We blijven aan de slag met informatie en maken vandaag onderscheid in het behandelen, opslaan, versturen en vernietigen van informatie. Dit is, op hoofdlijnen, de levenscyclus van informatie…maar uiteraard pas nadat de we informatie hebben gecreëerd. Bij al deze stappen moeten we de beveiliging van die informatie in het achterhoofd houden.
De vraag van vandaag is daarom:
Zijn er middelen beschikbaar om informatie en vertrouwelijke informatie conform de gestelde eisen te behandelen, op te slaan, te versturen en te vernietigen?
Nadat we de informatie gemaakt hebben moeten we er iets mee doen. Die informatie heeft immers een doel omdat het anders gewoon gegevens waren gebleven. Overigens moeten we aan gegevens natuurlijk ook beveiligingseisen stellen omdat anders onbevoegden daar informatie van maken die ons lelijk kan verrassen.
Maar goed, we hebben het dus over het behandelen, opslaan, versturen en vernietigen van de informatie. Bij deze stappen zijn bijvoorbeeld de voorschriften van belang zodat de mensen ook daadwerkelijk weten wat er van hen verwacht wordt. Maar op deze voorschriften zijn we eerder al ingegaan, dus we gaan er vanuit dat deze inmiddels ook zijn opgesteld. Zo niet, dan is dat de eerste stap.
We hebben nu voorgeschreven hoe men met de informatie om dient te gaan. Daarvoor moeten we ze dan wel de middelen ter beschikking stellen. Anders staat het leuk op papier maar kunnen de medewerkers er niet zoveel mee.
Schrijven we dus voor dat de gegevens veilig opgeslagen moeten worden dan moeten we nadenken hoe we dat zo makkelijk mogelijk maken voor de medewerkers. Wordt het een centrale sharepoint omgeving waarop automatisch encryptie wordt toegepast of mag het ook op de laptops van afzonderlijke medewerkers worden opgeslagen? En hoe zorgen we er dan voor dat de informatie goed beveiligd is? Hoe zorgen we dan dat we back-ups maken van die informatie? Hoe zorgen we voor autorisatiebeheer?
Hier komt uiteraard ook weer de classificatie (of rubricering) van de informatie om te hoek kijken. Daarnaast moeten we goed nadenken over welke medewerker in welke rol bij welke informatie moet kunnen. Niet iedereen hoeft immers bij de informatie en niet iedere medewerker heeft dezelfde rollen te vervullen binnen de organisatie. Ja, we zullen er toch aan moeten geloven om ons te verdiepen in Role Based Access Control en dat is makkelijker gezegd dan gedaan. Hiervoor zullen we eerst inzicht moeten hebben in onze medewerkers (op ieder moment, dus ook de nieuwe medewerkers en de medewerkers die net uit dienst zijn getreden). Daarna moeten we bekijken welke rollen zij vervullen en welke informatie ze daarbij nodig hebben.
Voor een kleine of middelgrote organisatie nog wel te doen, maar als de organisatie groter wordt, worden de aantallen ook groter en moeilijker up-to-date te houden.
Speciale aandacht moeten we besteden aan het versturen en vernietigen van de informatie. Mogen we geheime gegevens bijvoorbeeld via de mail versturen? En passen we daar dan encryptie op toe? Of mag deze informatie alleen maar persoonlijk overhandigd worden? En hoe praktisch is dat dan? We moeten afwegen wat praktisch is voor de medewerker en veilig voor de organisatie. Daarbij maken we keuzes die we ondersteunen met middelen om het voor de medewerkers mogelijk te maken.
Het vernietigen van informatie is de laatste stap in de levenscyclus van de informatie. Na verloop van tijd is de informatie niet meer actueel en niet meer nodig. Buiten wat gegevens die we wettelijk 5 of 7 jaar moeten bewaren, kunnen we andere stukken informatie met een gerust hart vernietigen. Vertrouwelijke informatie gooien we natuurlijk niet zomaar bij het oud papier. Het risico op “dumpster diving” is te groot. En wie denkt dat dat in Nederland niet gebeurt, moet ik teleurstellen…het is een groter risico dan je denkt. Informatie op papier halen we natuurlijk door een shredder en digitale informatie wissen we ook met veilige middelen (bijvoorbeeld door ze verschillende malen te overschrijven). Alleen “deleten” volstaat niet en het is zelfs mogelijk om informatie te halen van schijven die we verbrand hebben, hoewel we natuurlijk ook weer niet door moeten schieten.
De levenscyclus van informatie…interessante stappen waarbij we na moeten denken over hoe we daar mee omgaan. Niet door zoveel mogelijk te verbieden (op papier) of door zoveel mogelijk beperkende maatregelen in te voeren. Nee, door te kijken wat praktisch is voor de medewerkers en veilig voor de organisatie. Het optimum hierin vinden is makkelijker gezegd dan gedaan en er lijkt een hefboomwerking in te zitten: hoe praktischer voor de medewerker hoe onveiliger…hoe veiliger voor de informatie hoe onpraktischer voor de medewerkers. Feit is wel dat als we allerlei beperkende maatregelen nemen de medewerker zo creatief wordt om er omheen te werken…en dat is nu juist wat we willen voorkomen.