Geen categorie Archieven - Pagina 51 van 101 -

De legitieme doelen van persoonsgegevens

door Geen categorie

We weten inmiddels dat we serieus na moeten denken over de wijze waarop we de persoonsgegevens van onze klanten beveiligen. De Wet Bescherming Persoonsgegevens geeft daar goede kaders voor en er zijn allerlei checklists beschikbaar om na te gaan hoe goed we het doen. We haalden ook al aan dat het gaat om de legitieme doeleinden van de verzameling van persoonsgegevens.

De vraag die hier verder op ingaat is:
Worden persoonsgegevens (zowel van medewerkers als klanten) uitsluitend opgeslagen voor opgestelde en legitieme doeleinden?

Bij de Wet Bescherming Persoonsgegevens denken we al snel aan de gegevens die we van onze klanten ontvangen. Toch is het ook goed om nadrukkelijk stil te staan bij de gegevens van medewerkers. Deze vallen onder dezelfde wet en deze gegevens verzamelen we wellicht met andere doeleinden dan de gegevens van de klanten.

De Wet Bescherming Persoonsgegevens verbiedt niet om te communiceren met klanten, medewerkers en andere personen maar stelt wel nadrukkelijk kaders waarbinnen we moeten acteren. Het belangrijkste kader maken we echter zelf en dat is de omschrijving van de legitieme doeleinden waar we die gegevens voor verzamelen.

Vaak is er een grijs gebied waar we ons op glad ijs kunnen bevinden. We willen claims en onnodige negatieve persberichten voorkomen. juist daarom is het goed om de doelen duidelijk te stellen, de grijze gebieden zo smal mogelijk te houden, er met de personen in kwestie over te communiceren en bij twijfel de gegevens maar vooral niet te gebruiken.

Hebben we de doelen inderdaad duidelijk en stemmen de personen daar mee in (nee, niet onder lichte dwang omdat ze niet anders kunnen, maar open en transparant), dan kunnen we nadenken over scheiding in de systemen die we hebben en scheiding in functies om te voorkomen dat men in de verleiding komt om ze toch te gebruiken. Hebben we een bepaalde monopolie positie in de markt dan is daar veelal aanvullende regelgeving voor en moeten we vanuit controlerende instanties aan aanvullende beveiligingsmaatregelen voldoen. Hebben we die monopolie positie niet, dan zouden we onze verantwoordelijkheid moeten nemen en zelf na moeten denken over de aanvullende maatregelen die we willen nemen.

We brengen dus scheiding aan in de systemen, maar brengen ook hier functiescheiding aan. De ene afdeling hoeft niet noodzakelijkerwijs te kijken in de gegevens van de andere afdeling. Het is natuurlijk erg aanlokkelijk om dat vooral wel te doen…maar het ging om vertrouwen van de klant, weten we nog? En hoe vinden we het zelf als onze gegevens te koop zijn?

Schaden we dat vertrouwen dan zijn we ze kwijt, we komen negatief in het nieuws en nog meer mensen zullen besluiten over te stappen naar een andere aanbieder. De negatieve spiraal is ingezet en kan enorm snel gaan. We zijn gewaarschuwd en willen er dus minimaal over hebben nagedacht.

De grenzen op zoeken is helemaal niet erg, het kan zelfs erg spannend zijn. We moeten er alleen voor proberen te zorgen dat we die ene grens niet overgaan. Dat doen we door vooraf de doelen te stellen en zoals met zoveel doelen maken we die ook weer zo SMART mogelijk. We verzamelen alleen die gegevens die we echt nodig hebben en bewaren ze niet langer dan noodzakelijk. Daarbij gebruiken we ze binnen de door onszelf gestelde kaders en we zijn al een heel stuk op weg.

De Wet Bescherming Persoonsgegevens

door Geen categorie

Op het gebied van informatiebeveiliging zijn (nog) niet heel erg veel relevante wetten waaraan we ons verplicht moeten houden. Uit algemene wetgeving kunnen we natuurlijk wel afleiden dat we ons als goed huisvader dienen te gedragen. In hoeverre we “goed” dan nader definiâˆšÂ´ren is aan onszelf. Toch is er minimaal een wet waaraan we ons moeten houden als we gegevens van personen ontvangen, opslaan en hopelijk tijdig weer verwijderen.

De vraag die hierbij hoort is:
Wordt regelmatig getoetst of de bepalingen van de Wet Bescherming Persoonsgegevens worden nageleefd?

Onze klanten kopen bij ons omdat ze ons vertrouwen (of omdat ze nu eenmaal geen andere aanbieder hebben, maar daar gaan we voor nu even niet vanuit). Als dat zo is dan mogen wij dat vertrouwen niet schaden, dat is niet alleen niet netjes maar zal er ook voor zorgen dat de klanten massaal hun biezen pakken en nooit meer terug zullen keren.

