033 - 7600530 info@conceptsales.nl

Techneuten, auditors en informatiebeveiligers rollen al decennia lang over elkaar heen, als het gaat om de inrichting van informatiebeveiliging. Door de toenemende behoefte aan communicatie en kennisdeling en uiteraard ook door de voortschrijdende techniek is honderd procent beveiliging echter bij voorbaat al een kansloze zaak. Honderd procent beveiliging bestaat so wie so niet. (Zie ook Kosten en baten van beveiliging.) Het gaat om risicobeheersing. Maar bij iedere nieuwe ontwikkeling laait de discussie weer op. Zoals ook nu weer rond Cloud Computing. Natuurlijk kun je geen muur bouwen rond de cloud. Bedrijfsinformatie is echter al lang niet meer op die manier te beveiligen.

Niet de techneuten, de auditors of de beveiligers zijn bepalend voor een succesvolle werking van informatiebeveiliging. Zij zijn slechts voorwaardenscheppend. Het zijn de gebruikers die hiervoor moeten zorgen. Maar dan moeten ze wel weten, hoe ze dat op eenvoudige wijze kunnen doen.

Databeveiliging is vaak niet nodig
Laten we eerst weer eens teruggaan naar de betekenis van het woord informatiebeveiliging. Informatiebeveiliging draait om de beschikbaarheid, de juistheid en de vertrouwelijkheid van informatie. Vooral dat laatste wordt momenteel gezien als het hete hangijzer. Automatisering helpt ons bij verwerking van informatie. De meeste geautomatiseerde systemen echter verwerken geen informatie, maar slechts data. En die zijn doorgaans niet echt vertrouwelijk. Pas als we relaties leggen tussen data, kunnen we spreken van informatie.

Want is het erg als uw privacygevoelige gegevens op straat komen te liggen? Niet, als niemand weet, dat die gegevens u betreffen. Pas als er verbanden gelegd worden, krijgen data betekenis en worden samenhangende data vertrouwelijke informatie . Pas dan vormen ze een beveiligingsrisico. Vaak maken techneuten en auditors dit verschil tussen data en informatie niet. Zij redeneren dat je informatie kunt maken uit data en dat data dus beveiligd moeten worden. Dit is een misverstand. Want als je data scheidt van de applicatie waarmee de informatie gegenereerd wordt, heb je een goed aangrijpingspunt voor informatiebeveiliging. Niet alleen binnen de bedrijfsmuren, maar ook in de cloud.

De gebruikers zelf vormen dan het grootste risico. Gemakzuchtig als ze zijn, slaan ze betekenisvolle informatie op als bijvoorbeeld een document of een spreadsheet of ze plakken de informatie in een mail of printen deze uit. In al die gevallen gaat het om opslag of distributie van informatie en zal er dus beveiligd moeten worden. Anders worden er beveiligingslekken gecreëerd. En dan is ook de cloud natuurlijk onveilig.

Is awareness de oplossing?
Bovendien onttrekt de informatie in geprinte of verstuurde vorm zich vaak aan de beveiligingsmiddelen die de organisatie heeft ingezet. Veel documenten worden geprint. Geprinte documenten worden weer gekopieerd. Meestal is niet meer te achterhalen, wie zo’n kopie in handen krijgt, want veel van deze documenten verdwijnen in koffers en worden zonder enig probleem meegenomen naar buiten de poort van de organisatie. Per mail gaat het nog sneller. Immers, als u uw mail, al dan niet met een cc, heeft verstuurd naar anderen, dan wordt die mail sowieso elders opgeslagen. Bovendien kan die ander uw mail doorsturen. Want kennisdeling is tenslotte een core competence van kennisintensieve organisaties.

Maar informatiebeveiligers liggen hier wakker van. Ze hebben tenslotte niet voor niets een bolwerk gemaakt van uw informatiesystemen. En dan gooit de eerste de beste gebruiker, overigens misschien wel met de beste bedoelingen, die goed beschermde informatie zomaar op straat. Is het gek, dat beveiligers hameren op meer awareness bij management en gebruikers? Verboden moeten blijkbaar nog zwaarder aangezet en beter gecontroleerd worden en de sancties moeten worden verzwaard! Anders maken die gebruikers er een zootje van!

