Dure en complexe beveiligingsmaatregelen voor gevoelige informatie zijn zinloos als uw medewerkers niet zorgvuldig met deze informatie omgaan. Het voorbeeld van de Amsterdamse officier van justitie die een PC met zeer gevoelige informatie bij het grofvuil zet is hier een recent voorbeeld van. Onderzoek[1] onder meer dan 1000 organisaties in diverse landen toont aan dat een gebrek aan beveiligingsbewustzijn bij medewerkers de belangrijkste reden is voor slechte beveiliging van gevoelige bedrijfsinformatie. Hetzelfde onderzoek toont ook aan dat meer dan de helft van alle organisaties onvoldoende aandacht besteedt aan het opleiden en trainen van medewerkers op dit gebied.
Hans Pronk, principal consultant bij Verdonck, Klooster & Associates stelt: “Veel organisaties benaderen de beveiliging van informatie als een eenzijdig technisch probleem. Zij treffen met name dure complexe technische maatregelen tegen bedreigingen zoals hackers en virussen. De menselijke factor wordt echter helaas te vaak vergeten.Ik vind dat beveiligingsbewustzijn bij medewerkers een essentiële en noodzakelijke voorwaarde is voor het daadwerkelijk beveiligen van bedrijfsinformatie. Daarbij gelden zes vuistregels waaraan iedere organisatie minimaal moet voldoen om te voorkomen dat gevoelige informatie in verkeerde handen terechtkomt.
- De organisatie dient medewerkers die met gevoelige informatie omgaan te trainen in het veilig omgaan met deze informatie.
- Gevoelige informatie moet als zodanig herkenbaar zijn. Een geheim document moet bijvoorbeeld als 'geheim' gemerkt zijn.
- De organisatie moet alleen de personen die gevoelige informatie voor hun werkzaamheden nodig hebben, toegang te verstrekken tot deze informatie. Om deze vuistregel af te dwingen zijn maatregelen noodzakelijk als het opbergen van documenten met gevoelige informatie in afgesloten kasten en het versleutelen van gegevens op harde schijven.
- Gevoelige informatie moet worden vernietigd wanneer deze niet meer nodig is en gegevensdragers moeten worden gewist voordat ze de organisatie verlaten. Dit geldt voor zowel informatie op papier als voor informatie die elektronisch is opgeslagen.
- De organisatie dient te beschikken over een gedragscode waarin de do's en don'ts voor het omgaan met gevoelige informatie expliciet zijn verwoord en waarin medewerkers handreikingen krijgen over hoe zij veilig met deze informatie kunnen omgaan.
- De organisatie moet ook daadwerkelijk controleren dat de bovenstaande vuistregels door de medewerkers juist worden toegepast. Het is niet de eerste keer dat een papiercontainer voor het pand vertrouwelijk bedrijfsinformatie bevat!"
De menselijke factor bij de beveiliging van informatie komt ook om de hoek kijken bij het voorkomen van virusbesmettingen en besmettingen met spyware programma's. Hans Pronk geeft aan dat 90% of meer van alle virusbesmettingen voortkomen uit het feit dat gebruikers te vaak niet goed omgaan met overduidelijk besmette emailberichten en met spyware behangen websites.
De ervaring van Verdonck, Klooster & Associates leert dat organisaties die aandacht besteden aan de menselijke factor bij de beveiliging van informatie structureel minder beveiligingsincidenten hebben. Hierdoor nemen op de langere termijn de totale beveiligingskosten af. Zoals altijd is een goed evenwicht tussen menselijke factoren en technische maatregelen van essentieel belang voor het zekerstellen van gevoelige bedrijfsinformatie.
[1] Global Information Security Survey, Ernst &Young, 2004
www.vka.nl