Categorie: Geen categorie

Controle op het naleven van de clean desk policy

  door

De medewerkers zijn opgevoed en weten inmiddels dat ze de boel een beetje netjes moeten houden (al is het alleen maar om gele kaarten te voorkomen). We gaan nu wat verder in op de controle van naleving.

De logische vraag die daarbij hoort is:
Wordt gecontroleerd of de clean desk policy wordt nageleefd?

Het is een dooddoener, maar we halen hem toch nog even aan: “vertrouwen is goed, controle is beter.” Leuk dat we allerlei beleid hebben opgesteld en op papier (of in meer bekende termen: in opzet en/of bestaan) hebben we het erg goed voor elkaar. De werking is echter vaak een ander verhaal.

We horen er natuurlijk veel over: het “low hanging fruit”, dat je moet plukken op het moment dat het rijp is. Geen ingewikkelde lange verbetertrajecten maar gewoon een simpele actie opstarten om het te verbeteren. Het controleren van de naleving van de clean desk policy is fruit dat laag hangt en klaar is om te plukken.

Dat het in de praktijk veelal niet gebeurt, komt omdat het blijkbaar niet sexy genoeg is. De manager heeft er geen zin in (hij moet immers wachten tot de laatste medewerkers weg zijn en dan zijn de aardappelen aangekookt). Daarom wordt het veelal belegd bij de beveiligingsbeambte die “toch niets te doen heeft” in de nachtelijke uren (wij weten wel beter natuurlijk).

Op zich kan het best een optie zijn om de beveiligingsbeambtes te verzoeken periodiek een ronde te lopen, maar toch zijn wij er voorstander van om ook een dergelijke ronde te laten lopen door de manager van de afdeling of door de security manager. Die kijken toch weer naar andere zaken en kunnen wellicht risico’s inzichtelijk maken en was het niet zo dat beveiliging een lijnverantwoordelijkheid is? Een dergelijke ronde kun je natuurlijk ook leuk maken. Zorg voor pizza en loop met een aantal managers tegelijk een clean desk ronde, daarna kun je gezamenlijk evalueren en kijken hoe de vlag er bij hangt (en die vlag kan per afdeling flink anders hangen)…je kunt zelfs nog afsluiten met een borrel om er echt een feestje van te maken. Hoe noemen ze het ook weer? Oh ja, het nuttige met het aangename combineren.

Als het ons lukt om een gezonde competitie te creëren tussen verschillende lijnmanagers, ook op het gebied van beveiliging, dan zorgt dat niet alleen voor een beter beveiligingsbewustzijn. Nee, het zorgt er ook nog eens voor dat managers onderling informatie kunnen delen. Ze hoeven niet zelf het wiel opnieuw uit te vinden, het wiel wordt rond dat weten we toch wel.

Voor die organisaties of lezers die toch nog twijfelen. Vraag me gerust, een clean desk ronde op de juiste wijze kan erg leuk zijn…zo leuk zelfs dat ik je er graag bij help.

Achtergebleven informatie verwijderen

  door

Vorige week hadden we het al over clean desk, clear screen en het verwijderen van informatie op printers en faxen. In de praktijk zien we dat er nog vele andere manieren zien waarop vertrouwelijke informatie bij onbevoegden bekend kan worden. Een belangrijke constante daarbij is het stelselmatig verwijderen van informatie die voor het grijpen ligt.

De vraag die daar voor vandaag bij hoort is:
Wordt aan het eind van de dag (werkperiode, vergadering, etc.) achtergebleven informatie van de uitvoerapparaten (borden) verwijderd?

Bij informatie denken we natuurlijk al snel aan alle digitale informatie die op het netwerk of onder “mijn documenten” staat. Helemaal waar, maar er zijn nog vele andere soorten van informatie. Bij de zogenaamde clean desk rondes door de bewaking (of liever nog: door het lijnmanagement) zien we dat er strak gekeken wordt naar werkplekken die nog niet gelocked zijn, naar informatie die keurig gestapeld en geniet op de printer is afgebleven en ook kijken we naar de bergen informatie die op de buro’s is achter gelaten. Staat jouw naam op die informatie dan heb je al snel een gele kaart aan je broek.

Hartstikke goed natuurlijk dat er gelet wordt op die informatie. Toch zien we nog wel dat informatie die bijvoorbeeld op whiteboards of flip-overs achter blijft nog wel eens vergeten wordt en ook informatie die na de vergadering niet meer nodig is blijft nog wel eens achter in de vergaderruimte.

Dit is niet alleen erg asociaal omdat de volgende die van de faciliteiten gebruik mag maken eerst jouw troep op moet ruimen. Maar is ook nog erg onveilig. Als het goed is ging die vergadering ergens over, daarvoor hebben we een agenda, notulen van het vorige overleg en een aantal ingebrachte stukken. Tijdens de vergadering gebruiken we het whiteboard om aantekeningen te maken en we hebben een aardig beeld van waar deze vergadering over ging.

