Reizigers verliezen 3.500 laptops op luchthavens VS

Reizigers blijken massaal mobiele apparaten op populaire Amerikaanse luchthavens te verliezen, zo blijkt uit onderzoek. In 2011 werden op zeven grote luchthavens meer dan 8.000 mobiele apparaten verloren. Slechts één van de zeven onderzochte luchthavens geeft de verloren apparatuur aan de autoriteiten. In de meeste gevallen laten reizigers hun laptop liggen (3.576), gevolgd door smartphones (3.444) en USB-sticks (996). (Bron)

Het zijn cijfers waar je eigenlijk niet bij stilstaat en 3.500 klinkt natuurlijk als erg veel. Maar hoeveel mensen zouden er in dat jaar via die 7 grote luchthavens vliegen? Vele honderdduizenden, als het er niet meer zijn. Ja, dan valt 3.500 natuurlijk wel weer mee.

Het is natuurlijk wel zaak om deze laptops (en andere mobiele apparaten) voldoende te beveiligen. Dat we apparatuur kwijt raken is nog tot daaraan toe maar we zullen toch eerder wakker liggen van de gegevens op die apparatuur.

Een beetje laptop kost een paar honderd euro en die schrijven we binnen een paar jaar af. Maar de informatie op de harde schijven heeft waarschijnlijk een veel hogere waarde. Het is dan ook te hopen dat als het om bedrijfslaptops gaat er in ieder geval een goede backup is gemaakt en het “device” van een wachtwoord en encryptie is voorzien.

Ik ben overigens benieuwd wat het Bring Your Own Device (BYOD) principe hier voor invloed op zal hebben. Zijn mensen voorzichtiger met hun eigen spullen dan met de spullen van de baas? Of zou het juist andersom zijn?

En als we dan nog even doordenken. Hoeveel van die 3.500 laptops zijn echt verloren? En hoeveel zijn er bewust achtergelaten? Hoe vaak hoor jij je collega’s niet afgeven op die oude laptop die ze hebben. Oud? Nou ja, hij gaat toch zeker al 2 jaar mee en al je collega’s hebben inmiddels een nieuwe. Tijd om de jouwe maar weer eens kwijt te raken zodat je een goed excuus hebt om een nieuwe aan te vragen.

Hiermee is het hebben van een laptop dus op een wat vreemde manier een beveiligingsrisico. Omdat een medewerker mogelijk de balen heeft van zijn oude laptop, “verliest” hij hem om een nieuwe te kunnen aanvragen. Daarmee lopen we niet alleen financiële schade (een paar honderd euro voor vervanging van die laptop) maar juist ook enorme risico’s dat onze informatie op straat komt. Zo zie je maar dat informatiebeveiliging veel meer bevat dan alleen een firewall of antivirus software. Dat is wat het vak ook zo mooi maakt. Creatief bezig zijn met het onderkennen van de risico’s.

Lekken informatie jaagt bedrijven op kosten

Gisteren hadden we het nog over IT-managers en andere medewerkers die bij reorganisaties informatie meenemen. Daar haalde ik al aan dat de echte schade daarvan onbekend is en nauwelijks in geld is uit te drukken. Maar aan de hand van onderstaand bericht kunnen we er toch enig gevoel bij krijgen.

Het lekken van bedrijfsgevoelige informatie kost bedrijven jaarlijks in totaal 115 miljoen euro. Bij circa 10.000 Nederlandse bedrijven zijn de afgelopen 5 jaar ongewenst gevoelige gegevens op straat komen te liggen. Het lekken van informatie gebeurde in 58 procent van de gevallen doordat medewerkers van een bedrijf overstapten naar een concurrent. Ook slordig gedrag 31 (procent) en diefstal (17 procent) worden als oorzaken genoemd (bron).

115 miljoen euro klinkt natuurlijk als een enorm bedrag, maar het is denk ik slechts het topje van de ijsberg. Dat topje dat boven het water uitsteekt en dat we kunnen zien. Maar net als bij een ijsberg zit het merendeel onder water. Daarvan weten we helemaal niet dat de informatie gelekt is.