Diezelfde gebruikers zijn echter hoogst verbaasd over de stupiditeit van de informatiebeveiligers. (Zie ook Informatiebeveiliging awareness voor management en gebruikers.) Die collega, klant of leverancier had de informatie nodig. Als dienstverlener ontleen je toch je bestaansrecht aan het dan ook daadwerkelijk leveren van die informatie? Bovendien, ze hebben toch een geheimhoudingsverklaring laten tekenen? Wat is er dan mis met die informatiebeveiliging?

Niet slepen met informatie
Het antwoord is simpel: die geheimhoudingsverklaring biedt natuurlijk geen bescherming als niemand de naleving controleert. En controle is niet mogelijk, als beveiligde informatie per mail of als hard copy buiten de bedrijfsmuren wordt gebracht. De ontvanger kan ermee doen wat hij wil, zonder een aanzienlijke pakkans. Dat weet de ontvanger. Het delen van kennis door die kennis te distribueren is een dodelijk lek voor iedere beveiliging. (Zie ook Kunt u weglekken van digitale geheimen voorkomen.)

Juist hier schieten informatiebeveiligers tekort. Iedereen weet, dat informatiebeveiliging de vijand is van efficiency. En efficiency is in de meeste organisatie toch belangrijker. Kortom, als het nodig is om maatregelen te treffen tegen onveilige kennisdeling, dan moeten aan gebruikers andere, veilige faciliteiten geboden worden om toch efficiënt en gebruiksvriendelijk kennis te kunnen delen. Anders gaan de maatregelen niet werken. Het onderscheid tussen informatie en data is hierbij van belang. Niet de informatie wordt verspreid, maar de toegang tot de informatie. Gebruikers geven collega’s, klanten of leveranciers toegang tot de gevraagde informatie, die dan uiteraard is ingericht voor deze vorm van kennisdeling met de geautoriseerde derde.

Een dergelijke virtuele opslag van informatie is natuurlijk afgeschermd van de andere bedrijfsinformatie. Er kan ook gemonitord worden wie wanneer welke informatie opvraagt en welke bewerkingen hiermee uitgevoerd worden, zodat bij misbruik de pakkans maximaal wordt. Verder kunnen functies als het uitprinten of elders opslaan van de informatie geblokkeerd worden voor gebruikers van deze informatie met minder rechten.

Veel gemaakte fout bij informatiebeveiliging
Helaas bieden veel beveiligers gebruikers dit soort faciliteiten niet, zodat de gebruikers als kenniswerker geen andere keuze hebben dan toch met de informatie te gaan slepen. Dat is tenslotte hun primaire taak, zeker binnen een dienstverlenende organisatie.

Veel beveiligers vinden het bieden van dergelijke facilieiten geen onderdeel van hun taak. Daardoor ontstaat vaak wrijving tussen beveiligers en gebruikers. Het zou zo moeten zijn, dat beveiligers zich bewust zijn van de impact van hun maatregelen op de efficiency van de organisatie. Als de efficiency door maatregelen vermindert, dan moeten ze meedenken over de oplossing voor dit probleem. Doen ze dit niet, dan zal blijken dat juist de meest loyale medewerkers de beveiligingsmaatregelen gaan omzeilen. En dat zijn nou precies de medewerkers die nodig zijn voor het draagvlak binnen de organisatie. En draagvlak werkt beter dan bangmakerij. (Zie ook Professionele informatiebeveiligers maken zich vaak ongeloofwaardig.)

Gecontroleerde toegang dus essentieel
Veel mensen schrikken echter van een dergelijke oplossing. Het zijn tenslotte de aanvallen van buitenaf, die jaren werden aangeduid als de belangrijkste bedreiging voor de informatiebeveiliging. En nu moeten ineens de poorten naar de bedrijfsinformatie wijd open gezet worden, ook voor hackers.

Het gevaar van hackers moet echter niet overdreven worden. Als een hacker slaagt in zijn inbraakpoging, dan ziet hij vooral heel veel data en maar weinig informatie. Daar zit dus niet het gevaar. Het wordt gevaarlijker als een hacker het account van een beheerder kaapt en zich als deze beheerder gaat voordoen. Een beheerder heeft veel rechten en die krijgt een hacker dan ook.

