IT-afdelingen hebben al jarenlang de taak om informatie op een zo goed mogelijke en beveiligde manier op te slaan en weer beschikbaar te maken. Informatiebeveiliging was veelal een technische aangelegenheid waarbij op allerlei manieren informatie werd beschermd, door bijvoorbeeld data te encrypten, beveiligde netwerkprotocollen te gebruiken en het installeren van diverse virusscanners. Maar beveiliging van bedrijfsinformatie is niet alleen meer een kwestie van het juist inzetten van de daartoe beschikbare technologie. Er komt meer bij kijken.
Door de steeds verdergaande digitalisering vervaagt de grens tussen het persoonlijke en zakelijke leven. Informatie kan uitlekken via mobile devices en het door Social Media gedomineerde internet. Ook “het nieuwe werken” heeft een zeer sterke link met beveiliging. Misschien wel het meest simpele voorbeeld is dat een IT-afdeling een smartphone ter beschikking stelt en een medewerker besluit om bedrijfsgegevens op te slaan op een DropBox of Google Docs locatie. De medewerker kiest een gewenste oplossing en u verliest als IT-er de grip. Het ontstaan van “Shadow IT”, waarbij medewerkers of afdelingen voor hun eigen oplossingen gaan zorgen, is niet ondenkbaar en zal de algehele beveiliging van bedrijfsinformatie niet ten goede komen.
Bewustwording als belangrijkste factor voor betere beveiliging
Om te zorgen dat in de huidige tijd informatie op een zo goed mogelijke manier beveiligd wordt, gaat het dus niet meer om ‘de techniek’, maar veel meer om bewustwording. Dat wordt nog eens onderstreept in een gesprek met Quentyn Taylor, ICT Security Director van Canon EMEA. “Eerst de mens, daarna pas de techniek en het proces, in die volgorde”. Volgens hem zouden IT-afdelingen het voortouw moeten nemen om het beveiligingsvraagstuk aan de hele organisatie te verduidelijken, omdat medewerkers zich meestal niet bewust zijn van de gevolgen.
Een praktijkvoorbeeld – Hoe kan het fout gaan?
Een praktijkvoorbeeld dat door Taylor werd genoemd, gaat over een Jeugdzorgorganisatie in Engeland, waarbij een sociaal werker een persoonlijk dossier van een kind moest printen. De printer stond in storing en daarom week hij uit naar een printer een etage hoger. Op dat moment was zijn collega gelijksoortige dossiers aan het printen. Helaas kwamen vertrouwelijke en uiterst gevoelige kindinformatie in handen van de verkeerde ouders. Dit had door een simpele oplossing voorkomen kunnen worden, namelijk “Follow-me”-printing, waarmee je bijvoorbeeld door gebruik te maken van een pas systeem jouw persoonlijke informatie bij elke gewenste printer kunt vrijgeven.
10 tips voor beveiliging van vertrouwelijke informatie
- Maak medewerkers bewust van het beveiligingsvraagstuk door periodieke trainingen met praktijkvoorbeelden op dit gebied.
- Audit alle data.
- Zorg voor documentmanagement- of andere opslagsystemen die door uw afdeling gefaciliteerd worden, mogelijk ook voor mobiele werkers.
- Faciliteer beveiligd printen voor gasten.
- Bescherm werkprocessen op kantoor, bijvoorbeeld door rechtstreeks te scannen naar beveiligde omgevingen.
- Maak opgeslagen informatie alleen door middel van toegangscodes beschikbaar, zodat alleen geautoriseerden deze informatie kunnen inzien.
- Gebruik kantoorapparatuur voorzien van gebruikscodes. Zo voorkomt u enerzijds dat prints in de verkeerde handen vallen, anderzijds dat er ongeoorloofd gebruik plaatsvindt.
- Maak gebruik van apparatuur met harddrives die data encrypten.
- Gebruik alleen apparatuur waar het gebruik van te herleiden valt.
- En, vergeet niet om na digitalisering vertrouwelijke documenten of goed op te slaan of professioneel te vernietigen.
