Het beveiligen van gegevens staat tegenwoordig hoog op de agenda. Toch heb ik recent meerdere omgevingen gezien waar de zaken, voor wat betreft toegang tot content en informatie, zeer slordig zijn ingericht.
Een voorbeeld: er wordt tegenwoordig op grote schaal gebruik gemaakt van scanapparatuur (ook wel multifunctionals genoemd) die is gekoppeld aan het bedrijfsnetwerk. Na het scannen van een document wordt dit ergens op een fileserver geplaatst. De plek waar de digitale versie van het document terecht is gekomen, blijkt een vergaarbak van alle scans van het bedrijf te zijn. Je komt hier dus ook vertrouwelijke documenten tegen. Zo kon ik eenvoudig een document openen dat ging over het benaderen van de markt van het bedrijf, met het beoogde marktaandeel, aandelenuitgiftedatum en meer. Deze informatie kan zeer interessant zijn voor anderen. Ik heb deze situatie gemeld. Ik ben benieuwd of ze er iets mee gedaan hebben.
Bovenstaand voorbeeld is maar één van de problemen met het beveiligen van content en informatie. Volgens mij zijn er genoeg mogelijkheden, als je voorgaand voorbeeld erbij pakt, om een betere beveiliging in te richten. Koppel de multifunctional met de gebruikersdatabase of stuur alleen e-mail met het resultaat van de scan naar een vooraf opgegeven e-mailadres. Je kunt nog verder gaan door eerst op de multifunctional te moeten inloggen. Op die manier is de gebruikersessie op het apparaat gekoppeld aan het netwerkprofiel van de gebruiker. Naast deze mogelijke oplossingen kan ik me voorstellen dat er vele andere oplossingen zijn bij het koppelen van documenten aan gebruikersprofielen om in ieder geval te zorgen dat niemand anders dan de gebruiker die de scanactie gedaan heeft het resultaat ervan mag bekijken.
Het grootste probleem is het informatiemanagement van een bedrijf. In veel gevallen is dit niet op orde. De mensen die er over gaan, moeten erkennen dat informatie een zeer belangrijk onderdeel is en dat intensieve en continue aandacht nodig heeft.
Misschien is bovenstaand voorbeeld een incident, maar ik heb het vermoeden dat deze problemen bij meerdere bedrijven spelen. Iedere informatiemanager zou over een analyse van zijn/haar omgeving moeten beschikken. Ik heb het dan over een bedreigingsanalyse. Deze wordt ook wel ‘threat analysis' genoemd.
In softwareontwikkeling zijn er methoden voor bedacht. Ik denk dat deze prima kunnen worden overgenomen door de ecm-branche. Een methode die ik ken en gebruik is de security development lifecycle (sdl). Binnen deze methode bestaat er zoiets als ‘threat modeling and testing'.
In het kort is dit het in kaart brengen van mogelijke zwakke punten in het ontwerp van een toepassing op onder andere infrastructuur- en componentniveau. Ik heb het vermoeden dat deze manier van werken ook goed toe te passen is op het ontwikkelen van een ecm-architectuur. Ik denk dat zoiets als sdl verplichte kost voor een informatiemanager is. In ieder geval krijg je een beter gevoel voor kwetsbare elementen binnen de oplossing en kun je er dus naar handelen.
Afgezien van methoden en technieken is menselijke inbreng natuurlijk de grootste bedreiging.
