In de Justitiële Verkenning ‘Veiligheid in Cyberspace’ van
begin maart wordt in het artikel ‘Het lekken van geheimen in Cyberspace’ van J.H.
Maat beschreven welke gevolgen ontstaan voor de veilige omgang met
vertrouwelijke informatie bij Het Nieuwe Werken. Allereerst legt hij uit hoe
rubricering van informatie werkt.
Mooi daarin is het foutief rubriceren van informatie dat
leidt tot lekken. Onterecht niet-gerubriceerde informatie wordt onvoldoende beveiligd en is onbedoeld
kwetsbaar voor lekken. Te hoog gerubriceerde informatie wordt onterecht te
zwaar beveiligd waardoor het ‘te vertrouwelijk’ wordt en daarmee aantrekkelijker
om te lekken. Maat geeft aan dat geschat wordt dat 50% - 95% van de informatie
onjuist is gerubriceerd (Lemstra e.a.,
2005, p.26-27;Curtin, 2011, p.20).
Bedenk daarbij dat het classificeren van data (rubriceren)
zo ongeveer de moeilijkste opgave is binnen security. Vind maar eens een eigenaar
die zich eigenaar voelt (en er naar handelt). Vervolgens moet je hem ook nog
eens een uitspraak laten doen over de waarde van de informatie. Nee, die
classificatie en BIV-coderingen bedenkt de IT-afdeling wel!
Verderop in het artikel van Maat staat aangegeven dat er
drie problemen zijn die ten grondslag liggen aan het lekken van vertrouwelijke
informatie:
·
Het volume aan vertrouwelijke informatie: er
wordt steeds meer informatie digitaal opgeslagen.
·
De toegang tot vertrouwelijke informatie:
autorisatie van informatiesystemen blijft een probleem voor veel organisaties.
·
De mobiliteit van vertrouwelijke informatie:
verhoogde capaciteit van gegevensdragers en een sterke toename van email en
internetgebruik spelen hierbij een rol.
Deze drie basisproblemen zijn volgens Maat eveneens karakteristiek
voor Het Nieuwe Werken. En daar sluit ik me volledig bij aan!
Tijdsonfahankelijk en plaatsonafhankelijk informatieverwerken brengt met zich mee dat organisaties sterk moeten vertrouwen op de kwaliteiten van hun medewerkers. Die moeten in staat zijn om zelfstandig bewust keuzes te maken bij het verwerken van vertrouwelijke informatie buiten kantoorlocaties en buiten kantoortijden. Kortom, ze zullen individueel ‘risicomanagement op de werkplek’ moeten kunnen uitvoeren.
Tijdsonfahankelijk en plaatsonafhankelijk informatieverwerken brengt met zich mee dat organisaties sterk moeten vertrouwen op de kwaliteiten van hun medewerkers. Die moeten in staat zijn om zelfstandig bewust keuzes te maken bij het verwerken van vertrouwelijke informatie buiten kantoorlocaties en buiten kantoortijden. Kortom, ze zullen individueel ‘risicomanagement op de werkplek’ moeten kunnen uitvoeren.
Dit heb ik al beschreven in mijn blogpost ‘Security en Het Nieuwe Werken’.
Mag vertrouwelijke informatie überhaupt buiten de deur
komen? Of maken we gebruik van encrypted USB-sticks om informatie veilig buiten
de organisatiegrenzen te kunnen vervoeren? Je ziet dit overigens vaak gebeuren.
Er vindt geen classificatie of rubricering van data plaats, maar het transport
naar een onveilige locatie wordt beveiligd door gebruik te maken van encrypted
USB-sticks. Dat die (vertrouwelijke) informatie vervolgens op een onveilige
locatie (Starbucks, thuis, …) op een onveilig systeem (thuis-pc, privé tablet, …)
wordt verwerkt, daar wordt aan voorbij gegaan. Kortom, de juiste afweging wordt
niet gemaakt in mijn ogen!
Maat geeft verder aan dat ‘veilig faciliteren' mogelijk is. Het
opzetten van een private cloud en toepassing van Virtual Desktop Infrastructure
kunnen hierbij een positieve rol spelen. Een allesbepalende factor in Het
Nieuwe Werken blijft de aandacht voor risico’s bij de medewerkers zelf. Maat
geeft dit eveneens aan. Hij spreekt wel over de ‘practical drift’ waarbij de aandacht
en de discipline kunnen verslappen en er risicovolle situaties ontstaan.
