Werknemers nemen bedrijfsgegevens mee op vakantie

Europese bedrijven hebben hun vertrouwelijke informatie onvoldoende beveiligd. Nu veel werknemers werk meenemen op vakantie lopen bedrijven het risico dat vertrouwelijke informatie op straat komt te liggen (bron).

Eerst maar even de feiten op een rij:

  • Slechts 44% van de bedrijven een beleid heeft om te voorkomen dat werknemers bedrijfsgevoelige informatie met zich meenemen.
  • Niet meer dan 41% een beleid voor het afdrukken van vertrouwelijke documenten.
  • Slechts 47% van de Europese bedrijven heeft een beleid om het afdrukken van klantgegevens te beheren.

Het staat natuurlijk leuk dat werknemers bedrijfsgegevens meenemen op vakantie maar daar gaat het in dit geval helemaal niet om. Het gaat namelijk in zijn algemeenheid over het meenemen van bedrijfsgegevens en daarbij doet het er niet toe of dat is naar de camping of gewoon naar huis. Nee het gaat erom dat bedrijven helemaal geen zicht hebben op wat er met hun gegevens gebeurt. Hierbij moeten we verder kijken dan afgedrukte gegevens alleen, want er gebeuren ook dingen met onze digitale gegevens waar we geen zicht op hebben.

Slechts 41% heeft een beleid voor het afdrukken van vertrouwelijke gegevens en 44% voor het meenemen daarvan, dat klinkt al schrikbarend maar tel daarbij nog even de volgende discussie op: wat zijn vertrouwelijke gegevens? Wat voor jou vertrouwelijk is hoeft dat voor mij helemaal niet te zijn. Nee de discussie gaat dus veel verder dan vertrouwelijke gegevens. Het gaat om een algemeen afdruk/meeneem beleid van zowel analoge als digitale gegevens. Verschillende niet vertrouwelijke gegevens bij elkaar kunnen juist weer vertrouwelijk worden en wat vandaag vertrouwelijk is hoeft dat morgen niet meer te zijn (denk bijv. aan financiële jaarstukken).

Slechts weinig bedrijven hebben echt zicht op de vertrouwelijkheid van hun gegevens. Vaak moet de medewerker maar bepalen of het vertrouwelijk is zonder dat daar enig toezicht op is en we weten toch allemaal hoe het met het beveiligingsbewustzijn van het personeel gesteld is?

Zo te zien ligt er de komende jaren nog genoeg werk op ons te wachten en dat begint bij het bewust maken van het management en juist daar ontbreekt het vaak aan.
Er zijn echt wel maatregelen te bedenken om de gegevens beter te beveiligen, maar dan zal het management de eerste stap moeten zetten en moeten snappen welke risico’s ze nu echt lopen. Het meenemen van (vertrouwelijke) gegevens is er daar slechts één van.

Veilig internetten geen prioriteit bij studenten

Een onderzoek van SURFnet in samenwerking met een aantal hoger onderwijs- en onderzoeksinstellingen naar het beveiligingsbewustzijn van studenten en medewerkers, laat zien dat de aandacht voor internetbeveiliging onder studenten laag is (bron).

Ai, dit is een pijnlijk probleem voor de toekomst. De jeugd heeft de toekomst maar als de jeugd onvoldoende beveiligingsbewust is dan hebben we nog een hoop werk te doen. De studenten van nu zijn de directeuren van de toekomst. Als ze zich nu al geen raad weten met de beveiliging hoe moet dat dan voor de bedrijven die ze gaan leiden in de toekomst? Wordt het dan leiden of lijden?

Jammer is dat het onderzoek niet heeft geprobeerd te achterhalen wat de oorzaken zijn. Dat is wat ons nu juist moet interesseren. Niet alleen voor de studenten maar juist ook voor het bedrijfsleven. Kennen we de oorzaken niet dan kunnen we alleen aan symptoombestrijding doen.

Probeer bij een beveiligingsprobleem of incident in je praktijksituatie eens te achterhalen wat de oorzaak is en dan bedoel ik de echte oorzaak, dus niet het sociaal wenselijke antwoord dat we krijgen. Nee, vraag nog even door. Wat bedoel ik hier nu weer mee? Ik zal het kort proberen toe te lichten: een medewerker veroorzaakt een incident. Is dan de medewerker de oorzaak (zo ja dan moeten we daar dus wat aan doen), maar is dat wel echt zo? In veel gevallen is de medewerker niet de oorzaak, ja hij veroorzaakt het probleem, maar waarom? Doorvragen dus. Wist hij niet dat hetgeen hij deed een risico vormde? Was er voor hem geen andere mogelijkheid om zijn werk uit te voeren? En ga zo nog maar even door.

Als hij niet wist dat het een risico vormde wat hij deed dan moeten we ons dat zelf kwalijk nemen. Blijkbaar is het ons niet gelukt om onze kennis voldoende bij hem over te brengen (zijn wij nu ineens de oorzaak? En moeten we daar dan niets aan doen?). Had de medewerker wel de middelen om het veilig te doen?

