Opslag van attractieve zaken

We hebben gekeken naar het plaatsen en verplaatsen van apparatuur en daarmee kwamen we al automatisch bij de voorschriften voor kritische bedrijfsprocessen waarmee we ook al de bedrijfsmiddelen aan haalden. Daarbij kunnen we onderscheid maken in de dagelijkse bedrijfsmiddelen maar natuurlijk ook de meer attractieve zaken.

De vraag:
Is er een voorschrift waarin is vastgelegd hoe en waar attractieve (kostbare) zaken dienen te worden opgeborgen en hoe medewerkers met dergelijke goederen om dienen te gaan?

Voor meer attractieve zaken zullen we ook de voorschriften op orde moeten hebben, iemand moet verantwoordelijk zijn voor het beheer er van en we willen dat de administratie altijd op orde is. We stellen waarschijnlijk een proces op waarbij we ook de standaard formulieren toevoegen. Daarnaast kijken we dan weer goed naar functiescheiding en naar degene die tekenbevoegd zijn.

Daarmee zijn we al een heel eind. Periodiek kunnen we natuurlijk nog controleren of de aanwezige attractieve goederen ook echt overeen komen met de bijbehorende administratie. We zorgen er daarnaast voor dat degene die de goederen beheert ook de richtlijnen kent. Wie mag er tekenen voor welk bedrag, welke medewerker mag welke goederen op komen halen en ga zo maar door.

Mag iedereen bijvoorbeeld een BlackBerry hebben of is dat voorbehouden aan bepaalde management lagen? En hoe gaan we er mee om als een lagere manager probeert op zijn strepen te staan (omdat hij nu eenmaal belangrijk gevonden wil worden)? Degene die de voorraden beheert moet natuurlijk wel gesteund worden, hij moet de medewerkers op de richtlijnen kunnen wijzen en iedereen zal zich aan de processen en formulieren moeten houden.

We belanden al snel bij de bekende tone-at-the-top. Te vaak zien we nog dat alle medewerkers zich netjes aan de procedures moeten houden maar dat hoe hoger de manager, hoe minder de regels lijken te gelden. Diefstal door een medewerker zullen we hard bestraffen en we trekken een duidelijke lijn zodat een andere medewerker zich wel 3x zal bedenken om ook iets te stelen.

Maar ja, als die (hooggeplaatste) manager de regels overtreedt dan gelden er ineens andere wetten en regels. Dan willen we nog wel eens een stuk milder zijn, omdat hij nu eenmaal belangrijk is voor de organisatie. Hij haalt zoveel omzet binnen, we kunnen en willen hem echt niet kwijt.

Toch sluipt hier een gevaar in. Als je niet op past beïnvloed dat de cultuur binnen de organisatie op een negatieve wijze. Het gat tussen de “werkvloer” en de managementlagen wordt vergroot en voor je het weet staan de medewerkers met spandoeken voor de poort om te demonstreren.

Zo zie je maar waar de opslag van attractieve zaken zoal toe kan leiden. Ik geloof natuurlijk best dat we waardevolle zaken veilig achter slot en grendel opslaan. Of de processen en formulieren er ook bij aansluiten is alweer een andere vraag. Trekken we het nog breder dan kan het zelfs de cultuur binnen de organisatie negatief beïnvloeden. Dat geeft maar weer aan dat beveiliging toch ook maar gewoon een bedrijfskundig aspect is.

Middelen voor het behandelen, opslaan, versturen en vernietigen van informatie

We blijven aan de slag met informatie en maken vandaag onderscheid in het behandelen, opslaan, versturen en vernietigen van informatie. Dit is, op hoofdlijnen, de levenscyclus van informatie…maar uiteraard pas nadat de we informatie hebben gecreëerd. Bij al deze stappen moeten we de beveiliging van die informatie in het achterhoofd houden.

De vraag van vandaag is daarom:
Zijn er middelen beschikbaar om informatie en vertrouwelijke informatie conform de gestelde eisen te behandelen, op te slaan, te versturen en te vernietigen?