Je ziet dat ook op dit gebied beveiliging dus geen vreemde eend in de bijt is maar gewoon onderdeel van de bedrijfscultuur. Ruim de spullen netjes op als je ze niet meer nodig hebt, dat kan een berg incidenten schelen maar zorgt er ook nog eens voor dat degene die na jou komt datzelfde doet.

Is het je bijvoorbeeld wel eens opgevallen dat je in steden die erg schoon worden gehouden minder makkelijk troep op straat gooit? Jij wilt niet degene zijn die die stad vuil maakt. Dat zelfde geldt voor de kantoren waar we zitten. Jij wilt niet de enige zijn met een stapel papier op je bureau, jij wilt niet diegene zijn die al die gele kaarten ontvangt omdat je er een zooitje van maakt. Toch?

Nu moeten we met het uitreiken van die gele kaarten ook weer oppassen, want daar kan een keerzijde aan zitten. Bij een van mijn opdrachtgevers was er een levendige handel in gele kaarten. De reden hiervan was dat er op de kaart werd aangegeven welke “overtreding” je gemaakt had. Zo waren er een stuk of 10 opties…en iedereen wilde graag zijn verzameling compleet hebben. Bijkomend geval is ook nog dat het hier om de beveiligingsafdeling ging…ik geloof dat ik niet wil weten hoe het er op andere afdelingen aan toe ging.

De strekking van het verhaal van vandaag is op zich niet zo ingewikkeld. Kijk verder dan je neus lang is en bedenk waar allemaal informatie kan worden achtergelaten. Dat begint binnen het gebouw, maar natuurlijk ook daarbuiten. Wie kunnen er bijvoorbeeld allemaal bij de papierbakken als we ze buiten zetten op de dag dat de vuilnisophaaldienst komt? Probeer het maar eens…gooi die papier bak maar eens open en kijk wat voor interessants je tegen komt.

Beveiliging van printers en faxen

  door

Het is alweer even geleden dat we de vragen voor de volwassenheidscan van informatiebeveiliging hebben bedacht. Voor het geval je het niet wist. De afgelopen weken en de komende weken behandelen we de vragen uit deze scan afzonderlijk. Hoewel de fax toen zeker nog gemeengoed was kunnen we hem over een aantal jaar waarschijnlijk definitief uit de lijst halen…voor nu laten we hem nog even staan omdat ze toch nog gebruikt worden.

We maken even snel een printje of versturen nog snel even een fax. Tegelijkertijd worden we gebeld en vol enthousiasme gaan we het gesprek aan. Daarbij vergeten we helaas dat ons printje nog op de printer ligt. Oeps, onze vertrouwelijke informatie ligt voor het grijpen en we zijn ons er niet van bewust.

De vraag die hier natuurlijk bijhoort is:
Zijn printers, faxen en andere uitvoerapparaten zodanig opgesteld dat onbevoegden geen informatie mee kunnen nemen?

Laten we het hier vooral hebben over de printers. Voor de faxen geldt veelal hetzelfde maar ik kan me zomaar voorstellen dat hele jonge medewerkers nog nooit met een fax gewerkt hebben…wat een fax is? Nou, vraag dat maar aan je ouders…die kunnen je ook alles vertellen over LP’s en cassettebandjes.

Het is heel normaal om netwerk printers te hebben. Bijna niemand hoeft meer te beschikken over zijn of haar eigen printer. Geweldige apparaten tegenwoordig die dubbelzijdig kopiëren, er automatisch nietjes doorheen jassen en zowel kleur als zwart/wit aankunnen. Kleine wonderjes van machines, als je het mij vraagt.

Deze zijn aangesloten op het netwerk en na een x-aantal printjes gaat er automatisch een bericht naar de leverancier dat er onderhoud nodig is. Daarbij kun je je natuurlijk afvragen bij welke informatie de leverancier dan nog meer kan…want de printjes worden op een harde schijf in het apparaat bewaard. Maar dat is niet de vraag van vandaag.

Nee, de vraag gaat in op het feit of de geprinte informatie op een veilige plaats ligt. Gisteren zagen we al dat kantoren open instellingen worden. We kennen echt niet meer alle collega’s. De printer staat aan het eind van de gang dus zicht op ons printwerk hebben we niet meer.

Hoe vaak ben jij al naar de printer gelopen zonder dat je printjes er lagen? Vaak komt dat door een storing of een wachtij in de printer. Maar het kan ook zo zijn dat een ander er met jouw printjes vandoor is. Is dat een collega die per ongeluk de hele stapel heeft meegenomen dan is het risico misschien nog te overzien. Is het een toevallige passant die de informatie wel interessant vindt dan hebben we misschien een groter probleem.

Zaak is dus om er voor te zorgen dat medewerkers goed zicht houden op hun printjes en ze zo snel mogelijk van de printer verwijderen. Daarbij valt op dat printjes die mensen privé maken (ja, geef maar toe, iedereen print wel eens iets privé) sneller van de printer worden gehaald dan zakelijk printwerk. Maak je even een printje van je belastingopgave dan ren je naar de printer in de hoop dat niemand het onderschept. Print je vertrouwelijke gegevens namens je werk dan kan het zomaar een uur duren voordat je ze ophaalt…de kans dat je het in dat uur vergeet is enorm dus aan het eind van de dag liggen jouw printjes er nog.

