Informatiebeveiliging binnen het bedrijf: waar moet je op letten?

Informatiebeveiliging binnen het bedrijf: waar moet je op letten?

Een van de grootste uitdagingen tegenwoordig als het gaat om de beveiliging binnen een bedrijf, is informatiebeveiliging. Er zijn zoveel mogelijkheden om bij informatie te komen, vanaf zoveel locaties, dat het een behoorlijk hoofdpijndossier kan zijn. Bij QNH Consulting is men zich daar terdege van bewust. Vandaar dat men op hun website uitgebreid aandacht besteedt aan informatiebeveiliging, in de vorm van een serie blogs. Er zijn er tot nu toe vier geweest, die we hieronder kort zullen samenvatten. Uiteraard kun je ook doorklikken naar de originele blogs, door op de tussenkopjes te klikken.

Blog 1: Wachtwoorden

Voor vrijwel ieder bedrijf zou een wachtwoordbeleid een goed idee zijn. Niet elke werknemer gaat echter om met dezelfde informatie, waarvan de gevoeligheid kan verschillen. Een wachtwoordbeleid zou daar rekening mee moeten houden. Het maakt immers nogal een verschil of je verantwoordelijk bent voor gevoelige informatie of niet. Als directeur met toegang tot omzetcijfers en dergelijke beschermen je wachtwoorden net wat meer informatie dan als medewerker van de warme bakker. Dan ben je simpelweg een groter doelwit. In dat soort gevallen is het ook aan te raden om niet alleen de wachtwoorden op het werk maar ook thuis goed tegen het licht te houden. Kwaadwillenden kunnen via meerdere trajecten bij een bedrijf binnenkomen.

Een belangrijke vraag die je bij het ontwikkelen van een wachtwoordbeleid moet stellen, is dus welke informatie bescherm wordt door een wachtwoord (security awareness). Aan de hand daarvan kun je de eisen die vastgelegd worden in het beleid vaststellen.

Blog 2: Beveiligingsincidenten

Wachtwoorden zijn maar een deel van de oplossing als het gaat om informatiebeveiliging. Er vinden ook regelmatig zogeheten beveiligingsincidenten plaats met datalekken als gevolg. Dat laatste is immers wat we met z’n allen niet willen binnen een bedrijf. Zeker naar de klant toe zorgt dit in het algemeen voor een fikse vertrouwenscrisis. Een USB-stick van de zaak die je kwijtraakt/gestolen wordt of een netwerkshare die per ongeluk publiekelijk toegankelijk is, zijn voorbeelden van beveiligingsincidenten. Zijn er bij dit soort incidenten persoonsgegevens verloren gegaan/gestolen, dan spreken we van een datalek.

Voor bedrijven is het belangrijk dat iedereen zich bewust is van de impact die beveiligingsincidenten en dan met name datalekken kunnen hebben. Zeker sinds 1 januari 2016 de wet meldplicht datalekken is ingevoerd, kunnen deze verstrekkende gevolgen hebben, in de vorm van zeer forse boetes. Daarnaast is er natuurlijk het afgenomen vertrouwen bij (potentiële) klanten als gevolg. Met andere woorden, iedere medewerker is verantwoordelijk voor zijn eigen stukje veiligheid. Dat houdt uiteraard allereerst in dat je het maximale doet om datalekken te voorkomen. Gebeurt het toch of heb je ook maar het kleinste vermoeden dat het gebeurd kan zijn, meld het dan zo snel mogelijk bij de verantwoordelijke binnen het bedrijf.

Blog 3: Geheimhoudingsplicht

Een geheimhoudingsplicht maakt onderdeel uit van veel contracten en is ook een belangrijke schakel in informatiebeveiliging. Een noodzakelijk onderdeel van een dergelijke bepaling in een contract, is dat hij vrij algemeen verwoord is. Er is niemand die expliciet tegen je zegt wat het geheim is dat je moet houden op het moment dat je tekent. Dat zal deels komen omdat er gebruikgemaakt wordt van algemene bepalingen die in contracten in allerlei branches gebruikt worden. Aan de andere kant kunnen de geheimen vaak ook zo divers zijn, dat het vrijwel onmogelijk is om deze vooraf uit te schrijven.

Waar het op neerkomt bij een geheimhoudingsplicht, is dat een medewerker gevraagd wordt zijn gezonde verstand te gebruiken. Het is vaak namelijk niet eens in te schatten welke informatie als geheim wordt gezien en welke niet. Werk je bijvoorbeeld in een fabriek waar inktcartridges voor printers worden gemaakt, dan is het logisch dat het recept voor de inkt geheim is. Minder logisch is het wellicht dat ook de materiaalkeuze voor een bepaald onderdeeltje van een cartridge of machine anderen wijzer kan maken dan ze al zijn.

Blog 4: Privégebruik van zakelijke apparaten

Er zijn zeker nog bedrijven waar de hardware die zakelijk gebruikt wordt, strikt gescheiden is van de apparaten die in de vrije tijd ter hand worden genomen. Dat zijn er echter niet meer zo heel veel. Sterker nog, tegenwoordig is het heel normaal om privé bijvoorbeeld een smartphone aan te schaffen en die vervolgens ook te gebruiken in je zakelijke leven. Dit zorgt voor enkele uitdagingen op het gebied van informatiebeveiliging.

Op zich is er niet per se iets mis met het niet helemaal gescheiden houden van de twee werelden. Je doet er echter goed aan als werknemer om je te realiseren dat de apparaten die je zakelijk gebruikt, ook worden beheerd door het bedrijf waar je werkt. Een telefoon is bijvoorbeeld gekoppeld aan door het bedrijf beheerde MDM-software (Mobile Device Management). Hiermee is het mogelijk om een telefoon op afstand volledig te wissen. Er zijn overigens manieren om de interne opslag van een smartphone onder te verdelen in een zakelijke en een privépartitie. Sommige toestellen hebben deze functionaliteit standaard ingebouwd. Een beheerder heeft dan op afstand alleen iets te zeggen over de zakelijke partitie. In die omgeving kunnen dan ook allerlei restricties doorgevoerd worden, het niet kunnen gebruiken van de camera bijvoorbeeld.

Gebruik je een zakelijke laptop ook privé, dan doe je er goed aan om je gezonde verstand te gebruiken, bijvoorbeeld bij het openen van privé-e-mails. Klik niet op links die er niet betrouwbaar uitzien en open alleen maar mails waarvan je zeker weet dat ze van een betrouwbare afzender afkomstig zijn. Doe je dit niet, dan stel je het hele bedrijfsnetwerk potentieel bloot aan malware, virussen en/of ransomware.

Hieronder in het kort nog wat tips voor een goede balans van werk en privé op je zakelijke devices:

  1. Stuur nooit bedrijfsdata naar je persoonlijke e-mail
  2. Open niet zomaar alle persoonlijke mails op zakelijke apparaten
  3. Maak nooit een zakelijke back-up naar je privéomgeving
  4. Surf nooit meer dan nodig is op niet-werkgerelateerde websites
  5. Wees je zowel thuis als op het werk bewust van de digitale gevaren