FBI topman wil tweede internet voor kritieke systemen

Het zal nooit lukken om de netwerken van energiebedrijven en banken adequaat te beveiligen, een manier om de systemen te beschermen is het opzetten van een gescheiden en beveiligd internet.

“De uitdaging met het internet is dat je niet weet wie de aanval uitvoert”, aldus de FBI-topman. Een belangrijke maatregel is volgens hem het ontwikkelen van netwerken waar geen anonimiteit bestaat en waar alleen betrouwbare werknemers toegang toe hebben. (bron)

Nu ken ik niet de exacte achtergrond van de stelling die door de FBI-topman geroepen wordt, maar het klinkt toch een beetje vergezocht. Als we er voor zorgen dat alleen betrouwbare werknemers toegang hebben tot het tweede internet, dan kan ons niets gebeuren. Ja ja, maar wie kun je dan vertrouwen en is het niet zo dat iedereen zijn prijs heeft? Wil men dit tweede internet aanvallen dan infiltreert men in de organisaties die daar toegang toe hebben en we kunnen weer van vooraf aan beginnen. Waarschijnlijk wordt dit tweede internet ook wel weer ergens gekoppeld aan het huidige internet en anders dan breken we toch gewoon op een andere manier in bij die organisaties die over kritieke systemen beschikken?

Omdat we de bankovervallen niet kunnen voorkomen besluiten we om alle banken maar te sluiten en in een tweede afgescheiden dimensie onder te brengen. The Matrix…here we come. Maar is dit al niet geprobeerd met “Second Life” en wie hoort daar nog wat van? En als ik als klant van die bank nu wil internet bankieren…mag ik dat dan via het huidige internet of moet men mij eerst betrouwbaar genoeg vinden om toegang te krijgen tot het tweede internet?

Nee, ik hoop toch dat deze FBI-topman er andere gedachten bij heeft. De kritieke systemen kunnen we immers niet los zien van andere systemen, organisaties en processen. Bedenk alleen maar welke organisatie toegang mag hebben tot dit tweede internet. Waarom zij wel en wij niet?

Ik kan me er maar weinig bij voorstellen en ben benieuwd naar de vorderingen op dit gebied. Maar laten we eerlijk zijn, moeten we als organisaties er niet gewoon voor zorgen dat we zelf de boel beter op orde hebben? Natuurlijk zijn er zware technische aanvallen die moeilijk zijn tegen te houden. Maar kijken we naar de recente incidenten en de oorzaken daarvan dan moeten we misschien wel concluderen dat die niet veroorzaakt zijn door ingewikkelde aanvallen maar juist door simpele feiten en doordat veel organisaties de basis gewoon niet op orde hebben.

Voordat we dus gaan investeren in een tweede, veiliger, internet (dat uiteindelijk ook weer aangevallen zal worden), kunnen we er beter voor zorgen dat we de basis geregeld hebben. We kunnen er dus beter voor kiezen om onze voordeur gewoon op slot te doen voordat we besluiten onze waardevolle spullen in een ander gebouw onder te brengen (waar we dan ook de voordeur van moeten sluiten).

Gehackte insulinepomp levert fatale dosis aan patient

Informatiebeveiliging is natuurlijk voor veel mensen een ver-van-mijn-bed-show. Met name grote organisaties worden aangevallen en we hebben daar zelf weinig last van. Toch? Totdat hacking wel erg dichtbij komt. Je zult maar suikerpatiënt zijn, dan is het toch fijn om de risico’s te kennen.

Een beveiligingsonderzoeker heeft een manier ontdekt om insulinepompen te hacken, waardoor het mogelijk is een fatale dosis aan suikerpatiënten te geven. Het probleem bevindt zich in de insulinepompen van fabrikant Medtronic, die over een radiozender beschikken waardoor patiënten en doktoren de instellingen kunnen aanpassen. De aanval werkt over een afstand van honderd meter en laat de onderzoeker alle apparaten binnen dit gebied overnemen. Vervolgens kan Jack het apparaat het gehele insulinereservoir naar de patiënt laten pompen.