Volgens de Vereniging voor Weerkunde en Klimatologie is slechts 10% van de ijsberg zichtbaar en zit dus 90% onder water. Als we die parallel trekken dan is die 115 miljoen euro dus slechts 10% van de totale schade.

Te weinig bedrijven monitoren hun informatie op een serieuze manier. Natuurlijk zijn er bedrijven die hun emailverkeer monitoren en natuurlijk zijn er bedrijven die nog steeds het gebruik van USB-sticks verbieden. Maar een integrale aanpak waarbij de daadwerkelijke data gemonitord wordt, kom je nog maar zelden tegen. En het is ook geen sinecure. We beschikken over Terabytes aan informatie en zorg er maar eens voor dat die gevolgd kan worden.

Dat lukt misschien nog bij informatie die in allerlei databases staat en daar kunnen we ook nog allerlei rechten opzetten. Maar hoe ga je om met al die Word, PowerPoint en Excel documenten die door de medewerkers zelf gemaakt worden. Als het goed is, is die informatie belangrijk voor de organisatie want waarom zou ze anders gemaakt worden? Toch zie je dat bij het vertrek van een medewerker zijn persoonlijke schijf na een paar weken geleegd wordt en de informatie dus verloren raakt.

Was die informatie dan niet belangrijk? Of weten we eigenlijk helemaal niet wat voor informatie onze medewerkers uit onze gegevens samenstellen? Blijkbaar niet en we missen die informatie ook eigenlijk niet als ze verloren gaat. Raar, toch? Als medewerker zet je je met hard en ziel in voor je organisatie en je zorgt voor allerlei informatie die jij voor je werk nodig hebt, maar bij ontslag is er niemand meer die er om maalt. En een overdracht vindt meestal ook al niet plaats.

Vertrekt er dus een medewerker (vrijwillig of niet) dan moet je je als organisatie afvragen over welke relevante informatie hij of zij beschikt en wat je daar dan nog mee wilt doen. Doe je dat niet dan zet je als organisatie misschien wel wat stappen terug in de tijd en kost die reorganisatie je straks meer dan dat hij je oplevert.

Mobieltjes zijn eenvoudig te hacken

Vrijwel elke mobiele telefoon kan eenvoudig worden gehackt. Dat meldt Elsevier op basis van een onderzoeksrapport. Twee beveiligingsdeskundigen hebben 31 aanbieders van mobiele telefoons in verschillende landen onderzocht. Met behulp van goedkope apparatuur en gratis software lukte het de deskundigen om in te breken in andere telefoons. Ze konden bij telefoonnummers, sms’jes en voicemailberichten. Ook konden de twee gesprekken afluisteren en andere telefoons gebruiken om te bellen. In korte tijd konden de beveiligingsdeskundigen honderdduizenden telefoons hacken (bron).

Helaas staat de link naar het rapport van Elsevier er niet bij (zelf even Googlen als je het inhoudelijke rapport wilt lezen en je mag mij uiteraard even een kopietje sturen).

Vorige week hadden we het er nog over dat de mobiele telefoons door de politiediensten gemakkelijk gekraakt konden worden. Toen al dachten we dat het niet al te lang zou duren voordat deze technieken ook voor anderen beschikbaar kwamen. Dat het zo snel zou zijn, had ikzelf ook niet verwacht.

Het lijkt erop dat de fabrikanten van mobiele telefoons nu toch echt meer en meer na moeten gaan denken over de beveiliging van die toestellen. Tegenwoordig zijn het geen simpele telefoons meer maar zijn het mobiele computers waarop informatie staat die je liever niet op straat terecht ziet komen.

Je kunt natuurlijk voorzichtig omgaan met je telefoon en er voor zorgen dat er geen bijzondere foto’s, sms-jes en Whatsapp-jes op staan. Daarmee zou je kunnen denken dat het allemaal wel mee zal vallen als ze jouw telefoon weten te kraken. Daar zit hem op zich ook niet het probleem. Maar ontvang jij ook niet al je emails op je telefoon? Staan ook niet al jouw contacten er in en houd jij je agenda niet bij via je telefoon? Persoonlijk zou ik meer moeite hebben met het openbaar worden van die informatie dan dat iemand van mijn telefoon een foto weet te bemachtigen (geloof me, zo bijzonder zijn ze nu ook weer niet).

