Elk bedrijf dat regelmatig met vertrouwelijke informatie werkt herkent zich in het feit dat gebruikers de zwakke schakel in de beveiligingsketen zijn. Hoewel er zeer ‘security-bewuste’ gebruikers zijn die het goed bedoelen, zijn zij juist de reden dat de veiligheid van gegevens in het gedrang komt. Hoe halen we deze zwakke schakel er tussen uit?
U kent ze wel, documenten voorzien van een wachtwoord of zipfiles die voorzien zijn van een sterke beveiliging. Dit kan zijn omdat er vertrouwelijke gegevens van een klant of een project in staan, die niet voor alle ogen zijn bedoeld. Wat de reden ook is, zij is altijd legitiem. Maar wat als deze bestanden nu gedeeld moeten worden met collega’s van een projectteam? En wat gebeurd er als er meerdere versies van de bestanden rondzwerven, waarvan er minimaal één versie ontdaan is van alle vormen van beveiliging? Of wat als de collega die het wachtwoord op het document heeft geplaatst uitvalt? Het rondsturen van het wachtwoord is de doodsteek voor de beveiliging en heeft bijna altijd het gevolg dat het wachtwoord uitlekt, of op het welbekende ‘geeltje’ onder het toetsenbord verdwijnt.
Uiteindelijk komt het neer op het credo; “beveiliging is lastig”, met als gevolg dat de gemiddelde gebruiker er liever niets aan doet. Wanneer we de impact van de gebruiker op de beveiligingsprocessen verminderen (door een geautomatiseerd proces) dan kunnen wij tegelijkertijd de veiligheid van de gegevens verhogen. Dit betekent het inbedden van de informatiebeveiligingsprocessen als een integraal component in de bedrijfsvoering en infrastructuur.
De geijkte manier van het beperken van toegang is het versleutelen van data. Een belangrijk onderdeel in een goede implementatie van deze versleuteling is, naast het sleutelbeheer, ook de gebruiksvriendelijkheid. Nieuwe ontwikkelingen in deze markt brengen voor de gebruiker gemakkelijke en transparante beveiliging terwijl de beschikbaarheid van de gegevens en data te alle tijden gewaarborgd blijft.
Beveiliging van gegevens en data is een proces met verschillende lagen en bijbehorende maatregelen. De kracht van deze maatregelen is afhankelijk van hoe deze nageleefd worden door de eindgebruiker. Dit is iets waar de ict-afdeling geen invloed op heeft en wat moeilijk te monitoren is.
Wanneer wij in de ontwerpfase rekening houden met het ontlasten van de eindgebruiker in het beveiligingsproces, door het inzetten van nieuwe technologieën, kunnen wij de zekerheid van navolging van het beveiligingsbeleid verhogen. Deze zekerheid brengt ons op een hoger niveau van beveiliging.
Als IT professional met deze discipline als stelregel in mijn portfolio, onderschrijf ik de stelling en intonatie van dit artikel. Maar toch is de oplossing minder moeilijk als nu de praktijk blijkt. Een paar zaken zijn namelijk debet aan het ontstaan van een dergelijke situatie en ik vind niet dat je sec naar de IT zou moeten kijken wanneer het gaat om beveiliging en oplossen. Ik spreek nu graag alleen over zakelijk IT want wat iemand thuis doet, moet een ieder vooral zelf weten.
Wanneer iemand gebruik maakt van zakelijke IT diensten en ter beschikking gestelde componenten, dan kan het niet anders dan dat er aan het gebruik ook een bepaald niveau van discipline word toegekend. Mocht dit nog niet het geval zijn dan zou het zeer raadzaam zijn hieraan voor alsnog iets te gaan doen.
In tweede, en daar komt IT uiteraard wel bij kijken, kan het niet naleven van de regels wel degelijk worden gemonitord. Het ligt er initieel maar helemaal aan welke maatregelen er uiteindelijk werden geïmplementeerd. Het moge duidelijk zijn dat een goed onderhouden firewall en up to date virusscanner op de allereerste plaats komt.
