Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Zo laat je chatplatforms je documenten niet gijzelen

Nu telewerken de norm is, communiceren we met de collega’s massaal digitaal. In een businessomgeving zal je nog niet zo snel Telegram of Signal als samenwerkingstool tegenkomen. Daar zijn chatplatformen zoals Slack en Teams goed ingeburgerd. Maar je kan je afvragen of het delen van professionele data via die kanalen veilig is.

Er zijn aan Slack en Teams veel voordelen verbonden. Ze zijn toegankelijk en gemakkelijk te installeren. Over de end-to-end-versleuteling hoef je je ook niet te veel zorgen te maken. In het slechtste geval zou je je nog kunnen afvragen wie de versleuteling in handen heeft. Meer zorgen kun je hebben over de privacy. Is het je opgevallen dat, Slack en Teams eenmaal geïnstalleerd, veel van de chatapps onmiddellijk contacten uit jouw vriendenkring voorstellen of met wie je professioneel gelinkt bent via bijvoorbeeld LinkedIn. Uiteraard zal dat ergens in de kleine lettertjes van de gebruiksvoorwaarden staan, maar eerlijk: wie leest die? We klikken snel op ‘akkoord’ en gaan ermee aan de slag.

Uh, WhatsApp doc?

"Het is beter om je te concentreren op de data en de datahygiëne binnen je bedrijf"

Het is aan te raden om bij het gebruik van deze apps toch eens stil te staan. Ze verbinden in deze moeilijke periode wel jouw medewerkers, maar wat met jouw (kritieke) data of concepten over een innovatief idee? Kunnen die zomaar gedeeld worden? En heb je op elk moment een overzicht wie wat deelt? Via welk toestel? Want in geval van verlies of diefstal, heeft de it-dienst geen vat meer op wat er in die chatprogramma’s gedeeld is. Bij een gestolen bedrijfslaptop of smartphone kan de it-dienst nog vanop afstand alles vergrendelen en de bedrijfsapplicaties en data wipen. In WhatsApp lukt hen dat niet.

Het gebruik compleet verbieden is niet haalbaar, tenzij je een goed alternatief kan aanbieden dat wel voldoet op vlak van gebruiksgemak, veiligheid en beheer. Het is daarom beter om je te concentreren op de data en de datahygiëne binnen je bedrijf. Data-governance met dataclassificatie geeft je opnieuw de touwtjes in handen. Een simpele dataclassificatie kan bijvoorbeeld slechts drie categorieën bevatten: bruikbaar, confidentieel, secret. Maar je kan dit ook uitbreiden door enkel bepaalde profielen toegang te geven tot een categorie of beperkt in tijd en ruimte. In theorie lijkt dataclassificatie eenvoudig, maar in de praktijk is het niet zo evident. Zeker nu we in terabytes rekenen in plaats van megabytes.

Toch is data-governance cruciaal. Het gaat verder dan classificatie. Het doet je ook stilstaan bij hoe je bedrijfsdata mag en kan delen. Het brengt het gehele dataproces in kaart en het zorgt ervoor dat je tevens kan monitoren en bij audits kan rapporteren. In een worstcasescenario is het track & trace-luik belangrijk voor de bewijslast bij een eventueel datalek. Heeft werknemer X effectief document Y kunnen doorsturen via een gratis tool of heb je er echt alles aangedaan om dit onmogelijk te maken? Voor AVG/GDPR-boetes kan dat een groot verschil uitmaken en daarbij kijken ze niet of je een klein bedrijfje bent of een grote multinational.

Je hoeft die tools uiteraard niet vanaf morgen links te laten liggen. Je moet ze gewoon anders gebruiken. Tijdens een project is bijvoorbeeld een gemeenschappelijke Teams-pagina op te zetten. Het liefst nog in de omgeving van de klant waardoor zijn data nooit extern gaan. Na de opdracht kan de klant jou de toegang ontzeggen of de pagina afsluiten. Alle (tijdelijke) links naar bijvoorbeeld een Sharepoint-map vervallen dan ook automatisch. Het chatplatform dient dus gewoon als transportmiddel terwijl de data in de bedrijfsomgeving blijven staan. Wij evolueren zelfs naar een zerotrustmodel waarbij de veiligheid van de it-omgeving (toestel, netwerk) van de werknemer bepalend is om hem effectief vanop afstand toegang te geven.

Dat vraagt dus om ingebakken afspraken. Ja, zelfs zwart op wit in het arbeidscontract, al dan niet met sancties. Het is continu de awareness aanwakkeren. Zodat medewerkers weten welke bedrijfsdocumenten ze via welk kanaal mogen delen en wat het risico is dat de onderneming loopt als ze iets delen buiten de geijkte bedrijfstools om.

Gegijzeld

Thuiswerken heeft de grens tussen thuis en werk vervaagd. Niet alleen qua tijdsindeling, maar ook wat de tools en toestellen betreft. Dat heeft impact op het bewustzijn over security. Als jouw policy niet rigide wordt opgevolgd en werknemers gebruiken om het even welk device en applicaties om bedrijfsdata door te sturen, dan wordt jouw aanvalsoppervlak exponentieel groter. Waarbij cybercriminelen telkens de zwakste schakel zoeken.

Vergelijk het met een bankoverval. Vroeger liepen de gangsters het bankkantoor roekeloos binnen. Vandaag zijn de banken en kluizen zo goed elektronisch beveiligd dat overvallers overschakelen op ‘tiger kidnapping’ waarbij ze het gezin van de directeur thuis gijzelen – waar de beveiliging zwakker is – en de directeur zo dwingen om zijn credentials en sleutels te geven.

Als ze gemakkelijk toegankelijk zijn via privé-toestellen of chattools, kan met jouw data en credentials net hetzelfde gebeuren. Zelfs zonder kidnapping.

Auteur: Jan de Bondt hoofd cybersecurity advisory services Orange Cyberdefense

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Data-governance met dataclassificatie is inderdaad wel een puntje als ik kijk naar onachtzaamheid van gebruikers hierin. En ik heb het dan niet over het delen maar het bewaren want de Rutte-doctrine geeft niet alleen een geheel nieuwe betekenis aan de term 'lakei' als het om het achterhouden van informatie gaat maar ook aan het archiveren. De auteur heeft het over een bewijslast aangaande schuldvraag van lekken maar hoe zit het met het principe van zeggen wat je doet, doen wat je zegt en dat bewijzen?

Laatste blijkt vaak een probleem te zijn als toegang tot data verloren is gegaan omdat aan de samenwerking een einde kwam, sommigen weten ondertussen dat de bewijslast van een goede administratie het verschil uit kan maken in het gelijk. Notariële akten - zoals statuten - gaan boven wat zelf in elkaar geknutselde regels die in strijd zijn met de wet, een notaris die dat niet weet is een slechte secretaris.

Zwart-op-wit in het arbeidscontract, al dan niet met sancties vind ik dus een leuke want bewijslast ligt bij de werkgever en deze trekt veelal aan het kortste eind als het om de 'lijken in de kast' gaat. Hele idee van het netwerken via de kennis van kennissen gaat om een integriteitsvraagstuk waar menigeen voor zakt. En wie zonder zonde is werpe de eerste steen in de eendenvijver, ik ben de mopper-duik-eend;-)

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-03-30T15:14:00.000Z Jan de Bondt
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.