Enerzijds moeten we dus als gebruikers ons bewust worden van de risico’s van de informatie op onze smartphone. Anderzijds is het de taak van de fabrikanten om er voor te zorgen dat een telefoon toch over een minimaal beveiligingsniveau beschikt. Nog genoeg werk te doen en ons vakgebied wordt ermee nog verder uitgebreid.

Google gaat privegegevens combineren

Google gaat het eigen privacybeleid aanpassen, zodat het gegevens van ingelogde gebruikers kan combineren. Het zal voor gebruikers niet mogelijk worden om zich voor de optie uit te schrijven…”De grootste verandering is voor gebruikers met een Google-account. Ons nieuw privacybeleid maakt duidelijk dat als je bent ingelogd, we informatie die je voor de ene dienst gebruikt, met informatie van andere diensten mogen combineren”, zegt privacydirecteur Alma Whitten. “Het komt erop neer dat we je als één gebruiker bij al onze producten beschouwen.”(bron)

We hebben het al zo vaak aangehaald. Op zich is het niet zo’n ramp als er allerlei gegevens van je worden verzameld (ja, het klinkt gek, maar ik zal het je zo uitleggen). Het wordt pas eng als de gegevens gecombineerd gaan worden. En daar gaat Google nu van alles aan doen. Eigenlijk weten we helemaal niet wat Google allemaal van ons weet, maar vanaf 1 maart zouden we wel eens voor verrassingen kunnen komen te staan.

Ok, eerst maar even terug op die afzonderlijke gegevens. Is het erg als je weet dat een wachtwoord “Welkom01” is? Op zich niet, want als je niet weer voor welk systeem en welke inlognaam erbij hoort, kom je niet zover. Is het erg dat ze weten dat je op de 15de van een maand geboren bent? Nou, niet echt als de maand onbekend is. Is het erg als men de vervaldatum van je creditcard weet? Nee, niet als ze het nummer en de veiligheidscode niet kennen. Daarom zijn afzonderlijke gegevens dus niet zo interessant, nee het wordt pas wat als we die gegevens om kunnen zetten in informatie.

Natuurlijk zijn we al jaren gewaarschuwd door allerlei instanties en mensen over Google. Maar ja, je kunt er bijna niet meer omheen. Wie gebruikt Google niet om te zoeken? Wie heeft er geen Gmail-account en wie heeft er geen foto’s op Picasa? En dit is pas het topje van hun ijsberg.

Een gewaarschuwd mens telt voor twee, maar zijn we niet al te laat? Hebben we niet al teveel gegevens afgestaan aan Google? En hoe integer zijn ze dan straks met die gegevens? Het antwoord daarop weten we nu nog niet, maar we worden met zijn allen wel stevig in een houdgreep genomen. Grote kans dat we niet meer uit die houdgreep komen omdat we inmiddels al zo aan de diensten gewend zijn geraakt.

Knap van Google, dat moet je ze nageven. Eerst geef je alles gratis weg (de gratis economie is nu eenmaal booming). Maar ja daarna moet er wel op een andere manier geld worden verdient en dat gaat dus gebeuren door combinatie van gegevens waardoor we meer en meer over het individu te weten komen en we meer en meer persoonlijke advertenties jouw kant op kunnen sturen. Wat ze er nog meer mee zullen doen blijft gissen.

Benieuwd of de massa de wijziging in het beleid van Google oppikt of dat we gewoon op “ok” klikken en weer vrolijk doorgaan. Ik vrees voor het laatste, maar hoop dat het tegendeel bewezen zal worden.

Beveiliging SharePoint veelal omzeild

Uit onderzoek blijkt dat bijna de helft van SharePoint-gebruikers gevoelige of vertrouwelijke documenten kopieert naar niet beveiligde hard-drives, usb-sticks, of deze zelfs naar een externe mailt. (bron)

Nu kunnen we natuurlijk hele discussies voeren over Sharepoint en hoe veilig we Sharepoint wel of juist niet kunnen maken. Dan komen we al snel op vragen als: wie mag vanuit welke rol bij welke informatie en op welk moment dan? Hoe gaan we ons autorisatiemanagement inrichten en hoe vaak gaan we de rechten van gebruikers controleren.

