Communiceren is een vak, dat mogen we inmiddels toch wel zeggen. We hebben nagedacht over de wijze waarop we over beveiliging en incidenten communiceren en eerder hebben we al voorschriften opgesteld voor de behandeling van vertrouwelijke informatie. Maar goed, het kan zomaar zijn dat we vertrouwelijke informatie toch ook eens moeten delen, dat we er over moeten communiceren.
De vraag:
Wordt er bij iedere communicatie-uiting op gelet dat geen vertrouwelijke informatie of informatie over de beveiligingsmaatregelen wordt gecommuniceerd?
Misschien denk je direct dat we onze vertrouwelijke informatie en informatie over beveiligingsmaatregelen niet aan de grote klok gaan hangen. Dat gaat niemand wat aan, toch? Toch zijn er situaties te bedenken waarbij we wel degelijk vertrouwelijke informatie of informatie over beveiligingsmaatregelen moeten delen. Op zich ook geen probleem, als we er maar controle over houden en als we er maar over nadenken wat we dan inhoudelijk communiceren. Misschien willen we de details wel voor onszelf houden, maar op een hoger abstractieniveau kunnen we misschien wel over de meta-data communiceren.
Het wordt inmiddels wat cryptisch, dus een concreet voorbeeld verduidelijkt de boel. Jaren geleden wilden organisaties niets kwijt over het feit dat ze gebruik maakten van een firewall tussen hun eigen netwerk en het internet. Dat was geheime informatie en mocht zeker niet op straat terecht komen. Door de jaren heen is iedere organisatie gebruik gaan maken van firewalls. Het feit dat je over een firewall beschikt is gemeengoed geworden, niets geheims meer aan. Toen dat onderkend werd was het nog een groot geheim welk merk firewall je dan eigenlijk inzette, maar die informatie verliest ook meer en meer het vertrouwelijke karakter. Zo geheim is het niet meer dat je gebruik maakt van Checkpoint of Juniper (of weet ik welke merken er zoal bestaan). Nee, nu zijn het met name de instellingen die we niet op straat willen hebben, we willen niet dat iedereen zomaar het patch-level weet, we willen niet dat iedereen gemakkelijk de openstaande poorten kan zien, we willen niet dat iedereen de inlognaam en het wachtwoord kan achterhalen.
Borduren we hier nog even op voort dan zien we dat dit bijvoorbeeld een situatie is waarbij we over vertrouwelijke informatie of informatie over beveiligingsmaatregelen moeten communiceren. Willen we een nieuwe firewall aanschaffen dan is het toch wel een goed plan om daarover te communiceren met mogelijke leveranciers. Besteden we een dergelijke aankoop niet aan en hoe weten ze anders wat ze straks moeten leveren?
De kunst is om niet de details bloot te geven maar wel duidelijk te zijn over de functionaliteiten die je er straks van verwacht. We zullen een dergelijke leverancier in vertrouwen moeten nemen, maar dat kan alleen als daar een basis van vertrouwen voor is.
Het communiceren over vertrouwelijke informatie of over beveiligingsmaatregelen kan dus noodzakelijk zijn, dat is ook geen probleem als we daar de controle maar over houden. Niet communiceren over de details dus, maar wel over de functionaliteiten. Daarvoor hebben we dan wel inzicht nodig in de informatie die wij als vertrouwelijk zien…maar daar hebben we in een eerder stadium al over nagedacht en die voorschriften werken inmiddels feilloos, toch?