In de beveiligingswereld heerst een licht optimistische stemming. Bij veel bedrijven was de tendens tot nog niet eens zo lang geleden: ‘Wat kan ons nu gebeuren?’ Nu is dit veelal veranderd in: ‘Laten we het maar voor zijn’.
In de pers hebben de voorvallen van data die op straat zijn komen te liggen veel aandacht gehad en hoogstwaarschijnlijk heeft dit geholpen in de koerswijzigingen. Usb-gegevensdragers worden in huurauto’s achtergelaten, pc’s zonder dat ze van data geschoond zijn bij het huisvuil gezet en het archief dat eigenlijk vernietigd had moeten worden ligt bij de oud-papierhandel, de voorbeelden zijn helaas algemeen bekend.
Binnen bedrijven waar governance is ingevoerd lijkt er geen discussie meer te zijn over wie de eigenaar is van data en informatie. Niet de it-afdeling, maar de business is eigenaar van alle gegevens die in de primaire en secundaire bedrijfsprocessen verwerkt worden en worden opgeslagen. De it-afdeling zorgt voor de ondersteunende middelen om de bedrijfsprocessen mogelijk te maken en om de informatie beschikbaar te stellen. Wanneer er sprake is van beveiliging van die informatie, wordt er gek genoeg nog steeds door het businessmanagement verwezen naar de it-afdeling. Voor alle duidelijkheid: de eigenaar van de informatie bepaalt welk classificatielabel er aan gehangen moet worden en wat de beveiligingseisen zijn ten aanzien van de verschillende classificatieniveaus. De it-afdeling kan eventueel helpen met het realiseren van de middelen om het bepaalde beveiligingsniveau te bereiken. Een goed werkend informatiebeveiligingsbeleid is slechts succesvol als het wordt gedragen en geïnitieerd door het hoogste management van een organisatie. Wanneer het wordt uitgedragen door een lager echelon, is het een kansloze missie die gedoemd is te mislukken door tegenstrijdige belangen of om bedrijfspolitieke redenen.
Risico’s
De beweegredenen om de verantwoordelijkheid voor informatiebeveiliging bij de it-afdeling te leggen, lijken ingegeven door de gedachte dat de ‘gevaren’ gevormd worden door it-gerelateerde personen. Van oudsher leeft het beeld van hackers en crackers als nerd-achtige types die in donkere achterafkamertjes, omgeven door computerschermen, lege pizzadozen en redbull-blikjes, dag en nacht in de weer zijn met toetsenborden en onbegrijpelijke scriptcodes. Misschien was dit ooit wel zo, maar tegenwoordig is de hacker een heel andere persoonlijkheid: een niet zo opvallende, misschien ontevreden of teleurgestelde, medewerker in confectiekleding die, gewapend met zijn 60GB mp3-speler, klantenbestanden, projectdocumenten, financiële gegevens en nog veel meer vertrouwelijke bedrijfsinformatie meeneemt naar zijn nieuwe werkgever. De eigen medewerkers vormen van binnenuit de organisatie het grootste ‘gevaar’ voor het opduiken van informatie op plekken waar je het eigenlijk niet zou willen hebben en waar de bedrijfsvoering echte schade door kan oplopen. Is het niet financieel dan wel imagoschade. De technische hulpmiddelen zijn steeds geavanceerder geworden en meer en meer binnen handbereik gekomen ten opzichte van een aantal jaren geleden waardoor een ‘hackerverschuiving’ heeft plaatsgevonden van techneuten naar de ‘gewone’ gebruiker. De slagzin ‘ken uw vijand’ uit het handboek der soldaat blijkt dus echt op zijn plaats.
De noodzaak voor controle over usb-poorten, infrarood, Bluetooth en dvd-branders is dan ook zeker aanwezig. Het hoogste businessmanagement moet als eigenaar van de informatie en als belanghebbende voor vertrouwelijkheid, integriteit en beschikbaarheid van die gegevens initiëren dat deze controle opgezet wordt. Enerzijds omdat het belang van beveiliging bij hen ligt en anderzijds omdat de maatregelen impact hebben op de dagelijkse uitvoering en gang van zaken op de werkvloer.
Maatregelen
De weg van de minste weerstand is uiteraard het blokkeren van de toegangspoorten, maar veelal staat dit in de weg van efficiënte bedrijfsprocessen, of is het gewoonweg technisch niet mogelijk. Een andere oplossing zou zijn een beheersysteem te implementeren waarmee per gebruiker, groep of werkplek bepaald kan worden voor wie, wat toegestaan is. In ieder geval moet er toezicht gehouden worden op alle activiteiten en moeten deze gelogd worden, zodat verdachte kopieertransacties direct of achteraf opgespoord kunnen worden. Naast technische maatregelen is het essentieel dat de gebruikers van informatiesystemen bewust worden gemaakt van hun cruciale rol in informatiebeveiliging. Alle technische en organisatorische maatregelen ten spijt, als de gebruiker gevaren niet kan herkennen en niet weet hoe hij of zij daar mee om moet gaan worden alle goede maatregelen ondermijnd. Awareness-trainingen zijn daarom minstens zo belangrijk als het doorvoeren van vele, meestal kostbare, technische maatregelen.
Conclusie
Dat informatiebeveiliging steeds meer op de agenda staat is een goede ontwikkeling. Jammer is dat dit vaak vanuit de it-afdeling wordt geïnitieerd of dat het naar it-afdeling wordt afgeschoven als ‘hun speeltje’ en dat niet het businessmanagement haar verantwoordelijke rol hierin neemt. Daar ligt toch het eigenaarschap en het belang vertrouwelijke, integere en beschikbare informatie. Bovendien gaat het gevoerde beleid niet zo snel ten onder als het gedragen en uitgedragen wordt door het hoogste management. De gevaren in de huidige wereld zien er anders uit dan een aantal jaren geleden en het is eenvoudiger voor de gewone gebruiker om bewust of onbewust ongezien grote hoeveelheden data van en naar het bedrijfsnetwerk te kopiëren met alle denkbare gevolgen van dien. Gelukkig kunnen deze nieuwe gevaren grotendeels worden afgevangen door het controleren en beheren van de in- en uitgangen van pc’s en laptops en door het bewust maken van de gebruikersorganisatie. Want hoe kun je voorkomen dat je iets verkeerd doet als je niet op de hoogte bent van het gevaar en de gevolgen?
Peter Westerveld, Sincerus Consultancy