Zorg er dus voor dat de printer op een veilige plaats staat. Heb je afdelingen die veel met vertrouwelijke gegevens werken dan kan het een aanrader zijn om voor hen een aparte printer te installeren. Deze staat dan veilig bij hen op de afdeling of je voorziet deze printer van een pincode waardoor er alleen geprint wordt als de medewerker er daadwerkelijk naast staat. Deze maatregel zie je tegenwoordig meer en meer toegepast. Er wordt alleen geprint na het ingeven van een pincode of een pasje. Leuk maar deels een schijnveiligheidsmaatregel. De medewerker gaat echt geen 15 minuten wachten tot al zijn printwerk netjes gesorteerd en geniet uit de automaat komt. Nee, hij geeft de pincode en loopt daarna weer terug naar zijn werkplek…om vervolgens te vergeten dat zijn werk nu wel op de printer ligt.

Beveiliging van printers en faxen. Het lijkt misschien zo makkelijk, maar in de praktijk toch een stuk weerbarstiger dan we denken. Vertel de medewerkers waarom je het zo belangrijk vindt en controleer eind van de dag of de printers weer allemaal leeg zijn dan zijn we alweer wat stappen verder.

Clean desk en clear screen

  door

Alle technische maatregelen zijn op zijn plaats en we hebben er goed voor gezorgd dat de informatie beveiligd is. Nu komen we aan bij de hulp die we nodig hebben van de medewerkers. We zijn aanbeland bij de zogenaamde clean desk en clear screen procedure die er aan bij moeten dragen dat de informatie in goede handen blijft.

De vraag:
Geldt er een clean desk en/of clear screen policy (ook voor de draagbare apparatuur, belangrijke geschiedenis, etc.)?

De termen clean desk en clear screen liggen natuurlijk in elkaars verlengde en je zult zien dat de medewerker die zich niet houdt aan de clean desk de clear screen procedure ook niet zo nauw zal volgen. We zullen de medewerkers op hun verantwoordelijkheid moeten wijzen, hier komen dan weer de bewustwordingscampagnes om de hoek kijken en we moeten natuurlijk ook controleren of onze procedure nog een beetje wordt nageleefd.

Kantoren worden steeds meer open instellingen. Het flexibele werken zorgt ervoor dat niemand meer zijn eigen plek heeft (nou ja, die managers die zichzelf belangrijk genoeg vinden hebben natuurlijk nog wel hun eigen kantoortje geregeld). De ene dag zit je links van de gang, de andere rechts. Kastruimte is nauwelijks meer beschikbaar en een ladeblok kunnen we al helemaal vergeten.

Dat heeft voor en nadelen. Zeker als het gaat om de clean desk. Overdag hebben we geen ruimte om de papieren informatie veilig op te bergen, dus die ligt de hele dag op ons buro. Nou ja, ons buro…voor die dag dan. Lopen we even naar de WC of de koffieautomaat dan blijft die informatie daar achter. Iedereen die even snel kan spieken waar we zoal mee bezig zijn. Sterker nog, als iemand informatie wegneemt dan komen we daar pas na een paar dagen achter (als we er al achter komen).

Het voordeel is natuurlijk dat we aan het eind van de dag het buro weer opgeruimd achter moeten laten. Je weet immers nooit waar je morgen mag zitten. De papieren worden in de tas gepropt of weggegooid en er is geen bewijs meer dat jij gisteren achter dat buro hebt gezeten.

Clear screen sluit hier natuurlijk bij aan. Lopen we weer even weg, misschien wil je nog een bak koffie of moet je van al die koffie weer naar de WC, dan blokkeren we onze laptop toch niet? Dat is alleen maar lastig. Komen we terug moeten we ons wachtwoord weer invoeren. Al mijn collega’s zitten hier en die zijn toch wel te vertrouwen? Ja dat mag ik hopen, maar misschien beschik jij over informatie die zij ook graag willen hebben. Of misschien sturen ze voor de gein onder jouw naam een email de organisatie in waarin de hele afdeling wordt uitgenodigd voor gebak op jouw kosten.

Natuurlijk mag je je collega’s vertrouwen (met een lichte argwaan misschien). Maar komen we terug op de open instellingen die kantoren tegenwoordig worden dan weten we niet meer precies wie onze collega is. Is diegene die voorbij loopt niet toevallig een collega van de concurrent? Hoe gemakkelijk kan hij of zij bij de informatie?