Fabrikant Medtronic laat weten dat het de veiligheid van de medische apparaten gaat verbeteren. Het risico op een aanval zou volgens het bedrijf echter klein zijn. (bron)

Erg prettig om te weten dat het bedrijf het risico op een aanval klein acht. Helaas zit risico management blijkbaar nog niet goed tussen de oren van deze onderneming. Risico management bestaat immers uit twee variabelen, te weten: kans en impact. De risico management strategie wordt dan vervolgens weer afgeleid uit de uitkomst. De praktijk wijkt hier toch wel erg ver af van de theorie.

In gewoon Nederland acht men de kans op een dergelijke aanval klein. Hartstikke goed, dat kan zo zijn, maar de impact is enorm. Er staan mensenlevens op het spel. Wil je dat als management op je geweten hebben? Lijkt me toch van niet.

Helaas is dit een bericht dat waarschijnlijk te beperkt aandacht zal krijgen in de media. Het zal er niet sexy genoeg voor zijn, er zijn niet genoeg mensen die dit willen weten en er zijn nog geen slachtoffers gevallen. Wat zou het toch mooi zijn als meer organisaties nadenken over de preventieve kant van beveiliging en niet wachten tot ze gedwongen worden de correctieve acties in te zetten.

Ondernemers verzaken goede beveiliging

Eind van de week en tijd om de IT-managers een hart onder de riem te steken. Kijken of het ons lukt om ze een rustig weekend te bezorgen zodat ze weer wat slaap van alle slapeloze nachten in kunnen halen.

Als IT-manager sta je niet alleen. Er vanuit gaande dat je als manager in dienst bent van een organisatie. De ondernemer (veelal dus de baas van de IT-manager) weet ook dat alles nog niet in kannen en kruiken is.

IT-systemen goed beveiligen is belangrijk, dat blijkt wel uit alle meldingen van inbraak en misbruik. Ondanks alle (met name technische) activiteiten zegt zeventig procent van de ondernemers over onvoldoende geschoold personeel, budget en kennis te beschikken waardoor de IT-systemen niet goed beveiligd zijn. Dertig procent van hen heeft niet eens antivirus-software geïnstalleerd. (bron)

Tijd dus om eens een goed gesprek met de ondernemer te hebben. Als IT-manager kun je met een gerust hart je zorgen uiten. Sterker nog, de ondernemer zal je dankbaar zijn. Tenzij hij jou natuurlijk ziet als bron van al het kwaad omdat hij jou schaart onder het onvoldoende geschoolde personeel (maar daar gaan we niet vanuit, want dan had je deze functie waarschijnlijk nooit gekregen).

Ook hierbij zien we weer dat ondernemers en managers nog te vaak redeneren vanuit de (technische) beveiligingsmaatregelen en niet vanuit de risico’s voor de organisatie. In de paniek en waan van de dag installeren we nog een firewall omdat dat nu eenmaal een gevoel van veiligheid geeft. We vergeten daarbij helaas nog wel eens te kijken naar onze kritische bedrijfsprocessen en kritische informatie.

Naast al deze technische beveiligingsmaatregelen zijn er nog een hele berg procedurele en organisatorische maatregelen te bedenken die bijdragen aan het beheersen van de risico’s. Deze maatregelen zijn veelal goedkoper dan technische maatregelen en leveren een hogere bijdrage aan de informatiebeveiliging. Toch worden ze nog vergeten omdat ze misschien minder voor de hand liggen dan een nieuwe firewall, een nieuw anti-viruspakket enzovoorts.

Als we kunnen accepteren dat beveiliging een bedrijfskundig aspect is dan valt er een last van onze schouders. Natuurlijk kijken we eerst tegen een berg aan waar we overheen moeten, maar we zullen zien dat als we eenmaal halverwege die berg zijn de weg naar boven minder steil is dan gedacht.

Wil je als IT-manager (of Security Manager) slagen slaan, dan moeten we dus gaan kijken vanuit de risico’s van de organisatie. Dat is in het begin misschien lastig (uiteraard help ik je daar graag bij, misschien is een risk awareness sessie wat voor jou…maar goed ik schrijf hier niet om mijzelf te verkopen).

