Tag: controle

Controle op het naleven van de clean desk policy

  door

De medewerkers zijn opgevoed en weten inmiddels dat ze de boel een beetje netjes moeten houden (al is het alleen maar om gele kaarten te voorkomen). We gaan nu wat verder in op de controle van naleving.

De logische vraag die daarbij hoort is:
Wordt gecontroleerd of de clean desk policy wordt nageleefd?

Het is een dooddoener, maar we halen hem toch nog even aan: “vertrouwen is goed, controle is beter.” Leuk dat we allerlei beleid hebben opgesteld en op papier (of in meer bekende termen: in opzet en/of bestaan) hebben we het erg goed voor elkaar. De werking is echter vaak een ander verhaal.

We horen er natuurlijk veel over: het “low hanging fruit”, dat je moet plukken op het moment dat het rijp is. Geen ingewikkelde lange verbetertrajecten maar gewoon een simpele actie opstarten om het te verbeteren. Het controleren van de naleving van de clean desk policy is fruit dat laag hangt en klaar is om te plukken.

Dat het in de praktijk veelal niet gebeurt, komt omdat het blijkbaar niet sexy genoeg is. De manager heeft er geen zin in (hij moet immers wachten tot de laatste medewerkers weg zijn en dan zijn de aardappelen aangekookt). Daarom wordt het veelal belegd bij de beveiligingsbeambte die “toch niets te doen heeft” in de nachtelijke uren (wij weten wel beter natuurlijk).

Op zich kan het best een optie zijn om de beveiligingsbeambtes te verzoeken periodiek een ronde te lopen, maar toch zijn wij er voorstander van om ook een dergelijke ronde te laten lopen door de manager van de afdeling of door de security manager. Die kijken toch weer naar andere zaken en kunnen wellicht risico’s inzichtelijk maken en was het niet zo dat beveiliging een lijnverantwoordelijkheid is? Een dergelijke ronde kun je natuurlijk ook leuk maken. Zorg voor pizza en loop met een aantal managers tegelijk een clean desk ronde, daarna kun je gezamenlijk evalueren en kijken hoe de vlag er bij hangt (en die vlag kan per afdeling flink anders hangen)…je kunt zelfs nog afsluiten met een borrel om er echt een feestje van te maken. Hoe noemen ze het ook weer? Oh ja, het nuttige met het aangename combineren.

Als het ons lukt om een gezonde competitie te creëren tussen verschillende lijnmanagers, ook op het gebied van beveiliging, dan zorgt dat niet alleen voor een beter beveiligingsbewustzijn. Nee, het zorgt er ook nog eens voor dat managers onderling informatie kunnen delen. Ze hoeven niet zelf het wiel opnieuw uit te vinden, het wiel wordt rond dat weten we toch wel.

Voor die organisaties of lezers die toch nog twijfelen. Vraag me gerust, een clean desk ronde op de juiste wijze kan erg leuk zijn…zo leuk zelfs dat ik je er graag bij help.

Clean desk en clear screen

  door

Alle technische maatregelen zijn op zijn plaats en we hebben er goed voor gezorgd dat de informatie beveiligd is. Nu komen we aan bij de hulp die we nodig hebben van de medewerkers. We zijn aanbeland bij de zogenaamde clean desk en clear screen procedure die er aan bij moeten dragen dat de informatie in goede handen blijft.

De vraag:
Geldt er een clean desk en/of clear screen policy (ook voor de draagbare apparatuur, belangrijke geschiedenis, etc.)?

De termen clean desk en clear screen liggen natuurlijk in elkaars verlengde en je zult zien dat de medewerker die zich niet houdt aan de clean desk de clear screen procedure ook niet zo nauw zal volgen. We zullen de medewerkers op hun verantwoordelijkheid moeten wijzen, hier komen dan weer de bewustwordingscampagnes om de hoek kijken en we moeten natuurlijk ook controleren of onze procedure nog een beetje wordt nageleefd.

Kantoren worden steeds meer open instellingen. Het flexibele werken zorgt ervoor dat niemand meer zijn eigen plek heeft (nou ja, die managers die zichzelf belangrijk genoeg vinden hebben natuurlijk nog wel hun eigen kantoortje geregeld). De ene dag zit je links van de gang, de andere rechts. Kastruimte is nauwelijks meer beschikbaar en een ladeblok kunnen we al helemaal vergeten.