Vergeet niet dat je als medewerker verantwoordelijk bent voor de activiteiten die onder jouw inlognaam gepleegd worden. Daar wil je dan toch graag zelf de controle over houden? Het blokkeren van je pc als je even wegloopt is een kleine moeite. Het daadwerkelijk opbergen van de papieren informatie gedurende de werkdag is inderdaad wat lastiger. Misschien een goede reden om met minder geprint werk aan de slag te gaan? Niet alleen goed voor de beveiliging, maar ook voor het milieu. Heb je hele lappen tekst die je moet lezen? Dan kun je een printje maken, de informatie lezen en daarna weer zo snel mogelijk vernietigen. Scheelt je aan het eind van de dag ook nog eens een hoop gezeul met papieren in je laptop tas. Een keer per dag even checken welke informatie je nog echt nodig hebt en de rest door de shredder.

Clean desk en clear screen, beide op papier hele makkelijke procedures. Helaas in de praktijk nog te weinig toegepast. Dan volstaat een periodieke check…een clean desk ronde als alle collega’s lekker naar huis zijn. Niet alleen goed om te doen, maar voor de beveiliging ook nog eens leuk, je weet immers nooit wat je tegen komt.

Een keertje een clean desk ronde uit laten voeren? Bel of mail me gerust, ik kom je er graag bij helpen. Niet om de informatie in te zien, maar om je te wijzen op de risico’s. Hebben we het wel eens over het zogenoemde “low hanging fruit”, dan heb je er hier echt een te pakken. Nou, ik hoor wel van je als we samen een dergelijke ronde uit moeten voeren.

Software zonder geldige licentie

  door

Illegale software, zo noemen we het al snel. Maar eigenlijk draait het om software zonder een geldige licentie. De software op zich is legaal, alleen de wijze waarop wij er aangekomen zijn en hoe wij het gebruiken voldoet niet. Toch ook een aspect waar we ons op moeten richten door bijvoorbeeld licentiebeheer goed in te richten.

De vraag is dan ook niet geheel toevallig:
Zijn er maatregelen tegen “illegale” software (software zonder geldige licentie)?

Aan het gebruik van software zonder licentie zitten een aantal kanten. Zo kunnen we kijken naar de software die niet in onze standaard zit maar door medewerkers wel op hun werkstation wordt geïnstalleerd. Maar we kunnen ook kijken naar de software die wel onze standaard is maar waarvoor we het gebruik niet goed monitoren (of in gewoon Nederlands: we hebben meer gebruikers dan licenties).

Het draait om licentiebeheer en zicht op welke software er allemaal draait op ons netwerk. We willen geen claims aan onze broek omdat we teveel gebruikers hebben. Dat kost ons niet alleen geld in de vorm van boetes maar kan ook ons imago een deuk bezorgen. Daarnaast willen we ook geen software op ons netwerk dat we niet kennen. Hoe veilig is die software eigenlijk en door wie wordt die software op welke wijze dan up-to-date gehouden?

Installatie van software kan er zomaar voor zorgen dat ons netwerk uit de lucht gaat. Daarom willen we alleen die software waar we zicht op hebben en waar we eerst tests op hebben uitgevoerd. Theoretisch allemaal heel erg leuk. In de praktijk komen we nog wel tegen dat er niet goed naar de gebruikers is geluisterd. Zij hebben behoefte aan een bepaald soort software dat niet tot onze standaard behoort. Helaas voor deze gebruiker, maar die software gaan we niet installeren, toch? Eerlijk gezegd slaan we dan een verkeerde weg in. We moeten niet vergeten dat we ondersteunend zijn. Die medewerker zal een goede reden hebben om die software te willen. Hebben we al eens aan hem of haar gevraagd waarom deze software nodig is? Hebben we al eens gekeken of we niet al een dergelijke soort software met dezelfde functionaliteit in onze standaard hebben zitten? Hebben we al eens gekeken of we het toch niet op een veilige wijze mogelijk kunnen maken voor die medewerker?

Doen we dat niet dan is de kans groot dat hij of zij zelf probeert de software te installeren en dan worden er al snel illegale downloads gemaakt. De medewerker gaat natuurlijk zelf niet betalen voor een dure applicatie en een download is dan al snel opgestart. Wordt deze software inderdaad op ons netwerk geïnstalleerd dan zijn we het overzicht aan het kwijtraken. Ha, zeg je, installeren op ons netwerk is voor gebruikers niet mogelijk, probleem opgelost, toch?

Nou, niet helemaal. Nogmaals: die gebruiker heeft vast een goede reden om die software te willen. Kan er niet geïnstalleerd worden op het netwerk dan is de kans groot dat hij of zij het op eigen middelen installeert. Hop, de software op de eigen laptop en op de dag dat we thuiswerken gebruiken we die. Ons netwerk loopt in ieder geval minder gevaar, maar we zijn de informatie die gebruikt wordt wel kwijt. Die informatie staat nu op middelen die wij niet kennen of ondersteunen en de vraag is zomaar hoe veilig die dan wordt opgeslagen en hoe we dan zorgen voor back-ups.

