewerkers krijgen een afschrift zodra ze in dienst treden. En klaar is Kees. Theoretisch zouden de medewerkers nu inderdaad de kennis moeten kunnen hebben. Je leest al uit de zin hoe voorzichtig die geformuleerd is. Een nieuwe medewerker krijgt de eerste paar dagen zoveel informatie over zich heen dat dit voorschrift er even bij in is geschoten. De medewerker die op het intranet kijkt verzuipt ook letterlijk in alle informatie waardoor de kans erg klein is dat hij bij ons voorschrift terecht komt.

Medewerkers die actief zoeken op de classificatie van vertrouwelijke gegevens kunnen de voorschriften waarschijnlijk nog wel vinden. De rest van de organisatie weet niet van het bestaan af. Helaas, we kunnen denken dat dat anders is, maar dat is niet het geval. Weet jij wat voor informatie er allemaal beschikbaar is op het intranet van je organisatie? Kleine kans dat je alle informatie al eens gelezen hebt. Grotere kans dat je de informatie hebt gelezen die voor jou interessant is…en beveiligingsonderwerpen horen daar voor de meeste medewerkers nu eenmaal niet bij.

De beveiligingsbewustzijnsprogramma’s kunnen zeker van invloed zijn op de bekendheid met de regels en voorschriften. Maar dan wel goede programma’s die zich richten op kennis, houding en gedrag. Een poster aan de wand volstaat niet en de sociaal wenselijke nulmetingen brengen ook vaak niet veel helderheid.

Begrijp me niet verkeerd, ik ben zeker geen tegenstander van bewustzijnsprogramma’s, maar in vind het wel weggegooid geld als we voor meer dan 100.000 euro aan posters, e-learningen, etc. spenderen als het niet echt bijdraagt aan de verbetering van de beveiliging. Het bewustzijnsprogramma moet onderdeel zijn van een groter geheel, het moet onderdeel zijn van de beveiligingscultuur. Een dergelijke cultuur bereiken is vele malen moeilijker, kost jaren continue inspanning en is dan ook nog een afgeleide van de totale organisatiecultuur (waar we vanuit beveiliging weinig invloed op hebben in de praktijk).

Een cultuur verander je niet, de mensen in de organisatie maken een cultuur. Door de mensen (door de jaren heen) te veranderen, verandert uiteindelijk de cultuur. Zoals ik al schreef: succes, ga er maar aan staan. Moeten we het dan maar niet proberen? Nee, natuurlijk niet, we moeten er juist ons stinkende best voor doen zodat we er over een aantal jaren de vruchten van plukken. Beginnen we er nu niet aan dan wordt de drempel alleen maar hoger en zal het er wel nooit meer van komen om de organisatie beveiligingsbewust te maken.

Voorschriften voor vertrouwelijke informatie

Gaan we het nu alweer over voorschriften voor informatie hebben? Ehm, juist, inderdaad. De nuance zit hem nu in het feit dat het hier over vertrouwelijke informatie gaat. We willen immers niet dat onze informatie op straat komt, maar we willen al helemaal niet dat onze vertrouwelijke informatie daar belandt.

De vraag:
Zijn er voorschriften opgesteld ter bescherming van vertrouwelijke informatie tegen onbevoegde kennisneming, verlies en/of beschadiging?

Het interessante bij deze vraag is dat gegevens afzonderlijk niet vertrouwelijk hoeven te zijn, maar dat als we ze samen brengen ze dat in eens wel weer zijn. Vergelijk het met je inlognaam en wachtwoord. Afzonderlijk van elkaar kun je er niet zoveel mee (ja, ja, ik weet het met illegale activiteiten kun je alsnog erg ver komen, maar dat gaat voor nu te ver). Brengen we ze echter samen dan zijn we ineens een stap verder. Als je weet dat mijn inlognaam “pietje1234” is dan is dat een feit. Weet je aan de andere kant dat mijn wachtwoord “Welkom01” is dan heb je wederom een feit te pakken. Ken je beide en weet je dat ik via Hotmail mail dan is het een koud kunstje om namens mij in te loggen.

Ik wil je overigens nergens toe aansporen. De gegevens zijn natuurlijk fictief…maar excuses voor alle Pietjes en voor alle mensen die Welkom01 als wachtwoord gebruiken.