Kennen we niet allemaal de regel dat het behouden van een klant vele malen makkelijker is dan het werven van een nieuwe? Dat mag dan vanuit verkoop en marketing helemaal waar zijn, maar vanuit informatiebeveiliging moeten we daar dan ook actief een bijdrage aan leveren. Het is onze taak om de gegevens van personen goed beveiligd te houden.

Dat klinkt misschien niet zo ingewikkeld en wordt ook als niet meer dan logisch ervaren. Toch zien we in de praktijk vele incidenten waarbij de privâˆšÂ© gegevens van klanten op straat zijn geraakt. Systemen worden gehackt, databases worden openbaar en USB-sticks met gegevens worden verloren. Allemaal zaken waar we bij informatiebeveiliging natuurlijk stil bij willen staan.

Maar we mogen ook niet vergeten dat we de persoonsgegevens opslaan met een bepaald, vooraf gesteld en bekend gesteld, doel. Buiten dat doel om mogen we die gegevens niet gebruiken voor bijvoorbeeld commerciâˆšÂ´le doeleinden…tenzij we daar expliciet toestemming voor hebben gekregen.

Doen we het op een handige manier dan mogen we die gegevens intern nog op een redelijke wijze gebruiken, het wordt al anders als we besluiten die gegevens ook aan anderen te verkopen. Natuurlijk kunnen we ergens in de kleine lettertjes opnemen dat dat ons recht is en als men daar niet mee instemt dat de deal dan helaas niet door kan gaan. Maar hiermee hebben we toch redelijk boter op ons hoofd. Laten we eerlijk zijn, hoe lang geleden was het dat jij zelf de kleine lettertjes bij een contract hebt gelezen? Lang? Nooit?

Vertrouwen is goed, controle is beter. Heb je zelf wel eens je persoonsgegevens in moeten vullen en werd je daarna verrast met allerlei reclamemateriaal of telefoontjes? Grote kans dat je gegevens verkocht zijn. Wil je het controleren dan kun je natuurlijk je persoonsgegevens zodanig kenmerken dat je kunt herleiden waar je ze hebt ingevuld en hoe die dan weer zijn verkocht. Je kunt dat bijvoorbeeld doen door op het formulier eens een andere voorletter in te vullen of bijvoorbeeld de eerste twee voorletters van je voornaam. Moet je eens doen en dan kijken welke adresetiketten daar wel erg mee overeen komen.

Moet je digitaal je gegevens ergens achterlaten dan kun je natuurlijk altijd een gratis emailadres aanmaken bij Hotmail, Gmail of iedere andere gratis aanbieder. Die kun je dan mooi gebruiken als je weer eens op een site je adres moet achterlaten. De SPAM komt dan vele malen eerder daar terecht dan in de mailbox die je voor meer serieuze zaken gebruikt.

Als we terug komen op het feit waarom men bij ons koopt dan gaat het er dus om dat ze ons vertrouwen. Dat vertrouwen mogen we niet te grabbel gooien omdat we dan de deksel lelijk op onze neus kunnen krijgen. Natuurlijk doen we er met allerlei beveiligingsmaatregelen van alles aan om die gegevens te beschermen (toch?), maar daarnaast zullen we dus met de verkoop en marketing afdeling in overleg moeten om legitiem gebruik van die gegevens vast te leggen.

Bekendheid met meldingsplicht beveiligingsincidenten

door Geen categorie

Zo, inmiddels hebben we de medewerkers verteld dat ze beveiligingsincidenten moeten melden en we hebben ze ook geprobeerd duidelijk te maken wat wij onder beveiligingsincidenten verstaan. Nu is het natuurlijk de vraag of het aantal meldingen inderdaad toeneemt.

Het gaat dus niet zozeer om de vraag, maar het feit of het ook echt werkt. De vraag:
Is het personeel duidelijk gemaakt dat beveiligingsincidenten gemeld moeten worden?

Bekende termen zijn â€šÃ„Ãºopzetâ€šÃ„Ã¹, â€šÃ„Ãºbestaanâ€šÃ„Ã¹ en â€šÃ„Ãºwerkingâ€šÃ„Ã¹. In opzet en bestaan kunnen we het best goed geregeld hebben. We hebben mooie beleidsdocumenten, mooie procedures en voorschriften en we hebben ze ook nog eens beschikbaar gesteld op het intranet en via de mail aan iedereen verzonden. Nu willen we toch wel graag weten of het allemaal effect heeft, oftewel: werkt het? Want daar gaat het toch uiteindelijk allemaal om, is het niet?

We kunnen de medewerkers natuurlijk allemaal op de man (of vrouw) af vragen of ze weten dat ze beveiligingsincidenten moeten melden. Grote kans dat het antwoord volmondig ja is. Het is immers logisch dat we dat soort zaken melden. Toch is hier het risico op sociaal wenselijke antwoorden te groot. We zullen dus op zoek moeten naar aanvullende mogelijkheden om te testen of er ook echt gemeld wordt.