Nu het toch vrijdag is, kun je misschien een uurtje vrij maken om eens na te denken over de risico’s waar je wakker van ligt. Je ligt niet wakker van de technische maatregel, maar je ligt wakker van het bijbehorende risico. Hebben we die eenmaal inzichtelijk dan gaan we daarna wel eens denken over de juiste set beveiligingsmaatregelen om dat risico af te dekken.

Geloof me, al snel zul je tot de conclusie komen dat er meer onder de zon is dan nog een technische beveiligingsmaatregel. Je hebt dus niet nog meer techneuten nodig om de boel veilig te houden, nee je hebt bedrijfskundigen nodig die jou bij gaan staan (nou ja, nog een keer dan: je mag me altijd een mailtje sturen).

Ik wens alle managers een rustig weekend waarin ze wat slaap in kunnen halen.

Afhankelijkheid van securitybedrijven onwenselijk

Deze week hebben we gezien dat de IT-manager vol staat van de stress omdat hij ook niet meer weet waar hij het moet zoeken op het gebied van informatiebeveiliging. Gelukkig zijn er gespecialiseerde bedrijven die graag willen helpen. Helaas denkt Minister Opstelten daar anders over.

Minister Ivo Opstelten van Veiligheid en Justitie vindt het onwenselijk dat de ict-veiligheid van de overheid afhankelijk is van externe bedrijven als Fox-IT. Het zou echter niet rendabel zijn om deze expertise in de eigen organisatie onder te brengen. (bron)

Nu zou je natuurlijk kunnen concluderen dat de Minister geen gebruik meer wil maken van externe gespecialiseerde bedrijven. Maar dat is zeker niet zoals ik het interpreteer. Zelf geeft hij ook al aan dat “In gevallen waarin dergelijke expertise vereist is, is de inhuur van externe expertise veelal een kostenefficiënte oplossing.”

Natuurlijk zou je als overheid (of als grote organisatie) de kennis zelf in huis willen hebben. In dat licht bezien is de afhankelijkheid inderdaad onwenselijk. Maar kijken we naar de meest kostenefficiënte oplossing dan ontkom je er niet aan om nauw samen te werken.

Met name in het “nauw samenwerken” zitten hem de voordelen. Als geld inderdaad niet uit zou maken, dan wil je de kennis helemaal zelf in huis hebben, maar wat als je te weinig gebruik maakt van die kennis? Gaan die specialisten het hele jaar zitten wachten totdat ze hun kunstje mogen doen? Nee, natuurlijk niet. Ze zouden al snel achterlopen op de feiten. Een samenwerking is daarom zo gek nog niet.

Waar hem eerder een punt zit, is het feit dat er veelal achteraf een gespecialiseerd bedrijf wordt ingeschakeld. Het incident heeft plaatsgevonden en we moeten snel tot oplossingen komen. Een kwestie van vraag en aanbod. Ineens is er veel vraag terwijl het aanbod beperkt blijft. De prijzen schieten omhoog.

Nee, prima dat we de brandweer bellen als er brand is. Maar ik zie liever dat we in de preventieve sfeer op zoek gaan naar die mogelijkheden om incidenten te voorkomen. Dat doen we dan weer niet met alleen maar technische maatregelen. Nee, we doen dat op basis van risico management en komen dan tot de juiste set technische, procedurele, organisatorische, bouwkundige en elektronische maatregelen.

Voor die IT-managers die bol staan van de stress geldt dit natuurlijk ook. Ga niet wachten tot je verrast wordt door een incident. De kosten voor het oplossen daarvan zijn enorm. Nee, kies ervoor om de risico’s te beheersen door preventief aan de slag te gaan.

Ja, natuurlijk weet ik het. Er wordt flink bezuinigd op de budgetten voor informatiebeveiliging. Daar lijkt weinig aan te doen. Tenzij we in onze business cases ook inzichtelijk kunnen maken wat het oplossen van een incident eigenlijk kost. Niet alleen in directe kosten maar juist ook in termen van imagoverlies, omzetverlies, kosten die doorlopen terwijl we niet kunnen produceren, klanten die weglopen, etc.

