Omgang met vertrouwelijke informatie

De voorschriften voor informatie en vertrouwelijke informatie zijn opgesteld. Hopelijk hebben we het aantal velletjes papier kunnen minimaliseren zodat het allemaal nog goed leesbaar (en begrijpelijk) blijft voor degene die er echt mee moeten werken: de medewerkers.

Kunst is nu om deze voorschriften in te voeren, de bijbehorende vraag is niet voor niets:
Is bij de medewerkers duidelijk welke informatie als vertrouwelijk behandeld dient te worden?

Het lijkt misschien een simpele vraag maar het antwoord is toch wat lastiger. Enerzijds moeten de voorschriften er dus zijn, anderzijds moeten de voorschriften ook nog bij de medewerkers bekend zijn. Zijn ze bij de medewerkers bekend dan moeten ze ook nog duidelijk zijn en moeten we er vervolgens nog voor proberen te zorgen dat er gewerkt wordt conform deze voorschriften. Kennis, houding en gedrag, succes ga er maar aan staan.

De voorschriften plaatsen we natuurlijk op onze intranetomgeving en nieuwe medewerkers krijgen een afschrift zodra ze in dienst treden. En klaar is Kees. Theoretisch zouden de medewerkers nu inderdaad de kennis moeten kunnen hebben. Je leest al uit de zin hoe voorzichtig die geformuleerd is. Een nieuwe medewerker krijgt de eerste paar dagen zoveel informatie over zich heen dat dit voorschrift er even bij in is geschoten. De medewerker die op het intranet kijkt verzuipt ook letterlijk in alle informatie waardoor de kans erg klein is dat hij bij ons voorschrift terecht komt.

Medewerkers die actief zoeken op de classificatie van vertrouwelijke gegevens kunnen de voorschriften waarschijnlijk nog wel vinden. De rest van de organisatie weet niet van het bestaan af. Helaas, we kunnen denken dat dat anders is, maar dat is niet het geval. Weet jij wat voor informatie er allemaal beschikbaar is op het intranet van je organisatie? Kleine kans dat je alle informatie al eens gelezen hebt. Grotere kans dat je de informatie hebt gelezen die voor jou interessant is…en beveiligingsonderwerpen horen daar voor de meeste medewerkers nu eenmaal niet bij.

De beveiligingsbewustzijnsprogramma’s kunnen zeker van invloed zijn op de bekendheid met de regels en voorschriften. Maar dan wel goede programma’s die zich richten op kennis, houding en gedrag. Een poster aan de wand volstaat niet en de sociaal wenselijke nulmetingen brengen ook vaak niet veel helderheid.

Begrijp me niet verkeerd, ik ben zeker geen tegenstander van bewustzijnsprogramma’s, maar in vind het wel weggegooid geld als we voor meer dan 100.000 euro aan posters, e-learningen, etc. spenderen als het niet echt bijdraagt aan de verbetering van de beveiliging. Het bewustzijnsprogramma moet onderdeel zijn van een groter geheel, het moet onderdeel zijn van de beveiligingscultuur. Een dergelijke cultuur bereiken is vele malen moeilijker, kost jaren continue inspanning en is dan ook nog een afgeleide van de totale organisatiecultuur (waar we vanuit beveiliging weinig invloed op hebben in de praktijk).

Een cultuur verander je niet, de mensen in de organisatie maken een cultuur. Door de mensen (door de jaren heen) te veranderen, verandert uiteindelijk de cultuur. Zoals ik al schreef: succes, ga er maar aan staan. Moeten we het dan maar niet proberen? Nee, natuurlijk niet, we moeten er juist ons stinkende best voor doen zodat we er over een aantal jaren de vruchten van plukken. Beginnen we er nu niet aan dan wordt de drempel alleen maar hoger en zal het er wel nooit meer van komen om de organisatie beveiligingsbewust te maken.

