Geheimhoudingsverklaring

Inmiddels hebben we de mensen allemaal verteld wat ze moeten doen, we hebben gedragscodes en sanctiebeleid waar ook nog eens voor getekend is. Als we ze dan toch allerlei formulieren laten ondertekenen dan kan de geheimhoudingsverklaring daar ook nog wel bij.

De vraag is daarom:
Wordt door iedere medewerker een geheimhoudingsverklaring ondertekend?

Het lijkt misschien een pure formaliteit en helaas is dat in de praktijk ook veelal het geval. Dat heeft niets te maken met de geheimhoudingsverklaring maar veel meer met het feit dat er nauwelijks gecontroleerd wordt welke informatie er zoal onze organisatie verlaat.

De geheimhoudingsverklaring is er op gericht om stappen te kunnen ondernemen als een werknemer tijdens het dienstverband uit de school klapt. Het merendeel van de medewerkers is zich daar, hopelijk, van bewust en past wel op met wat hij zoal de wereld in slingert. Maar hoe zit het met de informatie nadat de werknemer ontslag heeft genomen of gekregen?

Dan wordt het al een lastiger verhaal en misschien moeten we het ook nuanceren. Natuurlijk willen we niet hebben dat onze vertrouwelijke informatie bij de krant of concurrent terecht komt. We willen niet met onze eigen fouten geconfronteerd worden. Maar hoe zit het nu met die kennis die de werknemer heeft opgedaan?

Dan doel ik niet zozeer op de vertrouwelijke bedrijfsgegevens maar meer op algemene kennis. Hij heeft hopelijk een berg geleerd de afgelopen jaren en hij heeft zich goed ingezet voor de organisatie. Met zijn overstap naar een nieuwe carrière bij een ander bedrijf is hij die kennis niet ineens vergeten. Nemen wij zelf nieuwe medewerkers niet aan op basis van een bepaald denk- en werkniveau? Hoe is dat niveau behaald? Waarschijnlijk door een combinatie van opleiding en werkervaring.

Goed, wat in het hoofd zit van die medewerker wordt dus hergebruikt. En, ach, zolang het onze vertrouwelijke gegevens niet zijn, zullen we daarmee moeten leren leven. Maar hoeveel informatie is in digitale of geprinte vorm meegegaan met die medewerker? En wat vinden we daar dan van?

Stel dat iemand procesmanager is geweest. Zeer waarschijnlijk kan hij de opgedane proceskennis hergebruiken in zijn nieuwe werkomgeving. De procesflows waar hij jaren mee gewerkt heeft hergebruikt hij en herschrijft hij naar de nieuwe omgeving. Vinden we dat erg of accepteren we dat ook? Daar is geen eenduidig antwoord op maar is wel een aspect waar we eens over na moeten denken.

Te vaak zien we dat informatie voor het grijpen ligt. Op intranet staat hele boeiende informatie, op de servers nog meer en dan hebben we het nog niet over de sharepoint omgevingen gehad. Controleren we wel eens wat er met die informatie gebeurt? Weten we wie daarover kan beschikken en wat er mee gebeurt? Weten we hoeveel kopietjes er op USB-sticks worden opgeslagen of via webmail onze organisatie verlaat?

Natuurlijk doen we iets aan autorisatiebeheer, niet iedereen kan dus bij alle informatie. Allemaal leuk en aardig en hartstikke noodzakelijk. Maar deze medewerker is gewoon geautoriseerd, hij moet er immers mee werken. Maar als hij niet meer voor ons wil werken, moeten we dan de controle niet wat opschroeven?

Het hangt natuurlijk allemaal van de cultuur van het bedrijf af. We zijn in Nederland nogal gematigd en als iemand ontslag krijgt of neemt dan mag hij gedurende zijn opzegtermijn nog gewoon alles doen. Een risico, dat zeker. En dat risico wordt alleen maar groter als we weer een aantal befaamde reorganisaties aankondigen. Mensen worden onzeker en gaan vast hamsteren.

Vinden we dat niet erg en accepteren we dat dan is het goed om ons dat te realiseren. Accepteren we dat zeker niet dan zullen we na moeten gaan denken over de wijze waarop we de informatie beter willen monitoren. Een hele opgave, dat zeker, maar goed om niet te lang te wachten…want een volgende reorganisatie kan er zomaar aan komen.

Aanvullende instructies en geheimhoudinsverklaring

Na ons uitstapje van gisteren, waarbij we het artikel van Computable nog even onder de aandacht brachten, gaan we vandaag weer door met onze uitgebreide vragenlijst op het gebied van informatiebeveiliging. We zijn daarbij aanbeland bij het onderwerp dat ingaat op aanvullende instructies en geheimhoudingsverklaringen.

