De plek en de wijze waarop werknemers contact onderhouden met het bedrijfsinformatiesysteem is snel aan het veranderen. Niet langer is dat een vaste plek binnen de onderneming of organisatie maar steeds vaker daarbuiten. Het zijn ook niet altijd meer vaste werknemers. Steeds vaker wordt van tijdelijke inhuurkrachten of ZZPers gebruik gemaakt, die allen gebruikmaken van laptops, smartphones en alle soorten zelf meegebrachte apparaten. Om de work – life balance vorm te kunnen geven is 24×7 toegang tot deze informatie benodigd. De vraag is dan ook niet zozeer of een bedrijf te maken heeft met dergelijke ontwikkelingen, maar of dat een bedrijf dat onderkent.
Over deze blogger
Jos Akkermans is sinds 2014 werkzaam bij Grabowsky en is als lid van het Management Team verantwoordelijk voor Strategie & Sales. Hij heeft ruim 15 jaar managementervaring binnen de IT, op de gebieden Architectuur, Informatie Beveiliging en ICT, waarvan de laatste jaren op directieniveau. Jos begon als Architect bij het Ministerie van Defensie en werd al snel hoofd- en oprichter van de Cyber Security Afdeling van de Koninklijke Luchtmacht. Hierna heeft hij enkele jaren een operationele functie als verbindingsofficier bekleed. Jos behaalde zijn MBA aan de Nyenrode Business Universiteit. Hij volbracht de opleiding tot officier aan de Koninklijke Militaire Academie en studeerde Luchtvaartelektronica in Amsterdam en de Verenigde Staten.
Wanneer een bedrijf deze ‘diensten’ niet aan hun medewerkers aanbiedt, dan gebruiken de medewerkers het privé-emailadres of erger, een USB-stick. Voor de meeste bedrijven is de uitdaging of in deze omgeving de security nog kan worden gewaarborgd. Immers, van elke ‘gebruiker’ moet de identiteit worden vastgesteld, de mate van bevoegdheid en toegang tot het soort data. Maar is deze wereld eigenlijk wel zo complex? Verschillen de huidige security behoeften wel zo veel met de security van ons papieren informatiesysteem uit het verleden?
Voorheen werden documenten door een werknemer aangemaakt en naar bepaalde personen binnen de onderneming verstuurd. Op elk document stond aangeven aan wie het moest worden verstuurd, wie er op distributielijst kwam te staan en of het document vertrouwelijk was. Tot zover dus geen verschil met de elektronische variant. Als een collega een bepaald document in wilde zien, waarvoor hij geen bevoegdheid had, gaf deze als het goed was geen toestemming. In enkele gevallen werd besloten even ‘met koffiepauze’ te gaan en het document ter inzage achter te laten – vergelijkbaar met mensen die documenten doormailen naar personen met wie ze netwerken, maar geen formele werkrelatie hebben.
In de trein naar huis neemt de medewerker het document door en bij het weggaan laat hij per ongeluk het document in de trein achter – vergelijkbaar met de talrijke keren dat USB-sticks in treinen worden achtergelaten. Documenten die niet langer relevant waren werden in het archief opgeslagen. De archivaris hield bij aan wie en voor hoelang een document werd uitgeleend.
Nieuwe ‘oude’ aanpak voor security
De huidige aanpak van I & AM projecten is nog steeds te vaak gebaseerd op het personeelsbestand zoals het voorkomt in het HR-systeem. Dat mensen tegenwoordig samenwerken met bedrijven of personen uit hun netwerk en dat er een grote groep externe werkers bestaat, wordt daarmee vergeten. Daarbij zijn de huidige security-systemen veelal gericht op de ICT-infrastructuur en niet op het beveiligen van de data (het document) zoals vroeger het geval was. Voor het versturen van een simpele email ontbreekt immers nog steeds vaak de mogelijkheid om aan te geven of het vertrouwelijk is en dus niet zonder meer mag worden verstuurd. Om de beveiliging goed in te kunnen richten is het belangrijk om terug te gaan naar de basis; wat wil ik beveiligen? Welke groepen werkers (her)kennen we? Wie mag het inzien, mag het worden verspreid en wie bepaalt dat eigenlijk? Wat als het misgaat? Hoe herkennen we dat? Om dergelijke vragen te beantwoorden en de beveiliging integraal aan te pakken is een bredere blik op de organisatie nodig en dient de samenhang tussen de verschillende initiatieven te worden versterkt. Overzicht leidt tot inzicht. Net als vroeger zijn het immers de mensen die beveiliging mogelijk of onmogelijk maken; de beveiliging wordt gedreven door de identiteit.