Nu wil ik je natuurlijk niet aanmoedigen om allerlei illegale of niet toegestane acties uit te voeren, maar er zijn best manieren om te kijken hoe het er mee gesteld is. Is het zichtbaar dragen van toegangspasjes binnen jouw bedrijf bijvoorbeeld verplicht? Draag dan het pasje eens een dag niet zichtbaar om te kijken of je er op wordt aangesproken (dat werk natuurlijk minder goed als je iedereen binnen het bedrijf persoonlijk kent).

Loop eind van de dag, als iedereen al lekker naar huis is, nog eens een rondje over je afdeling en kijk welke waardevolle spullen of informatie voor het grijpen ligt. Je zou dat kunnen melden, je zou er niets mee kunnen doen, of je zou de informatie kunnen verzamelen en eventueel een briefje achter kunnen laten dat ze het bij jou op kunnen komen halen. In principe mist iemand de volgende dag de informatie en hij gaat op zoek. Heb je een briefje achter gelaten dan zal hij het bij je op komen halen, ligt dat briefje er niet dan zal hij met een zoekende blik over de afdeling lopen.

Laat eens een deur open staan (uiteraard even in de gaten houden wie er stiekem naar binnen glipt) en kijk wat mensen doen. Laten ze de deur zelf ook open staan, doen ze de deur juist dicht of bellen ze even met de beveiliging om door te geven dat deze deur open staat?

Een aantal simpele manieren om te testen hoe het gesteld is met de beveiligingscultuur van de medewerkers. Nemen ze zelf actie, doen ze juist helemaal niets of maken ze er melding van? Zodra we dat weten kunnen we weer volgende stappen zetten en het melden van beveiligingsincidenten verder onder de aandacht brengen.

We moeten er dan natuurlijk wel voor zorgen dat het melden makkelijk is. Dus geen lange wachttijden als ze telefonisch melden en geen ingewikkelde formulieren om het op papier te doen.

Een leuke optie is om er een competitie van te maken. Iedere zoveelste melder krijgt een taart, gemelde beveiligingsincidenten worden gebruikt om de medewerkers te trainen (bijvoorbeeld door ze te behandelen in ons â€šÃ„Ãºsecurity krantjeâ€šÃ„Ã¹). Oppassen natuurlijk dat medewerkers er geen sport van gaan maken om maar zoveel mogelijk incidenten te veroorzaken, dan schieten we juist weer door naar de verkeerde kant.

Voorwaarde is natuurlijk wel dat we over voldoende (en kwalitatief goede) capaciteit beschikken om de incidenten op te pakken, te analyseren en verbeteringen door te voeren.

Beveiligingsincidenten zien er op papier vaak ingewikkeld uit: zware aanvallen op het netwerk, ramkraken om ons gebouw binnen te dringenâ€šÃ„Â¶maar juist de dagelijkse gang van zaken kunnen grote risicoâ€šÃ„Ã´s met zich meebrengen en voor die dagelijkse gang van zaken hebben we de oren en ogen van onze medewerkers nodig om de boel steeds veiliger te krijgen.

Duidelijkheid over beveiligingsincidenten

door Geen categorie

We willen graag zicht hebben op de beveiligingsincidenten die zich voordoen zodat we kunnen analyseren en waar mogelijk verbeteringen door kunnen voeren om dergelijke incidenten in de toekomst te voorkomen.

Daarvoor kunnen we natuurlijk een procedure opstellen en in het beleid opnemen dat beveiligingsincidenten gemeld moeten worden, maar zijn we er dan?

De vraag:
Is het personeel duidelijk gemaakt wat onder een beveiligingsincident verstaan wordt (niet alleen beschadigingen of verlies van bedrijfsmiddelen, maar ook het verrichten van handelingen die in strijd zijn met de beveiligingsprocedures)?

Technisch kunnen we allerlei systemen inzetten om beveiligingsincidenten te constateren. We hebben mooie alarmsystemen en als een inbreker het in zijn hoofd haalt om bij ons in te breken dan gaan alle toeters en bellen af. Ook op het netwerk of de firewall hebben we systemen ingericht die automatisch melding maken als onze policies worden overtreden.

Hiermee hebben we een mooie basis, maar we moeten niet vergeten dat de medewerkers onze ogen en oren zijn binnen de organisatie. We moeten ze duidelijk maken wat het verschil is tussen een incident en een beveiligingsincident en dat is makkelijker gezegd dan gedaan. Het inloggen na de vakantie met een verkeerd wachtwoord is een incident, gewoon even de helpdesk bellen die je wachtwoord wijzigt in â€šÃ„ÃºWelkom01â€šÃ„Ã¹. Maar wat als een collega, tijdens jouw vakantie, geprobeerd heeft in te loggen met jouw account? Dan is het al snel een beveiligingsincident als jij er geen toestemming voor hebt gegeven.