We moeten bij het kijken naar software zonder licentie dus niet zomaar roepen dat we alles blokkeren dat niet tot de standaard behoort. Daarmee leggen we het probleem bij de gebruikers neer. Nee, we zijn en blijven ondersteunend en moeten dus goed kijken naar de behoefte van onze “klanten”. Waarom willen zij bepaalde software en hoe kunnen we dat zo goed mogelijk faciliteren? Doen we dat, dan leveren we een meerwaarde en worden we ook nog eens geaccepteerd door de gebruikers. Hoe mooi wil je het hebben?

Netwerkscheiding

  door

De organisatie beschikt over allerlei soorten systemen en netwerken om de processen goed uit te kunnen voeren. Voor een buitenstaander lijkt het misschien of de hele informatiestroom uit een groot netwerk bestaat maar toch zitten er grenzen aan die netwerken die we moeten bewaken. Denk alleen maar aan het verschil tussen ons interne netwerk en het internet. Twee netwerken met grensbewaking er tussen. We moeten deze netwerken gescheiden houden om de vertrouwelijke informatie te beschermen.

De vraag die hier bij hoort is:
Zijn er beperkingen voor gebruikers tot delen van de vertrouwelijke informatie (netwerkscheiding)?

Zonder in te gaan op allerlei netwerk typologieën kunnen we onderscheid maken in het interne netwerk en het internet, ons eigen netwerk en het netwerk van onze leveranciers en afnemers en ons operationele en test netwerk. De termen zijn hier overigens wat vereenvoudigd, maar we willen het niet moeilijker maken dan nodig en het gaat om de basis ideeën.

Uiteraard is er een firewall geïnstalleerd die de grens tussen ons netwerk en het internet beveiligd. Het gaat hier te ver om op de details in te gaan, maar over het inrichten van een dergelijke grens (die vele malen verder gaat dan die firewall alleen) zijn hele studies te voeren. Voor het gemak gaan we er vanuit dat er een veilige grens is ingericht.

Vervolgens zien we dat meer en meer in de keten gewerkt wordt. Leveranciers en afnemers maken gebruik van de informatie die in onze systemen is opgeslagen. Zij zitten dus al op ons netwerk, maar we willen zeker niet dat ze bij al onze informatie kunnen. Heb jij er goed zicht op wie bij welke informatie kan en wat daarvoor nodig is? Zetten we alle informatie zomaar open voor leveranciers en afnemers of voeren we goede analyses uit en geven we ze alleen die informatie die ze echt nodig hebben? Uiteraard evalueren we geregeld of ze deze informatie nog nodig hebben…want de wereld verandert continu.

Als laatste gaan we hier in op het verschil tussen het operationele netwerk en de testomgeving. Deze mogen niet door elkaar lopen omdat ze elkaar kunnen beïnvloeden. Je moet er bijvoorbeeld niet aandenken dat we vergeten een patch te testen waardoor onze productieomgeving uit de lucht gaat. Het medicijn (de patch) is in dat geval misschien wel erger dan de kwaal.

Maar ook de gegevens op onze testomgeving moeten we selecteren. Willen we met (een kopie van onze) productiegegevens werken in de testomgeving of maken we fictieve gegevens aan? Als we besluiten om met kopieën van de echte omgeving te werken, zitten hier dan ook de vertrouwelijke gegevens tussen? De financiële gegevens, de privacygevoelige gegevens..willen we die in onze testomgeving terug zien?

Over netwerken en netwerkscheidingen kun je boeken vol schrijven en je kunt er vele studies naar doen. Dat gaat hier te ver (en eerlijk gezegd is het ook niet mijn specialisme). Nee, willen we het echt goed aanpakken dan halen we er een specialist bij. Iemand die weet hoe je de grensbewaking in moet richten, iemand die weet hoe je de gegevens op de testomgeving beveiligd en iemand die analyseert bij welke gegevens onze leveranciers en afnemers moeten kunnen. De kans dat je zo’n expert vindt is klein, waarschijnlijk heb je meerdere mensen nodig om de technische en procedurele maatregelen goed in te richten…een project…en daar heb je dan ook nog een goede projectmanager voor nodig.

Middelen voor het behandelen, opslaan, versturen en vernietigen van informatie

  door

We blijven aan de slag met informatie en maken vandaag onderscheid in het behandelen, opslaan, versturen en vernietigen van informatie. Dit is, op hoofdlijnen, de levenscyclus van informatie…maar uiteraard pas nadat de we informatie hebben gecreëerd. Bij al deze stappen moeten we de beveiliging van die informatie in het achterhoofd houden.

De vraag van vandaag is daarom:
Zijn er middelen beschikbaar om informatie en vertrouwelijke informatie conform de gestelde eisen te behandelen, op te slaan, te versturen en te vernietigen?

Nadat we de informatie gemaakt hebben moeten we er iets mee doen. Die informatie heeft immers een doel omdat het anders gewoon gegevens waren gebleven. Overigens moeten we aan gegevens natuurlijk ook beveiligingseisen stellen omdat anders onbevoegden daar informatie van maken die ons lelijk kan verrassen.

