Acht tips voor het beveiligen van USB-apparaten

Een aantal jaar geleden was er veel te doen over USB-sticks en speelden veel organisaties met het idee om alle USB-poorten maar dicht te zetten. Hiermee zouden de risico’s wel voorkomen worden. Op zich niet zo gekke gedachte, gezien de tijd (maar wij hadden uiteraard al ingeschat dat deze maatregel niet ging werken). Dat was nog in de tijd dat je voor een floppy naar de afdelingssecretaresse moest lopen en meer dan 1 floppy per week mocht je niet aanvragen.

Nu, zoveel jaren later, heeft iedereen 1 of meerdere USB-sticks en op deze USB-sticks kun je meer informatie opslaan dan je vroeger op je harde schijf kon. Nu de ontwikkeling in processor snelheid een beetje stil lijkt te staan is de ontwikkeling om meer geheugen beschikbaar te stellen voor minder geld volop gaande.

Had je vroeger een USB-stick met 128mb dan was je al een hele man. Nu wordt je scheef aangekeken als jouw stick minder dan 16gb heeft. Kun je nagaan hoeveel informatie je op kunt slaan op een dergelijke schijf? Toch lijkt het dat de aandacht voor de risico’s van USB-sticks wat aan het verslappen is, blijkbaar vinden we het al zo normaal dat we over de risico’s heen kijken.

Kingston Digital Europe Ltd geeft daarom een overzicht van de beste manieren om bedrijfsinformatie op USB Flash apparaten te beveiligen en licht meteen ook toe welke risico’s verbonden zijn aan een tekort aan veiligheidsmaatregelen. Oostlander: “Informatie op USB-apparaten moet beveiligd worden en het beleid moet er voor zorgen dat bedrijfsinformatie alleen toegankelijk is voor geautoriseerde partijen. Wanneer een bedrijf hierin tekortschiet, kan dit vervelende gevolgen hebben. Denk maar aan regels die niet nageleefd worden door het eigen personeel, boetes, financiële kosten en vertrouwensverlies bij de klant.” (bron)

Nu moeten we er natuurlijk altijd voor waken dat “WC-Eend, WC-Eend niet adviseert” of “de slager zijn eigen vlees keurt”, maar tips zijn op zich natuurlijk altijd bruikbaar als we ze maar vertalen naar onze eigen praktijk. En of jij dan je USB-sticks koopt van Kingston of een andere leverancier, laat ik lekker aan jou over.

Kingstons aanbevelingen voor bedrijven om hun geheugenproducten op een veilige manier te gebruiken, zijn:

  1. Maak een gecodeerd USB-plan: beschermen en navolgen
  2. Zoek naar de meest geschikte USB Flash drive voor uw organisatie
  3. Training en educatie
  4. Ontwikkel een beleid en voer dit uit
  5. Zorg voor goedgekeurde bedrijfs-USB’s
  6. Zorg voor geautoriseerde USB’s en blokkeer andere apparaten
  7. Codeer vertrouwelijke informatie
  8. Zorg voor een gecertificeerde antivirus, altijd en overal

Voor de bijbehorende risico’s zoals die door Kingston worden omschreven verwijs ik je naar de originele tekst, die te vinden is op Managersonline.nl. En hoewel ik je geen USB-sticks ga verkopen, kan ik je natuurlijk wel helpen om invulling te geven aan deze 8 tips…maar goed dat wist je al en als je vragen hebt, weet je me te vinden.

Opslag van gevaarlijke en brandbare materialen

Na de verhalen over de maatregelen voor de beveiligde ruimtes is het een kleine overstap naar de opslag van gevaarlijke en brandbare materialen. We gaan er hierbij vanuit dat jouw bedrijf geen petrochemische industrie is met allerlei gevaarlijk materiaal. Nee, we gaan uit van een gemiddelde kantooromgeving die eventueel nog een klein fabriekje of een magazijn heeft.

De vraag die er bij hoort:
Worden gevaarlijke, brandbare materialen, reserveapparatuur en reservekopieën op veilige afstand van kritische objecten (computerruimten, magazijnen, personeelsruimten) opgeslagen?

Deze vraag omvat meerdere onderwerpen. We willen de processen niet in gevaar brengen en denken daarom goed na waar we de gevaarlijke en brandbare materialen veilig op kunnen slaan. Maar we denken ook na over de reserveapparatuur en kopieën die we nodig hebben na een calamiteit.

Gaan we even kort door de bocht dan zullen die gevaarlijke en brandbare materialen voor een calamiteit (kunnen) zorgen terwijl we die reservespullen juist nodig hebben na die calamiteit. Niet wijs en verstandig dus om ze in een ruimte bij elkaar te zetten.

Bij reserveapparatuur en kopieën hebben we een aantal keuzes. Zo kunnen we ze aan de andere kant van het gebouw opslaan (met het risico dat het hele gebouw afbrandt), we kunnen ze naar een andere locatie brengen (met het risico dat ze onderweg van de vrachtwagen vallen), we kunnen zaken virtueel of in “the cloud” uit gaan voeren (met het risico dat de bandbreedte niet goed genoeg is om weer in de lucht te gaan). Een ding dat we in ieder geval niet moeten doen is de reserveapparatuur en kopieën in de serverruimte opslaan bij de rest van de informatie. Het risico dat er iets met deze ruimte gebeurt is te groot en als dat gebeurt zijn we alle gegevens ook echt kwijt.