Dat heeft voor en nadelen. Zeker als het gaat om de clean desk. Overdag hebben we geen ruimte om de papieren informatie veilig op te bergen, dus die ligt de hele dag op ons buro. Nou ja, ons buro…voor die dag dan. Lopen we even naar de WC of de koffieautomaat dan blijft die informatie daar achter. Iedereen die even snel kan spieken waar we zoal mee bezig zijn. Sterker nog, als iemand informatie wegneemt dan komen we daar pas na een paar dagen achter (als we er al achter komen).

Het voordeel is natuurlijk dat we aan het eind van de dag het buro weer opgeruimd achter moeten laten. Je weet immers nooit waar je morgen mag zitten. De papieren worden in de tas gepropt of weggegooid en er is geen bewijs meer dat jij gisteren achter dat buro hebt gezeten.

Clear screen sluit hier natuurlijk bij aan. Lopen we weer even weg, misschien wil je nog een bak koffie of moet je van al die koffie weer naar de WC, dan blokkeren we onze laptop toch niet? Dat is alleen maar lastig. Komen we terug moeten we ons wachtwoord weer invoeren. Al mijn collega’s zitten hier en die zijn toch wel te vertrouwen? Ja dat mag ik hopen, maar misschien beschik jij over informatie die zij ook graag willen hebben. Of misschien sturen ze voor de gein onder jouw naam een email de organisatie in waarin de hele afdeling wordt uitgenodigd voor gebak op jouw kosten.

Natuurlijk mag je je collega’s vertrouwen (met een lichte argwaan misschien). Maar komen we terug op de open instellingen die kantoren tegenwoordig worden dan weten we niet meer precies wie onze collega is. Is diegene die voorbij loopt niet toevallig een collega van de concurrent? Hoe gemakkelijk kan hij of zij bij de informatie?

Vergeet niet dat je als medewerker verantwoordelijk bent voor de activiteiten die onder jouw inlognaam gepleegd worden. Daar wil je dan toch graag zelf de controle over houden? Het blokkeren van je pc als je even wegloopt is een kleine moeite. Het daadwerkelijk opbergen van de papieren informatie gedurende de werkdag is inderdaad wat lastiger. Misschien een goede reden om met minder geprint werk aan de slag te gaan? Niet alleen goed voor de beveiliging, maar ook voor het milieu. Heb je hele lappen tekst die je moet lezen? Dan kun je een printje maken, de informatie lezen en daarna weer zo snel mogelijk vernietigen. Scheelt je aan het eind van de dag ook nog eens een hoop gezeul met papieren in je laptop tas. Een keer per dag even checken welke informatie je nog echt nodig hebt en de rest door de shredder.

Clean desk en clear screen, beide op papier hele makkelijke procedures. Helaas in de praktijk nog te weinig toegepast. Dan volstaat een periodieke check…een clean desk ronde als alle collega’s lekker naar huis zijn. Niet alleen goed om te doen, maar voor de beveiliging ook nog eens leuk, je weet immers nooit wat je tegen komt.

Een keertje een clean desk ronde uit laten voeren? Bel of mail me gerust, ik kom je er graag bij helpen. Niet om de informatie in te zien, maar om je te wijzen op de risico’s. Hebben we het wel eens over het zogenoemde “low hanging fruit”, dan heb je er hier echt een te pakken. Nou, ik hoor wel van je als we samen een dergelijke ronde uit moeten voeren.

Kinderporno streamen vanaf 1 januari strafbaar

  door

Het real-time bekijken van kinderporno op internet wordt vanaf 1 januari in Nederland strafbaar, zo laat het Ministerie van Justitie weten. De nieuwe wet is een aanvulling op het al bestaande verbod dat het bezit van kinderporno verbiedt (bron).

Je zou toch denken dat dat al jaren geleden verboden was, maar blijkbaar was alleen het in bezit hebben van kinderporno verboden. Er mocht in het verleden dus wel real-time naar gekeken kunnen worden? Ehm, waarschijnlijk is in de destijds opgezette wet nooit rekening gehouden met de real-time mogelijkheden van het internet.

Een goede zaak als je het mij vraagt. Maar met ieder verbod geldt dat het alleen zal werken als er ook op gecontroleerd wordt. Kortom: monitoren die handel en de IP-adressen volgen waar alsnog naar kinderporno wordt gekeken. De controle daarop kan wat mij betreft niet streng genoeg zijn. Was er discussie over minder blauw op straat? Wat mij betreft prima als dat blauw gewoon op het politiebureau blijft om dit soort praktijken op te sporen.