unitedxperts

Belangrijkste obstakel voor adequate informatiebeveiliging zijn de mensen zelf

Blogpost aangemaakt door unitedxperts Moderator op 1-feb-2018

Het behoeft eigenlijk bijna geen betoog: net zoals bij veel andere grote veranderingen is ook in het geval van het toepassen van adequate informatiebeveiliging de medewerker zelf de belangrijkste hindernis. Hij ziet het belang er (nog) niet van in, hij heeft er zelf (blijkbaar) geen voordeel van en als het meer werk is dan voorheen, zal hij geen enkele behoefte voelen om er iets aan te doen. Die medewerker moet er aan zijn haren worden bijgesleept. Dat is zo ongeveer de belangrijkste conclusie na de kennissessie over ‘Access & Control’ in het kader van de EIM-campus en het EIM in Business Magazine.

 

Is dat nieuw? Nee, niet echt. Immers ook bij zaken als het Nieuwe Werken, digitaliseren, toenemende mobiliteit, Internet of Things geldt al net zo zeer dat de verandering blijkbaar zo groot is, dat medewerkers er moeite mee hebben die te accepteren en te adopteren. Laat staan als het om zoiets ingrijpends en complex gaat als de nieuwe privacywetgeving. Je mag niet veel meer met de persoonsgebonden gegevens die je als bedrijf of organisatie met zorg hebt verzameld. Althans, dat mag je niet zomaar. Er zijn wel mogelijkheden, maar de regie ligt wel wat meer in handen van de eigenaar van die gegevens.

 

Aan de hand van een aantal stellingen werden de huidige ontwikkelingen aan de ‘campus-tafel’ doorgenomen door Gert Meijerink (Senior Manager RC ITA, KPMG), Gert Koerselman (Business Owner Digitaal Werken, Doxis), Peter Valckx (Sales Executive, Seeburger), Bart Scheffer (MarCom, ETTU), Edwin Hubers (freelance Information Security Officer/Risk Manager) Robert van der Vossen (Directeur CyCo), Barry Bakker (Directeur Digitt) en Lourens Siderius (Business Development Manager MS Azure & Office 365, ETTU). Gastheer voor deze sessie is ETTU, die haar accommodatie als winnaar van de DCM Awards in de categorie Access & Control’ beschikbaar stelde voor deze sessie. De discussie wordt geleid door Sander de Wolf (Uitgever, Vakwereld) en John de Waard (Hoofdredacteur, EIM-campus/DocumentWereld) en vindt plaats in het kader van de EIM-campus (www.eim-campus.nl), thema Access & Control.

 

Hoezo niet interessant?

Grappig is ook wel, zo vindt men aan tafel, dat in het kader van cybersecurity mensen veelal denken dat ze niet interessant zijn. ‘Wie heeft er nu wat aan mijn gegevens?’ Nou, dat valt nog te bezien. Met een beetje social engineering (het afstruinen van sociale media en andere publieke bronnen) kun je al snel een behoorlijk profiel van iemand opbouwen. Als je dan ook nog een bankrekeningnummer en/of BSN-nummer kunt bemachtigen, kun je zijn of haar identiteit overnemen. En dan zijn de rapen pas echt gaar. ‘Het bewustzijn over de mogelijke gevolgen bij verlies of diefstal van vertrouwelijke gegevens of belangrijke bedrijfsgegevens is heel laag’, constateert ‘de tafel’. ‘En als men zich niet bewust is van de gevaren is de neiging om er wat aan te doen ook niet al te groot. Dat zorgt ervoor dat bedrijven lang heel laconiek zijn (geweest) over de bescherming van privacygevoelige gegevens. Toenemend gebruik van cloudapplicaties door veel bedrijven maakt het gevaar nog groter. Dat kan alleen veranderen als we erin slagen die medewerkers zo op te voeden dat ze het gaan begrijpen en dat ze voor hetzelfde doel gaan ‘strijden’.’

 

Die gedragsverandering wordt ‘gestimuleerd’ door de grote boetes die bedrijven boven het hoofd hangt. Daar kan het echt om miljoenen euro’s gaan. Hoe ga je echter de handhaving organiseren?  De verantwoordelijkheid daarvoor ligt op het hoogste niveau, bij de Autoriteit Persoonsgegevens, maar die kan dat lang niet alleen aan. Handhaving zal dus voor een groot deel worden gedaan op aangeven van de gedupeerde, reactief dus. En hoe groot is dan nog de pakkans?

 

Moet wel werkbaar blijven

Daarbij komt dat wanneer je alles dicht timmert er een onwerkbare situatie ontstaat, met nog meer de neiging om ‘er omheen te gaan werken’. Balans tussen wat technisch mogelijk is en wat qua menselijk gedrag haalbaar is, is cruciaal voor het succesvol invoeren van en effectieve ‘information security policy’. Wat wel helpt, volgens de discussiepartners, is duidelijk maken wat de waarde van informatie is. ‘Bekijk jouw informatie eens door de ogen van een crimineel: waar zou je wat aan kunnen verdienen en hoe? Is jouw informatie dan nog steeds zo oninteressant? En is het dan nog steeds ‘best wel goed’ beveiligd? In de meeste gevallen dus verre van…’ Dat bewustzijn moet er wat de tafelgenoten betreft worden ingeramd bij bedrijven. Van hoog tot laag. ‘Anders komt een sluitend informatiebeveiligingsbeleid nooit goed van de grond. Iedereen moet zich bewust zijn van de gevaren. En daarnaar handelen!’

 

Slotconclusie van de tafelgenoten: ‘We zijn toe aan de volgende fase: we moeten beter en netter omgaan met alle data die ons ter beschikking staan. Om dat te kunnen doen moet je het simpel houden. ‘Keep it simple and stupid’. Dan begrijpt iedereen wat je wilt en hoe je het wilt. Maak vervolgens heldere afspraken, zodat duidelijk is hoe het doel bereikt moet worden. De keuze om iets met die persoonsgebonden of gevoelige (bedrijfs)informatie te (mogen) doen, moet vervolgens bij de eigenaar liggen. Zolang die daadwerkelijk heel eenvoudig zijn keuze kan maken, is nog altijd veel mogelijk om nieuwe producten en diensten te ontwikkelen, gebaseerd op informatie die uit bestaande producten en diensten is gekomen.’

Resultaten