Skip to main content
Bovenstaande uitspraak van Johan Cruijff, ‘winnen doe je met z’n allen’ geldt ook voor een goede informatiebeveiliging. Als organisatie wilt u grip krijgen en grip houden op de informatie die voor de organisatie noodzakelijk is. Dat kan complex zijn, zeker nu veel medewerkers hybride werken en we een flexibele werklocatie steeds meer omarmen. Immers: pre-Corona werkten we veelal op kantoor, relatief veilig op het kantoornetwerk met een kleine kans dat derden op je scherm konden meekijken. Momenteel werken we regelmatig bij een klant op locatie, of thuis, via een privé-wifi of VPN-verbinding. Als bedrijf heb je geen idee wie er nog meer op dat thuisnetwerk zit en hoe dat netwerk is beveiligd. Gevoelige gegevens worden misschien geprint en belanden vervolgens in de papierbak op straat, in plaats van in een afgesloten container. We weten niet welke huisgenoten of buren mee kunnen luisteren met vertrouwelijke gesprekken. Kortom: tenzij er specifieke maatregelen getroffen zijn, hebben we nu minder grip op waar onze gegevens zijn en hoe ze worden verwerkt. En juist deze grip is essentieel voor informatiebeveiliging.
Inventariseren en classificeren
Beveiliging begint met het bepalen welke data u hebt, waar deze is opgeslagen, wie daarbij kan en wat die data of informatie waard is. Die inventarisatie raakt de kern van beveiligingsnormen, zoals ISO 27001 of NEN 7510, maar ook de kern van de AVG en straks ook NIS2. Op basis van die inventarisatie bepalen we immers hoe we informatie beveiligen en hoe lang we informatie bewaren. Die inventarisatie bepaalt ook hoe we informatie classificeren – hoe we bepalen hoe gevoelig of vertrouwelijk informatie is. U kunt immers niet voorschrijven hoe medewerkers met vertrouwelijke informatie om moeten gaan als zij niet weten welke informatie vertrouwelijk is. Iedere organisatie die begint met informatiebeveiliging begint dus in principe met informatie te inventariseren en te classificeren.
De mens als kritieke factor
Procesmatig is de eerste stap gezet: de informatie is geïnventariseerd en geclassificeerd. Dat wil echter niet zeggen dat medewerkers ook direct weten hoe ze met die informatie om moeten gaan. Daarnaast hebben veel organisaties te maken met medewerkers die in principe wel weten hoe ze moeten handelen, maar in de praktijk soms andere keuzes maken.
Kijkend naar cijfers over cybercriminaliteit en datalekken kunt u concluderen dat aan het grootste deel van de incidenten menselijk handelen ten grondslag lag. Excelbestanden die per ongeluk naar de verkeerde persoon worden gestuurd, het klikken op een phishinglink, het laten verleiden tot het betalen van facturen buiten de reguliere processen om: een ongeluk zit in een klein hoekje. Tegelijkertijd impliceren dit soort ongelukjes dat we de medewerker beter moeten informeren over twee zaken: niet alleen moet de medewerker de ‘waarde’ van de informatie herkennen, maar hij moet ook de regels kennen over hoe die informatie moet worden verwerkt. Een algemene ‘awareness’-campagne waarin wordt gewaarschuwd voor ‘gevoelige gegevens’ is (kennelijk) onvoldoende. Beter is het om informatie expliciet te labelen als vertrouwelijk en vervolgens vast te leggen hoe vertrouwelijke informatie moet worden gecommuniceerd. Deze aanpak eist bijvoorbeeld de ISO 27001.
Ook al bent u op het gebied van technologie en procesinrichting volledig in control, zonder informatiemanagement als basis is het voor de medewerker nog steeds te makkelijk om fouten te maken. Bovendien staat de organisatie niet op zichzelf en moeten ook toeleveranciers en ketenpartners kunnen begrijpen hoe zij met uw informatie moeten omgaan. Als de medewerker, partner of klant de waarde van de uitgewisselde informatie (onder)kent is het veel aannemelijker dat hij meewerkt aan de bescherming door de juiste maatregelen te hanteren.
Conclusie
Goed informatiemanagement hoort bij de ‘basis op orde’ in de informatiebeveiliging. Als voor iedereen herkenbaar is hoe informatie is geclassificeerd, waar het opgeslagen moet worden en hoe het gecommuniceerd moet worden, kunnen we met zijn allen samenwerken aan beveiliging. Het ‘winnen doe je met z’n allen’ betekent dan niet alleen dat de ‘awareness’ gericht moet zijn op de handelingen van de medewerker, maar ook op de organisatie zelf – elke afdeling moet zich immers bewust zijn van de waarde van de informatie die door hun handen gaat.