Dezelfde parallel geldt voor de gegevens in veel van onze databases. De afzonderlijke gegevens zeggen misschien niet zoveel, maar de combinatie van meerdere gegevens kan ineens vertrouwelijk zijn. Juist daarom willen we extra inzoomen op de voorschriften voor vertrouwelijke informatie.

Natuurlijk willen we gemeld hebben als niet vertrouwelijke informatie in verkeerde handen terecht is gekomen of als we die op het dak van onze auto hebben achtergelaten voordat we wegreden (geloof me, het gebeurt vaker dan je denkt). Maar misschien moeten we wel andere stappen ondernemen als blijkt dat het hier om vertrouwelijke informatie ging.

Een issue daarbij is dat medewerkers er, in enkele gevallen, niet bij gebaat zijn om het te melden. Stel je voor, straks volgen er sancties. Nee, we beschouwen de informatie als verloren en maken gewoon een nieuw printje. Natuurlijk kunnen we bepalen om sancties op te leggen bij dergelijke incidenten. We geven de medewerker een veeg uit de pan en in het ergste geval nemen we afscheid van elkaar. Dat is toch een beetje de put dempen als het kalf verdronken is. Beter is het om te proberen de schade te beperken. Analyseer wat er gebeurt is en of we de informatie wellicht nog terug kunnen krijgen zonder dat ons imago kleerscheuren oploopt.

Lukt dat niet omdat we de informatie echt uit het oog zijn verloren, dan zullen we met de billen bloot moeten. We kunnen natuurlijk met ons voltallig personeel gaan zitten duimen, in de hoop dat de informatie niet ineens in de krant belandt…maar dat kan destructief zijn voor ons imago en is dus erg risicovol. Aan de andere kant, als we onze verantwoordelijkheid nemen en de klant informeren dat we zijn gegevens rond hebben laten slingeren, dan weten we zeker dat we in de krant komen.

Een lastig besluit en in heel veel gevallen een besluit dat we niet vanuit beveiliging moeten nemen. Nee, we informeren de juiste managementlagen en komen misschien zelfs met het crisisteam bij elkaar om het vervolg te bepalen. Geen leuke situatie natuurlijk, maar wel van groot belang. Dergelijke incidenten willen we niet onder onze beveiligingspet houden, daar is ons petje te klein voor.

Vertrouwelijke informatie verdient dus wat extra aandacht…en laat dat “wat” eigenlijk maar weg. We moeten zowel preventief, detectief, correctief als repressief extra nadenken over de impact van die informatie. Doen we dat niet dan staan we vast en zeker binnenkort in de krant…en negatieve berichten zijn ook reclame, maar of we daar op zitten te wachten is de vraag.

Het classificeren van informatie

Heb ik overigens al eens geschreven hoe goed ik het vind dat je mijn blog nog steeds leest? Nee, oh, mijn excuses…mijn complimenten en hartelijke dank. Ik kan me natuurlijk voorstellen dat het wat mensen wit om de neus wordt als ze sommige onderwerpen lezen. Maar bedenk, het is nooit de bedoeling om angst aan te jagen, maar wel om je bewust te maken…bewust van de risico’s. Onderkennen we de risico’s dan kunnen we er wat aan doen en komen we niet voor nare verrassingen te staan.

En nu, hop, snel naar de volgende vraag in het rijtje:
Zijn er richtlijnen voor het classificeren van informatie?

Bij het classificeren (of rubriceren) van informatie denken we in ieder geval aan termen als: “intern gebruik”, “vertrouwelijk”, “geheim” of zelfs “staatsgeheim” (in allerlei classificaties). Deze termen richten zich met name op de exclusiviteit van de betreffende informatie.

De enige die die exclusiviteit goed kan bepalen is de medewerker die de gegevens vertaald naar informatie. Vindt hij of zij dat het geclassificeerd moet worden, dan moet dat vooral niet worden nagelaten (hoewel hier wat kanttekeningen bij te plaatsen zijn, want we moeten niet onnodig informatie classificeren om ze belangrijker te doen voorkomen dan ze echt is). Wel handig als er dan een voorschrift voor is hoe we classificeren. Zijn er standaarden te bedenken die bij voorbaat al een classificatie verdienen? Zoals klant- of financiële gegevens of strategische informatie over de koers die we gaan varen? Op welke wijze maken we duidelijk dat het om geclassificeerde informatie gaat? Boven aan de pagina of toch liever boven en onderaan de pagina? En welke classificaties mogen we intern gebruiken? Vrij praktisch allemaal.