Allemaal hartstikke belangrijke vragen waarop we nog belangrijkere antwoorden zullen moeten vinden. Maar daarmee zijn we er nog niet. Nee, hier blijkt maar weer eens uit dat we echt niet kunnen zonder een integrale aanpak op basis van risicomanagement.

We moeten dus uitgaan van die risico’s. En natuurlijk kunnen we dan technische risico’s voor Sharepoint benoemen. De kans en de impact van een ongeautoriseerde toegang tot het systeem. Uiteraard moeten we daar maatregelen tegen nemen. Maar hoe zit het nu met die geautoriseerde toegang?

Hoe voorkomen we nu dat medewerkers die geautoriseerd zijn er met onze gegevens vandoor gaan (bewust of onbewust). Het risico is dus naast ongeautoriseerde toegang juist ook de risico’s die je loopt met de informatie. Daar gaat het om. Dus wat is de kans en de impact als onze informatie bijvoorbeeld verloren gaat omdat die bij iemand lokaal op zijn laptop staat?

Maar ook hier kunnen we nog niet stoppen. Die informatie is ondersteunend aan onze bedrijfsprocessen. Daar verdienen we immers ons geld mee. We moeten dus kijken welke informatie van belang is voor de bedrijfsprocessen. We moeten nagaan wat de kans en impact voor het stil vallen van die processen is als gevolg van het verloren gaan van informatie.

Als die informatie echt zo belangrijk is voor de ondersteuning van onze bedrijfsprocessen dan moeten we er dus voor zorgen dat die informatie niet zomaar verloren kan gaan. En als we vervolgens besluiten om die informatie via Sharepoint te delen dan moeten we ook nagaan hoe we ongeautoriseerde toegang gaan voorkomen.

Van een bottom-up benadering naar een top-down benadering dus en in dit geval gebruikten we Sharepoint even als voorbeeld, maar er is meer dan Sharepoint, er is meer dan informatie, er is meer dan bedrijfsprocessen. We komen toch weer terug op de continuïteit van onze organisatie. En alles dat bijdraagt aan die continuïteit moeten we serieus nemen.

ICT-beslisser is weinig bezorgd om beveiliging (van privé apparaten)

Gingen we gisteren nog in op de tips om USB-sticks beter te beveiligen. Dan gaan we vandaag in op het feit dat ICT-beslissers in Nederland helemaal niet zo wakker liggen van de risico’s van privé apparaten.

ICT-beslissers in Nederland maken zich het minst zorgen om de beveiliging van privé-apparaten. In Nederland is 18 procent van hen totaal niet bezorgd over het toelaten van bedrijfsinformatie op persoonlijke apparaten van medewerkers, terwijl dit percentage wereldwijd gemiddeld 11 procent is. Dat blijkt uit onderzoek door Vanson Bourne onder 1100 ict-managers in elf landen (bron).

Het blijft opmerkelijk. Informatie is het nieuwe goud, informatie vertegenwoordigt een grote waarde voor veel organisaties. Toch maken we ons er geen zorgen om. Wat ons betreft mag iedereen die informatie lekker op een privé apparaatje zetten en er mee doen wat ze willen. Dat is natuurlijk niet zo, want als je deze ICT-beslissers letterlijk zou vragen of ze het acceptabel vinden dat vertrouwelijke informatie gestolen wordt, dan mag ik toch hopen dat het antwoord “nee” is.

Jammer genoeg weten we niet wie er naar de antwoorden gevraagd is en welke rol deze zogenaamde ICT-beslissers in de organisatie vervullen. De vraagstelling en context zijn ons evenmin duidelijk. Ik kan me zomaar voorstellen dat de ICT-beslissers (wat een raar woord overigens, maar goed we blijven hem vandaag gewoon gebruiken) wel andere zorgen aan de kop hebben.