Kwart werknemers zou bedrijfsgeheimen verkopen

Het lijkt erop of we deze week nieuwsberichten aanhalen die ervoor zorgen dat de IT-managers het beveiligen van de gegevens alleen maar als nog stressvoller gaan ervaren. Dat is uiteraard niet de bedoeling, want er zijn echt mogelijkheden om de specifieke risico’s voor jouw organisatie goed in kaart te brengen. Ga dus uit van de risico’s en niet van de maatregelen. Een helikopterview wil daarbij nog wel eens helpen.

Een kwart (25 procent) van de werknemers is bereid bedrijfsgeheimen te verkopen…Dat blijkt uit onderzoek van Monster (in Nederland bekend als Monsterboard.nl) onder bijna 5000 respondenten wereldwijd…
Van de ondervraagden zegt 8 procent zelfs al eens bedrijfsgeheimen te hebben verkocht, terwijl 17 procent aangeeft in te gaan op een aanbod om bedrijfsgevoelige informatie te verkopen, wanneer de kans daartoe zich voordoet.
(bron)

Helaas staat er niet bij waarom de medewerkers bereid zijn om de bedrijfsgeheimen te verkopen. Nu zijn het interessante gegevens waar een IT-manager inderdaad gestrest van zou kunnen raken. We zullen dus op zoek moeten naar de redenen achter de mogelijke verkoop van bedrijfsgeheimen.

Komt het misschien omdat we de medewerkers onvoldoende belonen? Komt het misschien omdat zij het zwaard van Damocles boven het hoofd zien hangen en vrezen voor de volgende reorganisatie? Komt het misschien omdat de bedrijfscultuur ook niet meer is wat hij ooit geweest is? Komt het omdat de medewerkers zich niet meer gewaardeerd voelen? Of zijn er andere redenen te vinden?

Feit is wel dat dergelijke incidenten al snel onder security incidenten worden geschaard. Maar hierbij moeten we iets verder doordenken. Veelal zien we dat de gevolgen inderdaad als security incident gezien kunnen worden. We geven de Security Manager opdracht hier iets aan te doen. Al snel komen er allerlei ingewikkelde technische maatregelen voorbij om de gegevens beter te beveiligen.

Een optie, dat zeker, maar kunnen we de Security Manager hier wel verantwoordelijk voor maken? Vaak zullen we zien dat de oorzaak van een incident zich helemaal niet bevindt in het security gebied. Neem het verkopen van bedrijfsgeheimen als voorbeeld. Dit is een organisatorisch probleem. We moeten ervoor zorgen dat de medewerker zich weer verbonden voelt met onze organisatie. We moeten voorkomen dat hij zijn ziel zomaar aan de “duivel” verkoopt.

De cultuur binnen het bedrijf zegt veel, ook als het gaat om de status van de informatiebeveiliging. De Security Manager heeft maar beperkte invloed op die cultuur, we kunnen hem of haar daar dan ook niet verantwoordelijk voor stellen.

Na een incident is het maar al te makkelijk om te wijzen naar de Security Manager, die heeft gefaald (althans, dat is het beeld). Het is de taak van de Security Manager om de verantwoordelijkheid voor beveiliging in de lijnorganisatie te beleggen. Na een incident moeten we niet de Security Manager op straat gooien, nee we moeten hem verzoeken het incident grondig te onderzoeken en tot de grondoorzaken te komen. Ook als we die oorzaken eigenlijk liever niet willen horen.

De kans is immers groot dat het niet zo zeer schort aan informatiebeveiliging maar aan verkeerde keuzes op managementniveau. De medewerkers zijn helaas inderdaad vaak de zwakste schakel, maar dat mag je hen niet kwalijk nemen. Het is onze taak om er, gezamenlijk met alle andere managers, voor te zorgen dat de cultuur goed is omdat we daarmee het risico op dergelijke incidenten verkleinen.

Een mogelijke meldplicht voor digitale inbraken

De discussie is al meerdere malen gevoerd en zal waarschijnlijk ook nog vaker gevoerd worden als de meldplicht voor digitale inbraken niet van de grond komt. Het blijft een interessant onderwerp met voors en tegens. Maar laten we iets verder kijken dan onze neus lang is.