Hebben we de richtlijnen voor de exclusiviteit van de informatie in het voorschrift opgenomen (wat in de praktijk al best vaak gebeurt overigens) dan kunnen we ook nog kijken naar die aspecten die in de praktijk in dit soort voorschriften nog onderbelicht zijn, namelijk de beschikbaarheid en integriteit van de informatie.

Of, kort samengevat, hoe kritisch is de informatie voor het voortbestaan van de organisatie. Hoe lang kunnen we doordraaien als de informatie tijdelijk niet beschikbaar is en hoe erg is het als die informatie voor altijd verloren gaat? Welke processen komen dan piepend en krakend tot stilstand? Hebben we daar voldoende zicht op, dan draagt dat zeker bij aan de juiste omgang met informatie.

Vervolgens kunnen we nog kijken naar de integriteit. Hoe erg is het als de gegevens niet helemaal betrouwbaar zijn? Moeten we de gegevens echt voor 100% op feiten zijn gebaseerd of mogen we ook beslissingen nemen als we niet helemaal zeker weten hoe betrouwbaar die informatie is?

Persoonlijk vind ik het, bijvoorbeeld, een prettige gedachte als een arts over integere informatie kan beschikken voordat hij aan zijn operatie begint. Voor je het weet begint hij in het verkeerde been te zagen. “Meneer, de meniscus in uw linkerknie is succesvol geopereerd” wil je liever niet horen als je sterft van de pijn in je rechterbeen.

Kortom: bij classificatie van gegevens beginnen we eerst goed te kijken naar de exclusiviteit, maar daarna willen we graag doordenken over de beschikbaarheid en integriteit van de informatie. Doen we dat op de juiste manier en weten we de medewerkers daar ook nog vertrouwd mee te maken dan zijn we een aardige stap op weg naar een juist niveau van informatiebeveiliging.

Controle van de voorschriften

Gisteren hebben we hard gewerkt aan het opstellen van voorschriften voor de bescherming van voor ons kostbare informatie. Vertrouwen was leuk, maar controle is beter en de papierentijgers willen we al helemaal voorkomen. Daarom moeten we goed kijken naar wat er met de informatie gebeurt.

De logische vraag die daarbij hoort, is:
Wordt er gecontroleerd of de voorschriften ter bescherming van informatie tegen onbevoegde kennisneming, verlies en/of beschadiging worden nageleefd?

In de vraag hebben we het over drie onderwerpen, namelijk kennisname, verlies of beschadiging. In meer bekende termen voor informatiebeveiliging hebben we het dan over exclusiviteit, beschikbaarheid en integriteit.

Oftewel: is de juiste informatie die we nodig hebben beschikbaar op het juiste moment en voor de juiste persoon. Dat is niet iets wat we eenmalig vast kunnen stellen en waar we nooit meer naar om hoeven te kijken.

Het kan best zijn dat een medewerker de informatie in zijn huidige functie nodig heeft om zijn werk te kunnen doen. Maar ja, of je nu wilt of niet, de kans is aanwezig dat een medewerker promotie maakt. Hij is, bijvoorbeeld, nu geen beheerder meer maar teamleiders van alle beheerders. Chapeau, goed gedaan. Maar daarmee hoeft hij dus niet meer bij alle gegevens te kunnen waar hij eerst wel bij kon. Nee, zijn profiel moet opnieuw worden bekeken en zijn informatiebehoefte moet opnieuw worden vastgesteld.

Op papier allemaal niet zo ingewikkeld, in de praktijk toch een stuk weerbarstiger. Hoe vaak zien we niet dat medewerkers die inmiddels 30 jaar voor dezelfde baas werken overal bij kunnen? Er zijn wel steeds nieuwe informatiebehoeften bij gekomen, maar de rechten die hij niet meer nodig heeft zijn hem nooit afgenomen.

Daarbij kunnen we natuurlijk kijken wat hij bewust met de informatie doet. Kijkt hij er nog wel eens naar, kopieert hij ze niet toevallig en heeft hij ze wel eens doorgestuurd naar de Telegraaf? Voor het merendeel van de medewerkers zal dit wel meevallen…maar ja, hoeveel mollen zitten er bij jou in de organisatie?

