Tag: bestaan

Bekendheid met meldingsplicht beveiligingsincidenten

  door

Zo, inmiddels hebben we de medewerkers verteld dat ze beveiligingsincidenten moeten melden en we hebben ze ook geprobeerd duidelijk te maken wat wij onder beveiligingsincidenten verstaan. Nu is het natuurlijk de vraag of het aantal meldingen inderdaad toeneemt.

Het gaat dus niet zozeer om de vraag, maar het feit of het ook echt werkt. De vraag:
Is het personeel duidelijk gemaakt dat beveiligingsincidenten gemeld moeten worden?

Bekende termen zijn “opzet”, “bestaan” en “werking”. In opzet en bestaan kunnen we het best goed geregeld hebben. We hebben mooie beleidsdocumenten, mooie procedures en voorschriften en we hebben ze ook nog eens beschikbaar gesteld op het intranet en via de mail aan iedereen verzonden. Nu willen we toch wel graag weten of het allemaal effect heeft, oftewel: werkt het? Want daar gaat het toch uiteindelijk allemaal om, is het niet?

We kunnen de medewerkers natuurlijk allemaal op de man (of vrouw) af vragen of ze weten dat ze beveiligingsincidenten moeten melden. Grote kans dat het antwoord volmondig ja is. Het is immers logisch dat we dat soort zaken melden. Toch is hier het risico op sociaal wenselijke antwoorden te groot. We zullen dus op zoek moeten naar aanvullende mogelijkheden om te testen of er ook echt gemeld wordt.

Nu wil ik je natuurlijk niet aanmoedigen om allerlei illegale of niet toegestane acties uit te voeren, maar er zijn best manieren om te kijken hoe het er mee gesteld is. Is het zichtbaar dragen van toegangspasjes binnen jouw bedrijf bijvoorbeeld verplicht? Draag dan het pasje eens een dag niet zichtbaar om te kijken of je er op wordt aangesproken (dat werk natuurlijk minder goed als je iedereen binnen het bedrijf persoonlijk kent).

Loop eind van de dag, als iedereen al lekker naar huis is, nog eens een rondje over je afdeling en kijk welke waardevolle spullen of informatie voor het grijpen ligt. Je zou dat kunnen melden, je zou er niets mee kunnen doen, of je zou de informatie kunnen verzamelen en eventueel een briefje achter kunnen laten dat ze het bij jou op kunnen komen halen. In principe mist iemand de volgende dag de informatie en hij gaat op zoek. Heb je een briefje achter gelaten dan zal hij het bij je op komen halen, ligt dat briefje er niet dan zal hij met een zoekende blik over de afdeling lopen.

Laat eens een deur open staan (uiteraard even in de gaten houden wie er stiekem naar binnen glipt) en kijk wat mensen doen. Laten ze de deur zelf ook open staan, doen ze de deur juist dicht of bellen ze even met de beveiliging om door te geven dat deze deur open staat?

Een aantal simpele manieren om te testen hoe het gesteld is met de beveiligingscultuur van de medewerkers. Nemen ze zelf actie, doen ze juist helemaal niets of maken ze er melding van? Zodra we dat weten kunnen we weer volgende stappen zetten en het melden van beveiligingsincidenten verder onder de aandacht brengen.

We moeten er dan natuurlijk wel voor zorgen dat het melden makkelijk is. Dus geen lange wachttijden als ze telefonisch melden en geen ingewikkelde formulieren om het op papier te doen.

Een leuke optie is om er een competitie van te maken. Iedere zoveelste melder krijgt een taart, gemelde beveiligingsincidenten worden gebruikt om de medewerkers te trainen (bijvoorbeeld door ze te behandelen in ons “security krantje”). Oppassen natuurlijk dat medewerkers er geen sport van gaan maken om maar zoveel mogelijk incidenten te veroorzaken, dan schieten we juist weer door naar de verkeerde kant.

Voorwaarde is natuurlijk wel dat we over voldoende (en kwalitatief goede) capaciteit beschikken om de incidenten op te pakken, te analyseren en verbeteringen door te voeren.

Beveiligingsincidenten zien er op papier vaak ingewikkeld uit: zware aanvallen op het netwerk, ramkraken om ons gebouw binnen te dringen…maar juist de dagelijkse gang van zaken kunnen grote risico’s met zich meebrengen en voor die dagelijkse gang van zaken hebben we de oren en ogen van onze medewerkers nodig om de boel steeds veiliger te krijgen.

Controle op het naleven van de clean desk policy

  door

De medewerkers zijn opgevoed en weten inmiddels dat ze de boel een beetje netjes moeten houden (al is het alleen maar om gele kaarten te voorkomen). We gaan nu wat verder in op de controle van naleving.

De logische vraag die daarbij hoort is:
Wordt gecontroleerd of de clean desk policy wordt nageleefd?

Het is een dooddoener, maar we halen hem toch nog even aan: “vertrouwen is goed, controle is beter.” Leuk dat we allerlei beleid hebben opgesteld en op papier (of in meer bekende termen: in opzet en/of bestaan) hebben we het erg goed voor elkaar. De werking is echter vaak een ander verhaal.

We horen er natuurlijk veel over: het “low hanging fruit”, dat je moet plukken op het moment dat het rijp is. Geen ingewikkelde lange verbetertrajecten maar gewoon een simpele actie opstarten om het te verbeteren. Het controleren van de naleving van de clean desk policy is fruit dat laag hangt en klaar is om te plukken.

Dat het in de praktijk veelal niet gebeurt, komt omdat het blijkbaar niet sexy genoeg is. De manager heeft er geen zin in (hij moet immers wachten tot de laatste medewerkers weg zijn en dan zijn de aardappelen aangekookt). Daarom wordt het veelal belegd bij de beveiligingsbeambte die “toch niets te doen heeft” in de nachtelijke uren (wij weten wel beter natuurlijk).

Op zich kan het best een optie zijn om de beveiligingsbeambtes te verzoeken periodiek een ronde te lopen, maar toch zijn wij er voorstander van om ook een dergelijke ronde te laten lopen door de manager van de afdeling of door de security manager. Die kijken toch weer naar andere zaken en kunnen wellicht risico’s inzichtelijk maken en was het niet zo dat beveiliging een lijnverantwoordelijkheid is? Een dergelijke ronde kun je natuurlijk ook leuk maken. Zorg voor pizza en loop met een aantal managers tegelijk een clean desk ronde, daarna kun je gezamenlijk evalueren en kijken hoe de vlag er bij hangt (en die vlag kan per afdeling flink anders hangen)…je kunt zelfs nog afsluiten met een borrel om er echt een feestje van te maken. Hoe noemen ze het ook weer? Oh ja, het nuttige met het aangename combineren.

Als het ons lukt om een gezonde competitie te creëren tussen verschillende lijnmanagers, ook op het gebied van beveiliging, dan zorgt dat niet alleen voor een beter beveiligingsbewustzijn. Nee, het zorgt er ook nog eens voor dat managers onderling informatie kunnen delen. Ze hoeven niet zelf het wiel opnieuw uit te vinden, het wiel wordt rond dat weten we toch wel.

Voor die organisaties of lezers die toch nog twijfelen. Vraag me gerust, een clean desk ronde op de juiste wijze kan erg leuk zijn…zo leuk zelfs dat ik je er graag bij help.