• Informatiebeveiliging op het werk: vertrouwelijk en veilig?

Informatiebeveiliging op het werk: vertrouwelijk en veilig?

Vertrouwelijke gegevens zijn er in elk bedrijf. Maar lang niet elk bedrijf gaat hier op een goede manier mee om. Een geheimhoudingsovereenkomst is niet voldoende. Is de manier waarop jouw bedrijf omgaat met gegevens wel vertrouwelijk én veilig. Hoe ga jij om met informatiebeveiliging op het werk?

Virusscanner

Ik ken geen enkel bedrijf dat geen virusscanner, firewall of antispam-software heeft. Dat is vaak het eerste waar aan gedacht wordt als het gaat over informatiebeveiliging. Het lekken van gegevens gebeurt echt niet alleen via een mail met een toegevoegd bestand. Het zit hem juist in de mensen, zeker niet de technologie. Dat laatste helpt natuurlijk wel.

Social engineering

De handige praters weten dat ze met een beetje moeite en juiste vragen veel meer informatie uit je kunnen trekken dan je wilt. Dit heet social engineering. Het ‘medium’ Char deed bijvoorbeeld veel aan cold-reading. Zij wist door de juiste vragen de indruk te wekken dat zij veel over haar gasten wist. (‘Begint de naam van je zoon met een M?’, wetende dat er veel mannennamen met een M beginnen bijvoorbeeld). De keren dat ze een Q zei, zijn op één hand te tellen) Snelle salesjongens en -dames hebben hier overigens ook een handje van. Ze vertellen de receptioniste of secretaresse dat ze al eerder hebben gesproken met de directeur en lijken dat extra willen benadrukken door hem of haar bij de voornaam te noemen.

Ga op in de menigte

Maar je zou ook verbaasd staan hoe ver je in een organisatie kan binnen dringen door te doen als of je er hoort. Ga op de in de menigte door bijvoorbeeld in een ziekenhuis een witte doktersjas aan te trekken. Of dat je een externe consultant bent voor een bepaald (niet) bestand project. De collega’s houden graag de deur voor je open. Druk bellend of met een zware doos in de handen zijn veel mensen een stuk hulpvaardiger dan je misschien in eerste instantie dacht. Met alle gevolgen van dien. Dit heet social engineering en is misschien wel het gevaarlijkst.

Apparatuur

Maar praatjes vullen niet alleen gaatjes. Soms heb je het zelf niet eens in de hand. Maar het doorsturen van een offerte naar een tegenpartij om op deze manier een betere prijs te krijgen? Erg integer is het niet, maar het gebeurt wel. Zonder dat je het in de gaten hebt, gaat een ander met jouw gegevens aan de haal. Oude faxapparaten, mobiele telefoons en printers, hoe wordt daar bij jou mee omgegaan? Ik wil je niet paranoïde maken maar hier staan heel veel informatie op die op het eerste gezicht niet interessant lijken. Maar hoe zou jou concurrent daar tegen aan kijken?

USB sticks

De afgelopen jaren was de vergeten laptop, verloren USB stick of gestolen tas met gevoelige informatie een nieuws-item. Naast de praktische problemen waar je tegen aan loopt, is de imagoschade niet te overzien. Ken je het bedrijf DigiNotar nog? De Nederlandse Staat eist nu maar liefst 8,7 miljoen euro. Het bedrijf was al snel failliet na het nieuws, en dat door één cruciale fout.

Een excelsheet met wat namen, adres-gegevens, sofinummers en bankrekeningnummers; het lijkt op het eerste gezicht niet zo spannend tot dat je je beseft dat je met deze gegevens creditcard-account zijn aan te maken, verzekeringen zijn aan te vragen en men inzicht kan krijgen in financiële gegevens.

Risico’s

Feitelijk zijn er drie risico’s met betrekking tot het lekken van informatie en informatiebeveiliging:

  1. De medewerkers die per ongeluk informatie weggeven zonder dat ze dit in de gaten hebben (bijvoorbeeld door social engineering zoals een babbeltruc )
  2. medewerker die donders goed weten waar ze mee bezig zijn om op deze manier het bedrijf in diskrediet te brengen
  3. bedrijven die informatie stelen.

Hoe kun je hier wat aan doen? Ten eerste door duidelijk te krijgen wat binnen de organisatie als gevoelige informatie wordt gezien. En vervolgens kritisch kijken wie er bij welke gegevens kunnen. Is er een vier-ogen principe of is er iemand in de organisatie die als het kan; zowel een aanvraag kan doen, deze zelf kan accorderen en vervolgens bestellen? Zo maak je het wel erg makkelijk voor hen die kwaad willen… Maar kijk ook eens naar autorisaties in software. Moet de junior financieel medewerker nu wel echt alle rechten krijgen in je boekhoudsysteem, omdat het zo lekker makkelijk is? Idem voor sleutels, pinpassen, creditcards, noem ’t maar!

Maak daarnaast afspraken wat wel en niet acceptabel is. Verplicht bijvoorbeeld iedere medewerker die een telefoon van de zaak heeft, deze te beveiligen met een wachtwoord voordat de telefoon gebruikt kan worden. Dossiers op een USB stick, niet zonder dat deze extra beveiligd is. En misschien moet je er wel voor kiezen om dit te verbieden, een stickje kan tegenwoordig al enige gigabytes aan informatie bevatten.

Extra informatiebeveiliging

Maar dan ben je er nog niet. Je kunt wat doen aan de beveiliging door een toegangscontrolesysteem en camerabeveiliging. Maar ook door het plaatsen van shredders of speciale afsluitbare papierbakken. Vergeet de scheiding tussen vertrouwelijk en niet-vertrouwelijk papier! En niet alleen voor papier, maar ook voor harde schijven en mobiele telefoons. Maak de drempel zo laag mogelijk, dan kan je een heel hoop gedoe schelen.

Leave A Comment