7 oktober 2009 -
Nederlandse bedrijven gaan nog steeds slordig om met gevoelige digitale informatie op USB-sticks en laptops. Bovendien heeft 57 procent van de Nederlandse bedrijven geen clean desk policy. Bij bedrijven die dat wel hebben is vaak weinig aandacht voor de opvolging ervan.
Dit blijkt uit onderzoek van Securitas onder 694 respondenten. Gerard Bongers, Senior Security Consultant bij Securitas: "Opvallend is dat twaalf procent van de werknemers denkt dat een clean desk policy dient om schoonmakers beter hun werk te laten doen, terwijl het beleid eigenlijk bedoeld is om gevoelige informatie te beschermen. Papieren met gevoelige gegevens die op bureaus rondslingeren maken een bedrijf kwetsbaar voor concurrenten of kwaadwillenden."
Makkelijk toegankelijk
De kwetsbaarheid van digitale informatie wordt volgens Bongers nog ernstig onderschat door het bedrijfsleven. 67 procent van de laptops en USB-sticks wordt niet achter slot en grendel opgeborgen. Van alle ondervraagden heeft één op de twintig het afgelopen jaar te maken gehad met diefstal of verlies van digitale informatiedragers. Op de werkplek zelf kan er ook meer gedaan worden om informatie te beschermen: "Ruim één op de vijf werknemers vergrendelt nooit zijn beeldscherm bij het verlaten van de werkplek. Bestanden staan vaak geopend in het scherm, zo is de computer voor iedereen toegankelijk." Bongers adviseert om informatiedragers te vergrendelen en wachtwoorden bij een centraal persoon binnen de organisatie te bewaren. "Op die manier is informatie beschermd, maar kunnen collega’s er wel bij als een werknemer bijvoorbeeld ziek thuis zit. Door wachtwoorden centraal te bewaren is er controle en kan altijd achterhaald worden wie toegang heeft tot welke informatie."
Rondslingerende papieren Bij het weggooien van gevoelige informatie is het bewustzijn bij organisaties een stuk hoger: 79 procent wordt versnipperd of vernietigd. Toch gaat men in 21 procent van de gevallen nog steeds onzorgvuldig te werk. Zo worden documenten met gevoelige informatie bij tien procent van de ondervraagden gewoon in de prullenbak gegooid. De overige elf procent blijft rondzwerven op bureaus of in de printer. Bongers: "Naast het risico dat gegevens in verkeerde handen vallen is dit niet representatief. Stel dat je een klant rondleidt bij jouw bedrijf en er liggen financiële gegevens van andere klanten in het zicht. Dat komt weinig zorgvuldig over en het zal zo’n klant echt wel aan het denken zetten of zijn gegevens bij jou in veilige handen zijn."
Er zal continue aandacht voor borging van deze 'organisatorische' security-issues nodig blijven. Ondersteuning door het TOP-management en vanuit beveiligingsbeleid is essentieel... in de praktijk onderschrijven die het vaak ook niet en dan onstaan de aangegeven situaties. Periodiek bewustwording kweken met positieve beloningen voor goede naleving (bonus, kadobon, certificaat)kan op een 'speelse wijze' de security in bedrijven ondersteunen. Door ook regelmatig controles uit te voeren (zg. audits) kan de status-qua vastgelegd worden met ruimte voor verbeteringen. En verder dient deze cyclus in stand te worden gehouden en mag het geen eenmalige solo-actie zijn. Het management bepaalt de kwaliteit van de maatregelen en de medewerkers moeten die naleven en er periodiek actief op beoordeeld/aangesproken worden.
Ik vind dit een erg zinvol artikel. We hebben al eerder in de publiciteit vernomen dat een legerofficier of een rechercheur een usb stick in een auto had achter gelaten of een officier van Justitie zelfs een hele pc bij het vuil had gezet met allerlei gevoelige informatie. In Engeland ging het zelfs om de persoonlijke informatie van een honderd duizend belastingbetalers ie werd vermist door een ambtenaar.
Het artikel is om twee redenen uiterst zinvol. Een duidelijke reminder dat corporate en persoonlijke data op zg data-carriers extra aandacht behoeven, en dat we ons achter de oren moeten krabbelen betreffende een ander al veel ouder probleem. Rondslingerende papieren met vaak vitale informatie.
Data Carriers
Er zijn momenteel aanbieders van 'encrypted data carriers' te kust en te keur. Safeboot in Nederland is er bijvoorbeeld zo één. Niet om nu voor hen een lans te breken maar als informatie om daar eens te rade te gaan.
Hier is wel van belang dat het de medewerk[st]ers tussen de oren moet worden gepropt dat data uiterst omzichtig dient te worden behandeld. Dat betekend ook inderdaad dat er een extra beveiligde uitgifte punt dien te komen die de regels opstelt en wachtwoorden bewaard en bewaakt.
Paperless Office
Het tweede betreft de paperless office. Dit is voorgekomen uit de noodzaak corporate enorme bedragen te laten besparen op enkele heel eenvoudige principes.
- Minder op papier is een enorme directe financiële besparing
- Minder op papier betekend meer digitaal opgeslagen en makkelijker en beter toegankelijker
- Minder op papier vergroot de veiligheid van allerlei gegevens die voor derden niet toegankelijk mogen zijn.
In beide gevallen is het een mind set die absoluut enorme bedragen bespaart maar meer nog dan dat, enorme reductie in risico dat gevoelige data voor anderen beschikbaar wordt.
