Bedrijfsinformatie beveiligen? lessen leren!

Het regent verhalen over computernetwerken waarvan de informatie  onvoldoende beveiligd is. Elke dag halen dergelijke beveiligingsproblemen wel ergens het nieuws. De administrateur-generaal van de Staatsveiligheid kloeg er uitgebreid over, en de militaire inlichtingendienst ADIV heeft ook al verklaard dat de systemen van de overheid niet goed beschermd zijn. Wat met onze bedrijven? Vandaag de dag is geheimhouding ook daar een groot probleem en vaak onderschat. Raar genoeg is de reden voor de problemen vaak terug te brengen tot gewoon menselijk gedrag. Geen wonder dat het een hot topic is voor beveiligingsexperts.

Recente risico-analyses tonen aan dat werknemers zich voorbeeldig gedragen wat betreft het bewaren en behandelen van afgewerkte vertrouwelijke documenten. Maar ze brachten tegelijk aan het licht dat eerdere versies van de documenten openlijk en overal in het bedrijf te vinden waren. Of het nu op computers, in e-mails of op USB-sticks was.

Ook beveiligde platformen die bedrijven voor veel geld installeren, worden door werknemers vaak genegeerd en vervangen door (gratis!) online platformen. Combineer dit bizarre menselijk gedrag met alom beschikbare en gebruiksvriendelijke digitale producten en diensten en je krijgt een nachtmerrie op vlak van beveiliging van gegevens en informatie.

Blokkeren of toelaten?
De normale reactie van een bedrijf of organisatie is om de introductie van een nieuw communicatiemiddel (denk aan tablets, laptops of smartphones) te blokkeren tot alles ‘veilig’ is.

Helaas vertaalt dit zich vandaag in het beperken van de efficiëntie en creativiteit die het gebruik van nieuwe technologieën met zich mee brengt. Bovendien helpt het ook niet dat het bedrijsmanagement mobiele toestellen toelaat die niet behoren tot het bedrijfsbeleid, om dan  toegang te eisen tot mail en informatie. “We spenderen grote sommen geld, dus zal de digitale voetafdruk van ons bedrijf ook wel veilig zijn, toch?” Quod non.

Het is tijd om dat valse gevoel van veiligheid achter ons te laten en te aanvaarden dat 100% veiligheid niet bestaat.

Een louter technologische oplossing als remedie voorstellen, zal het probleem niet doen verdwijnen. De schuld richting nieuwe technologie of de IT-afdeling schuiven is ook geen echte oplossing: de wortels van het probleem liggen immers bij niet-bestaande of fout ingeschatte verantwoordelijkheden van de medewerkers.

We denken dat het aanwakkeren van het verantwoordelijkheidsgevoel van deze medewerkers een hele grote stap is richting een betere geheimhouding van vertrouwelijke bedrijfsinformatie. Iedereen die betrokken is, moet zijn verantwoordelijkheid kennen en gebruiken.

Schuldig of onschuldig?
Maar ondertussen mogen we niet meteen schuldigen aanwijzen bij een gebrek aan verantwoordelijkheid. We moeten onze medewerkers immers eerst leren om de elementaire beveiligingsregels te begrijpen en toe te passen, zeker als het gaat om relatief nieuwe communicatiemiddelen in een snel veranderende digitale wereld. Zeker met sociale media en mobiele toestellen in het achterhoofd.

Probeer meer grip te krijgen op de beveiligingstekortkomingen door te focussen op drie eenvoudige maatregelen.

• Leg de verantwoordelijkheid in handen van diegenen die rechtstreeks verantwoordelijk zijn voor de beveiliging van hun vertrouwelijke informatie.
• Vraag betere inlichtingen over informatiebronnen, de manier waarop ze beschermd worden en hoe ze bedreigd kunnen worden.
• Besteed meer aandacht en budget aan de bewustmaking van de impact van persoonlijk gedrag op informatiebeveiliging. Niets houdt eender wie tegen om het bedrijf of organisatie te vertellen dat het delen van elk type van vertrouwelijke informatie via onbeveiligde kanalen dient te stoppen.

En vergeet niet om voorbereid te zijn op de berg nieuwe digitale “speeltjes” die altijd en snel  op de werkvloer zullen verschijnen. Toon verantwoordelijkheid  : trek uw lessen en maak uw huiswerk !

Deze blogpost werd geschreven door Kris Poté, directielid bij Capgemini, samen met onafhankelijk beveiligingsexpert Stephen Smith.