Probleem hierbij is natuurlijk dat je er maar moeilijk achter komt waardoor jouw account geblokkeerd is. Ben je het echt vergeten of is er iets anders aan de hand? We zullen dus niet alleen de medewerker duidelijk moeten maken wat we onder een beveiligingsincident verstaan maar moeten ook (bijvoorbeeld) de medewerkers van de helpdesk nadere instructies geven zodat zij beveiligingsincidenten kunnen achterhalen.

Termen die we daar tegenwoordig wel voor gebruiken zijn de zogenaamde: â€šÃ„Ãºfirst line of defenseâ€šÃ„Ã¹ (de medewerker), â€šÃ„Ãºsecond line of defenseâ€šÃ„Ã¹ (de helpdesk) en â€šÃ„Ãºthird line of defenseâ€šÃ„Ã¹ (de beveiligingsafdeling). Hoe meer deze 3 lijnen weten over beveiligingsincidenten, hoe groter de kans dat we ze gemeld krijgen.

Het lijkt misschien tegenstrijdig, en leg het inderdaad maar eens aan het management uit: we doen van alles aan beveiliging en vertellen de medewerkers dat beveiligingsincidenten gemeld moeten worden. Dan zal er wel een afname plaatsvinden op dit gebied, toch? Nou, die afname ontstaat pas na verloop van tijd. Doen we het goed dan zullen we eerst juist meer meldingen ontvangen. Meer zaken worden immers opgemerkt als beveiligingsincident.

Met een goed verhaal krijgen we dat wel aan het management uitgelegd. Het gaat er hierbij om of we â€šÃ„Ãºcompliantâ€šÃ„Ã¹ willen zijn of juist â€šÃ„Ãºin controlâ€šÃ„Ã¹ willen komen. In het eerste geval zetten we mooie zaken op papier en hopen er het beste van (het aantal meldingen zal waarschijnlijk niet toenemen). In het tweede geval zorgen we ervoor dat wat we bedenken ook echt gaat werken en dat kost tijd (en het aantal meldingen zal waarschijnlijk toenemen).

Een mooie graadmeter dus. Zien we een toename in het aantal meldingen van beveiligingsincidenten dan hoeft dat niet perse te betekenen dat we een groter risico lopen dan vorig jaar. Nee, het kan net zo goed betekenen dat we juist erg goed bezig zijn en meer grip op de zaak beginnen te krijgen.

Begeleiding van nieuwe medewerkers

door Geen categorie

Inmiddels is de nieuwe medewerker alweer een aantal dagen aan de slag. Het gaat goed en hij begint zijn draai aardig te vinden. Zijn introductie zit er op en we durven hem of haar steeds meer los te laten. Toch willen we nog wel wat controle houden en vertrouwen moet groeien dus daar nemen we de tijd voor.

De vraag:
Zijn er maatregelen genomen om te voorkomen dat nieuw en onervaren personeel schade veroorzaakt (kan veroorzaken) aan gevoelige systemen en kritische bedrijfsprocessen?

De systemen worden tegenwoordig steeds ingewikkelder en handleidingen of trainingen voor het gebruik van nieuwe systemen geven we inmiddels niet meer. Iedereen moet maar gewoon aan de slag en de systemen moeten maar â€šÃ„Ãºfoolproofâ€šÃ„Ã¹ zijn. Klinkt waarschijnlijk allemaal bekend.

Toch moeten we ons de vraag stellen of we onze gloednieuwe peperdure auto zomaar aan iemand meegeven zonder dat we weten of hij een rijbewijs heeft en als hij dat al heeft, hoe goed hij dan kan rijden. Dit zelfde geldt natuurlijk voor de gevoelige en kritische systemen.

Leuk hoor dat de nieuwe medewerker zijn certificaat voor dat systeem heeft, maar hoe goed kan hij er echt mee omgaan? En is hij bekend met de wijze waarop wij dat systeem hebben ingericht. Zet iemand voor het eerst in een rechts gestuurde auto en het is toch weer even wennen en uitkijken. Laat hem los op onze systemen en hij zal zich toch onze inrichting eigen moeten maken.

We zullen de medewerker dus moeten begeleiden. Dat is niet alleen erg vriendelijk van ons, maar kan ook grote problemen voorkomen. Hoeveel begeleiding de medewerker nodig heeft hangt af van zijn ervaring en zijn leercurve. Misschien hebben we aan een uur of een middag genoeg misschien moeten we een begeleidingstraject opzetten waar we een senior verantwoordelijk voor maken.

Doen we dat op een goede manier dan helpen we de nieuwe medewerker in het zadel en zorgen we ervoor dat de senior er (tijdelijk) een leuke nieuwe uitdaging bij krijgt. Iedereen blij, mits het allemaal niet te belerend wordt, natuurlijk.

Apart eigenlijk dat we veel inspanningen doen om nieuwe medewerkers te recruiten, te screenen, te beoordelen om ze vervolgens los te laten in de organisatie. Iedereen moet zijn eigen weg maar zien te vinden, alle informatie die ze nodig hebben staat op het intranet en als ze nog meer willen weten dan vragen ze het wel aan een collega of hun manager.

