Tag: draagbaar

Aanvullende maatregelen voor draagbare en verwijderbare media

  door

Nu we gezien hebben dat de draagbare en verwijderbare media niet meer zijn weg te denken moeten we doorpakken naar de risico’s die dat met zich meebrengt. Hebben we die risico’s in kaart dan kunnen op basis daarvan besluiten er iets aan te doen of de risico’s gewoon te accepteren.

De volgende vraag is dan ook niet echt een verrassing:
Zijn er aanvullende maatregelen genomen om de informatie op draagbare en verwijderbare media te beschermen (encryptie, wisprocedures, kluis, etc.)?

Het is een gegeven dat er draagbare media zijn en dat er media door medewerkers in gebruik zijn die niet onder onze controle staan. Dat gegeven kunnen we accepteren maar dan lopen we enorme risico’s met onze informatie. We moeten deze risico’s inzichtelijk maken en aan het management voorleggen. Zij kunnen er vervolgens een oordeel over vellen.

Het gaat hier te ver om structureel alle bijbehorende risico’s in kaart te brengen. We pakken er een aantal uit en laten de rest over aan jouw eigen inbeeldingsvermogen. De vraag omvat al wat maatregelen waar uiteraard risico’s bijhoren: encryptie, wisprocedures en kluizen.

Het zal je niet verrassen dat encryptie met name bedoeld is om de exclusiviteit van de informatie te waarborgen. We willen niet dat iedereen zomaar bij de informatie kan als een medium verloren wordt. Te vaak hebben we al in het nieuws gehoord dat een USB-stick gevonden en bij een krant ingeleverd is.

De wisprocedures gaan ook in op exclusiviteit, maar ook bijvoorbeeld op de integriteit van de informatie. Waar is de meest actuele informatie beschikbaar? Nemen we beslissingen op basis van de juiste informatie of is de informatie inmiddels al lang achterhaald? Niet alle informatie hoeft voor eeuwig bewaard te worden, sommige informatie is na verloop van tijd echt niet meer nodig. Weggooien dus…of, begrijp me niet verkeerd: wissen dus en dan het liefst op een veilige manier.

De draagbare media verlaten ons gebouw. Maar waar worden deze opgeslagen? Liggen ze in de auto van een medewerker, zit het in een jaszak of ligt het thuis op de keukentafel? Als het om vertrouwelijke informatie gaat is het goed om na te gaan waar die mogelijk wordt opgeslagen. Een kluis kan een maatregel zijn om diefstal te bemoeilijken…maar er zijn natuurlijk ook andere maatregelen te bedenken.

Andere risico’s waar je aan kunt denken zijn de opslag en toegankelijkheid van de gegevens. Slaan medewerkers hun documenten op op de C-schijf van hun laptop of is deze informatie centraal beschikbaar? We willen wel dat we over de informatie kunnen beschikken als dat nodig is. Met het nieuwe werken zien we dat meer informatie lokaal wordt opgeslagen, hoe gaan we om met de back-up van die gegevens? Kunnen andere medewerkers ook bij die gegevens als onze medewerker lekker van zijn of haar vakantie geniet? Zomaar wat vragen om eens over na te denken. Ja maar wij werken met Sharepoint of op een andere manier “in the cloud”…prima, maar is alle relevante informatie daar ook opgeslagen dan?

Het probleem (of voor diegene die dat liever hebben: de uitdaging) is niet zozeer de draagbare media maar het feit dat de gegevens en informatie daarmee dus ook draagbaar worden. Ze zijn niet meer binnen de muren van ons gebouw aanwezig maar kunnen zich overal op de wereld bevinden. Een risico? Ja zeker. Moeten we daar tegen zijn? Nee, absoluut niet, dan worden we een 1.0 beveiliger en dat is wat we nu juist willen voorkomen, toch?

Draagbare en verwijderbare media

  door

Kun je het je nog herinneren? Die mooie floppy’s waar 512kb en later zelfs 1,44mb op kon? Grote kans dat je nog een handtekening moest halen wilde je een doosje met floppy’s krijgen. Het opslaggeheugen is tegenwoordig niet meer aan te slepen. Een simpele USB-stick heeft al snel 4 gigabyte en willen we er iets meer aan uitgeven dan lopen die gigabytes al snel op tot ongekende hoogtes.

Als dat opslaggeheugen het probleem niet meer is, dan moeten we daar vanuit beveiligingsoptiek ook iets mee (al moeten we dat al jaren natuurlijk). De volgende vraag moeten we beantwoorden:
Zijn de eisen ten aanzien van informatie op draagbare en verwijderbare media (laptops, pda’s, mobiele telefoons, usb-sticks, tapes, diskettes, etc.) inzichtelijk?

Hoe gaan we als organisatie om met draagbare media? Mogen alle soorten media aangesloten worden op het netwerk? Waar slaan we de informatie op en hoe houden we daar dan nog controle over? Leuke vragen, moeilijker te beantwoorden.

Lange tijd hebben we de USB-poorten dicht gezet en mochten alleen de standaard laptops op het netwerk worden aangesloten. Met de nieuwe trend; “bring your own” laten we deze maatregelen nu al massaal los. We zien besparingen en het sluit aan bij het nieuwe werken. Interessante ontwikkelingen waar zeker wat voor te zeggen is, maar vanuit beveiligingsoptiek kan het tot hoofdpijn (of erger) leiden.

We zullen de eisen die we stellen als organisatie dus inzichtelijk moeten maken. Besluiten we om te gaan voor dat “bring your own”-principe, dan moeten we de eisen daarop aanpassen. Makkelijker gezegd dan gedaan en veelal komen we er te laat achter dat dergelijke keuzes ook nog impact kunnen hebben op de beveiliging van de informatie.

Enerzijds is het dus zaak om betrokken te raken bij dergelijke keuzes omdat men anders niet weet dat wij er ook nog iets over willen roepen. Anderzijds is het belangrijk om ontwikkelingen niet in de weg te staan. Hoe vaak worden we als beveiliging niet lastig gevonden omdat we stoïcijns “nee” roepen bij nieuwe ontwikkelingen? Juist, weet men dus al dat ze ons moeten betrekken dan moeten we er ook voor zorgen dat ze ons erbij willen betrekken. Niet door dwars te liggen, maar door een constructieve bijdrage te leveren.

Ogenschijnlijk willen we deze ontwikkelingen helemaal niet want ze brengen grote risico’s met zich mee. De 1.0 gedachte van beveiliging, zullen we maar zeggen. Redeneren we meer vanuit een 2.0 gedachte dan dragen we bij aan zulke ontwikkelingen, we juichen ze toe en brengen de risico’s overzichtelijk in kaart. We roepen niet “nee”, we roepen veel eerder “ja”. Alles mag, als het maar veilig is…of anders de risico’s geaccepteerd worden.

Draagbare en verwijderbare media zijn niet meer tegen te houden. We kunnen daar lang over discussiëren, maar wat mij betreft is het een gegeven. Misschien is het nu een mooie tijd om de door ons opgestelde eisen aan draagbare en verwijderbare media weer eens tegen het licht te houden. Wacht daar niet te lang mee want dan lopen we echt achter de feiten aan en worden we ingehaald door andere ontwikkelingen als het nieuwe werken, het werken in “the cloud” en ga zo nog maar even door.