Naast bewust handelen is er ook nog zoiets als onbewuste fouten. De medewerker vindt zelf dat hij de informatie niet meer nodig heeft en denkt zijn C-schijf eens lekker op te schonen door alles te verwijderen. Ctrl+Alt+Delete en we beginnen weer met een schone lei. Helaas waren we even vergeten dat deze informatie nooit verder is gekomen dan de C-schijf. De medewerker heeft er geen last van als het verwijderd wordt, hij gebruikt ze immers toch niet meer. Maar hoe zit het met zijn opvolger? Moet die de informatie niet overgedragen krijgen? Of moet hij maar helemaal opnieuw beginnen met informatie verzamelen?

Oké, opslagruimte kost tegenwoordig niets meer, dus we bewaren alles wat los en vast zit. Uiteraard moeten we niet alles tot in lengte van dagen bewaren, dat is nergens voor nodig. Maar we moeten wel bewust omgaan met de toegang tot de informatie en het verwijderen van die informatie. Doen we dat op de verkeerde manier dan hebben we geen last van “information overload” maar eerder van “information shortage”. Geen van beide zijn een prettig idee, tenminste, als je het mij vraagt.

Voorschriften ter bescherming van informatie

De afgelopen tijd hebben we het met name gehad over het beschermen van de digitale informatie en informatievoorziening. Informatiebeveiliging wordt nogal eens gelijkgesteld aan alles wat in bits en bytes is uit te drukken.

Maar als je kijkt naar het begrip “informatie” dan omvat dat natuurlijk net zo goed de analoge of niet digitale informatie. De vraag van vandaag wordt dan ook:
Zijn er (algemene) voorschriften opgesteld ter bescherming van informatie tegen onbevoegde kennisneming, verlies en/of beschadiging?

Voor veel, zo niet alle, organisaties is informatie van groot belang voor het voortbestaan. Maar dan moeten we informatie wel in de breedste vorm bekijken. De klantinformatie, de financiële gegevens, de strategie, de procesbeschrijvingen en ga zo nog maar even door. Allemaal informatie die er aan bijdraagt dat we als organisatie kunnen blijven draaien.

Informatiebeveiliging wordt al vaak gelijk gesteld aan digitale informatie maar ook aan de exclusiviteit daarvan. Hoe vaak horen we niet dat informatiebeveiliging voor een betreffende organisatie niet van belang is omdat ze toch geen geheime gegevens hebben?

Natuurlijk moeten we kijken naar de exclusiviteit van informatie, we willen immers niet dat de informatie zomaar op straat ligt of dat onze concurrenten daar vrij in kunnen kijken. Maar ook de beschikbaarheid en integriteit van die informatie moeten we meewegen.

We willen wel dat de kritische informatie er is op het moment dat we die nodig hebben (beschikbaarheid) en willen dan ook nog eens over de juiste gegevens beschikken (integriteit). Dat geldt echt niet alleen voor de vertrouwelijke of geheime gegevens. Op het moment dat de belastinginspecteur aan de deur klopt willen we toch wel graag beschikken over onze financiële gegevens. Gebruiken we de verkeerde gegevens dan kan ons dat duur komen te staan…we betalen dan teveel belasting of we krijgen achteraf de claim aan onze broek.

Maar denk je ook eens in wat je doet als de klantinformatie verdwenen is of niet meer klopt. Hoe weten we dan welke klanten we al geleverd hebben en wie er nog moet betalen? Beetje slordig als we spullen niet leveren omdat de informatie verdwenen is of als we de geleverde spullen niet in rekening brengen, toch? Beide gevallen kost onze organisatie direct omzet…om het over het imago nog maar niet te hebben.

Natuurlijk hebben we veel van die informatie digitaal beschikbaar. Als het goed is maken we back-ups en die testen we ook nog regelmatig (toch?). Maar hoeveel informatie staat er alleen maar op papier? Hoeveel informatie zit er in de hoofden van de medewerkers?

Hier komt het verschil tussen gegevens en informatie om de hoek kijken. Het kan best zijn dat we de gegevens allemaal digitaal hebben maar dat een medewerker daar de informatie van maakt. Hij of zij weet waar de gegevens te vinden zijn en hoe ze gebruikt kunnen worden. Een groot gevaar om dat alleen maar bij een persoon in het hoofd te laten zitten.