Maar hoe goed is ons intranet ingericht en hoe makkelijk is de informatie te vinden? Hoeveel weet de collega of manager eigenlijk van informatiebeveiliging? Of wordt het erg makkelijk afgedaan allemaal?

We zeiden het eerder al: we hebben maar een kans om een eerste indruk te maken en dat geldt zeker niet alleen voor informatiebeveiliging. We moeten dus niet stoppen met onze inspanningen zodra de medewerker zijn of haar handtekening onder het contract heeft gezet, nee, dan begint het pas.

Introductie voor nieuwe medewerkers

door Geen categorie

Als het goed is, hebben we een gezonde groeidoelstelling. We zijn dan ook enorm blij als we weer een nieuwe medewerker aan ons personeelsbestand toe kunnen voegen. We zorgen ervoor dat de medewerker zich welkom voelt en we zorgen ervoor dat hij of zij snel een laptop ter beschikking krijgt om aan het werk te gaan.

Ook vanuit beveiligingsoptiek zijn we natuurlijk blij met die nieuwe medewerker, maar we willen het wel graag tijdig weten om hem of haar bij te praten over hoe wij het aanpakken.

De vraag:
Worden nieuwe (vaste en tijdelijke) personeelsleden bij de eerste binnenkomst geâˆšÃ˜nformeerd over rechten en plichten in het kader van beveiliging (huisregels, cultuur, gewoonten, goede gebruiken, absolute verboden, etc.)?

In de eerste dagen wordt de nieuwe medewerker overladen met informatie en indrukken. Grote kans dat hij of zij eind van de dag helemaal kapot is en geestelijk bij moet komen om de volgende dag weer fris en fruitig te zijn. Ergens in die grote berg informatie is ook nog iets opgenomen over beveiliging (waarschijnlijk ergens op de laatste pagina).

Het liefst maken we een aantal standaard huisregels en voorschriften die hij of zij moet lezen en waar hij of zij zich aan moet houden. We zetten ze op het intranet en we geven ze in de map voor nieuwe medewerkers als printje. Zo, klaar zijn we. De medewerker gaat het lezen en veilig zijn we. Toch? Helaas blijkt het in de praktijk veelal niet te werken. De medewerker krijgt zoveel informatie over zich heen en ziet door de bomen het bos niet meer.

Het gevolg is dat het langere tijd duurt voordat de medewerker de organisatie, haar processen en haar producten of diensten een beetje kan doorgronden.

Zou het niet veel efficiâˆšÂ´nter zijn om periodiek de nieuwe medewerkers bij elkaar te roepen voor een soort van algemene startdag. We kunnen ze dan vertellen wat de organisatie is, waar ze voor staat, hoe we dat doen, en…oh ja, daar kan ook een korte introductie voor beveiliging bij. Pakken we dit goed aan dan kan dit efficiâˆšÂ´nt zijn, zeker als we het ook nog eens leuk weten te houden. Niet teveel informatie dus, maar een afgewogen set om ze een vliegende start te geven.

Voor beveiliging geven we ze op die dag een korte introductie met de highlights, de 10 gouden regels, de 10 geboden, of weet ik hoe we ze noemen. Later gaan we daar wel dieper op in en geven we niet jaarlijks herhalingscursussen aan alle medewerkers? In die cyclus kan de nieuwe medewerker prima meedraaien.

Een introductie voor nieuwe medewerkers is van groot belang en dan niet alleen voor beveiliging maar voor het gevoel dat de medewerker daar aan over houdt. We hebben maar een keer een kans om een eerste indruk te maken, zonde als we daar niet een keer goed bij stil staan, een gemiste kans die we maar moeilijk weer weg kunnen poetsen. Doel is en blijft nog steeds om een beveiligingscultuur te kweken en die begint bij nieuwe medewerkers. Doen we dat niet op de juiste wijze dan hebben we daar nog jaren last van.

Kijk nog eens goed naar het introductiepakket dat we geven, is het niet teveel informatie, is het niet te saai voor woorden (zou je het zelf allemaal gaan lezen), kan het allemaal niet wat fleuriger en kunnen we het niet misschien combineren met de eerste indruk die we graag willen maken op de medewerker?

Een eerste indruk maken we maar een keer, zullen we het dan proberen in een keer goed te doen?

Functiescheiding in functiebeschrijvingen

door Geen categorie

Hadden we het eerder al kort over het belang van functiescheiding en het feit dat functiescheiding echt niet alleen belangrijk is voor het financiâˆšÂ´le domein. Hier gaan we kort in op het opnemen van de functiescheiding in de functiebeschrijvingen. Daarom de vraag:
Is de functiescheiding formeel in de functiebeschrijvingen vastgelegd?