Zeer waarschijnlijk staat er een enorme druk op hun budget, we moeten het immers allemaal met minder geld doen op dit moment. In dat geval kan ik me heel goed voorstellen dat men het toejuicht dat personeel privé apparatuur mee neemt naar het werk. Hier komt natuurlijk ook het Bring Your Own-principe om de hoek kijken.

Nederlandse ict-beslissers verwachten dat over twee jaar zes op de tien medewerkers een privé-apparaat gebruikt om te werken en dat is meer dan in andere landen. 

Het scheelt natuurlijk een flinke slok op een borrel als je als organisatie voor 4 in plaats van 10 medewerkers een werkplek aan hoeft te schaffen. Hoe groot die slok is? Nou, zo’n 60% dus alleen al aan aanschaf van hardware. Stel dat je 100 man personeel hebt lopen en de vervanging van de hardware er aan zit te komen. Een beetje werkplek kost je toch al snel zo’n € 2.500 (ja ja, ook ik vraag me af waarom die prijs zo hoog is een laptopje heb je ook al voor € 300 maar de beheerkosten zijn hierin ook verwerkt). € 2.500 x 100 = € 250.000 terwijl € 2.500 x 40 maar € 100.000 is.

In de ogen van de ICT-beslisser kan er natuurlijk nog veel meer bezuinigd worden want ook ondersteuning van de medewerkers kan flink teruggeschroefd worden. Die medewerker geven we per 5 jaar € 500 en de rest zoeken ze maar lekker zelf uit, toch?

Zolang er nog te weinig incidenten zijn of bekend worden, zal deze trend zich zeer waarschijnlijk door blijven zetten. Beveiliging kost in de ogen van de ICT-beslissers alleen maar geld en levert niets op. Het Bring Your Own-principe zorgt voor flinke besparingen en die zijn veel makkelijker aan het management uit te leggen dan de bijbehorende risico’s. Als ICT-beslisser gooi je dus hoge ogen en de Security manager lost het probleem van de beveiliging maar lekker op.

Dat de Security manager vervolgens om een flink hoger budget vraagt, komt als een complete verrassing voor dat management en dat budget zal dan ook niet toegezegd worden…ook hij moet maar eens bezuinigen, toch? Ja, integrale beveiliging, ik heb er al zoveel over geschreven, maar hiermee wordt maar weer eens duidelijk dat we aan moeten tonen dat beveiliging geen technisch maar een bedrijfskundig vraagstuk is…gericht op de continuïteit van de organisatie. Werk aan de winkel dus.

Acht tips voor het beveiligen van USB-apparaten

Een aantal jaar geleden was er veel te doen over USB-sticks en speelden veel organisaties met het idee om alle USB-poorten maar dicht te zetten. Hiermee zouden de risico’s wel voorkomen worden. Op zich niet zo gekke gedachte, gezien de tijd (maar wij hadden uiteraard al ingeschat dat deze maatregel niet ging werken). Dat was nog in de tijd dat je voor een floppy naar de afdelingssecretaresse moest lopen en meer dan 1 floppy per week mocht je niet aanvragen.

Nu, zoveel jaren later, heeft iedereen 1 of meerdere USB-sticks en op deze USB-sticks kun je meer informatie opslaan dan je vroeger op je harde schijf kon. Nu de ontwikkeling in processor snelheid een beetje stil lijkt te staan is de ontwikkeling om meer geheugen beschikbaar te stellen voor minder geld volop gaande.

Had je vroeger een USB-stick met 128mb dan was je al een hele man. Nu wordt je scheef aangekeken als jouw stick minder dan 16gb heeft. Kun je nagaan hoeveel informatie je op kunt slaan op een dergelijke schijf? Toch lijkt het dat de aandacht voor de risico’s van USB-sticks wat aan het verslappen is, blijkbaar vinden we het al zo normaal dat we over de risico’s heen kijken.