De vraag die hierbij hoort is:
Zijn er voor medewerkers die veel met vertrouwelijke informatie te maken krijgen aanvullende instructies opgesteld waaronder een geheimhoudingsverklaring?

Over de vertrouwelijke informatie en de omgang daarmee hebben we het vorige week ook al gehad. Toch is het belangrijk om te onderkennen dat we een basisinstructie moeten hebben voor mensen die zelden in contact komen met vertrouwelijke informatie. Zij moeten snel overzicht hebben in wat er van hen verwacht wordt.

Maar voor die medewerkers die vaker in contact komen met vertrouwelijke informatie kan het wenselijk zijn om uitgebreidere instructies ter beschikking te stellen. Uiteraard hierbij weer de gedachte dat het gaat om kennis, houding en gedrag. Alleen papiereninstructies zijn dus slechts de eerste stap, we moeten ervoor zorgen dat de houding en het gedrag daarop aangepast wordt.

Niet de instructies over de schutting gooien dus, maar met de medewerkers in gesprek gaan. Hen toelichten wat vertrouwelijke informatie is, welke mogelijke schade er kan ontstaan na een incident, waarom we dat zo graag willen voorkomen en wat hun rol daarbij is. Daarop aansluitend moeten we ze natuurlijk ook de middelen geven om het veilig werken mogelijk te maken.

Schrijven we bijvoorbeeld voor dat vertrouwelijke informatie op een versleutelde USB-stick mag worden opgeslagen. Dan moeten we ze die stick ook ter beschikking stellen. En dan niet een stick met 64mb, maar een die een beetje moderner is, zodat we ook echt informatie kwijt kunnen.

Train de medewerkers die veel in contact komen met vertrouwelijke informatie en leg hen uit waarom we daar nu eigenlijk zo moeilijk over doen. Betrokkenheid en verantwoordelijkheid creëren, dat is het advies.

Zo, de medewerkers weten nu wat er van hen verwacht mag worden en theoretisch houden ze zich daar allemaal ook nog aan. Onze informatie komt niet meer op straat…toch?

Maar we hebben nu een goede band met die medewerker, wij betalen zijn salaris en daarvoor mogen we wat terug verwachten. Maar wat als de concurrent besluit een mooie transfersom te willen betalen voor de medewerker? Vertrekt onze informatie dan ook naar de concurrent? Hopelijk hebben we, juridisch correcte, geheimhoudinsverklaringen en staat de handtekening van de medewerker daar ook nog onder.

Op papier zal hij of zij de informatie dus niet verder verspreiden, dat mag immers niet. Maar, vertrouwen is goed, controle is beter. Bij uitdiensttreding bedanken we de medewerker voor gedane zaken maar we wijzen hem ook nog even op de geheimhoudingsverklaring. Wederom theoretisch prima, maar nu moeten we ook nog controleren of de informatie niet op een onverklaarbare wijze ons netwerk verlaat.

Willen we dat een geheimhoudingsverklaring ook echt zin heeft dan moeten we de informatie monitoren. Voor de digitale informatie is dat met allerlei technische middelen tegenwoordig goed in te richten (onderschat het niet, want het is zeker geen makkelijke opgave). Maar de kennis die in het hoofd van de medewerker zit is moeilijker geheim te houden. Misschien moeten we wel concluderen dat we alleen maar kunnen hopen dat de echt geheime informatie geheim blijft…dan helpt het als we op een prettige manier afscheid nemen van de medewerker.

Een groot risico bij reorganisaties is dat de geheimhoudingsverklaringen aan alle kanten geschonden worden. De medewerker is gefrustreerd en de informatie verlaat aan alle kanten de organisatie. Uitdaging daarbij is dat digitale informatie niet weg is als het gelekt is. Er kan immers een kopie gemaakt zijn. Diefstal van een laptop zullen we nog wel ontdekken (toch?), diefstal van informatie is al een stuk ingewikkelder.

Ik wil je zeker niet ontmoedigen, want we moeten er zeker goed naar kijken, maar we moeten ook realistisch blijven en accepteren dat hier risico’s zijn die we echt niet allemaal af kunnen dekken.

Het classificeren van informatie

Heb ik overigens al eens geschreven hoe goed ik het vind dat je mijn blog nog steeds leest? Nee, oh, mijn excuses…mijn complimenten en hartelijke dank. Ik kan me natuurlijk voorstellen dat het wat mensen wit om de neus wordt als ze sommige onderwerpen lezen. Maar bedenk, het is nooit de bedoeling om angst aan te jagen, maar wel om je bewust te maken…bewust van de risico’s. Onderkennen we de risico’s dan kunnen we er wat aan doen en komen we niet voor nare verrassingen te staan.