Gevaarlijke en brandbare materialen slaan we natuurlijk ook het liefst niet in ons gebouw op. Stel je voor dat het lekker gaat liggen broeien of dat de giftige gassen ontsnappen. Nee, liefst hebben we die helemaal niet op ons terrein, dus we laten ze na gebruik zo snel mogelijk af voeren. Tot die tijd slaan we ze op in een ruimte die los van ons gebouw staat (als dat mogelijk is). Maar ja, dan zitten we nog met zaken als schoonmaakmiddelen, diesel voor de noodstroom en ga zo nog maar even door. Kunnen we dat in kleine concentraties houden dan is er niet zoveel aan de hand, worden het grotere bergen dan zullen we daar ook iets aan moeten doen.

Opslag van gevaarlijke en brandbare materialen is een vak apart en er gelden zeker wetten en regels voor. Zaak is om die voor jouw organisatie en jouw situatie goed te kennen. Weten we het zelf niet, dan schakelen we het best een deskundige in. Maar dan niet iemand die alles dicht wil timmeren, maar die in alle redelijkheid uitgaat van onze processen. We kunnen de materialen wel veilig opslaan, maar als we ze iedere dag nodig hebben dan is het nu juist de kunst om daar ook een veilige en efficiënte wijze voor te vinden.

Bewaartermijnen

Degene die naar aanleiding van de titel verwachten dat ik hier de wettelijke bewaartermijnen overzichtelijk weer ga geven moet ik teleurstellen. Kijkend naar risicomanagement is dat een te groot risico, ik kan zomaar een verkeerde termijn noemen waardoor jij in de problemen komt. Nee, we gaan in op het feit dat we deze termijnen moeten achterhalen en dat we keuzes moeten maken over de informatie die we wel en niet bewaren.

De vraag is daarom:
Zijn de bewaartermijnen (wettelijke, organisatie vastgestelde) voor de verschillende soorten informatie vastgelegd?

Organisaties beschikken over meer en meer informatie (of eigenlijk gegevens), opslaggeheugen kost nog maar een schijntje van wat het vroeger kostte dus we zijn in staat om meer en meer informatie te bewaren tot het einde der tijden. Toch moeten we ons realiseren dat we niet alle informatie onbeperkt moeten willen bewaren en dat er aan de andere kant eisen zijn voor het bewaren van delen van de informatie.

Zo gelden er voor financiële gegevens bijvoorbeeld minimale bewaartermijnen (bijvoorbeeld vanuit de belastingdienst) terwijl er voor het bewaren van privacygevoelige gegevens eerder maximale bewaartermijnen bestaan (bijvoorbeeld vanuit de Wet Bescherming Persoonsgegevens). Op beide aspecten zie je het in de praktijk nog wel eens verkeerd gaan.

De informatie die we moeten bewaren wordt te kort bewaard, de informatie die we juist niet mogen bewaren wordt te lang bewaard. We zullen dus eerst moeten achterhalen welke bewaartermijnen voor welke delen van de informatie gelden (en dat is vaak makkelijker gezegd dan gedaan omdat regelgeving ook nog eens tegenstrijdig kan zijn, hoe gaan we bijvoorbeeld om met privacygevoelige financiële gegevens?). Hebben we die termijnen bepaald dan moeten we er ook nog voor zorgen dat deze daadwerkelijk gehaald worden.

We zullen dus voor voldoende opslag moeten zorgen voor die gegevens die we langer moeten bewaren en moeten er voor zorgen dat informatie die slechts kort bewaard mag worden zichzelf vernietigd na de houdbaarheidsdatum. Op technisch gebied is tegenwoordig veel mogelijk en we kunnen grote delen daarvan automatiseren. Een hele geruststelling. “Storage” is een heel vakgebied tegenwoordig en een goede leverancier zal je graag helpen bij de technische inrichting, de werking kan zo beter gegarandeerd worden.

De keuzes die we moeten maken en de wet- en regelgeving die op ons van toepassing is, kun je echter niet zomaar bij je leverancier neerleggen. Waarschijnlijk kan hij je daar wel over adviseren, maar de knoop doorhakken moeten we toch echt zelf doen, zeker voor die delen waarvoor geen wettelijke eisen zijn.

Google maar eens op bewaartermijnen, genoeg informatie te vinden en ook daar wordt al snel onderscheid gemaakt in administratieve gegevens en persoonsgevoelige gegevens waar we vanuit wetgeving iets mee moeten. Voor de andere gegevens, waar geen regels voor gelden, moeten we zelf bepalen hoe lang we die willen bewaren. De kunst daarbij is om het optimum te vinden tussen de bewaartermijn enerzijds en de kosten voor opslag anderzijds.

Bewaartermijnen en opslag van dergelijke gegevens. Een vakgebied op zich waar zeker beveiligingsaspecten aanzitten. Daarnaast willen we natuurlijk de informatie ook nog overzichtelijk houden voor onze medewerkers want als die eenmaal gaan werken met verouderde gegevens dan kan ons dat in grote verlegenheid brengen. Bewaren we de informatie onrechtmatig (te kort of te lang) dan moeten we maar snel schakelen met de juridische afdeling, we willen geen claims aan onze broek, toch?