De Europese Commissie wil vanaf volgend jaar richtlijnen om het vertrouwen in certificaat-autoriteiten als DigiNotar in de toekomst te herstellen. Eurocommissaris Neelie Kroes denkt verder na over een mogelijke meldplicht voor digitale inbraken…

Een Iraanse hacker kraakte dit jaar de Nederlandse ssl-autoriteit DigiNotar en wist daardoor honderden vervalste certificaten aan te maken. De kritiek op het handelen van DigiNotar was groot en het bedrijf ging failliet. Securitybedrijven pleiten als reactie op de problemen voor beveiligingsstandaarden. Verder denkt het Nederlandse parlement na over de oprichting van een zogeheten ‘ict-brandweer’. (bron)

Kijken we terug naar het bericht dat we gisteren aanhaalden. Dan is het niet zo gek dat de IT-managers het onderwerp zo stressvol vinden. Je gaat er toch vanuit dat jouw leverancier van certificaten het goed voor elkaar heeft. Helaas weten we inmiddels beter. Maar trek deze lijn eens door. Gaan we er ook niet vanuit dat onze energieleverancier het goed voor elkaar heeft? Willen we niet zeker zijn van een bepaalde stroomvoorziening?

Geloof me, deze vraag gaat veel verder dan je certificaat-leverancier en je energiemaatschappij. Het geldt uiteindelijk voor de gehele keten. Wij als organisatie kunnen het nog zo goed voor elkaar hebben, maar als onze leveranciers en afnemers er minder aan doen, dan komt het al snel onder druk te staan.

We hebben de leveranciers nodig om onze eigen producten en diensten te kunnen leveren. We hebben de afnemers nodig om onze producten en diensten aan te kunnen verkopen. Allemaal geen hogere wiskunde natuurlijk. Maar wat als we de leveranciers onder druk zetten? Zij moeten nog goedkoper gaan leveren omdat we anders niet op prijs kunnen concurreren. Drie keer raden waar zoal op beveiligd wordt.

We haalden het al vaker aan. Informatiebeveiliging is gewoon een bedrijfskundig onderdeel dat we af moeten stemmen op onze strategie. Daar zit hem, in de huidige economie, wellicht een knelpunt. Er zijn verschillende concurrentiestrategieën (focus, differentiatie en prijs).

Veel organisaties kiezen op dit moment voor een prijsstrategie. Blijkbaar kunnen zij zich onvoldoende onderscheiden en blijkbaar durven ze geen keuze te maken voor bepaalde marktsegmenten. Kiezen we inderdaad voor “prijs” dan moeten we de keten onder grote druk zetten om maar zo goedkoop mogelijk te leveren. Dan gaan we al snel bezuinigen op kwaliteit…en daar is informatiebeveiliging onderdeel van.

Manager vindt scheiden minder stressvol dan IT-security

Een opmerkelijk bericht dat ik vorige week onder ogen kreeg.

72% van de IT-managers vindt een klein auto-ongeluk, persoonlijke schuld of een scheiding minder stressvol dan het verantwoordelijk zijn voor en beschermen van bedrijfsgegevens. Voor 14% is het zelfs minder stressvol om ontslagen te worden dan als IT-manager actief te blijven. Dat beweert beveiligingsbedrijf Websense in een nieuw onderzoek.

Bijna negentig procent van de duizend ondervraagde managers zegt dat hun baan risico loopt als er een beveiligingsincident plaatsvindt, waaronder als er vertrouwelijke gegevens van de CEO of andere bestuurders wordt gestolen. Verder stelt dertig procent dat hun onderneming 100% beveiligd is, terwijl vijftig procent stelt dat ze over voldoende bescherming beschikken, maar dat sommige dreigingen er altijd doorheen zullen glippen. (bron)

Blijkbaar speelt er zich nogal wat af in de hoofden van IT-managers. Op zich ook niet zo vreemd natuurlijk. Met de huidige economische situatie wordt er flink bezuinigd. Ook op het gebied van informatiebeveiliging. Het is eerder pappen en nat houden dan op basis van de onderkende risico’s aan de slag gaan.

