Hoe kunnen bedrijven er in een digitaliserende wereld voor zorgen dat hun bedrijfsinformatie zo goed mogelijk beschikbaar is, maar ook voldoende beveiligd? In een onderzoek dat Canon en Computable hebben verricht, geven zes op de tien it-professionals aan dat de beveiliging van bedrijfsprocessen en informatie goed op orde is.
Dezeinformatie lijkt echter haaks te staan op de ervaringen van gebruikers, die aangeven dat ze regelmatig gevoelige informatie onder ogen krijgen. Als het gaat om de beveiliging van informatie, is er nog een wereld te winnen.
Om te voorkomen dat vertrouwelijke bedrijfsinformatie op straat komt te liggen, is goede beveiliging van documenten van groot belang. Zo kon het kort geleden nog gebeuren dat door een omvangrijk veiligheidslek bij de politie tientallen vertrouwelijke documenten uit rechercheonderzoek online kwamen te staan. Naderhand bleek dat een systeembeheerder van de politie de documenten op een onbeveiligd deel van het internet had geplaatst. Uit dit voorbeeld blijkt nog maar eens dat beveiligingslekken grote gevolgen kunnen hebben.
Zo is het beschermen van de intellectuele eigendommen van een organisatie van groot belang. Hierbij kan het gaan om documenten als contracten, financiële ramingen, strategische documenten en salarisgegevens. Als zulke vertrouwelijke informatie in verkeerde handen valt, kan dit op verschillende manieren negatief uitpakken voor een onderneming. Als organisaties hun documentbeheer niet goed hebben verankerd in de bedrijfsvoering kunnen de gevolgen en de reputatieschade groot zijn. Om nog te zwijgen van de juridische stappen die klanten kunnen ondernemen als hun belangen zijn geschaad.
Niet op de agenda
Het belang van een goed beheersbare oplossing neemt alleen maar toe. Zoals door de opkomst van de cloud en byod, waarbij steeds meer medewerkers op kantoor met hun eigen devices werken. Maar deze ontwikkelingen brengen ook risico’s met zich mee, doordat lang niet alle gebruikers zich aan de elementaire beveiligingsinstellingen houden.
Het belang van een goede documentbeveiliging begint bij de top van organisaties en zou in de boardroom hoog op de agenda moeten staan. Dit is echter lang niet altijd het geval. Uit eerder onderzoek blijkt dat slechts 18 procent van de Europese bedrijven erkent dat inbreuken op vertrouwelijke bedrijfsinformatie een issue zijn. 28 procent vindt het zelfs van ondergeschikt belang. Vier op de tien medewerkers krijgen echter regelmatig bedrijfsgevoelige informatie onder ogen en een derde zelfs dagelijks of maandelijks. Dat is een gegeven waarmee organisaties rekening moeten houden. Zo kun je documentbeveiliging niet alleen baseren op goed vertrouwen, maar moet dit duidelijk zijn vastgelegd in richtlijnen die bij alle, ook tijdelijke, medewerkers bekend zijn.
Gevoelige informatie op de printer
De volgende stap is het beveiligen van het bedrijf tegen zowel interne als externe risico’s van het lekken van gevoelige informatie, onder meer door een gerichte inzet van it en printerbeveiliging. Het beschermen van computers is immers een halve maatregel als je de toegang tot de printer niet beschermt. De printer wordt echter vaak vergeten als het gaat om documentbeveiliging. Zo is het gebruik van multifunctionele printers bij maar liefst zes op de tien bedrijven niet goed of helemaal niet beveiligd. Met als gevolg dat vertrouwelijke documenten van medewerkers tussen de prints van collega’s kunnen belanden.
Ruim een derde van de medewerkers heeft wel eens gevoelige informatie op de printer zien liggen. Ook zegt ruim een vijfde het normaal te vinden om informatie te lezen die iemand heeft achtergelaten op de printer of copier. Slechts 28 procent van de bedrijven heeft oplossingen voor printbeveiliging ontwikkeld. Hoewel de meeste medewerkers denken dat juist via e-mail de kans groot is dat vertrouwelijke informatie kan uitlekken, scant maar liefst 59 procent naar e-mail of desktop. 32 procent scant wel rechtstreeks naar een beveiligde omgeving.
Talrijke beveiligingsopties
De gebruikers spelen zelf dus een cruciale rol bij de beveiliging van informatie. Om gebruikers te helpen zorgvuldig met gevoelige bedrijfsinformatie om te gaan, zijn er veel methodes om documenten en systemen te beveiligen. De printer kan bijvoorbeeld worden afgeschermd met een wachtwoord of met een pasjessysteem om te controleren wie wat en wanneer print. Zo is het mogelijk om in te loggen met een afdeling-id, gebruikers-id of single sign on (sso). Er kan software op de server worden geïnstalleerd die inzicht geeft in wanneer en door wie een document is geraadpleegd, veranderd, verplaatst of verstuurd met behulp van print, scan of fax. Sommige oplossingen ondersteunen de Triple Data Encryption Standard om documenten te beveiligen tegen ongeautoriseerde toegang van binnen of buiten de organisatie.
Software helpt ook bij het instellen en toepassen van autorisatie voor elektronische documenten om zo de integriteit hiervan te waarborgen. De eigenaar van het document beheert deze instellingen en ziet er op toe dat onbevoegden niet de kans krijgen om toegang tot de informatie te krijgen. Eenvoudigweg door in te stellen wie het document mag openen, bewerken en beheren, maar bijvoorbeeld ook mag printen.
Ook zijn er oplossingen waarmee gebruikers documenten naar het netwerk sturen en de printopdracht vrijgeven als ze zelf bij een printer staan. Dit kan een printer zijn op een andere verdieping, in een ander gebouw, een andere stad of zelfs een ander land. Zo wordt voorkomen dat geprinte documenten onbeheerd worden achtergelaten bij een printer en door de verkeerde persoon worden opgehaald.
Een zogenoemde Document Scan Lock Kit voorkomt het scannen of kopiëren van documenten met gevoelige data en ook kunnen vertrouwelijke documenten met behulp van encryptie of als signed pdf worden beveiligd. Ook is er een microchip op de markt – de Trusted Platform Module – die misbruik van gebruikersgegevens, zoals inlognamen en wachtwoorden, door onbevoegden kan voorkomen.
Clean desk policy
Welke methode ook voor de beveiliging van printers en scanner wordt toegepast, dit moet altijd samengaan met een zorgvuldige omgang met documenten op de werkvloer. Zo kunnen documenten soms enige tijd op een printer liggen en door de verkeerde persoon worden meegenomen. Door een ‘clean desk policy’ kunnen organisaties ervoor zorgen dat medewerkers zich hiervan bewust zijn en discreet omgaan met gevoelige informatie.