Maar goed, we hebben het dus over het behandelen, opslaan, versturen en vernietigen van de informatie. Bij deze stappen zijn bijvoorbeeld de voorschriften van belang zodat de mensen ook daadwerkelijk weten wat er van hen verwacht wordt. Maar op deze voorschriften zijn we eerder al ingegaan, dus we gaan er vanuit dat deze inmiddels ook zijn opgesteld. Zo niet, dan is dat de eerste stap.

We hebben nu voorgeschreven hoe men met de informatie om dient te gaan. Daarvoor moeten we ze dan wel de middelen ter beschikking stellen. Anders staat het leuk op papier maar kunnen de medewerkers er niet zoveel mee.

Schrijven we dus voor dat de gegevens veilig opgeslagen moeten worden dan moeten we nadenken hoe we dat zo makkelijk mogelijk maken voor de medewerkers. Wordt het een centrale sharepoint omgeving waarop automatisch encryptie wordt toegepast of mag het ook op de laptops van afzonderlijke medewerkers worden opgeslagen? En hoe zorgen we er dan voor dat de informatie goed beveiligd is? Hoe zorgen we dan dat we back-ups maken van die informatie? Hoe zorgen we voor autorisatiebeheer?

Hier komt uiteraard ook weer de classificatie (of rubricering) van de informatie om te hoek kijken. Daarnaast moeten we goed nadenken over welke medewerker in welke rol bij welke informatie moet kunnen. Niet iedereen hoeft immers bij de informatie en niet iedere medewerker heeft dezelfde rollen te vervullen binnen de organisatie. Ja, we zullen er toch aan moeten geloven om ons te verdiepen in Role Based Access Control en dat is makkelijker gezegd dan gedaan. Hiervoor zullen we eerst inzicht moeten hebben in onze medewerkers (op ieder moment, dus ook de nieuwe medewerkers en de medewerkers die net uit dienst zijn getreden). Daarna moeten we bekijken welke rollen zij vervullen en welke informatie ze daarbij nodig hebben.

Voor een kleine of middelgrote organisatie nog wel te doen, maar als de organisatie groter wordt, worden de aantallen ook groter en moeilijker up-to-date te houden.

Speciale aandacht moeten we besteden aan het versturen en vernietigen van de informatie. Mogen we geheime gegevens bijvoorbeeld via de mail versturen? En passen we daar dan encryptie op toe? Of mag deze informatie alleen maar persoonlijk overhandigd worden? En hoe praktisch is dat dan? We moeten afwegen wat praktisch is voor de medewerker en veilig voor de organisatie. Daarbij maken we keuzes die we ondersteunen met middelen om het voor de medewerkers mogelijk te maken.

Het vernietigen van informatie is de laatste stap in de levenscyclus van de informatie. Na verloop van tijd is de informatie niet meer actueel en niet meer nodig. Buiten wat gegevens die we wettelijk 5 of 7 jaar moeten bewaren, kunnen we andere stukken informatie met een gerust hart vernietigen. Vertrouwelijke informatie gooien we natuurlijk niet zomaar bij het oud papier. Het risico op “dumpster diving” is te groot. En wie denkt dat dat in Nederland niet gebeurt, moet ik teleurstellen…het is een groter risico dan je denkt. Informatie op papier halen we natuurlijk door een shredder en digitale informatie wissen we ook met veilige middelen (bijvoorbeeld door ze verschillende malen te overschrijven). Alleen “deleten” volstaat niet en het is zelfs mogelijk om informatie te halen van schijven die we verbrand hebben, hoewel we natuurlijk ook weer niet door moeten schieten.

De levenscyclus van informatie…interessante stappen waarbij we na moeten denken over hoe we daar mee omgaan. Niet door zoveel mogelijk te verbieden (op papier) of door zoveel mogelijk beperkende maatregelen in te voeren. Nee, door te kijken wat praktisch is voor de medewerkers en veilig voor de organisatie. Het optimum hierin vinden is makkelijker gezegd dan gedaan en er lijkt een hefboomwerking in te zitten: hoe praktischer voor de medewerker hoe onveiliger…hoe veiliger voor de informatie hoe onpraktischer voor de medewerkers. Feit is wel dat als we allerlei beperkende maatregelen nemen de medewerker zo creatief wordt om er omheen te werken…en dat is nu juist wat we willen voorkomen.

Aanvullende maatregelen voor draagbare en verwijderbare media

  door

Nu we gezien hebben dat de draagbare en verwijderbare media niet meer zijn weg te denken moeten we doorpakken naar de risico’s die dat met zich meebrengt. Hebben we die risico’s in kaart dan kunnen op basis daarvan besluiten er iets aan te doen of de risico’s gewoon te accepteren.

De volgende vraag is dan ook niet echt een verrassing:
Zijn er aanvullende maatregelen genomen om de informatie op draagbare en verwijderbare media te beschermen (encryptie, wisprocedures, kluis, etc.)?