En we willen het wederom weer niet te cryptisch maken, dus een concreet en simpel voorbeeld: stel dat we een mooie database hebben opgebouwd met al onze klantgegevens daarin. We weten exact wie onze klanten zijn, wat ze zoal kopen en wanneer ze mogelijk weer wat nieuws aan zullen schaffen. Deze database beveiligen we natuurlijk met een wachtwoord, want niet iedereen mag de gegevens zien. Wat doen we nu als de beheerder van de database besluit om te vertrekken naar een andere organisatie? Laat hij dan het wachtwoord achter? Kunnen we er dan nog wel bij? Hoe weten we nu zeker dat hij de gegevens niet kopieert en meeneemt naar de concurrent? En zo kunnen we nog wel meer vraagtekens plaatsen.

We zullen dus (algemene) voorschriften op moeten stellen ter bescherming van informatie tegen onbevoegde kennisneming, verlies en/of beschadiging. Het zijn immers de medewerkers die dergelijke gegevens benaderen om er informatie van te maken. Organisatorisch is dat allemaal goed te regelen, maar hoe zorgen we ervoor dat het ook allemaal echt werkt? Vertrouwen is goed, controle is beter en op papierentijgers zit niemand te wachten.

De informatie is te kostbaar om er niet over na te denken, of het nu digitaal of niet digitaal is doet er eigenlijk niet zo toe. Hopelijk weet jij waar de kritische informatie is en hoe die beveiligd is. We willen niet in de krant lezen dat jouw organisatie gegevens is verloren, toch?

Beveiligingsincidenten: melden, vastleggen, analyseren en rapporteren

Vallen we niet in herhaling, zul je zeggen? Voor een deel wel, maar we gaan het hier met name hebben over de verzameling incidenten. Die we, in een eerder stadium gemeld hebben gekregen, die we hebben vastgelegd, die we analyseren en die we vervolgens ook nog eens aan het management rapporteren.

De vraag die we stellen is:
Worden de beveiligingsincidenten gemeld, vastgelegd, geanalyseerd en gerapporteerd?

Het melden van beveiligingsincidenten hebben we eerder al aangehaald. Ik ga er voor het gemak vanuit dat we deze meldingen ook registeren (ja, ik weet het, aannames zijn levensgevaarlijk). Incidenten kunnen losstaand zijn maar kunnen ook onderdeel van een groter probleem zijn. De kunst is nu om door al die verschillende incidenten heen te kijken en de verbanden te leggen tussen meerdere incidenten.

Als dat lukt kunnen we nog meer op zoek naar de echte oorzaken van een probleem. Ook hierbij geldt weer dat een eenmalig incident iets totaal anders kan zijn dan een bundeling van beveiligingsincidenten. Daarom analyseren we op een hoger abstractieniveau wat er zoal gemeld en gebeurd is. Kunnen we daar lijnen in ontdekken dan kunnen we ook structurele oplossingen aandragen.

Stel dat we veel meldingen krijgen van geblokkeerde accounts van een specifieke afdeling. Dat kan toeval zijn, maar het kan ook zo zijn dat meerdere mensen al jaren onder hetzelfde account werken. Persoonlijke accounts zijn in de praktijk groepsaccount geworden. Later zullen we dus niet meer na kunnen gaan welk individu een bepaalde actie heeft gepleegd, maar ook beschikken we zeer waarschijnlijk niet over voldoende licenties wat weer tot boetes kan leiden.

We raken hier met beveiliging het vakgebied van “business intelligence”. Beide ingewikkelde vakgebieden maar als we ze goed in weten te regelen kan dat enorme synergetische voordelen opleveren. De BI-specialist ontwikkeld de methoden om grote aantallen gegevens te analyseren en wij gaan met de uitkomsten van die analyses bedenken welke mogelijke beveiligingsissues daaraan kleven.

Uiteraard maken we ook aan het management inzichtelijk wat er zoal gebeurt. We rapporteren niet de afzonderlijke incidenten (tenzij ze echt noemenswaardig zijn natuurlijk), maar rapporteren de trends en de uitkomsten van de analyses. Zo wordt het management betrokken maar niet lastig gevallen met allerlei technische details (waar ze of geen interesse in of geen verstand van hebben). We zetten beveiliging op de kaart en tonen onze meerwaarde aan voor het bereiken van de doelstellingen van de organisatie. En hoe mooi die doelstellingen vaak ook omschreven zijn, ze komen bijna altijd op het volgende neer: verhoging van omzet (of optimale inzet van budget voor non-profits), verlaging van kosten en bescherming van imago.