Nadat we de informatie gemaakt hebben moeten we er iets mee doen. Die informatie heeft immers een doel omdat het anders gewoon gegevens waren gebleven. Overigens moeten we aan gegevens natuurlijk ook beveiligingseisen stellen omdat anders onbevoegden daar informatie van maken die ons lelijk kan verrassen.

Maar goed, we hebben het dus over het behandelen, opslaan, versturen en vernietigen van de informatie. Bij deze stappen zijn bijvoorbeeld de voorschriften van belang zodat de mensen ook daadwerkelijk weten wat er van hen verwacht wordt. Maar op deze voorschriften zijn we eerder al ingegaan, dus we gaan er vanuit dat deze inmiddels ook zijn opgesteld. Zo niet, dan is dat de eerste stap.

We hebben nu voorgeschreven hoe men met de informatie om dient te gaan. Daarvoor moeten we ze dan wel de middelen ter beschikking stellen. Anders staat het leuk op papier maar kunnen de medewerkers er niet zoveel mee.

Schrijven we dus voor dat de gegevens veilig opgeslagen moeten worden dan moeten we nadenken hoe we dat zo makkelijk mogelijk maken voor de medewerkers. Wordt het een centrale sharepoint omgeving waarop automatisch encryptie wordt toegepast of mag het ook op de laptops van afzonderlijke medewerkers worden opgeslagen? En hoe zorgen we er dan voor dat de informatie goed beveiligd is? Hoe zorgen we dan dat we back-ups maken van die informatie? Hoe zorgen we voor autorisatiebeheer?

Hier komt uiteraard ook weer de classificatie (of rubricering) van de informatie om te hoek kijken. Daarnaast moeten we goed nadenken over welke medewerker in welke rol bij welke informatie moet kunnen. Niet iedereen hoeft immers bij de informatie en niet iedere medewerker heeft dezelfde rollen te vervullen binnen de organisatie. Ja, we zullen er toch aan moeten geloven om ons te verdiepen in Role Based Access Control en dat is makkelijker gezegd dan gedaan. Hiervoor zullen we eerst inzicht moeten hebben in onze medewerkers (op ieder moment, dus ook de nieuwe medewerkers en de medewerkers die net uit dienst zijn getreden). Daarna moeten we bekijken welke rollen zij vervullen en welke informatie ze daarbij nodig hebben.

Voor een kleine of middelgrote organisatie nog wel te doen, maar als de organisatie groter wordt, worden de aantallen ook groter en moeilijker up-to-date te houden.

Speciale aandacht moeten we besteden aan het versturen en vernietigen van de informatie. Mogen we geheime gegevens bijvoorbeeld via de mail versturen? En passen we daar dan encryptie op toe? Of mag deze informatie alleen maar persoonlijk overhandigd worden? En hoe praktisch is dat dan? We moeten afwegen wat praktisch is voor de medewerker en veilig voor de organisatie. Daarbij maken we keuzes die we ondersteunen met middelen om het voor de medewerkers mogelijk te maken.

Het vernietigen van informatie is de laatste stap in de levenscyclus van de informatie. Na verloop van tijd is de informatie niet meer actueel en niet meer nodig. Buiten wat gegevens die we wettelijk 5 of 7 jaar moeten bewaren, kunnen we andere stukken informatie met een gerust hart vernietigen. Vertrouwelijke informatie gooien we natuurlijk niet zomaar bij het oud papier. Het risico op “dumpster diving” is te groot. En wie denkt dat dat in Nederland niet gebeurt, moet ik teleurstellen…het is een groter risico dan je denkt. Informatie op papier halen we natuurlijk door een shredder en digitale informatie wissen we ook met veilige middelen (bijvoorbeeld door ze verschillende malen te overschrijven). Alleen “deleten” volstaat niet en het is zelfs mogelijk om informatie te halen van schijven die we verbrand hebben, hoewel we natuurlijk ook weer niet door moeten schieten.

