Tag: vertrouwelijke informatie

Het communiceren over vertrouwelijke informatie

  door

Communiceren is een vak, dat mogen we inmiddels toch wel zeggen. We hebben nagedacht over de wijze waarop we over beveiliging en incidenten communiceren en eerder hebben we al voorschriften opgesteld voor de behandeling van vertrouwelijke informatie. Maar goed, het kan zomaar zijn dat we vertrouwelijke informatie toch ook eens moeten delen, dat we er over moeten communiceren.

De vraag:
Wordt er bij iedere communicatie-uiting op gelet dat geen vertrouwelijke informatie of informatie over de beveiligingsmaatregelen wordt gecommuniceerd?

Misschien denk je direct dat we onze vertrouwelijke informatie en informatie over beveiligingsmaatregelen niet aan de grote klok gaan hangen. Dat gaat niemand wat aan, toch? Toch zijn er situaties te bedenken waarbij we wel degelijk vertrouwelijke informatie of informatie over beveiligingsmaatregelen moeten delen. Op zich ook geen probleem, als we er maar controle over houden en als we er maar over nadenken wat we dan inhoudelijk communiceren. Misschien willen we de details wel voor onszelf houden, maar op een hoger abstractieniveau kunnen we misschien wel over de meta-data communiceren.

Het wordt inmiddels wat cryptisch, dus een concreet voorbeeld verduidelijkt de boel. Jaren geleden wilden organisaties niets kwijt over het feit dat ze gebruik maakten van een firewall tussen hun eigen netwerk en het internet. Dat was geheime informatie en mocht zeker niet op straat terecht komen. Door de jaren heen is iedere organisatie gebruik gaan maken van firewalls. Het feit dat je over een firewall beschikt is gemeengoed geworden, niets geheims meer aan. Toen dat onderkend werd was het nog een groot geheim welk merk firewall je dan eigenlijk inzette, maar die informatie verliest ook meer en meer het vertrouwelijke karakter. Zo geheim is het niet meer dat je gebruik maakt van Checkpoint of Juniper (of weet ik welke merken er zoal bestaan). Nee, nu zijn het met name de instellingen die we niet op straat willen hebben, we willen niet dat iedereen zomaar het patch-level weet, we willen niet dat iedereen gemakkelijk de openstaande poorten kan zien, we willen niet dat iedereen de inlognaam en het wachtwoord kan achterhalen.

Borduren we hier nog even op voort dan zien we dat dit bijvoorbeeld een situatie is waarbij we over vertrouwelijke informatie of informatie over beveiligingsmaatregelen moeten communiceren. Willen we een nieuwe firewall aanschaffen dan is het toch wel een goed plan om daarover te communiceren met mogelijke leveranciers. Besteden we een dergelijke aankoop niet aan en hoe weten ze anders wat ze straks moeten leveren?

De kunst is om niet de details bloot te geven maar wel duidelijk te zijn over de functionaliteiten die je er straks van verwacht. We zullen een dergelijke leverancier in vertrouwen moeten nemen, maar dat kan alleen als daar een basis van vertrouwen voor is.

Het communiceren over vertrouwelijke informatie of over beveiligingsmaatregelen kan dus noodzakelijk zijn, dat is ook geen probleem als we daar de controle maar over houden. Niet communiceren over de details dus, maar wel over de functionaliteiten. Daarvoor hebben we dan wel inzicht nodig in de informatie die wij als vertrouwelijk zien…maar daar hebben we in een eerder stadium al over nagedacht en die voorschriften werken inmiddels feilloos, toch?

Omgang met vertrouwelijke informatie

  door

De voorschriften voor informatie en vertrouwelijke informatie zijn opgesteld. Hopelijk hebben we het aantal velletjes papier kunnen minimaliseren zodat het allemaal nog goed leesbaar (en begrijpelijk) blijft voor degene die er echt mee moeten werken: de medewerkers.

Kunst is nu om deze voorschriften in te voeren, de bijbehorende vraag is niet voor niets:
Is bij de medewerkers duidelijk welke informatie als vertrouwelijk behandeld dient te worden?

Het lijkt misschien een simpele vraag maar het antwoord is toch wat lastiger. Enerzijds moeten de voorschriften er dus zijn, anderzijds moeten de voorschriften ook nog bij de medewerkers bekend zijn. Zijn ze bij de medewerkers bekend dan moeten ze ook nog duidelijk zijn en moeten we er vervolgens nog voor proberen te zorgen dat er gewerkt wordt conform deze voorschriften. Kennis, houding en gedrag, succes ga er maar aan staan.

De voorschriften plaatsen we natuurlijk op onze intranetomgeving en nieuwe medewerkers krijgen een afschrift zodra ze in dienst treden. En klaar is Kees. Theoretisch zouden de medewerkers nu inderdaad de kennis moeten kunnen hebben. Je leest al uit de zin hoe voorzichtig die geformuleerd is. Een nieuwe medewerker krijgt de eerste paar dagen zoveel informatie over zich heen dat dit voorschrift er even bij in is geschoten. De medewerker die op het intranet kijkt verzuipt ook letterlijk in alle informatie waardoor de kans erg klein is dat hij bij ons voorschrift terecht komt.