Wat misschien nog wel erger is, is dat 30% denkt dat ze 100% beveiligd zijn. Klinkt toch als onze kop in het zand steken. Geen enkele organisatie is 100% beveiligd. Dat komt omdat we nu eenmaal risico’s lopen. Zeer verschillende risico’s.

Denk alleen maar aan risico’s van natuurlijke aard (storm, hagel, overstroming). De natuur kunnen we nog steeds niet beïnvloeden. Dus lopen we risico’s. Daarnaast hebben we nog de risico’s van meer persoonlijke aard. Daarbij kunnen we dan weer onderscheid maken tussen eigen medewerkers en buitenstaanders, maar ook bewuste en onbewuste fouten. Kleine kans dat we die allemaal onder controle hebben.

Als het inderdaad allemaal zo stressvol is, dan is het een goed idee om toch eens een goede nulmeting uit te voeren. Zo kom je er vanzelf achter waar nog eventueel de blinde vlekken zitten. Het is niet zozeer de vraag of die blinde vlekken er zijn, maar meer waar zich die bevinden. Daarbij kijken we dan weer naar de beveiliging van geautomatiseerde, niet geautomatiseerde data maar natuurlijk ook naar de personele en materiële beveiliging.

Ik moet de organisatie nog tegenkomen die het over de hele linie goed voor elkaar heeft. Dat is natuurlijk niet erg, als we maar niet onze kop in het zand steken en denken dat wij geen risico’s lopen. Vergeet niet: het grootste risico’s is het risico dat we niet onderkend hebben…

Richtlijnen voor mobiel werken

De afgelopen 124 blogs zijn we door vragen gelopen om meer zicht te krijgen op de status van informatiebeveiliging binnen jouw organisatie. We zijn nu aanbeland bij de laatste vraag die in gaat op de richtlijnen voor mobiel werken. Ik wil zeker niet beweren dat je met het beantwoorden van de gestelde vragen alle aspecten van de beveiliging hebt afgedicht, maar ga wel beweren dat je al een redelijk beeld hebt en weet waar nog aandachtspunten liggen.

Met het nieuwe werken ontstaan er weer nieuwe vragen en risico’s. Daarom is de laatste vraag ook geen onverwachte:
Zijn er richtlijnen voor mobiel werken (thuiswerken, telewerken)?

Ook voor deze vraag geldt weer dat we vanuit beveiliging ontwikkelingen niet tegen moeten willen houden. Sterker nog, we kunnen ze niet eens tegenhouden al zouden we willen. We kunnen dus beter accepteren dat we er iets mee moeten. En het zal je inmiddels niet verrassen: het begint allemaal weer met het in kaart brengen van de risico’s.

De vraag die we stellen en die we beantwoord moeten zien te krijgen is bijvoorbeeld welke risico’s thuis werken met zich meebrengt. Daarnaast kunnen we nog kijken naar het mobiele werken. Er is verschil en er zijn dus ook verschillende risico’s.

Bij thuis werken willen we natuurlijk niet dat de werkplek ook door de zoon des huizes gebruikt wordt om eens lekker over het internet te surfen. Voor je het weet is de laptop target geworden van hackers en licht onze informatie op straat. Bij het mobiele werken willen we bijvoorbeeld niet dat iemand over de schouder van een medewerker mee leest.

Zijn dit alle risico’s en zijn de risico’s onoverkomelijk? Nee, dat zeker niet. We moeten ze alleen in kaart brengen, risico’s accepteren en waar nodig aanvullende beveiligingsmaatregelen implementeren. Niet om een onneembare vesting te maken, maar om het nieuwe werken op een zo veilig mogelijke wijze mogelijk te maken. Zo nieuw is dat nu ook weer niet, toch?

Dat vergt een andere aanpak van informatiebeveiliging. Maar het vergt ook een andere manier van managen. We zullen zien dat de gevolgen van vele risico’s zich uiten in beveiligingsincidenten. De oorzaak zal echter vaak buiten het beveiligingsveld liggen. Ook voor de risico’s van het mobiele werken moeten we dus naar de oorzaak, de echte oorzaak.