Als gebruikers betekenisvolle informatie gewoon opslaan op een netwerkschijf, dan kan een beheerder en dus ook de hacker zich hier toegang toe verschaffen, zonder dat iemand er weet van heeft. Als deze informatie echter wordt opgeslagen in een aparte ruimte, waar alleen een beperkt aantal geautoriseerde gebruikers mag komen en die bovendien ook nog gemonitord wordt, dan komt de beheerder niet in deze ruimte, en dus de hacker ook niet. Als dit wel gebeurt door inbraak, dan wordt dit gesignaleerd zonder dat de beheerder (of de hacker) zijn sporen kan uitwissen. Sharepoint is voor zo’n oplossing uitstekend bruikbaar. Maar er zijn hiervoor zelfs gratis open source oplossingen beschikbaar.

Als we weten dat 70% van de inbreuken op informatiebeveiliging wordt veroorzaakt door interne medewerkers, dan zal duidelijk zijn dat juist het beschikbaar stellen van een systeem voor gecontroleerde toegang de beveiliging van informatie sterk kan verhogen. Niet alleen tegen externe aanvallen, maar vooral ook tegen interne aanvallen. En die vormen een royale meerderheid.

Bijkomend voordeel is dat ook het nieuwe werken zo veilig wordt ondersteund. (Zie ook Het Nieuwe Werken, vluchten kan niet meer.) Het is niet meer nodig dat informatie op laptops of als geprinte documenten mee naar huis wordt gesleept. Via internet heeft men gewoon toegang tot de bedrijfsinformatie en de gegevensverwerking waarvoor men geautoriseerd is. Die toegang is goed te beveiligen. Op deze manier zijn incidenten te voorkomen met gestolen laptops, met verloren USB-sticks met de gegevens van duizenden klanten of patiënten of met PC’s bij het huisvuil, waarvan de data niet zijn gewist.

Discipline van gebruikers
Beveiligers hielden in het verleden dit type oplossing vaak tegen, vanuit een soort koudwatervrees. Gebruikers zijn daardoor ook nooit geconfronteerd met hun verantwoordelijkheid als gegevenseigenaar. In de nieuwe situatie moet dat wel gebeuren. In het verleden regelde de ICT-afdeling de toegangsbeveiliging. Natuurlijk gebeurde dit wel op verzoek van het management. Maar dit tekende vaak ongezien, als een medewerker meer rechten vroeg.

Als de belangrijkste pijler onder de beveiliging wordt gevormd door toegangsbewaking, zullen gegevenseigenaren moeten nadenken over de vertrouwelijkheid van de informatie en over de vraag wie toegang mogen hebben tot de informatie en welke bewerkingen ze mogen uitvoeren. Het is niet meer een manager die bepaalt of zijn medewerker toegang moet hebben tot bepaalde informatie, die dan vervolgens wordt verleend door de ICT-afdeling. Nu is het de gegevenseigenaar, die dit verzoek kan honoreren.

Kennisdeling is tegenwoordig een must voor alle kennisintensieve en dienstverlenende bedrijven. Dit hoeft echter geen verhoogd risico met zich mee te brengen. Het is de informatie zelf die moet worden beschermd. En de eerste stap hierin is deze informatie niet te verslepen. Dan kunnen de indianenverhalen over onveiligheid bij Cloud Computing ook bij het oud vuil. (Zie ook Cloud Computing is onderdeel van de megatrend van bezit naar gebruik.) Of blijft u liever investeren in achterhaalde zaken? Ook verplichte normen als ISO 27001 kunnen hiermee afgeschreven worden. Ze zijn nog gebaseerd op uw bedrijfsmuren en dat is niet meer van deze tijd. Kortom, het is tijd om over te schakelen op de modernere ISO 27002 norm.

© 2010 ConceptSales, Auteur: Wiebe Zijlstra

Auteur: Juri Pietersen

Juri is business lead bij Conceptsales en houdt zich bezig met sales strategie, salestraining, portfolio ontwikkeling en innovatie bij opdrachtgevers