Kingston Digital Europe Ltd geeft daarom een overzicht van de beste manieren om bedrijfsinformatie op USB Flash apparaten te beveiligen en licht meteen ook toe welke risico’s verbonden zijn aan een tekort aan veiligheidsmaatregelen. Oostlander: “Informatie op USB-apparaten moet beveiligd worden en het beleid moet er voor zorgen dat bedrijfsinformatie alleen toegankelijk is voor geautoriseerde partijen. Wanneer een bedrijf hierin tekortschiet, kan dit vervelende gevolgen hebben. Denk maar aan regels die niet nageleefd worden door het eigen personeel, boetes, financiële kosten en vertrouwensverlies bij de klant.” (bron)

Nu moeten we er natuurlijk altijd voor waken dat “WC-Eend, WC-Eend niet adviseert” of “de slager zijn eigen vlees keurt”, maar tips zijn op zich natuurlijk altijd bruikbaar als we ze maar vertalen naar onze eigen praktijk. En of jij dan je USB-sticks koopt van Kingston of een andere leverancier, laat ik lekker aan jou over.

Kingstons aanbevelingen voor bedrijven om hun geheugenproducten op een veilige manier te gebruiken, zijn:

  1. Maak een gecodeerd USB-plan: beschermen en navolgen
  2. Zoek naar de meest geschikte USB Flash drive voor uw organisatie
  3. Training en educatie
  4. Ontwikkel een beleid en voer dit uit
  5. Zorg voor goedgekeurde bedrijfs-USB’s
  6. Zorg voor geautoriseerde USB’s en blokkeer andere apparaten
  7. Codeer vertrouwelijke informatie
  8. Zorg voor een gecertificeerde antivirus, altijd en overal

Voor de bijbehorende risico’s zoals die door Kingston worden omschreven verwijs ik je naar de originele tekst, die te vinden is op Managersonline.nl. En hoewel ik je geen USB-sticks ga verkopen, kan ik je natuurlijk wel helpen om invulling te geven aan deze 8 tips…maar goed dat wist je al en als je vragen hebt, weet je me te vinden.

Britse leger verliest 287 computers en de rest…

Hadden we het gisteren al over een onderzoek waaruit de schrikbarende cijfers naar voren kwamen over USB-sticks en het verlies daarvan in Engeland? Dan kunnen we daar vandaag mooi bij aansluiten met het volgende bericht.

Het Britse ministerie van Defensie is de afgelopen achttien maanden 287 computers kwijtgeraakt. Het ging om 188 laptops en 99 desktops. Ook verdwenen 72 harde schijven en 73 USB-sticks. Toch valt de schade volgens de defensiesecretaris mee, aangezien de apparaten versleuteld waren of over andere beveiligingsmaatregelen beschikten.

Naast de computers raakte het ministerie ook 150 back-up tapes, achttien mobiele telefoons, tien BlackBerry’s en 194 cd’s en dvd’s kwijt. Volgens secretaris Andrew Robathan werken er meer dan 250.000 mensen voor het ministerie en is het daardoor onvermijdelijke dat materiaal verloren raakt (bron).

Met 250.000 medewerkers is het inderdaad onvermijdelijk dat er materiaal verloren raakt. De vraag is alleen welke aantallen nog acceptabel zijn en welke maatregelen je genomen hebt om de informatie op die apparatuur te beschermen. Zo te lezen hebben ze daar over nagedacht en zijn het slechts de lege hulzen die verloren zijn. De informatie er op (die vele malen meer waarde vertegenwoordigd dan de apparatuur zelf) is blijkbaar niet te lezen.

Toch zit hem daar natuurlijk ook een groot risico. De informatie is nu misschien niet te ontcijferen en wellicht kan Jan met de korte achternaam dat in de toekomst ook niet. Maar hoe zit het met de serieuzere partijen? Hoe zit het met buitenlandse overheden die over veel meer mogelijkheden beschikken? Kunnen die de informatie ook niet uitlezen? En weten we dat echt zeker?

Wie zegt me dat die informatie niet toch ontcijfert kan worden en wie zegt me dat de informatie niet in vreemde handen terecht is gekomen? Lijkt misschien ver gezocht (en hopelijk zit ik er ook volkomen naast), maar bekijk het eens op kleinere schaal.

