Het activeren van de business om bewust en zorgvuldig met bedrijfsgegevens om te gaan moet bovenaan het lijstje van de IT-afdeling staan wanneer het onderwerp IT-security ter sprake komt. Hierbij vijf security-tips die direct tot resultaat zullen leiden. Die van medewerkers een human firewall moeten maken.
Over deze blogger
Stefan Sijswerda is binnen Dell adviseur informatiebeveiliging. Hij is verantwoordelijk voor de begeleiding van informatiebeveiligingstrajecten bij relaties van Dell. De specifieke kennisgebieden liggen rondom Identity & Access Management/ Governance en netwerkbeveiliging. Hij studeerde bedrijfskunde en heeft zich verder ontwikkeld op het vlak van bedrijfsprocesautomatisering. Daarnaast doorloopt hij samen met relaties de opbouw van business cases en assisteert bij de transitie van bedrijven om informatiebeveiliging te gebruiken bij verbeteren en vereenvoudigen van bedrijfsprocessen.
IT-security wordt door werknemers vaak ervaren als een gewichtig thema waar mannen in grijze pakken over moeten vergaderen. Zij moeten maar bedenken hoe het bedrijf z’n bedrijfsgegevens beveiligd. Toch is IT-security niet bepaald iets van de boardroom. Mensen hebben een eigen verantwoordelijkheid wanneer het gaat om informatiebeveiliging en het toepassen van de juiste maatregelen. De IT-afdeling heeft enkel een faciliterende rol. Zij moeten ervoor zorgen dat alle technische hulpmiddelen voorradig zijn om een goede beveiliging af te dwingen. In mijn beleving is het activeren van de eindgebruikers de sleutel bij een goede IT-security. Vijf tips voor hoe je als IT-afdeling direct de beveiliging kan verbeteren.
- Faciliteer als organisatie opbergruimtes. Veel informatie ‘lekt’ weg doordat papier letterlijk op bureaus rondslingert. Hierdoor wordt de gebruiker gemotiveerd om (semi-)vertrouwelijke documenten hierin op te bergen bij het verlaten van de werkplek. De organisatie geeft korte richtlijnen wat (semi-)vertrouwelijk is en wanneer deze dus op aangewezen plekken opgeborgen moet worden. Dus bij kort, midden en lang verlaten van de werkplek.
- Zorg dat mensen de beschikking hebben over een desktop-locker. Een desktop-locker is zo’n kabel waarmee je een laptop vast kan zetten aan een tafel, zodat hij niet meegenomen kan worden. Toegangscontrole wordt gefaciliteerd door uw bedrijf. Door het mobiele werken kunnen mensen tegenwoordig overal werken en is de kans dat uw werknemer een telefoon of laptop verliest door diefstal aanmerkelijk groter geworden. Geef ze gewoon de beschikking over zo’n locker. Mensen zijn er blij mee en het bedrijf heeft direct een security- risico afgedekt.
- Deel je informatiebeveiligingsbeleid met de medewerkers. Over een informatiebeveiligingsbeleid wordt doorgaans veel te moeilijk gedaan. Het zijn onnodig dikke pakken papier, waar de doorsnee werknemer nooit een letter van leest. Maak het behapbaar. Zorg voor een samenvatting en zorg ook voor een informatiebeveiligingsplan waarin in concrete punten staat wat er van mensen verwacht wordt en wat IT concreet dit jaar gaat doen. Dat verhoogt bewustwording en acceptatie. Geef hierbij aan wat het voordeel is voor de gebruiker.
- Wat je fysiek regelt moet je ook digitaal regelen. Zorg voor makkelijke opslag van data op een veilige plek. IT moet dit faciliteren. Als je bijvoorbeeld het gebruik van Dropbox door de business gaat verbieden, zorg er dan voor dat je een veilig alternatief hebt voor file sharing. Anders kan je je ervan verzekeren dat mensen toch doorgaan met het gebruik van Dropbox. IT kan ervoor zorgen dat verplaatsing van documenten naar onder andere Dropbox automatisch worden encrypt. Dit verhoogt beveiliging en maakt het voor de gebruiker makkelijker.
- Werk vanuit de waarom vraag. Collega Steven Daniëls schreef er al een mooie blog over: de eindgebruiker bepaalt welke gegevens van belang zijn. Hij is ook de enige die dit goed kan weten, want hij werkt met de gegevens en kan de impact van verlies op zijn dagelijkse werk inschatten. Ga daarom een dialoog met de business aan. Betrek ze bij een project en probeer als IT-afdeling niet zelf te gaan bedenken wat cruciale informatie is en wat niet. Scrum is bij uitstek een goede projectmethodiek. Er worden dan mensen uit verschillende lagen van de organisatie betrokken.