En nu, hop, snel naar de volgende vraag in het rijtje:
Zijn er richtlijnen voor het classificeren van informatie?

Bij het classificeren (of rubriceren) van informatie denken we in ieder geval aan termen als: “intern gebruik”, “vertrouwelijk”, “geheim” of zelfs “staatsgeheim” (in allerlei classificaties). Deze termen richten zich met name op de exclusiviteit van de betreffende informatie.

De enige die die exclusiviteit goed kan bepalen is de medewerker die de gegevens vertaald naar informatie. Vindt hij of zij dat het geclassificeerd moet worden, dan moet dat vooral niet worden nagelaten (hoewel hier wat kanttekeningen bij te plaatsen zijn, want we moeten niet onnodig informatie classificeren om ze belangrijker te doen voorkomen dan ze echt is). Wel handig als er dan een voorschrift voor is hoe we classificeren. Zijn er standaarden te bedenken die bij voorbaat al een classificatie verdienen? Zoals klant- of financiële gegevens of strategische informatie over de koers die we gaan varen? Op welke wijze maken we duidelijk dat het om geclassificeerde informatie gaat? Boven aan de pagina of toch liever boven en onderaan de pagina? En welke classificaties mogen we intern gebruiken? Vrij praktisch allemaal.

Hebben we de richtlijnen voor de exclusiviteit van de informatie in het voorschrift opgenomen (wat in de praktijk al best vaak gebeurt overigens) dan kunnen we ook nog kijken naar die aspecten die in de praktijk in dit soort voorschriften nog onderbelicht zijn, namelijk de beschikbaarheid en integriteit van de informatie.

Of, kort samengevat, hoe kritisch is de informatie voor het voortbestaan van de organisatie. Hoe lang kunnen we doordraaien als de informatie tijdelijk niet beschikbaar is en hoe erg is het als die informatie voor altijd verloren gaat? Welke processen komen dan piepend en krakend tot stilstand? Hebben we daar voldoende zicht op, dan draagt dat zeker bij aan de juiste omgang met informatie.

Vervolgens kunnen we nog kijken naar de integriteit. Hoe erg is het als de gegevens niet helemaal betrouwbaar zijn? Moeten we de gegevens echt voor 100% op feiten zijn gebaseerd of mogen we ook beslissingen nemen als we niet helemaal zeker weten hoe betrouwbaar die informatie is?

Persoonlijk vind ik het, bijvoorbeeld, een prettige gedachte als een arts over integere informatie kan beschikken voordat hij aan zijn operatie begint. Voor je het weet begint hij in het verkeerde been te zagen. “Meneer, de meniscus in uw linkerknie is succesvol geopereerd” wil je liever niet horen als je sterft van de pijn in je rechterbeen.

Kortom: bij classificatie van gegevens beginnen we eerst goed te kijken naar de exclusiviteit, maar daarna willen we graag doordenken over de beschikbaarheid en integriteit van de informatie. Doen we dat op de juiste manier en weten we de medewerkers daar ook nog vertrouwd mee te maken dan zijn we een aardige stap op weg naar een juist niveau van informatiebeveiliging.

Het maken van reservekopieen

Nu we gekeken hebben naar de eisen die we stellen aan de reservekopieen moeten we ook gaan kijken waar we exact back-ups van willen hebben, wanneer we ze maken en wie ze dan maakt. Kortom, de vraag die relevant is voor vandaag is:

Worden de reservekopieen conform de eisen gemaakt?

We maken reservekopieen niet omdat we zo graag kopietjes willen hebben of omdat het van de Code voor Informatiebeveiliging moet. We maken de reservekopieen zodat we na verlies van informatie snel weer over de gegevens kunnen beschikken en snel weer productie kunnen draaien. Daarbij is de term “snel” relatief en hangt helemaal af van de eisen die we stellen aan de informatievoorziening, de informatiesystemen en dus de reservekopieen.

Als het goed is hebben we al bepaald welke eisen we stellen. Nu is het ook zaak om te kijken waar we dan exact reservekopieen van maken. Doen we dat van de data of ook van bijvoorbeeld de besturingssystemen? Hoe vaak maken we die kopieen eigenlijk en is dat niet teveel of te weinig? Hoelang kunnen we zonder informatie en hoeveel informatie mogen we kwijt zijn na een incident?

Allemaal vragen waar we rekening mee moeten houden. Vaak horen we managers zeggen dat informatiebeveiliging voor hun organisatie niet zo belangrijk is omdat ze toch geen geheime informatie hebben. Op zich kan daar best een kern van waarheid in zitten, maar wij weten inmiddels dat het niet alleen draait om de exclusiviteit maar juist ook om de beschikbaarheid en integriteit.

