Digitalisering van informatie heeft informatieveiligheid tot een groter probleem gemaakt, Maar in de perceptie van het algemeen management is het er juist eenvoudiger op geworden. Oorzaak is volgens Iron Mountain Nederland-directeur Jeroen Strik de focus op en fascinatie voor technologie. Maar informatieveiligheid kan alleen integraal worden bereikt, in een samenspel van verantwoordelijkheid, beleid, organisatie en binnen een lerende bedrijfscultuur.
Met de digitalisering valt informatieveiligheid voortaan onder ict. ‘Maar ict kan nog wat opsteken van facility, dat de veiligheid van papieren informatie voor zijn rekening neemt’, stelt Jeroen Strik van informatiemanager Iron Mountain. ‘Want soft skills zijn noodzakelijk om de situatie echt veilig te maken zonder de slagkracht van de organisatie aan te tasten. Meer dan ooit, is in deze digitale tijd informatie de levensader van bedrijven en organisaties geworden. Onze bedrijfsprocessen drijven er primair op. Informatie is niet meer het resultaat, maar juist het uitgangspunt van de bedrijfsvoeringsprocessen.’
In de brandkast
Als praktijkvoorbeeld noemt Strik een telecomleverancier dat business intelligence los laat op al zijn digitale contracten voor mobiele telefonie en internet, dat combineert met wat de markt biedt en precies weet wie wanneer een aanbieding moet krijgen om ‘churn’, klantverloop naar de concurrent, te voorkomen. ‘Terwijl salesprocessen tien, vijftien jaar geleden eindigden met een enkelvoudig papieren contract in de brandkast, zijn al die overeenkomsten samen nu juist het begin van een marketingactie.’
Digitaal maakt dus veel meer mogelijk. Maar digitaal maakt volgens Strik onze omgang met informatie wel gevaarlijk slordig. ‘En slordigheid vraagt van ict om meer dan een instelling in het systeem. Met de gegevens in het digitale klantbestand, het customer relationship management (crm)-systeem, gaan we bijvoorbeeld wel erg vrij om. We klikken nieuwsgierig door de klantkaarten heen, kopiëren wat naar een usb-stick, drukken informatie af voor onderweg in de tas en vegen wat over de tablet thuis. Ons archief is vaak de prullenbak, morgen halen we de gegevens immers opnieuw uit het systeem. Daarnaast draait crm draait vaak ‘gewoon in de cloud’. Dat is die publiek gedeelde server of zelfs toepassing waarvan de directie meestal niet weet waar die staat en waarvan het vaak onduidelijk is wie de juridische eigenaar van deze informatie is, wat de beschermingsmaatregelen zijn en of de Patriot Act erop van toepassing is.’
Bedrijfscultuur
Ict, als verantwoordelijke voor de digitale informatieveiligheid, moet volgens Strik dus omgaan met onverantwoord gedrag door gebruikers en onwetendheid over de risico’s door het management. ‘De ict-manager heeft de beschikbaarheid van informatie hoog in het vaandel staan: uptime, toegankelijkheid en de bijbehorende doelstellingen en prestatienormen (kpi’s) daartoe. Daarna komt informatieveiligheid: het voorkomen dat informatie wordt gestolen of vernietigd. Maar hoe beter informatie beschikbaar is om waarde voor de onderneming mee te scheppen, hoe kwetsbaarder die informatie ook is. Techniek is niet voldoende in onze omgang met deze paradox, maar er is vanuit ict naast techniek, bijna nooit aandacht voor de bedrijfscultuur.’
Deze bedrijfscultuur wordt volgens Strik gekenmerkt door het menselijk besef wie de eigenaar is van de informatie waarmee we werken, het toekennen van waarde aan die bedrijfsinformatie en onze omgang met die informatie. ‘Informatieveiligheid gaat juist nu verder dan de firewall-instellingen en heeft noodzakelijkerwijs altijd een zachte, menselijke en culturele kant.’
Dat digitale informatie onder de verantwoordelijkheid van de ict-manager rust, blijkt ook uit onderzoek dat Iron Mountain samen met de vakbladen Computable en Facility Management Magazine heeft uitgevoerd onder Nederlandse managers. De ict-manager ervaart die verantwoordelijkheid anders en gaat daar anders mee om dan zijn voorganger op het gebied van informatieveiligheid, de facility-manager.