Aansluitend is de vraag op welke wijze men bepaalde beveiligings criteria stelt aan ‘remote’ werkplekken en hoe men de gebruikers wat dat betreft op voed. Immers, het ter beschikking gestelde is namelijk om het mogelijk te maken meer omzet te genereren en niet de kosten uiteindelijk.
Men heeft wat dit aspect betreft wel degelijk een aantal mogelijkheden waarbij het wiel absoluut niet opnieuw behoeft te worden uitgevonden. Het zoeken naar een redelijk ‘evenwicht’ hier is hoe het vanuit de zakelijke beredenering word ingesteld en niet wat ‘de wens’ is van de gebruiker tenslotte.
Ik wil hier niet conservatief klinken maar de gebruiker hoeft de systemen niet te onderhouden maar daar wel op een zo uniform mogelijke manier mee om te gaan. Wat men thuis aan mogelijkheden heeft, wil je nu eenmaal zakelijk niet altijd aanbieden. Dus de bal ligt wat dit betreft volkomen bij de aanbieder van de faciliteiten en niet zo zeer bij de gebruiker.
Je komt immers op de zaak om omzet te maken en niet om te spelen. Dat je soms heel aardig tot een consensus kan komen is dan natuurlijk alleen maar meegenomen.
Ik zou opteren voor een veel duidelijker gebruikers beleid wat het aanbod van diensten en ter beschikking gestelde mogelijkheden behoord waar beveiliging en gebruikers verantwoordelijkheid duidelijk deel van uit maken. En dit laatste zie ik in de praktijk jammergenoeg nog maar sporadisch terug.
Jammer.
Het artikel is wat dat alleen al betreft een mooie reminder.
@NumoQuest:
In het artikel doel ik slechts op beveiliging van opgeslagen gegevens (data).
Natuurlijk kan de ICT wel monitoren op maatregelen, maar dat kan puur en alleen de technische maatregelen. Je kan niet monitoren op een gebruiker die zijn wachtwoord (of het wachtwoord van een zipfile) op een notitiegeeltje onder zijn toetsenbord plakt. Je kan hem er alleen maar op wijzen dat dit niet slim is. En naar mijn mening zouden dergelijke ‘awareness’ sessies zelfs verplicht gesteld moeten worden.
Hoewel de gebruiker dus zeker een bewustzijn mag creëren om veilig met data om te gaan is het wel de taak van de ICT om hierin te faciliteren.
Het zelfde geldt voor het gebruik van wachtwoorden. Bedrijven die (na overname of migratie) nog met meerdere systemen en verschillende credentials zitten lopen hier ook vaak tegenaan. En dit is geen uit de lucht gegrepen voorbeeld. De gebruiker moet soms wel tientallen wachtwoorden onthouden. De natuurlijke reactie is dan dat mensen de wachtwoorden gaan noteren. Terwijl de ICT prima in staat is om de gebruikers hierin te ontlasten door het invoeren van een SSO oplossing die het invullen en regelmatig wijzigen van wachtwoorden van de gebruiker overneemt.
Maar bedankt voor je positieve eindnoot.
@NumoQuest
Naar mijn mening is het verhogen van beveiliging door ontlasten van eindgebruiker de boodschap van dit artikel. Wanneer je aangeeft dat “je zou opteren voor een veel duidelijker gebruikers beleid” dan ga je de invloed van eind gebruiker niet eliminieren. Je doet je best maar of dat door eindgebruiker nageleefd word weet je toch niet!
Het probleem zoals Erik beschreven heeft is dat je het gedrag van eindgebruikers niet (altijd en volledig) kan monitoren om te zien of ze hun verantwoordelijkheden nemen of niet.
Ik sluit me bij Erik aan dat het beperken van de rol van eindgebruiker in dit geheel, kan verhoging van beveiligingsniveau in je omgeving opleveren.
Documenten of zip-files beveiligen met een wachtwoord kan heel legitieme redenen hebben maar of dit de beste oplossing is trek ik in twijfel. Beveiliging moet dan ook niet lastig zijn maar slim, zodanig dat ze haar doel dient zonder ongemak. Enterprise entitlement management is misschien een oplossing hoewel er natuurlijk meer wegen zijn die naar een betere beveiliging leiden.
Erik,
Eens! Chapeau :O)