Kwestie van doorvragen dus. Doen we dat goed dan zullen we zien dat ook het mobiele werken gewoon past binnen de andere ontwikkelingen. Wie kent de tijd nog dat we het mainframe verlieten. De wereld was te klein en de risico’s te groot. Inmiddels zijn we al een aantal stappen verder en al vaker hebben we geroepen dat er onacceptabele risico’s genomen worden. Na verloop van tijd hebben we de risico’s redelijk tot goed in het vizier en weten we ook weer hoe we ze moeten managen. De rust keert terug en het is wachten op de nieuwe veranderingen…om vervolgens weer in dezelfde stress te schieten.

Een geruststellende gedachte. Bij elke nieuwe ontwikkeling kunnen we weer de 125 gestelde vragen als uitgangspunt nemen. Misschien moeten we nog wat vragen toevoegen, maar de basis blijft gewoon geregeld.

Nu we alle vragen hebben gesteld gaan we natuurlijk niet stoppen met het schrijven over informatiebeveiliging. We gaan weer op zoek naar nieuwe onderwerpen en nieuwe vragen. Mocht je zelf een vraag hebben dan hoor ik die natuurlijk graag. Je kunt me bereiken via thimo@keizert.nl

Toestemming voor bedrijfsmiddelen voor het verlaten van het gebouw

Nu we weten hoe we met de bedrijfsmiddelen en attractieve zaken om moeten gaan, kunnen we gaan kijken naar de controle daarop. Dagelijks komen de medewerkers ons gebouw binnen en aan het eind van de dag verlaten ze de werkplek ook weer. Maar welke spullen nemen ze allemaal mee en welke zouden ze mee mogen nemen?

De vraag:
Zijn er maatregelen genomen die er zorg voor dragen dat (kwetsbare, kapitale) bedrijfsmiddelen niet zonder toestemming (registratie) het gebouw verlaten?

De betreffende vraag gaat twee kanten op. Enerzijds wil je niet dat medewerkers allerlei eigen apparatuur meenemen het gebouw in terwijl je aan de andere kant ook niet wil dat de apparatuur van de organisatie zonder toestemming wordt meegenomen.

Laten we eerst inzoomen op de eigen apparatuur van medewerkers. Hoe vaak zien we de waterkokers en Senseo-apparaten niet in de vensterbank staan? Dat mag dan misschien onschuldig lijken, maar weten we zeker dat onze stroomvoorziening die apparatuur ook allemaal aan kan? Houden we er rekening mee dat een medewerker aan het eind van de dag kan vergeten om het apparaat uit te zetten? Geeft dat geen extra risico’s voor brand en kortsluiting? Prima als het binnen onze organisatie is toegestaan om dergelijke apparatuur mee te nemen, maar dan moeten we wel de risico’s onderkennen en daar misschien wat mee doen.

Tot zover de waterkokers en koffiezetautomaten. Die staan we misschien toe. Maar mag een medewerker dan ook zijn eigen laptop meenemen en daar onze bedrijfsgeheimen op opslaan? Misschien roepen we nu volmondig: “nee”. Maar er ontstaat een nieuw principe dat we “bring-your-own” noemen. Dat houdt zoveel in als dat de medewerker maar lekker zelf moet zorgen voor zijn laptop.

Op zich helemaal geen probleem, het heeft alleen impact op de soort en de hoogte van de risico’s. Kwestie van een risico analyse uitvoeren en de juiste maatregelen nemen en eventuele beveiligingsmiddelen aan de medewerkers beschikbaar stellen. De 2.0 Security Manager ziet het als een uitdaging en denkt graag met de organisatie mee.

Naast het meebrengen van eigen apparatuur willen we natuurlijk ook voorkomen dat medewerkers apparatuur mee naar buiten nemen. Ze mogen dan een laptop hebben (liefst met een geleideformulier of iets dergelijks) maar andere apparatuur moet misschien wel gewoon in ons gebouw blijven. De laptop is voorzien van encryptiesoftware dus de informatie daarop is goed beveiligd. Maar wat als de informatie is opgeslagen op USB-sticks of externe harde schijven? Is die informatie ook goed beveiligd?

