Achtergebleven informatie verwijderen

Vorige week hadden we het al over clean desk, clear screen en het verwijderen van informatie op printers en faxen. In de praktijk zien we dat er nog vele andere manieren zien waarop vertrouwelijke informatie bij onbevoegden bekend kan worden. Een belangrijke constante daarbij is het stelselmatig verwijderen van informatie die voor het grijpen ligt.

De vraag die daar voor vandaag bij hoort is:
Wordt aan het eind van de dag (werkperiode, vergadering, etc.) achtergebleven informatie van de uitvoerapparaten (borden) verwijderd?

Bij informatie denken we natuurlijk al snel aan alle digitale informatie die op het netwerk of onder “mijn documenten” staat. Helemaal waar, maar er zijn nog vele andere soorten van informatie. Bij de zogenaamde clean desk rondes door de bewaking (of liever nog: door het lijnmanagement) zien we dat er strak gekeken wordt naar werkplekken die nog niet gelocked zijn, naar informatie die keurig gestapeld en geniet op de printer is afgebleven en ook kijken we naar de bergen informatie die op de buro’s is achter gelaten. Staat jouw naam op die informatie dan heb je al snel een gele kaart aan je broek.

Hartstikke goed natuurlijk dat er gelet wordt op die informatie. Toch zien we nog wel dat informatie die bijvoorbeeld op whiteboards of flip-overs achter blijft nog wel eens vergeten wordt en ook informatie die na de vergadering niet meer nodig is blijft nog wel eens achter in de vergaderruimte.

Dit is niet alleen erg asociaal omdat de volgende die van de faciliteiten gebruik mag maken eerst jouw troep op moet ruimen. Maar is ook nog erg onveilig. Als het goed is ging die vergadering ergens over, daarvoor hebben we een agenda, notulen van het vorige overleg en een aantal ingebrachte stukken. Tijdens de vergadering gebruiken we het whiteboard om aantekeningen te maken en we hebben een aardig beeld van waar deze vergadering over ging.

Je ziet dat ook op dit gebied beveiliging dus geen vreemde eend in de bijt is maar gewoon onderdeel van de bedrijfscultuur. Ruim de spullen netjes op als je ze niet meer nodig hebt, dat kan een berg incidenten schelen maar zorgt er ook nog eens voor dat degene die na jou komt datzelfde doet.

Is het je bijvoorbeeld wel eens opgevallen dat je in steden die erg schoon worden gehouden minder makkelijk troep op straat gooit? Jij wilt niet degene zijn die die stad vuil maakt. Dat zelfde geldt voor de kantoren waar we zitten. Jij wilt niet de enige zijn met een stapel papier op je bureau, jij wilt niet diegene zijn die al die gele kaarten ontvangt omdat je er een zooitje van maakt. Toch?

Nu moeten we met het uitreiken van die gele kaarten ook weer oppassen, want daar kan een keerzijde aan zitten. Bij een van mijn opdrachtgevers was er een levendige handel in gele kaarten. De reden hiervan was dat er op de kaart werd aangegeven welke “overtreding” je gemaakt had. Zo waren er een stuk of 10 opties…en iedereen wilde graag zijn verzameling compleet hebben. Bijkomend geval is ook nog dat het hier om de beveiligingsafdeling ging…ik geloof dat ik niet wil weten hoe het er op andere afdelingen aan toe ging.

De strekking van het verhaal van vandaag is op zich niet zo ingewikkeld. Kijk verder dan je neus lang is en bedenk waar allemaal informatie kan worden achtergelaten. Dat begint binnen het gebouw, maar natuurlijk ook daarbuiten. Wie kunnen er bijvoorbeeld allemaal bij de papierbakken als we ze buiten zetten op de dag dat de vuilnisophaaldienst komt? Probeer het maar eens…gooi die papier bak maar eens open en kijk wat voor interessants je tegen komt.

Clean desk en clear screen

Alle technische maatregelen zijn op zijn plaats en we hebben er goed voor gezorgd dat de informatie beveiligd is. Nu komen we aan bij de hulp die we nodig hebben van de medewerkers. We zijn aanbeland bij de zogenaamde clean desk en clear screen procedure die er aan bij moeten dragen dat de informatie in goede handen blijft.

De vraag:
Geldt er een clean desk en/of clear screen policy (ook voor de draagbare apparatuur, belangrijke geschiedenis, etc.)?