De levenscyclus van informatie…interessante stappen waarbij we na moeten denken over hoe we daar mee omgaan. Niet door zoveel mogelijk te verbieden (op papier) of door zoveel mogelijk beperkende maatregelen in te voeren. Nee, door te kijken wat praktisch is voor de medewerkers en veilig voor de organisatie. Het optimum hierin vinden is makkelijker gezegd dan gedaan en er lijkt een hefboomwerking in te zitten: hoe praktischer voor de medewerker hoe onveiliger…hoe veiliger voor de informatie hoe onpraktischer voor de medewerkers. Feit is wel dat als we allerlei beperkende maatregelen nemen de medewerker zo creatief wordt om er omheen te werken…en dat is nu juist wat we willen voorkomen.

Het veilig opslaan van reservekopieen

Nou, nog een keer over de reservekopieen dan voordat we dat verder met rust zullen laten. We hebben de eisen gesteld voor de beschikbaarheid, exclusiviteit en integriteit. We hebben keuzes gemaakt en we hebben getest of de gegevens ook echt benaderbaar zijn. Vandaag stellen we ons de vraag:

Worden de reservekopieen veilig opgeslagen (eventuele externe locatie)?

Waar slaan we de reservekopieen eigenlijk op? Doen we dat op tapes in ons eigen pand of kiezen we ervoor de tapes naar een ander pand te brengen? Hebben we zelf geen tapes en laten we de back-ups via internet overbrengen naar een extern datacenter en wie kunnen er dan eigenlijk allemaal bij? Oh ja, ik weet het, er zijn andere manieren dan tapes, maar het spreekt wel lekker tot de verbeelding, toch?

Laten we eerst ingaan op het opslaan van de reservekopieën in ons eigen pand. Dat is een optie, maar wat als ons hele pand afbrand? Hebben we dan nog ergens de gegevens beschikbaar? Hoe veilig is ons pand eigenlijk en welke incidenten vinden daar zoal plaats? Staat de back-up server op de kapstok bij de ingang (geloof me, ik heb het gezien) of kiezen we voor een veilig serverhok dat netjes op slot kan en waar de airco ervoor zorgt dat het niet al te warm wordt? Wie hebben er dan allemaal toegang tot de serverruimte en hebben zij allemaal die toegangsrechten wel nodig? Ook hier weer een groot aantal vragen die we onszelf kunnen stellen. Misschien kies je voor de, ogenschijnlijk, veiligere optie en host je de back-ups extern.

Maar ook in dat geval komen er een aantal vragen om de hoek kijken. Hebben we de juiste Service Level Agreements opgesteld en houdt de leverancier zich daaraan? Hoe betrouwbaar is die leverancier eigenlijk en wie is eigenaar van de servers en data? Staat de informatie in Nederland of ergens in het buitenland? Welke medewerkers bij de leverancier kunnen eigenlijk bij onze data? Er wordt nog wel eens gewerkt met een algemeen “Admin-account”, maar is nu nog te traceren welke medewerker er op welk moment dat account gebruikt heeft? Zo zie je maar, ook hier een aantal (en nog vele malen meer) vragen waar we toch even bij stil moeten staan.

Het doel blijft zo snel mogelijk weer over de data kunnen beschikken op het moment dat dat nodig is. Afhankelijk van de aard van de organisatie kunnen we ervoor kiezen onze data veilig op te slaan in ons eigen pand, op een andere locatie of extern onder te brengen bij een specialist. Hebben we te maken met echt spannende data die voor het voortbestaan van onze organisatie cruciaal is, dan kan het ook zomaar zijn dat we voor een combinatie kiezen.

Alles voor het voortbestaan van onze organisatie, toch? Ja, maar ook in dit geval moeten de kosten tegen de baten opwegen en met logisch nadenken komen we al een heel eind. Testen we vervolgens of het geplande ook nog werkt dan bieden we toch een bepaalde mate van zekerheid. Vinden we dat nog niet genoeg? Dan zullen we aanvullende maatregelen moeten nemen.