Neem als voorbeeld maar eens het gebruik van (privé) webmail binnen organisaties. De medewerker stuurt via webmail documenten naar zijn privé adres om er thuis verder aan te kunnen werken. “Strafbaar” feit omdat we in ons beleid hebben opgenomen dat dat niet mag? Of is dit de enige manier voor de medewerker om zijn deadline te halen? Moeten we er bijvoorbeeld niet voor zorgen dat hij een veilige thuiswerkplek heeft of moeten we hem niet een veilige USB-stick geven? Dat zouden we kunnen doen, maar waar we ook eens naar moeten kijken is de werkdruk die we hem hebben opgelegd.

Te vaak zien we nog dat managers opdrachten accepteren van de directie zonder daarbij met de medewerkers af te stemmen. De manager zegt dat het morgen af is (commitment aan de directie) en schuift het probleem door naar de medewerker. De medewerker op zijn beurt wil zijn manager niet teleurstellen (of is bang dat hij zijn bonus niet haalt) en gaat tegen beter weten in de opdracht aan. Hij mailt de nodige informatie naar zijn huisadres, maakt een typefout en het staat morgen in de krant.

Mogen jullie drie keer raden wie hier voor opdraait? De directie, de manager of de medewerker?
Al snel zullen we wijzen naar de medewerker, toch? Natuurlijk had de medewerker nooit de informatie over een onbeveiligde lijn moeten versturen, maar waarom deed hij dat? Om zijn manager niet teleur te stellen. De manager gaf hem niet genoeg tijd om zijn werk goed te kunnen doen, is de manager dan niet schuldig aan dit incident? De directie heeft onvoldoende budget ter beschikking gesteld en vindt veilige thuiswerkplekken een te dure oplossing. Is de directie niet schuldig dan?

Zo zie je maar, we zien ogenschijnlijk een beveiligingsincident maar eigenlijk is dat slechts het gevolg van een managementprobleem. Ga voor jezelf nog eens wat actuele beveiligingsincidenten na, was dat echt de schuld van de medewerker of hebben we die als symptoombestrijding de schuld gegeven en was daarmee de kous af?

Deze medewerker zal in de toekomst een dergelijk incident (hopelijk) niet meer veroorzaken maar hoeveel medewerkers kunnen dat nog wel doen? Moeten we niet de echte oorzaken (welke dat ook mogen zijn) proberen weg te nemen door bijvoorbeeld de werkdruk af te stemmen of de juiste middelen ter beschikking te stellen?

Bedrijven overgeleverd aan cybercriminelen

Bedrijven en security professionals zijn overgeleverd aan cybercriminelen, die altijd een stap voor lopen en daardoor een groot risico voor ondernemingen vormen…Inmiddels zou cybercrime de grootste cyberdreiging zijn en weten cybercriminelen die bedrijfsnetwerken infiltreren langer onopgemerkt te blijven. Veel bedrijven negeren echter deze dreiging en geven geld uit aan het bestrijden van “mindere” dreigingen. Deloitte spreekt van een ernstig gebrek aan bewustzijn, maar ook van zelfgenoegzaamheid als het om dit onderwerp gaat. Zowel automatiseringsafdelingen als security officers zouden tekort schieten.

Daarbij staat het uitgeven van grote sommen geld niet gelijk aan beveiliging. Wie meer uitgeeft hoeft niet per definitie veiliger te zijn. “We zien veel organisaties middelen voor technologische beveiligingsmaatregelen uittrekken, terwijl eenvoudige, goedkope maatregelen zoals patchmanagement, log analyse, verminderen van rechten, wachtwoorden laten verlopen en het opheffen van de toegang van ex-werknemers worden genegeerd.” (bron)

Zo zie je maar dat meer uitgeven aan beveiliging niet betekent dat je ook echt beter beveiligd bent. Ik kan het alleen maar eens zijn met wat hierboven is aangegeven. Het gaat er niet om dat je zoveel mogelijk besteed, het gaat erom dat je de middelen zo slim mogelijk besteedt (en geloof me, dat is makkelijker gezegd dan gedaan). Oh ja, middelen betekent meer dan geld maar ook kennis, beschikbare tijd, etc.

Bij beveiliging gaat het er in de praktijk nog te vaak om om beveiligingmaatregelen te implementeren…waar het echt om gaat is risico’s afdekken (bijvoorbeeld door ze te mitigeren, over te dragen aan anderen of ze gewoon te accepteren) waarbij we rekening moeten houden met het belang van de bedrijfsprocessen (laten we eerst de risico’s voor de belangrijkste processen beheersen). Maatregelen zijn niet alleen de technische maatregelen maar juist een combinatie van technische, organisatorische, procedurele, bouwkundige en elektronische maatregelen en dan het liefst in samenhang bezien.