Hoe weet je nu bijvoorbeeld zeker dat je thuis pc echt veilig is? Eerlijk is eerlijk, dat weet je eigenlijk niet. Je hoopt het en zolang het apparaat geen vreemde kuren vertoond ga je er dan ook maar vanuit. Maar hoe komen er dan zo vaak foto’s op straat die men toch liever privé had gehouden? De kans is niet zo groot dat jij een specifiek target bent maar als je voordeur open staat dan zou je zomaar slachtoffer kunnen zijn (zonder dat je het weet).

Dat zelfde geldt voor de netwerken van bedrijven (groot en klein) en we kunnen wel allerlei vulnerability scans uitvoeren, maar ook dat geeft geen 100% garantie. Kortom: ik hoop voor de heer Robathan dat hij gelijk heeft en in de toekomst ook gelijk blijft houden. Zeker weten zullen we het nooit, dus laten we er ons verder ook maar niet onnodig druk om maken.

Driekwart werknemers gebruikt illegale USB-sticks

Bijna driekwart van de Britse werknemers gebruikt “illegale” USB-sticks op de werkvloer en ook encryptie wordt nauwelijks toegepast. De illegale USB-sticks zijn sticks die niet door de werkgever zijn geautoriseerd. Ze kunnen van thuis of conferenties zijn meegenomen. Verder bleek dat bij 72% van de Britse bedrijven werknemers USB-sticks met vertrouwelijke gegevens waren verloren (bron).

Het betreft natuurlijk geen “illegale” USB-sticks in de zin van het woord, maar het betreft USB-sticks die door de werkgever niet zijn uitgegeven en dus niet onder controle staan. Dat het er veel waren, is bijna algemeen bekend, maar dat het er zoveel zijn geeft toch te denken.

Met het “bring your own” principe zullen de cijfers alleen nog maar toenemen. Bijkomend issue hier is dat:“Als je een laptop verliest kun je niet meer werken, als je een USB-stick verliest komt niemand dit te weten”. Dat is met diefstal van informatie in heel veel gevallen het feit.

Eigenlijk kun je in veel gevallen trouwens niet eens spreken over diefstal maar komt het eerder neer op het illegaal kopiëren van de data. De data hoeft daarna immers niet weg te zijn maar kan nog steeds op de server staan. Stelen we een laptop dan is dat inderdaad al vrij snel duidelijk, we kunnen niet meer werken en zullen aan onze manager uit moeten leggen dat we bestolen zijn. Bij USB-sticks is dit inderdaad niet het geval. Verliezen we onze eigen USB-stick dan hebben we er vast thuis nog wel een in de kast liggen. Jammer van die informatie, maar die slaan we wel weer opnieuw op.

We vergeten dan nog wel eens dat de informatie in verkeerde handen is gekomen en dat informatie een veel hogere waarde kan hebben dan die ene laptop. De medewerker zelf heeft er dan misschien geen last van, maar als bedrijf kunnen we enorm in verlegenheid gebracht worden. Brengt iemand de USB-stick naar de krant, dan kost het ons imago. Brengt hij hem echter naar de concurrent, dan kan ons dat ook nog eens een berg geld kosten (om over claims, verlies van klanten enzo nog maar te zwijgen).

Met deze cijfers is het tijd om binnen je eigen organisatie nog eens goed je ogen open te houden. Is jouw organisatie representatief en vindt het daar ook op grote schaal plaats? Dan wordt het tijd om maatregelen te nemen.

Natuurlijk kunnen we de USB-poorten dichtzetten, maar dat is wat kort door de bocht. Misschien moeten we ervoor zorgen dat iedere medewerker makkelijker (en goedkoper) aan een veilige USB-stick kan komen. Misschien moeten we er wat extra tijd aan besteden tijdens onze bewustwordingscampagnes, misschien moeten we wat vaker controles aan de poort houden.

Kortom: er is best iets aan te doen, maar uiteindelijk zit de grootste winst hem in de medewerkers bewust maken van de gevaren. De gevaren voor zichzelf (in het uiterste geval ontslag) en gevaren voor de organisatie (in het uiterste geval faillissement en dus ontslag voor iedereen…wil jij dat op je geweten hebben?).

Geheimhoudingsverklaring

Inmiddels hebben we de mensen allemaal verteld wat ze moeten doen, we hebben gedragscodes en sanctiebeleid waar ook nog eens voor getekend is. Als we ze dan toch allerlei formulieren laten ondertekenen dan kan de geheimhoudingsverklaring daar ook nog wel bij.