Als we deze vraag willen beantwoorden moeten we dus eerst zicht krijgen op die functies en die activiteiten die we graag van elkaar willen scheiden om de risico’s beheersbaar te maken en te houden. We kijken daarbij ook naar de rechten die een medewerker heeft. Voor kleine organisaties allemaal nog wel inzichtelijk te maken omdat we man en paard bij naam kennen. Bij grotere organisaties wordt het al wat lastiger, we kennen niet iedereen bij naam en weten ook niet exact over welke rechten ze allemaal beschikken.

Natuurlijk kunnen we wel een uitdraai maken uit de systemen zodat we kunnen achterhalen welke rechten ze hebben. Maar welke algemene accounts zijn er allemaal en wie maakt daar gebruik van? Wellicht beschikken we maar over een algemeen admin-account waar alle beheerders gebruik van maken. Houden we dan nog zicht op de scheiding in verschillende taken en mogelijkheden?

Om dit te voorkomen moeten we de medewerker dus wijzen op de functiescheiding. We willen dat graag formaliseren en leggen dat vast in de functiebeschrijving. Hetgeen we beschrijven komt natuurlijk uit onze algemene analyse waarbij we duidelijk hebben welke functies we nooit willen of mogen combineren.

Daarnaast willen we de medewerker duidelijk maken dat als hij toch over rechten beschikt, die conform beleid niet gecombineerd mogen worden, hij vriendelijk doch dringend verzocht wordt hier melding van te maken (dit uiteraard bovenop de controles die we er zelf op uitvoeren). Ja zul je zeggen, dat is lekker, die medewerker gaat dat natuurlijk nooit melden, want daarmee beperkt hij zijn rechten. Klopt, helemaal waar. Maar er zijn ook medewerkers die wel van rechten af willen omdat ze niet per ongeluk het systeem op zijn kop willen gooien.

Eerder hebben we in de functieomschrijving of het beleid natuurlijk ook al opgenomen dat een ieder persoonlijk verantwoordelijk is voor wat er onder zijn of haar account gebeurt. Zou jij het risico willen lopen dat het netwerk plat gaat vanwege een virus op jouw werkplek omdat je toevallig over teveel rechten beschikt? Ik niet, hoe minder rechten ik heb, hoe beter dat voor de organisatie is…zeker om onbewuste fouten te voorkomen.

Dan hebben we natuurlijk nog de bewuste acties om het netwerk plat te leggen. Medewerkers die gefrustreerd raken, medewerkers die graag informatie willen lekken. Deze gaan inderdaad geen melding maken van het feit dat ze teveel rechten hebben, nee, sterker nog, ze zullen proberen steeds meer rechten te krijgen zodat ze “god worden op het netwerk”.

Het is onze taak om daarvoor periodieke controles in te richten. Wij moeten proberen te achterhalen welke rechten gecombineerd zijn om de risico’s te beperken. Geen makkelijke opgave en alleen maar moeilijker als de organisatie groter wordt. Maar niet iets dat we uit de weg moeten gaan. Begin eens klein (noem het steekproef), pak eens een afdeling en begin er mee. Lukt het? Kunnen we er een standaard proces van maken? Kunnen we de overzichten sowieso boven tafel krijgen? Daarna kunnen we altijd nog uitbreiden naar de hele organisatie, maar bedenk ook hierbij dat beveiliging een lijnverantwoordelijkheid is. Als het ons lukt om de lijnmanager de controles zelf uit te laten voeren dan zitten we dichter bij het vuur. Zij controleren en tekenen daarvoor, net als ze voor het contract van de medewerker hebben getekend.

Functiescheiding

door Geen categorie

Van het hebben van rechten en het ontbreken van volledige overzichten van gebruikers is het een kleine stap naar het doorvoeren van functiescheiding.

De vraag:
Zijn er maatregelen getroffen die er in voorzien dat niet alle bevoegdheden bij het uitvoeren van specifieke werkzaamheden in âˆšÂ©âˆšÂ©n hand terechtkomen (functiescheiding)?

Bij functiescheiding denken we wellicht direct aan financiâˆšÂ´le gebieden waarin we die scheiding graag door willen voeren. We willen immers niet dat een persoon ons hele eigen vermogen met een druk op de knop naar zijn of haar Zwitserse bankrekening over kan schrijven. Daar ligt inderdaad de oorsprong van functiescheiding.

Maar zoals we al eerder zagen, willen we ook niet dat er mensen zijn met teveel rechten op de systemen. Niet teveel rechten op de financiâˆšÂ´le systemen maar ook niet teveel (beheer)rechten op de informatiesystemen. Het risico is gewoon te groot dat iemand, bewust of onbewust, het hele systeem lam legt.

