Het management van een organisatie is verantwoordelijk voor het security beleid. Maar de gebruiker draagt net zo goed verantwoordelijkheid. Gebruikers moeten er zich bewust van zijn dat ze met gevoelige data omgaan en zorgen dat ze handelen volgens richtlijnen en met gezond verstand.
Een paar jaar gelden was security rond gebruikers nog vooral gericht op hardware met dingen als fingerprint readers en incripted harddisks. Die zaken zijn nu vaak standaard. Inmiddels is security veel meer gericht op softwarematig beheer op afstand. Echter, in alle gevallen blijven de gebruikers de zwakste schakel en spelen zij een cruciale rol. Dit wordt nog versterkt door de opkomst van smartphones en tablets.
Hoe vaak hoor je niet dat het business platform helemaal is dichtgetimmerd en dat gebruikers op hun notebook, tablet of smartphone enorm beperkt worden in hun doen en laten? Er ontstaat dan een soort schijnveiligheid. Veel gebruikers gaan namelijk hun flexibiliteit zelf weer opzoeken. Hoe meer ze hardware- en softwarematig opgesloten zitten, des te meer ze vechten voor vrijheid. Bijvoorbeeld door documenten door te mailen naar privé-adressen, daar te bewerken en weer terug te sturen.
Het management, dat verantwoordelijk is voor security, moet dus niet krampachtig proberen te controleren en daarmee de communicatie- en informatie- stromen binnen een bedrijf beperken. Dat laat alleen maar zien dat de security-verantwoordelijke zijn eigen positie aan het indekken is. Het betekent natuurlijk niet dat we alles maar de vrije loop moeten laten. Proactief veilig handelen is het devies. Security van buiten naar binnen is wel degelijk afhankelijk van het zo veel mogelijk dichthouden van alle deuren. Maar security van binnen naar buiten gaat over communicatie, vertrouwen en common sense. De interne rol van de chief security officer (cso) moet dan ook vooral liggen in de communicatie naar de gebruikers. Vanzelfsprekend gebeurt dit in nauwe samenwerking met de cio.
Daarnaast worden veiligheidsrisico’s bij veranderingen vaak onderschat. Denk daarbij aan fysieke verplaatsingen, overdrachten, ingebruikname, of juist het afvoeren van datagevoelige apparatuur. Voor het dagelijks gebruik is meestal wel een volledig gebruikersprotocol beschikbaar dat aangeeft hoe te handelen. Maar juist in het schemergebied voorafgaand aan inzet of na buitengebruikstelling schuilen de gevaren. We hebben het dan bijvoorbeeld over overdrachten van it-apparatuur binnen en buiten het bedrijf. Bijvoorbeeld bij outsourcing-situaties waar de hardware eigendom is van het bedrijf, heb je te maken met veel fysieke overdrachten, verantwoordelijkheidsoverdrachten en eigendomsoverdrachten in een korte periode.
Voor deze situaties ontbreekt meestal een protocol. In zo’n geval wordt vaak een beroep gedaan op een organisatie die gespecialiseerd is in het correct en veilig begeleiden en uitvoeren van dit proces. Er wordt dan een strak proces opgezet dat een combinatie is van logistiek en fysieke en softwarematige data security. Het moet volledig transparant en administratief waterdicht zijn en voldoen aan de milieunormen en kostenefficiëntie.
Voor het uitvoeren van de data security kan gebruik worden gemaakt van allerlei producten – van gecertificeerde datavernietigingssoftware, tot inzet van afsluitbare containers, degaussers (een soort super magnetron die datadragers vernietigt), destructadrives (die harddisks ombuigen) en shredders die alle materialen reduceren tot kleine snippers. Elk product heeft zijn eigen veiligheidsniveau en kostprijs.
Goede discussie. Wie heeft de verantwoordelijkheid?
Mijn ervaring is dat vroeger security iets was van ICT en dat we technisch zaken probeerden dicht te timmeren. Bij mainframe eenvoudig mogelijk, bij client/server-omgevingen al lastiger. En daar kreeg je dan de krampachtige situaties dat je op de dekstop als gebruiker bijna niets mocht. Met de komst van Internet en PDA’s bleek dat dit model niet meer houdbaar. De uitwisseling van informatie was niet meer te stoppen, maar ook is de locatie van informatie steeds moeilijker te bepalen (denk cloud).
En de verantwoordelijkheid van security verplaatste daarmee ook van de ICT afdeling naar de CIO of informatiemanagers. En dat maakt het toepassen soms lastig: want technisch kan veel afgedwongen worden door ICT, maar er ligt ook een rol van de individuele gebruiker. En van de CIO/CSO om de gebruiker daar op te wijzen. In de praktijk zie ik een gecombineerde top-down / bottom-up aanpak het beste werken. Het management moet achter security staan en bepaald beleid afdwingen. En ICT kan een aantal technische zaken facliteren of juist onmogelijk maken. En dan ontstaat ook de discussie over ‘control’: wat kan je afdwingen en waar mag je op vertrouwen? Ik denk dat dat heel erg afhangt van het soort informatie.
Wat zijn de ervaringen van anderen?