Een bijkomende maatregel bestaat in de klokkenluidersregeling waar anoniem misstanden kunnen worden gemeld. Een goede klokkenluiderregeling kan het minder aantrekkelijk maken om misstanden te lekken naar de buitenwereld. Toepassing van het vierogen-principe draagt bij aan een betere classificatie van data.
Een bijkomende maatregel bestaat in de klokkenluidersregeling waar anoniem misstanden kunnen worden gemeld. Een goede klokkenluiderregeling kan het minder aantrekkelijk maken om misstanden te lekken naar de buitenwereld. Toepassing van het vierogen-principe draagt bij aan een betere classificatie van data.
Zelf ben ik van mening dat het monitoren van
gebruikersgedrag een goede maatregel is. Dit moet natuurlijk goed overlegd
worden met de medewerkers (OR, privacy, CBP, ‘Goed werken in netwerken’, …).
Maar het stelt de organisatie in staat om op basis van terugkoppeling via
managers of teamleiders een open gesprek te voeren over verantwoord risicobewust gedrag,
gecombineerd met alle voordelen van Het Nieuwe Werken.
Hierdoor maak je gebruik van een van de basisprincipes van Het Nieuwe Werken: verantwoordelijkheid bij de medewerker. Dat is mooi, dan sla je als Security Officer twee vliegen in één klap: je verdeelt de verantwoordelijkheid voor security organisatiebreed en je maakt aanspraak op afdelingsbudgetten om security bekostigd te krijgen.
Hierdoor maak je gebruik van een van de basisprincipes van Het Nieuwe Werken: verantwoordelijkheid bij de medewerker. Dat is mooi, dan sla je als Security Officer twee vliegen in één klap: je verdeelt de verantwoordelijkheid voor security organisatiebreed en je maakt aanspraak op afdelingsbudgetten om security bekostigd te krijgen.
Blijf alert! De volgende blogposts wijd ik aan enkele andere
artikelen uit de Justitiële Verkenning ‘Veiligheid in Cyberspace’. Geef je op
om per email op de hoogte gehouden te worden of volg de blog door je aan te
melden in de rechterkolom.
Ik ben overigens zeer benieuwd welke mening jijzelf hebt over security binnen Het Nieuwe Werken! Reageer! Alvast bedankt.
Jan Jaap,
BeantwoordenVerwijderenVerantwoordelijkheid bij de medewerker, ja dat klopt in een nieuwe werken concept. Maar hoe zie je het gebeuren dat er een company security policy op spullen van een medewerker geplaatst zal worden? Daar wringt wat mij betreft de schoen, enerzijds een persoonlijk ding en anderzijds een zakelijk belang die elkaar niet helemaal begrijpen.
Groet,
Ben
Ben, dank je voor je reactie.
VerwijderenVandaag net een sessie bij een klant gehad die hierover ging. Of er een policy vanuit het bedrijf op de iPad van een medewerker kan worden doorgevoerd wordt divers beleefd. Inderdaad zegt de een dat ze dit niet toelaat. Terwijl de ander geen moeite daarmee heeft.
Vandaag werd veel vergeleken met de aktetas. Daarin zit ook allerlei vertrouwelijke informatie waarover is afgesproken dat men er als goed huisvader mee omgaat. Dat is een bedrijfspolicy in een tas van een medewerker.
Het is een kwestie van belangen bij elkaar brengen en duidelijkheid creëren. Als er over BYOD wordt gesproken, zonder dat er uitgesproken beleid is, zoekt men de grenzen automatisch op.
Consultatie van medewerkers hierin is niet makkelijk. Juist omdat dan de indruk ontstaat dat iedereen weet wat de kaders zijn. 'Er is toch over gesproken?'
Het is volgens mij niet zo eenzijdig dat het nooit zal werken. Het zit genuanceerder in elkaar.
Een goed hulpmiddel is het toepassen van monitoring van gebruikersgedrag. Daar kun je afspraken over maken en open over spreken met elkaar. Leg overtreding van de policies op tafel tijdens een teamoverleg. Het is dan niet persoonlijk en goed als teamdoelstelling te hanteren.
Groeten,
Jan Jaap