Vertrouwen is goed, controle is beter. Als we dus willen voorkomen dat bedrijfsmiddelen ons gebouw verlaten dan zullen we dat ook moeten controleren. Leuk dat we formulieren en een dikke administratie voeren, maar als we het nooit controleren dan heeft dat weinig zin. Bij controles geldt dan weer dat we de medewerkers daarvan op de hoogte moeten stellen en de kans is groot dat we even langs de OR moeten om zaken formeel te regelen.

We willen natuurlijk niet als politie agent gezien worden. We doen het dan ook niet om de medewerkers terecht te kunnen stellen. Nee, we doen het vanuit de optiek van de organisatie. Willen we dat het slaagt dan zorgen we er eerst voor dat een medewerker zijn werk zo makkelijk mogelijk kan doen, is dat gelukt dan is er helemaal geen noodzaak meer om bedrijfsmiddelen mee het gebouw uit te laten.

Opslag van attractieve zaken

We hebben gekeken naar het plaatsen en verplaatsen van apparatuur en daarmee kwamen we al automatisch bij de voorschriften voor kritische bedrijfsprocessen waarmee we ook al de bedrijfsmiddelen aan haalden. Daarbij kunnen we onderscheid maken in de dagelijkse bedrijfsmiddelen maar natuurlijk ook de meer attractieve zaken.

De vraag:
Is er een voorschrift waarin is vastgelegd hoe en waar attractieve (kostbare) zaken dienen te worden opgeborgen en hoe medewerkers met dergelijke goederen om dienen te gaan?

Voor meer attractieve zaken zullen we ook de voorschriften op orde moeten hebben, iemand moet verantwoordelijk zijn voor het beheer er van en we willen dat de administratie altijd op orde is. We stellen waarschijnlijk een proces op waarbij we ook de standaard formulieren toevoegen. Daarnaast kijken we dan weer goed naar functiescheiding en naar degene die tekenbevoegd zijn.

Daarmee zijn we al een heel eind. Periodiek kunnen we natuurlijk nog controleren of de aanwezige attractieve goederen ook echt overeen komen met de bijbehorende administratie. We zorgen er daarnaast voor dat degene die de goederen beheert ook de richtlijnen kent. Wie mag er tekenen voor welk bedrag, welke medewerker mag welke goederen op komen halen en ga zo maar door.

Mag iedereen bijvoorbeeld een BlackBerry hebben of is dat voorbehouden aan bepaalde management lagen? En hoe gaan we er mee om als een lagere manager probeert op zijn strepen te staan (omdat hij nu eenmaal belangrijk gevonden wil worden)? Degene die de voorraden beheert moet natuurlijk wel gesteund worden, hij moet de medewerkers op de richtlijnen kunnen wijzen en iedereen zal zich aan de processen en formulieren moeten houden.

We belanden al snel bij de bekende tone-at-the-top. Te vaak zien we nog dat alle medewerkers zich netjes aan de procedures moeten houden maar dat hoe hoger de manager, hoe minder de regels lijken te gelden. Diefstal door een medewerker zullen we hard bestraffen en we trekken een duidelijke lijn zodat een andere medewerker zich wel 3x zal bedenken om ook iets te stelen.

Maar ja, als die (hooggeplaatste) manager de regels overtreedt dan gelden er ineens andere wetten en regels. Dan willen we nog wel eens een stuk milder zijn, omdat hij nu eenmaal belangrijk is voor de organisatie. Hij haalt zoveel omzet binnen, we kunnen en willen hem echt niet kwijt.

Toch sluipt hier een gevaar in. Als je niet op past beïnvloed dat de cultuur binnen de organisatie op een negatieve wijze. Het gat tussen de “werkvloer” en de managementlagen wordt vergroot en voor je het weet staan de medewerkers met spandoeken voor de poort om te demonstreren.

Zo zie je maar waar de opslag van attractieve zaken zoal toe kan leiden. Ik geloof natuurlijk best dat we waardevolle zaken veilig achter slot en grendel opslaan. Of de processen en formulieren er ook bij aansluiten is alweer een andere vraag. Trekken we het nog breder dan kan het zelfs de cultuur binnen de organisatie negatief beïnvloeden. Dat geeft maar weer aan dat beveiliging toch ook maar gewoon een bedrijfskundig aspect is.