Een discussie die hierbij al vaker gevoerd is, is die tussen beheerwerkzaamheden op de informatiesystemen en de inhoud van de informatie op die systemen. De beheerders hebben graag veel rechten omdat ze zo hun werk goed kunnen doen. Toch moeten we er even bij stil staan dat zij (veelal) geen toegang tot de inhoud van de informatie nodig hebben om back-ups uit te voeren of terug te zetten. Of in gewoon Nederlands: een beheerder moet wel een back-up kunnen maken van een Word-document maar hoeft niet te kunnen zien welke woorden er in dat Word-document staan. Ook hier kun je dus kijken op welke wijze we functiescheiding door kunnen voeren. Maar bereid je voor op de discussie die zal komen en bedenk nu alvast hoe je gaat controleren dat die rechten inderdaad zijn afgenomen…het is immers de beheerder die zichzelf die rechten af moet nemen.

Nu we zicht hebben op de medewerkers van de financiâˆšÂ´le afdeling en de IT-afdeling beginnen we al een aardig beeld te krijgen over de gebieden waar we functiescheiding toe kunnen passen. Deze basis kunnen we uitbreiden door op onderzoek uit te gaan naar die functies die ook een risico vormen als ze teveel rechten bezitten. Dat kunnen hele specifieke functies zijn, maar kunnen ook gewone gebruikers zijn.

Wilden we eerder al zicht hebben op de rechten die gebruikers hebben dan ligt daar de overeenkomst met functiescheiding. We zijn niet zo zeer bang voor het feit dat ze grote bedragen over kunnen maken of systemen plat kunnen leggen. We zien wel een risico als het gaat om de grote hoeveelheid informatie waarover ze kunnen beschikken. Hebben ze echt al die informatie nodig? En aan de andere kant: beschikken ze wel weer over alle informatie die ze nodig hebben om hun werk goed te doen?

Het doen aan functiescheiding lijkt een logische maar er komt een berg finetuning bij kijken. Niet teveel rechten geven, niet teveel rechten afnemen. Ze moeten hun werk kunnen doen maar wel binnen de kaders die we acceptabel vinden. Het klinkt dan ook makkelijker dan het in de praktijk is. We moeten keuzes maken, die keuzes effectueren en controleren en dat zijn geen gemakkelijke stappen.

Daarbij moeten we dan ook nog eens rekening houden met de omvang van de organisatie. In een grotere organisatie kunnen we risicovolle taken gemakkelijker over meerdere personen verdelen dan dat we dat in kleine organisaties kunnen doen. Denk nu niet dat functiescheiding voor een kleinere organisatie niet kan worden doorgevoerd of minder belangrijk is. Nee, misschien is het zelfs voor een kleinere organisatie nog wel veel belangrijker om eens goed te kijken naar wie wat kan.

Functiescheiding, een belangrijk aspect en zeker niet alleen voor beveiliging. Toch nog vaak een moeilijk praktijkgeval waar we goed over na moeten denken om het allemaal werkbaar te houden.

Een overzicht van gebruikers

door Geen categorie

We zijn nog steeds bezig binnen het stuk dat gaat over de personele beveiliging. Daarbij mogen we de gebruikers binnen onze organisatie niet uit het oog verliezen. Een simpele vraag met een lastiger antwoord.

De vraag:
Is er een volledig overzicht van gebruikers?

Je zou zeggen dat het logisch is dat een organisatie over een volledig overzicht van gebruikers beschikt. Ze weten ook aan wie ze loon moeten betalen aan het eind van de maand, toch? Toch zien we dat de vraag in de praktijk simpeler is dan het antwoord. De overzichten van gebruikers zijn vaak niet in overeenstemming met degene die we salaris (of uurtarief) betalen.

Medewerkers komen en gaan, of ze nu in- of extern zijn doet er eigenlijk niet zoveel toe. Op de dag dat ze binnen zijn beginnen ze te vragen om een inlog account. De dag dat ze voor de laatste keer de deur achter zich dicht trekken, melden ze het account niet meer af. Het is dus zaak om periodiek te controleren of de overzichten nog actueel zijn en of iedereen nog wel een account nodig heeft.

Dat is natuurlijk de korte versie die medewerkers nemen. Vaak hebben ze verschillende functies gedurende de jaren dat ze voor ons werken. Er komen steeds meer rechten bij en er gaan er maar weinig weer vanaf. Logisch, want de medewerker kan zijn werk niet doen als hij de rechten niet heeft maar kan nog wel gewoon werken als hij teveel rechten heeft. Hoe langer men in dienst is, hoe meer men kan zien.

Naast onze interne medewerkers hebben we ook nog de externen en tijdelijke krachten. De doorloopsnelheid daarvan ligt nog een stuk hoger dan die van het eigen personeel. Geven we ze teveel rechten, mogen ze op afstand inloggen en hoe houden we daar dan zicht op? Hoe lang kunnen ze er nog bij nadat het contract beâˆšÂ´indigd is? En hoe vaak controleren we dat dan?

Daar weer bovenop hebben we de medewerkers met bijzonder rechten. De medewerkers die het wachtwoord van het “admin”-account kennen. Grote kans dat we het lastig vinden of gewoon vergeten om het wachtwoord te wijzigen als nu net die ene medewerker uit dienst is. Hopelijk hebben we op een vrolijke manier afscheid van elkaar genomen…zo niet dan moeten we de controle wellicht dit jaar iets eerder uitvoeren.