Medewerkers die actief zoeken op de classificatie van vertrouwelijke gegevens kunnen de voorschriften waarschijnlijk nog wel vinden. De rest van de organisatie weet niet van het bestaan af. Helaas, we kunnen denken dat dat anders is, maar dat is niet het geval. Weet jij wat voor informatie er allemaal beschikbaar is op het intranet van je organisatie? Kleine kans dat je alle informatie al eens gelezen hebt. Grotere kans dat je de informatie hebt gelezen die voor jou interessant is…en beveiligingsonderwerpen horen daar voor de meeste medewerkers nu eenmaal niet bij.

De beveiligingsbewustzijnsprogramma’s kunnen zeker van invloed zijn op de bekendheid met de regels en voorschriften. Maar dan wel goede programma’s die zich richten op kennis, houding en gedrag. Een poster aan de wand volstaat niet en de sociaal wenselijke nulmetingen brengen ook vaak niet veel helderheid.

Begrijp me niet verkeerd, ik ben zeker geen tegenstander van bewustzijnsprogramma’s, maar in vind het wel weggegooid geld als we voor meer dan 100.000 euro aan posters, e-learningen, etc. spenderen als het niet echt bijdraagt aan de verbetering van de beveiliging. Het bewustzijnsprogramma moet onderdeel zijn van een groter geheel, het moet onderdeel zijn van de beveiligingscultuur. Een dergelijke cultuur bereiken is vele malen moeilijker, kost jaren continue inspanning en is dan ook nog een afgeleide van de totale organisatiecultuur (waar we vanuit beveiliging weinig invloed op hebben in de praktijk).

Een cultuur verander je niet, de mensen in de organisatie maken een cultuur. Door de mensen (door de jaren heen) te veranderen, verandert uiteindelijk de cultuur. Zoals ik al schreef: succes, ga er maar aan staan. Moeten we het dan maar niet proberen? Nee, natuurlijk niet, we moeten er juist ons stinkende best voor doen zodat we er over een aantal jaren de vruchten van plukken. Beginnen we er nu niet aan dan wordt de drempel alleen maar hoger en zal het er wel nooit meer van komen om de organisatie beveiligingsbewust te maken.

Fysiek vernietigen harde schijf laat data achter

  door

Het fysiek vernietigen van een harde schijf is geen gegarandeerde beveiligingsmethode dat aanwezige gegevens ook echt weg zijn…Uit onderzoek van Ontrack zou blijken dat slechts 49% van de bedrijven systematisch gegevens wist. Daarvan doet 85% dit niet op veilige wijze…“Driekwart van de bedrijven verwijderen bestanden, herformatteren of vernietigen schijven, of “weten niet” hoe zij vertrouwelijke gegevens wissen (bron).

Natuurlijk zou ik in kunnen gaan op hoe onveilig dit wel niet is, maar volgens mij is dat wel duidelijk. Toch moeten we het één en ander nuanceren. Je kunt natuurlijk discussiëren over vertrouwelijkheid en wat dat nu helemaal is. Maar feit blijft dat het merendeel van de organisaties geen duidelijke classificatie schema’s voor informatie heeft en als ze ze al hebben worden ze door de medewerkers niet goed toegepast.

We weten dus helemaal niet wat voor onze organisatie vertrouwelijk is, waar dat ligt opgeslagen en hoe dat wordt vernietigd. Voordat we dus willen weten of het veilig vernietigd wordt zullen we eerst moeten achterhalen welke gegevens ons nu echt kunnen schaden. Daarbij moet intern eerst de vertrouwelijkheidsdiscussie gevoerd worden. Laten we eerlijk zijn: een staatsgeheim van Defensie is vele malen meer vertrouwelijk dan het recept van de plaatselijke oliebollenbakker. Maar is dat wel zo? Eén staatsgeheim dat uitlekt via bijvoorbeeld een Wikileaks is natuurlijk knap lullig en kan een grote impact hebben voor Nederland. Maar als de oliebollenbakker die al jaren op 1 in de AD oliebollentest staat zijn recept kwijt raakt dan kon het best wel eens zo zijn dat hij volgend jaar de test niet wint…zeg het maar: welke impact is groter? Is maar net vanuit welk oogpunt je het bekijkt natuurlijk.

Kortom: voordat we echt ingaan op het veilig vernietigen van informatie moeten we het wel steeds blijven nuanceren. We moeten eerst nadenken over welke informatie we nu echt vertrouwelijk vinden en leggen dat vast in classificatieschema’s. Dan leren we het personeel hoe daar echt mee moet worden omgegaan en we zijn al een stuk verder. We vernietigen ook niet alle papieren documenten door te te shredderen, daar maken we ook onderscheidt. Waarom zouden we dat met digitale informatie dan niet doen?

Maar goed, omdat we hier ook graag oplossingen aandragen. Wat dan wel veilig is, volgens Ontrack?
Volgens hem zijn een degausser of speciale datavernietigingssoftware de veiligste methoden voor het verwijderen van gegevens. Een zeer populair programma voor het verwijderen van gegevens op mediadragers is het gratis Darik’s Boot And Nuke (DBAN), dat zowel vanaf een cd als USB-stick is te starten.