Het is een gegeven dat er draagbare media zijn en dat er media door medewerkers in gebruik zijn die niet onder onze controle staan. Dat gegeven kunnen we accepteren maar dan lopen we enorme risico’s met onze informatie. We moeten deze risico’s inzichtelijk maken en aan het management voorleggen. Zij kunnen er vervolgens een oordeel over vellen.

Het gaat hier te ver om structureel alle bijbehorende risico’s in kaart te brengen. We pakken er een aantal uit en laten de rest over aan jouw eigen inbeeldingsvermogen. De vraag omvat al wat maatregelen waar uiteraard risico’s bijhoren: encryptie, wisprocedures en kluizen.

Het zal je niet verrassen dat encryptie met name bedoeld is om de exclusiviteit van de informatie te waarborgen. We willen niet dat iedereen zomaar bij de informatie kan als een medium verloren wordt. Te vaak hebben we al in het nieuws gehoord dat een USB-stick gevonden en bij een krant ingeleverd is.

De wisprocedures gaan ook in op exclusiviteit, maar ook bijvoorbeeld op de integriteit van de informatie. Waar is de meest actuele informatie beschikbaar? Nemen we beslissingen op basis van de juiste informatie of is de informatie inmiddels al lang achterhaald? Niet alle informatie hoeft voor eeuwig bewaard te worden, sommige informatie is na verloop van tijd echt niet meer nodig. Weggooien dus…of, begrijp me niet verkeerd: wissen dus en dan het liefst op een veilige manier.

De draagbare media verlaten ons gebouw. Maar waar worden deze opgeslagen? Liggen ze in de auto van een medewerker, zit het in een jaszak of ligt het thuis op de keukentafel? Als het om vertrouwelijke informatie gaat is het goed om na te gaan waar die mogelijk wordt opgeslagen. Een kluis kan een maatregel zijn om diefstal te bemoeilijken…maar er zijn natuurlijk ook andere maatregelen te bedenken.

Andere risico’s waar je aan kunt denken zijn de opslag en toegankelijkheid van de gegevens. Slaan medewerkers hun documenten op op de C-schijf van hun laptop of is deze informatie centraal beschikbaar? We willen wel dat we over de informatie kunnen beschikken als dat nodig is. Met het nieuwe werken zien we dat meer informatie lokaal wordt opgeslagen, hoe gaan we om met de back-up van die gegevens? Kunnen andere medewerkers ook bij die gegevens als onze medewerker lekker van zijn of haar vakantie geniet? Zomaar wat vragen om eens over na te denken. Ja maar wij werken met Sharepoint of op een andere manier “in the cloud”…prima, maar is alle relevante informatie daar ook opgeslagen dan?

Het probleem (of voor diegene die dat liever hebben: de uitdaging) is niet zozeer de draagbare media maar het feit dat de gegevens en informatie daarmee dus ook draagbaar worden. Ze zijn niet meer binnen de muren van ons gebouw aanwezig maar kunnen zich overal op de wereld bevinden. Een risico? Ja zeker. Moeten we daar tegen zijn? Nee, absoluut niet, dan worden we een 1.0 beveiliger en dat is wat we nu juist willen voorkomen, toch?

Draagbare en verwijderbare media

  door

Kun je het je nog herinneren? Die mooie floppy’s waar 512kb en later zelfs 1,44mb op kon? Grote kans dat je nog een handtekening moest halen wilde je een doosje met floppy’s krijgen. Het opslaggeheugen is tegenwoordig niet meer aan te slepen. Een simpele USB-stick heeft al snel 4 gigabyte en willen we er iets meer aan uitgeven dan lopen die gigabytes al snel op tot ongekende hoogtes.

Als dat opslaggeheugen het probleem niet meer is, dan moeten we daar vanuit beveiligingsoptiek ook iets mee (al moeten we dat al jaren natuurlijk). De volgende vraag moeten we beantwoorden:
Zijn de eisen ten aanzien van informatie op draagbare en verwijderbare media (laptops, pda’s, mobiele telefoons, usb-sticks, tapes, diskettes, etc.) inzichtelijk?

Hoe gaan we als organisatie om met draagbare media? Mogen alle soorten media aangesloten worden op het netwerk? Waar slaan we de informatie op en hoe houden we daar dan nog controle over? Leuke vragen, moeilijker te beantwoorden.

Lange tijd hebben we de USB-poorten dicht gezet en mochten alleen de standaard laptops op het netwerk worden aangesloten. Met de nieuwe trend; “bring your own” laten we deze maatregelen nu al massaal los. We zien besparingen en het sluit aan bij het nieuwe werken. Interessante ontwikkelingen waar zeker wat voor te zeggen is, maar vanuit beveiligingsoptiek kan het tot hoofdpijn (of erger) leiden.

We zullen de eisen die we stellen als organisatie dus inzichtelijk moeten maken. Besluiten we om te gaan voor dat “bring your own”-principe, dan moeten we de eisen daarop aanpassen. Makkelijker gezegd dan gedaan en veelal komen we er te laat achter dat dergelijke keuzes ook nog impact kunnen hebben op de beveiliging van de informatie.