De vraag is daarom:
Wordt door iedere medewerker een geheimhoudingsverklaring ondertekend?

Het lijkt misschien een pure formaliteit en helaas is dat in de praktijk ook veelal het geval. Dat heeft niets te maken met de geheimhoudingsverklaring maar veel meer met het feit dat er nauwelijks gecontroleerd wordt welke informatie er zoal onze organisatie verlaat.

De geheimhoudingsverklaring is er op gericht om stappen te kunnen ondernemen als een werknemer tijdens het dienstverband uit de school klapt. Het merendeel van de medewerkers is zich daar, hopelijk, van bewust en past wel op met wat hij zoal de wereld in slingert. Maar hoe zit het met de informatie nadat de werknemer ontslag heeft genomen of gekregen?

Dan wordt het al een lastiger verhaal en misschien moeten we het ook nuanceren. Natuurlijk willen we niet hebben dat onze vertrouwelijke informatie bij de krant of concurrent terecht komt. We willen niet met onze eigen fouten geconfronteerd worden. Maar hoe zit het nu met die kennis die de werknemer heeft opgedaan?

Dan doel ik niet zozeer op de vertrouwelijke bedrijfsgegevens maar meer op algemene kennis. Hij heeft hopelijk een berg geleerd de afgelopen jaren en hij heeft zich goed ingezet voor de organisatie. Met zijn overstap naar een nieuwe carrière bij een ander bedrijf is hij die kennis niet ineens vergeten. Nemen wij zelf nieuwe medewerkers niet aan op basis van een bepaald denk- en werkniveau? Hoe is dat niveau behaald? Waarschijnlijk door een combinatie van opleiding en werkervaring.

Goed, wat in het hoofd zit van die medewerker wordt dus hergebruikt. En, ach, zolang het onze vertrouwelijke gegevens niet zijn, zullen we daarmee moeten leren leven. Maar hoeveel informatie is in digitale of geprinte vorm meegegaan met die medewerker? En wat vinden we daar dan van?

Stel dat iemand procesmanager is geweest. Zeer waarschijnlijk kan hij de opgedane proceskennis hergebruiken in zijn nieuwe werkomgeving. De procesflows waar hij jaren mee gewerkt heeft hergebruikt hij en herschrijft hij naar de nieuwe omgeving. Vinden we dat erg of accepteren we dat ook? Daar is geen eenduidig antwoord op maar is wel een aspect waar we eens over na moeten denken.

Te vaak zien we dat informatie voor het grijpen ligt. Op intranet staat hele boeiende informatie, op de servers nog meer en dan hebben we het nog niet over de sharepoint omgevingen gehad. Controleren we wel eens wat er met die informatie gebeurt? Weten we wie daarover kan beschikken en wat er mee gebeurt? Weten we hoeveel kopietjes er op USB-sticks worden opgeslagen of via webmail onze organisatie verlaat?

Natuurlijk doen we iets aan autorisatiebeheer, niet iedereen kan dus bij alle informatie. Allemaal leuk en aardig en hartstikke noodzakelijk. Maar deze medewerker is gewoon geautoriseerd, hij moet er immers mee werken. Maar als hij niet meer voor ons wil werken, moeten we dan de controle niet wat opschroeven?

Het hangt natuurlijk allemaal van de cultuur van het bedrijf af. We zijn in Nederland nogal gematigd en als iemand ontslag krijgt of neemt dan mag hij gedurende zijn opzegtermijn nog gewoon alles doen. Een risico, dat zeker. En dat risico wordt alleen maar groter als we weer een aantal befaamde reorganisaties aankondigen. Mensen worden onzeker en gaan vast hamsteren.

Vinden we dat niet erg en accepteren we dat dan is het goed om ons dat te realiseren. Accepteren we dat zeker niet dan zullen we na moeten gaan denken over de wijze waarop we de informatie beter willen monitoren. Een hele opgave, dat zeker, maar goed om niet te lang te wachten…want een volgende reorganisatie kan er zomaar aan komen.