Nu we gezien hebben dat de draagbare en verwijderbare media niet meer zijn weg te denken moeten we doorpakken naar de risico’s die dat met zich meebrengt. Hebben we die risico’s in kaart dan kunnen op basis daarvan besluiten er iets aan te doen of de risico’s gewoon te accepteren.
De volgende vraag is dan ook niet echt een verrassing:
Zijn er aanvullende maatregelen genomen om de informatie op draagbare en verwijderbare media te beschermen (encryptie, wisprocedures, kluis, etc.)?
Het is een gegeven dat er draagbare media zijn en dat er media door medewerkers in gebruik zijn die niet onder onze controle staan. Dat gegeven kunnen we accepteren maar dan lopen we enorme risico’s met onze informatie. We moeten deze risico’s inzichtelijk maken en aan het management voorleggen. Zij kunnen er vervolgens een oordeel over vellen.
Het gaat hier te ver om structureel alle bijbehorende risico’s in kaart te brengen. We pakken er een aantal uit en laten de rest over aan jouw eigen inbeeldingsvermogen. De vraag omvat al wat maatregelen waar uiteraard risico’s bijhoren: encryptie, wisprocedures en kluizen.
Het zal je niet verrassen dat encryptie met name bedoeld is om de exclusiviteit van de informatie te waarborgen. We willen niet dat iedereen zomaar bij de informatie kan als een medium verloren wordt. Te vaak hebben we al in het nieuws gehoord dat een USB-stick gevonden en bij een krant ingeleverd is.
De wisprocedures gaan ook in op exclusiviteit, maar ook bijvoorbeeld op de integriteit van de informatie. Waar is de meest actuele informatie beschikbaar? Nemen we beslissingen op basis van de juiste informatie of is de informatie inmiddels al lang achterhaald? Niet alle informatie hoeft voor eeuwig bewaard te worden, sommige informatie is na verloop van tijd echt niet meer nodig. Weggooien dus…of, begrijp me niet verkeerd: wissen dus en dan het liefst op een veilige manier.
De draagbare media verlaten ons gebouw. Maar waar worden deze opgeslagen? Liggen ze in de auto van een medewerker, zit het in een jaszak of ligt het thuis op de keukentafel? Als het om vertrouwelijke informatie gaat is het goed om na te gaan waar die mogelijk wordt opgeslagen. Een kluis kan een maatregel zijn om diefstal te bemoeilijken…maar er zijn natuurlijk ook andere maatregelen te bedenken.
Andere risico’s waar je aan kunt denken zijn de opslag en toegankelijkheid van de gegevens. Slaan medewerkers hun documenten op op de C-schijf van hun laptop of is deze informatie centraal beschikbaar? We willen wel dat we over de informatie kunnen beschikken als dat nodig is. Met het nieuwe werken zien we dat meer informatie lokaal wordt opgeslagen, hoe gaan we om met de back-up van die gegevens? Kunnen andere medewerkers ook bij die gegevens als onze medewerker lekker van zijn of haar vakantie geniet? Zomaar wat vragen om eens over na te denken. Ja maar wij werken met Sharepoint of op een andere manier “in the cloud”…prima, maar is alle relevante informatie daar ook opgeslagen dan?
Het probleem (of voor diegene die dat liever hebben: de uitdaging) is niet zozeer de draagbare media maar het feit dat de gegevens en informatie daarmee dus ook draagbaar worden. Ze zijn niet meer binnen de muren van ons gebouw aanwezig maar kunnen zich overal op de wereld bevinden. Een risico? Ja zeker. Moeten we daar tegen zijn? Nee, absoluut niet, dan worden we een 1.0 beveiliger en dat is wat we nu juist willen voorkomen, toch?