Metadata
Papieren informatie koesteren we, onze bedrijfsprocessen zijn erop ingericht en de facility-manager kent zijn rol. Strik: ‘Het document is waardevol en een eenduidige versie van de waarheid die na gebruik in de afgesloten kast hoort. Het archief is een magazijn met verschillende, ook merkbare beveiligingslinies. Documenten krijgen een bewaarschema mee, om niet tekort, maar ook niet te lang te bewaren (retentie) en zijn voorzien van trefwoorden en een omschrijving van hun aard (metadata). Papier is zichtbaar en tastbaar en het is ook al gauw zichtbaar wie er onverantwoordelijk mee omgaan.’
Met de informatieveiligheid in het digitale tijdperk kan het volgens Strik alleen wat worden onder supervisie van de directie zelf, en het inzicht dat veiligheid meer is dan een instelling. ‘Voor de ict-manager moge het duidelijk zijn dat hij aan zet is. De ‘best practices’ die van hem worden verwacht, kan hij het beste opsteken bij de facility-manager, die eerder met het bijltje heeft gehakt en die over de benodigde soft skills beschikt. Als het beleid, de regels en de processen staan, is het zaak ook de werkvloer te doordringen van het belang, de eisen en de sancties. En om hen te vragen naar hun waardevolle ervaringsdeskundigheid en mogelijke verbeterpunten. Managers moeten hen hierop regelmatig trainen en toetsen.’
Dit artikel is eerder verschenen in Computable magazine jaargang 48, nummer 5 van mei 2015.
5 stappen
Vijf stappen op weg naar integraal informatieveiligheidsbeleid:
1. Geef een directielid informatieveiligheid in zijn portefeuille en maak een afdeling(smanager) of taakgroep (voorzitter) verantwoordelijk.
2. Laat de ict-manager het informatieveiligheidsbeleid in samenspraak met de facility-manager formuleren en met de directie bepalen.
3. Eis de toepassing van bewezen praktijken (best practices).
4. Doordring de medewerkers van het belang van het beleid, de regels en de processen. Train en toets hen regelmatig.
5. Vraag de ervaringsdeskundige medewerkers om verbetermogelijkheden. Beoordeel of medewerkers binnen de cultuur passen.
Prima artikel en ik ben het eens dat het gaat om een pragmatische aanpak als het gaat om document-en informatiebeveilging. Vooral belangrijk is het bewust maken van mensen/medewerkers. Recent onderzoek geeft bijvoorbeeld aan dat meer dan 50% van kantoormedewerkers over Europa geen vertrouwen heeft in de opslagsystemen die door de organisatie worden geboden. Gevolg: Zij slaan bedrijfskritische informatie allemaal op een andere, eigen manier op. Niet echt wenselijk voor de veiligheid. Andere herkenbare praktijken:
Als informatie teruggevonden moet worden, wordt er minutenlang onnodig gezocht en dus tijd verspilt. Dit schijnt gemiddeld 25 minuten per dag, per medewerker te zijn. En erger nog, soms is de benodigde informatie voorgoed verdwenen. Er gaat dus nogal wat mis als het om veilig informatiebeheer gaat.
Op het gemiddelde bureau zijn nog steeds stapels papier te vinden. Hoewel ‘alles digitaal’ theoretisch kan, zijn er medewerkers die zich nog steeds omringen met papier en wordt er zo af en toe weer aandacht gevraagd voor de ‘clean desk policy’van de organisatie. Weten we zeker dat rondslingerende documenten niet in handen kunnen vallen van onbevoegden? De afstand tussen zakelijke-en privé informatie is kleiner dan ooit. We werken thuis, zakelijk in een privésituatie, en het is niet ondenkbaar medewerkers op kantoor met zaken bezig zijn die zij eigenlijk alleen in de privé situatie zouden moeten doen. Het gevolg is dat het onderwerp document-en informatiebeveiliging nog nooit zo uitdagend is geweest.
Medewerkers klagen over ‘alweer een nieuw systeem’, waardoor het niet altijd duidelijk is waar informatie geborgd moet worden en er allerlei duplicaten gemaakt worden in verschillende opslagsystemen.
Pragmatisch omschreven toch?
Er ligt een GROTE rol weggelegd bij IT om structuur aan te brengen in de overvloed aan informatie en te zorgen dat bedrijfskritische informatie op een goede manier geborgd wordt. Werkprocessen optimaliseren en zorgen dat informatie centraal wordt opgeslagen! Voor IT-ers is dit een grote kans om nog beter de business te faciliteren. En dat is een onderwerp waar veel over gesproken wordt en binnenkort extra aandacht bij Computable zal gaan krijgen.
Altijd interesse om met vakgenoten hierover verder in gesprek te gaan.
ECM oplossingen bieden hier onder andere een antwoord op.