Aanvallen op mobiele apparaten zullen escaleren

In 2011 blijft Apple niet gevrijwaard van cybercriminaliteit, zullen de aanvallen op mobiele apparaten escaleren en zullen deze aanvallen meer politiek gemotiveerd zijn…Dat voorspelt McAfee in het rapport Threat Predictions 2011 (bron).

Je hoeft natuurlijk geen helderziende te zijn om te kunnen constateren dat aanvallen op mobiele apparaten meer en meer plaats zullen vinden. De smartphones en laptops bevatten allerlei informatie die het voor de criminelen interessant maakt om ze aan te vallen en Apple is ook niet zo exotisch meer dat het niet aangevallen wordt.

Leuk natuurlijk dat hier een bericht aan wordt gewijd maar het echte probleem zit hem, wederom, in het bewustzijn. Het bewustzijn van het management binnen organisaties en het bewustzijn bij de gebruikers van de apparaten.

Nee, ik wil helemaal niet zeggen dat je allerlei ingewikkelde kunsten uit hoeft te halen om je data beter te beschermen. Maar een aantal basis zaken kun je toch wel regelen? Laten we allemaal eens beginnen met een wachtwoord of pincode op onze smartphone en laptop. Dat kan al een berg leed voorkomen.

Natuurlijk kan het zo zijn dat je na een diefstal je smartphone of laptop kwijt bent, maar dat is niet de echte waarde. Nee, de echte waarde zit hem in de informatie op die apparaten. De data maar ook bijvoorbeeld je mailberichten, je contactpersonen en je wachtwoorden voor allerlei internetsites. Lastig om kwijt te raken, maar voor je organisatie een groot risico.

Laten we 2011 tot het jaar dopen waarop we nog meer dan voorheen gaan proberen om de managers van organisaties beveiligingsbewuster te maken.

Geheime gegevens Justitie gelekt

Het ministerie van Justitie is een groot onderzoek gestart naar het lekken van vertrouwelijke informatie van de Landelijke Bijzondere Bijstandseenheid (LBB)…Onbekenden hebben een aantal weken geleden op internet gevoelige documenten en e-mails van de LBB gepubliceerd. Daarin staan onder meer namen en telefoonnummers van leden van de LBB…Wie achter de publicaties op internet zitten, is nog niet duidelijk. Zelf noemen de verantwoordelijken zich ‘Boris Boef en de Boze Bajesklanten’. Gezien de staat van de documenten, zijn ze vermoedelijk uit een prullenbak of vuilniszak gehaald (bron).

Ik kan natuurlijk ingaan op hoe stom dit wel niet is en dat als Justitie al geen informatie vertrouwelijk kan houden het voor andere bedrijven al helemaal niet te doen is, maar dat doe ik niet. Het is immers al pijnlijk genoeg dat dit soort incidenten gebeuren. En geloof me, ik weet hoe ontzettend moeilijk het is om alle beveiligingsrisico’s op te sporen en te voorkomen.

Als inderdaad de documenten opgevist zijn uit de vuilnisbakken dan blijkt maar weer dat het zogenaamde dumpster diving een reëel risico is voor bedrijven. Kunnen we natuurlijk kijken naar informatiebeveiliging en dan met name naar de technische maatregelen als firewalls en anti-virus maatregelen, maar dit hoort daar net zo goed bij.

Als ik Justitie inschat dan hebben ze in het beleid zeker maatregelen hier tegen genomen, er staan genoeg versnipperaars en de medewerkers zijn echt wel geïnformeerd. Met name dat informeren van de medewerkers speelt hierin een grote rol. We kunnen natuurlijk wel op papier zetten dat vertrouwelijke informatie versnipperd moet worden, maar als de medewerkers het niet weten of zich er niet aan houden dan zit juist daar het probleem.

