Draagbare en verwijderbare media

Kun je het je nog herinneren? Die mooie floppy’s waar 512kb en later zelfs 1,44mb op kon? Grote kans dat je nog een handtekening moest halen wilde je een doosje met floppy’s krijgen. Het opslaggeheugen is tegenwoordig niet meer aan te slepen. Een simpele USB-stick heeft al snel 4 gigabyte en willen we er iets meer aan uitgeven dan lopen die gigabytes al snel op tot ongekende hoogtes.

Als dat opslaggeheugen het probleem niet meer is, dan moeten we daar vanuit beveiligingsoptiek ook iets mee (al moeten we dat al jaren natuurlijk). De volgende vraag moeten we beantwoorden:
Zijn de eisen ten aanzien van informatie op draagbare en verwijderbare media (laptops, pda’s, mobiele telefoons, usb-sticks, tapes, diskettes, etc.) inzichtelijk?

Hoe gaan we als organisatie om met draagbare media? Mogen alle soorten media aangesloten worden op het netwerk? Waar slaan we de informatie op en hoe houden we daar dan nog controle over? Leuke vragen, moeilijker te beantwoorden.

Lange tijd hebben we de USB-poorten dicht gezet en mochten alleen de standaard laptops op het netwerk worden aangesloten. Met de nieuwe trend; “bring your own” laten we deze maatregelen nu al massaal los. We zien besparingen en het sluit aan bij het nieuwe werken. Interessante ontwikkelingen waar zeker wat voor te zeggen is, maar vanuit beveiligingsoptiek kan het tot hoofdpijn (of erger) leiden.

We zullen de eisen die we stellen als organisatie dus inzichtelijk moeten maken. Besluiten we om te gaan voor dat “bring your own”-principe, dan moeten we de eisen daarop aanpassen. Makkelijker gezegd dan gedaan en veelal komen we er te laat achter dat dergelijke keuzes ook nog impact kunnen hebben op de beveiliging van de informatie.

Enerzijds is het dus zaak om betrokken te raken bij dergelijke keuzes omdat men anders niet weet dat wij er ook nog iets over willen roepen. Anderzijds is het belangrijk om ontwikkelingen niet in de weg te staan. Hoe vaak worden we als beveiliging niet lastig gevonden omdat we stoïcijns “nee” roepen bij nieuwe ontwikkelingen? Juist, weet men dus al dat ze ons moeten betrekken dan moeten we er ook voor zorgen dat ze ons erbij willen betrekken. Niet door dwars te liggen, maar door een constructieve bijdrage te leveren.

Ogenschijnlijk willen we deze ontwikkelingen helemaal niet want ze brengen grote risico’s met zich mee. De 1.0 gedachte van beveiliging, zullen we maar zeggen. Redeneren we meer vanuit een 2.0 gedachte dan dragen we bij aan zulke ontwikkelingen, we juichen ze toe en brengen de risico’s overzichtelijk in kaart. We roepen niet “nee”, we roepen veel eerder “ja”. Alles mag, als het maar veilig is…of anders de risico’s geaccepteerd worden.

Draagbare en verwijderbare media zijn niet meer tegen te houden. We kunnen daar lang over discussiëren, maar wat mij betreft is het een gegeven. Misschien is het nu een mooie tijd om de door ons opgestelde eisen aan draagbare en verwijderbare media weer eens tegen het licht te houden. Wacht daar niet te lang mee want dan lopen we echt achter de feiten aan en worden we ingehaald door andere ontwikkelingen als het nieuwe werken, het werken in “the cloud” en ga zo nog maar even door.

Defensie neemt beveiligde USB stick in gebruik

Na een aantal keer het nieuws te hebben gehaald met verloren USB sticks is het Ministerie van Defensie begonnen met het verstrekken van beveiligde USB sticks aan haar medewerkers. Deze sticks worden door het Ministerie in bruikleen aan de medewerkers gegeven zodat altijd de eigenaar van de stick achterhaald kan worden.

Mits de achterliggende techniek voldoende sterk is, wordt hiermee aan de exclusiviteitseisen die gesteld worden aan de staatsgeheime informatie tegemoet gekomen. Ook voor andere organisaties, zoals financiele instellingen, dienstverleners in de zorgsector en gemeentes, zou dit een goede maatregelen kunnen zijn om de aan hen toevertrouwde informatie beter te beschermen.

Door aanvullend de medewerkers te trainen, de juiste classificatie aan de informatie toe te kennen en het verstrekken van toegang tot die informatie op basis van need to know kan al voor een deel voorkomen worden dat informatie in de verkeerde handen terecht komt. Als dan ook nog op de juiste wijze back-ups van de informatie gemaakt worden kunnen we naast de exclusiviteitseisen ook aan de beschikbaarheidseisen voldoen.