De termen clean desk en clear screen liggen natuurlijk in elkaars verlengde en je zult zien dat de medewerker die zich niet houdt aan de clean desk de clear screen procedure ook niet zo nauw zal volgen. We zullen de medewerkers op hun verantwoordelijkheid moeten wijzen, hier komen dan weer de bewustwordingscampagnes om de hoek kijken en we moeten natuurlijk ook controleren of onze procedure nog een beetje wordt nageleefd.

Kantoren worden steeds meer open instellingen. Het flexibele werken zorgt ervoor dat niemand meer zijn eigen plek heeft (nou ja, die managers die zichzelf belangrijk genoeg vinden hebben natuurlijk nog wel hun eigen kantoortje geregeld). De ene dag zit je links van de gang, de andere rechts. Kastruimte is nauwelijks meer beschikbaar en een ladeblok kunnen we al helemaal vergeten.

Dat heeft voor en nadelen. Zeker als het gaat om de clean desk. Overdag hebben we geen ruimte om de papieren informatie veilig op te bergen, dus die ligt de hele dag op ons buro. Nou ja, ons buro…voor die dag dan. Lopen we even naar de WC of de koffieautomaat dan blijft die informatie daar achter. Iedereen die even snel kan spieken waar we zoal mee bezig zijn. Sterker nog, als iemand informatie wegneemt dan komen we daar pas na een paar dagen achter (als we er al achter komen).

Het voordeel is natuurlijk dat we aan het eind van de dag het buro weer opgeruimd achter moeten laten. Je weet immers nooit waar je morgen mag zitten. De papieren worden in de tas gepropt of weggegooid en er is geen bewijs meer dat jij gisteren achter dat buro hebt gezeten.

Clear screen sluit hier natuurlijk bij aan. Lopen we weer even weg, misschien wil je nog een bak koffie of moet je van al die koffie weer naar de WC, dan blokkeren we onze laptop toch niet? Dat is alleen maar lastig. Komen we terug moeten we ons wachtwoord weer invoeren. Al mijn collega’s zitten hier en die zijn toch wel te vertrouwen? Ja dat mag ik hopen, maar misschien beschik jij over informatie die zij ook graag willen hebben. Of misschien sturen ze voor de gein onder jouw naam een email de organisatie in waarin de hele afdeling wordt uitgenodigd voor gebak op jouw kosten.

Natuurlijk mag je je collega’s vertrouwen (met een lichte argwaan misschien). Maar komen we terug op de open instellingen die kantoren tegenwoordig worden dan weten we niet meer precies wie onze collega is. Is diegene die voorbij loopt niet toevallig een collega van de concurrent? Hoe gemakkelijk kan hij of zij bij de informatie?

Vergeet niet dat je als medewerker verantwoordelijk bent voor de activiteiten die onder jouw inlognaam gepleegd worden. Daar wil je dan toch graag zelf de controle over houden? Het blokkeren van je pc als je even wegloopt is een kleine moeite. Het daadwerkelijk opbergen van de papieren informatie gedurende de werkdag is inderdaad wat lastiger. Misschien een goede reden om met minder geprint werk aan de slag te gaan? Niet alleen goed voor de beveiliging, maar ook voor het milieu. Heb je hele lappen tekst die je moet lezen? Dan kun je een printje maken, de informatie lezen en daarna weer zo snel mogelijk vernietigen. Scheelt je aan het eind van de dag ook nog eens een hoop gezeul met papieren in je laptop tas. Een keer per dag even checken welke informatie je nog echt nodig hebt en de rest door de shredder.

Clean desk en clear screen, beide op papier hele makkelijke procedures. Helaas in de praktijk nog te weinig toegepast. Dan volstaat een periodieke check…een clean desk ronde als alle collega’s lekker naar huis zijn. Niet alleen goed om te doen, maar voor de beveiliging ook nog eens leuk, je weet immers nooit wat je tegen komt.

Een keertje een clean desk ronde uit laten voeren? Bel of mail me gerust, ik kom je er graag bij helpen. Niet om de informatie in te zien, maar om je te wijzen op de risico’s. Hebben we het wel eens over het zogenoemde “low hanging fruit”, dan heb je er hier echt een te pakken. Nou, ik hoor wel van je als we samen een dergelijke ronde uit moeten voeren.