Beveiligingsbewustzijn binnen organisaties is van groot belang omdat de medewerkers vaak zowel de sterkste als de zwakste schakel zijn. Helaas zien we nog te vaak dat er simpelweg een poster aan de muur wordt gehangen of een mooie e-learning omgeving wordt ontwikkeld maar dat er weinig wordt gedaan aan de beveiligingscultuur binnen een organisatie. Het gaat bij bewustzijn en het gedrag van medewerkers altijd om kennis, houding en gedrag terwijl veel bewustzijnscampagnes zich met name op kennis richten. Dat is natuurlijk ook het makkelijkst maar levert helaas te weinig op in de praktijk.

Hoe we kunnen voorkomen dat dit soort incidenten, door menselijk gedrag, het nieuws halen? Door beveiligingsbewustzijn op de goede manier aan te pakken en een beveiligingscultuur te creëren is er daar één van maar wel een hele belangrijke die in de praktijk nog vaak te makkelijk wordt afgedaan. Alle posters ten spijt moet er meer gedaan worden om culturen te veranderen, dat kost nu eenmaal veel inspanning en kost als snel zo’n 5 tot 7 jaar continue aandacht. Succes, zou ik zeggen, want veel organisaties hebben op dit moment geen horizon van 5 tot 7 jaar, laat staan een structureel budget om dit goed te borgen.

Beveiliging is ook een kwestie van gedrag

Hoewel de titel wat mij betreft te zwak is (het is niet ook een kwestie van gedrag maar voor het grootste gedeelte een kwestie van gedrag), is het een interessant bericht. Meer en meer bedrijven ontdekken dat het niet alleen meer gaat om bouwkundige en/of elektronische maatregelen maar dat juist de medewerkers van grote invloed zijn.

Natuurlijk moet het bedrijf zorgen voor de juiste maatregelen, de juiste toegangscontrole, de juiste firewalls en encryptie…maar als we eenmaal een goede basis hebben gelegd, moeten we ons continu richten op de mensen in onze organisatie.

Beveiliging draait niet alleen om het nemen van fysieke maatregelen en technologie, maar in grote mate ook om het gedrag van medewerkers…Voor alle sites heeft De Laat een universeel veiligheidsconcept ontwikkeld dat bestaat uit een goede periferie, toegangscontrole, cameratoezicht, alarmering op deuren en ramen, duidelijke huisregels en de eis dat alle medewerkers een verklaring omtrent gedrag moeten hebben. Ondanks alle veiligheidsmaatregelen benadrukt De Laat dat veiligheid ook vooral tussen de oren van de medewerkers moet zitten (bron).

Beveiligingsbewustzijn wordt steeds belangrijker en gelukkig onderkennen meer en meer bedrijven dat. Helaas zien we toch nog vaak dat er gebruik wordt gemaakt van een simpele powerpoint en een poster aan de muur. Geloof me, daarmee verandert het gedrag van de medewerkers echt niet.

Om een organisatie veilig te maken en te houden moet de cultuur binnen die organisatie stevig aangepakt worden…en dat is moeilijker dan het wellicht op het eerste gezicht lijkt.

Security grootste zorg bij het nieuwe werken

Organisaties maken zich de meeste zorgen om de beveiliging van bedrijfsgegevens wanneer zij denken aan “het nieuwe werken”…Naast beveiliging (41 procent) noemt 19 procent van de organisaties het IT-beheer als grootste zorg (bron).

Het is zeer begrijpelijk dat organisaties zich zorgen maken over beveiliging, maar toch hoeft dit geen probleem te zijn bij het nieuwe werken, zegt Ron Grevink, vice president marketing bij RES Software. Het is belangrijk om de medewerker centraal te stellen, en dus naast het beveiligen van de pc en infrastructuur ook persoonsgebonden beveiliging te realiseren. De medewerker moet altijd en overal toegang krijgen tot zijn persoonlijke desktop met de bijbehorende gebruikerssettings, zonder dat dit ten koste gaat van de beveiliging van informatie.