Iedere organisatie heeft er last van als de financiele administratie definitief verloren gaat (nog los van wat de belastingdienst daarvan vindt), wie moet welke factuur nog betalen en wie moeten wij eigenlijk nog geld geven? Als de CRM-database (ons klantenbestand inclusief historie) onbruikbaar raakt dan weten we ook niet goed meer wat nu de laatste status is, wie heeft er recent nog wat besteld en hebben we dat al geleverd?

Als we onze organisatie serieus nemen dan kijken we dus iets verder dan de geheime gegevens alleen. Veel organisaties zullen inderdaad geen staatsgeheimen hebben, maar toch beschikken ze over vertrouwelijke gegevens waarvan we liever niet hebben dat de concurrent ze onder ogen krijgt. Iedere organisatie heeft administraties die op zijn minst tot last worden als ze niet meer beschikbaar zijn of als de gegevens daarin niet meer correct zijn.

Natuurlijk moet je de zwaarte van de informatiebeveiliging en ook van de reservekopieen af laten hangen van de aard van je organisatie en de daarin aanwezige gegevens. Maar om te stellen dat informatiebeveiliging voor jouw organisatie niet zo belangrijk is, gaat mij toch te ver.

Geheime gegevens Justitie gelekt

Het ministerie van Justitie is een groot onderzoek gestart naar het lekken van vertrouwelijke informatie van de Landelijke Bijzondere Bijstandseenheid (LBB)…Onbekenden hebben een aantal weken geleden op internet gevoelige documenten en e-mails van de LBB gepubliceerd. Daarin staan onder meer namen en telefoonnummers van leden van de LBB…Wie achter de publicaties op internet zitten, is nog niet duidelijk. Zelf noemen de verantwoordelijken zich ‘Boris Boef en de Boze Bajesklanten’. Gezien de staat van de documenten, zijn ze vermoedelijk uit een prullenbak of vuilniszak gehaald (bron).

Ik kan natuurlijk ingaan op hoe stom dit wel niet is en dat als Justitie al geen informatie vertrouwelijk kan houden het voor andere bedrijven al helemaal niet te doen is, maar dat doe ik niet. Het is immers al pijnlijk genoeg dat dit soort incidenten gebeuren. En geloof me, ik weet hoe ontzettend moeilijk het is om alle beveiligingsrisico’s op te sporen en te voorkomen.

Als inderdaad de documenten opgevist zijn uit de vuilnisbakken dan blijkt maar weer dat het zogenaamde dumpster diving een reëel risico is voor bedrijven. Kunnen we natuurlijk kijken naar informatiebeveiliging en dan met name naar de technische maatregelen als firewalls en anti-virus maatregelen, maar dit hoort daar net zo goed bij.

Als ik Justitie inschat dan hebben ze in het beleid zeker maatregelen hier tegen genomen, er staan genoeg versnipperaars en de medewerkers zijn echt wel geïnformeerd. Met name dat informeren van de medewerkers speelt hierin een grote rol. We kunnen natuurlijk wel op papier zetten dat vertrouwelijke informatie versnipperd moet worden, maar als de medewerkers het niet weten of zich er niet aan houden dan zit juist daar het probleem.

Beveiligingsbewustzijn binnen organisaties is van groot belang omdat de medewerkers vaak zowel de sterkste als de zwakste schakel zijn. Helaas zien we nog te vaak dat er simpelweg een poster aan de muur wordt gehangen of een mooie e-learning omgeving wordt ontwikkeld maar dat er weinig wordt gedaan aan de beveiligingscultuur binnen een organisatie. Het gaat bij bewustzijn en het gedrag van medewerkers altijd om kennis, houding en gedrag terwijl veel bewustzijnscampagnes zich met name op kennis richten. Dat is natuurlijk ook het makkelijkst maar levert helaas te weinig op in de praktijk.

Hoe we kunnen voorkomen dat dit soort incidenten, door menselijk gedrag, het nieuws halen? Door beveiligingsbewustzijn op de goede manier aan te pakken en een beveiligingscultuur te creëren is er daar één van maar wel een hele belangrijke die in de praktijk nog vaak te makkelijk wordt afgedaan. Alle posters ten spijt moet er meer gedaan worden om culturen te veranderen, dat kost nu eenmaal veel inspanning en kost als snel zo’n 5 tot 7 jaar continue aandacht. Succes, zou ik zeggen, want veel organisaties hebben op dit moment geen horizon van 5 tot 7 jaar, laat staan een structureel budget om dit goed te borgen.