Enerzijds is het dus zaak om betrokken te raken bij dergelijke keuzes omdat men anders niet weet dat wij er ook nog iets over willen roepen. Anderzijds is het belangrijk om ontwikkelingen niet in de weg te staan. Hoe vaak worden we als beveiliging niet lastig gevonden omdat we stoïcijns “nee” roepen bij nieuwe ontwikkelingen? Juist, weet men dus al dat ze ons moeten betrekken dan moeten we er ook voor zorgen dat ze ons erbij willen betrekken. Niet door dwars te liggen, maar door een constructieve bijdrage te leveren.

Ogenschijnlijk willen we deze ontwikkelingen helemaal niet want ze brengen grote risico’s met zich mee. De 1.0 gedachte van beveiliging, zullen we maar zeggen. Redeneren we meer vanuit een 2.0 gedachte dan dragen we bij aan zulke ontwikkelingen, we juichen ze toe en brengen de risico’s overzichtelijk in kaart. We roepen niet “nee”, we roepen veel eerder “ja”. Alles mag, als het maar veilig is…of anders de risico’s geaccepteerd worden.

Draagbare en verwijderbare media zijn niet meer tegen te houden. We kunnen daar lang over discussiëren, maar wat mij betreft is het een gegeven. Misschien is het nu een mooie tijd om de door ons opgestelde eisen aan draagbare en verwijderbare media weer eens tegen het licht te houden. Wacht daar niet te lang mee want dan lopen we echt achter de feiten aan en worden we ingehaald door andere ontwikkelingen als het nieuwe werken, het werken in “the cloud” en ga zo nog maar even door.

Intellectuele eigendommen

  door

Na de teksten over vertrouwelijke informatie, gaan we vandaag wat verder in op een specifiek aspect daarvan (dat overigens breder kan gaan dan de informatie alleen). De intellectuele eigendommen van de organisatie en de bescherming daarvan.

De vraag voor vandaag:
Is inzichtelijk over welke intellectuele eigendommen de organisatie beschikt?

Als BV Nederland en Nederlandse bedrijven zijn we er nogal trots op dat we ons tot de kenniseconomie rekenen. Ons intellect schatten we erg hoog in. En hoewel we natuurlijk allerlei discussies kunnen voeren over het niveau van onze opleidingsinstituten en kennis binnen organisaties betreden we dat gevaarlijke pad maar even niet.

Nee, laten we er inderdaad maar van uitgaan dat we echt tot die kenniseconomie behoren. Dan betekent dat vervolgens dat we allerlei nieuwe kennis toevoegen aan de wereld. Zonder filosofisch te willen worden betekent dat, dat er vele intellectuele eigendommen binnen Nederlandse organisaties aanwezig moeten zijn.

Eigendommen die beschermt moeten worden. Denk bijvoorbeeld aan allerlei wetenschappelijke modellen die ontwikkeld zijn, maar ook patenten, copyright, licenties etc., rekenen we tot het intellectuele eigendom. Vergis je niet, deze kunnen een enorme waarde in zich hebben.

We zien nog wel eens discussies tussen medewerkers en organisaties over wie nu de echte eigenaar is van het betreffende intellectuele eigendom. De medewerker heeft het wetenschappelijk model in zijn eigen tijd ontwikkeld want het koste hem zijn avonduren. De baas vindt echter dat hij in dienst is van de organisatie en dat het daarmee automatisch tot zijn intellectueel eigendom behoort.

Het antwoord? Dat is niet zo eenvoudig te geven. Misschien dat een jurist hier wat over kan roepen. Zaak is wel dat het hier met name gaat om verwachtingsmanagement. Spreek het uit en zorg dat het duidelijk wordt. Het risico voor de organisatie is te groot.

Denkt de baas dat de ontwikkelde software van de organisatie is? Denkt de medewerker dat hij de eigenaar is? Wordt een leuke discussie als de software doorverkocht is aan de klanten en zij daar licenties voor betalen. De medewerker besluit om voor een ander bedrijf te gaan werken en neemt de softwarecode mee. Kunnen we nu onze klanten nog blijven bedienen of gaan de klanten daarmee automatisch mee naar de concurrent?

De eerste stap is het inzichtelijk krijgen van de intellectuele eigendommen, de volgende stap is vastleggen wie nu de echte eigenaar is (en of alle partijen dat ook zo ervaren). Doen we dat, dan kunnen we veel plezier beleven aan ons intellectueel eigendom. Doen we het niet? Dan kunnen we er bijna op wachten tot het fout gaat. De klanten lopen weg en de claims vliegen ons om de oren.

De discussie wordt alleen maar belangrijker als we kijken naar het nieuwe werken. We willen medewerkers sturen op resultaat. Willen ze liever ’s nachts van 2 tot 3 werken om een stuk informatie af te krijgen dan vinden we dat als management prima. Maar dit betekent niet automatisch dat de medewerker ook 24 uur per dag eigendom van de baas is…Hier gaan de komende maanden en jaren waarschijnlijk nog veel (interessante) discussies over ontstaat.