Wat RES Software exact verstaat onder persoonsgebonden beveiliging blijft voor mij wat onduidelijk, waarschijnlijk verkopen zij perfecte tools om aan persoonsgebonden beveiliging te doen.

Maar veilig thuiswerken hoeft tegenwoordig geen probleem meer te zijn, met de juiste infrastructuur kan het net zo veilig als op kantoor. Om dat niveau te behalen is vaak niet eens zoveel nodig, vele infrastructuren op kantoren zijn ook onveilig (hoewel ze daar zelf vaak anders over denken).

Ook hier geldt weer dat beveiligingsbewustzijn van groot belang is, dat geldt net zo goed op kantoor (en dan graag iets breder kijken dan een survey, posters en flyers). Als de organisatie bovendien de juiste middelen (encryptie, anti-virus, VPN en ga zo maar door) beschikbaar stelt is er niets aan de hand. Maar is het niet zo dat thuiswerken niet echt van de grond komt omdat de organisaties niet weten hoe ze de medewerkers op afstand moeten managen? Antwoord daarop geeft dit onderzoek helaas niet.

Willen jullie aan persoonsgebonden beveiliging doen dan kun je het beste even contact met RES opnemen, want ik heb geen flauw idee wat ze bedoelen.

Bedrijven kampen vaker met fraude

Bedrijven hebben steeds vaker last van fraude. Uit onderzoek blijkt dat bijna twee op de vijf Nederlandse ondernemingen het afgelopen jaar het aantal fraudegevallen heeft zien stijgen vergeleken met een jaar eerder…Bij een op de zeven bedrijven werd fraude gepleegd. In West-Europa is dit ruim een kwart en wereldwijd ongeveer een derde. In Nederland wordt bijna driekwart van de fraudegevallen gepleegd door werknemers…Ethiek wordt aan de kant geschoven om financiele doelstellingen te halen. Werknemers staan daardoor onder druk, want het niet behalen van doelstellingen kan resulteren in ontslag (bron).

Bijna 75% van de fraude gevallen wordt gepleegd door werknemers. In de beveiligingswereld is allang bekend dat de grootste dreigingen veroorzaakt worden door medewerkers. Het zijn niet alleen de externe factoren die een organisatie bedreigen maar juist de interne. Bij fraude kun je er nog vanuit gaan dat het bewust gedaan wordt, maar wat denk je van de dreigingen die door onbewust handelen veroorzaakt worden?

De ethiek wordt aan de kant geschoven. Dat is iets wat we meer en meer zien. De financiele resultaten moeten behaald worden, hoe maakt niet uit. Ongeruststellend als je het mij vraagt, natuurlijk zijn de financiele resultaten van belang, maar dit betreft niet per definitie de winst die de organisatie maakt (ja ik weet het, het klinkt gek, maar lees de zin nog een keer). Het draait om continiteit voor de lange termijn en niet op winst of kostenbesparing voor de korte termijn.

Toevallig las ik daar gisterenavond nog een mooie volzin over:
De managers zijn verantwoordelijk voor de resultaten op het gebied van dienstverlening. Vervolgens is het dan de taak van het topmanagement, de onderneming zo te organiseren en te financieren dat de best mogelijke dienstverlening ook een optimaal financieel resultaat oplevert.” (Bron: Peter F. Drucker).

Kortom: wie denkt met een beveiligingsbewustzijnsprogramma (dat te vaak bestaat uit een vragenlijst, mooie presentatie en leuke posters) alleen de ethiek te versterken heeft het mis. Beveiligingsbewustzijn begint bij het topmanagement, de besturing en de cultuur van de organisatie. Voor wie daar meer over wil weten…ik heb deze week een interessante presentatie over dit onderwerp gemaakt en kom die graag toelichten (en nee, helaas, die presentatie is hier niet te downloaden omdat hij dan uit verband getrokken wordt).

Just let me know and I will show.