Vreemd dat het ons wel lukt om de uitbetaling van salaris stop te zetten terwijl het ons nauwelijks lukt om het overzicht van gebruikers actueel te houden.

Het wordt allemaal nog wat ingewikkelder als we ook nog eens verschillende rechten aan verschillende medewerkers in verschillende rollen hebben uitgegeven. Een medewerker verandert dan misschien niet van functie maar kan wel van rol veranderen. Onoverzichtelijke lijsten met gebruikers in bepaalde rollen met bepaalde rechten. Een hele worsteling om dat actueel te houden.

Het lijkt misschien of we er maar niet eens meer aan moeten beginnen. Geen eer aan te behalen. Toch is dat niet waar, alleen moeten we het wel in de juiste volgorde doen eerst het proces op orde, dan pas de lijsten opschonen. En niet andersom want dan blijven we bezig.

Het toebedelen van specifieke taken, bevoegdheden en verantwoordelijkheden

door Geen categorie

Beveiliging is een lijnverantwoordelijkheid en gaat pas echt werken als iedereen zijn of haar rol daarin neemt. Omdat we weten dat dit niet voor iedereen duidelijk is, hebben we in de functieomschrijvingen ook nog eens aangegeven wat we verwachten en welke taken ze hebben. Vervolgens maken we ze bewust en scholen en trainen we ze er ook in. De medewerker is niet onze zwakste schakel, maar juist onze sterkste. Toch willen we nog wat andere taken verdelen in de organisatie, de vooruitgeschoven posten, de Operational Security Officers of onze voelsprieten, geef ze maar een naam.

De vraag:
Is vastgelegd welke algemene en specifieke taken, bevoegdheden en verantwoordelijkheden op het gebied van beveiliging zijn toebedeeld aan functionarissen en afdelingen?

We gaan op zoek naar medewerkers die op vrijwillige basis een extra bijdrage willen en kunnen leveren. Willen ze het niet dan gaan we op zoek naar een ander, kunnen ze het niet dan gaan we ze scholen en trainen. De Operational Security Officer wordt dus niet degene die afwezig was op het moment dat de taak verdeeld moest worden maar is iemand die het als een uitdaging ziet en die er ook nog eens de tijd voor krijgt.

We moeten echter niet vergeten dat het meestal een taak is die mensen erbij krijgen. 20% van hun tijd mogen ze er (op papier) aan besteden, in de praktijk is het helaas vaak nog minder. Het functioneringsgesprek rekent af op andere taken dan op de beveiligingstaken en de bonus die ze kunnen verdienen, verdienen ze ook niet met de 20% beveiligingstaken maar eerder met de 80% commerciâˆšÂ´le taken.

Het mag er dan allemaal leuk uitzien voor de buitenwereld, maar echt werken gaat het niet doen. Niet iedere afdeling of business unit hoeft een fulltime Security Officer te krijgen. Nee, als we echt vrijwilligers hebben gevonden dan leggen we de extra taken, bevoegdheden en verantwoordelijkheden vast en we zorgen ook dat ze er de tijd voor krijgen.

Sterker nog, we laten ze niet watertrappelen tot ze er moe van worden maar gaan met ze in overleg. Wij zorgen er voor dat er een groep Security Officers ontstaat die gesteund wordt, die zich kan vereenzelvigen met anderen. De Security Officers staan niet alleen maar zijn elkaars back-up en kunnen bij elkaar terecht als ze er zelf niet meer uitkomen.

Hebben we die vrijwilligers eenmaal gevonden dan mogen we ze daar ook voor belonen. Dat hoeft echt niet altijd in klinkklare munt maar kan ook door ze eens in het zonnetje te zetten. Vindt de directie het echt zo belangrijk? Dan besteden ze daar aandacht aan, dan zorgen ze dat de medewerker eens een bedankje krijgt. Dan zorgen ze ervoor dat deze medewerkers er ook echt de tijd en middelen voor krijgen.

Het begint dus weer bij de tone-at-the-top. Vinden ze het echt belangrijk dan laten ze dat blijken. Is het slechts voor de buitenwereld dan moet je je als vrijwilliger nog eens goed afvragen of er geen zinvoller vrijwilligerswerk te doen is.

Categorie: Geen categorie

De legitieme doelen van persoonsgegevens

De Wet Bescherming Persoonsgegevens

Bekendheid met meldingsplicht beveiligingsincidenten

Duidelijkheid over beveiligingsincidenten

Begeleiding van nieuwe medewerkers

Introductie voor nieuwe medewerkers

Functiescheiding in functiebeschrijvingen

Functiescheiding

Een overzicht van gebruikers

Het toebedelen van specifieke taken, bevoegdheden en verantwoordelijkheden

Contact gegevens

Zoeken