Veilig gedrag van werknemers is nog ver weg

Elke organisatie, zowel de kleinere als de grotere, staat voor de uitdaging om de informatieveiligheid te waarborgen. Investeren in security-technologie ligt dan voor de hand. Maar als medewerkers ‘onbewust onbekwaam’ met de risico’s omgaan, helpt zelfs de meest geavanceerde technologie niet. Uit onderzoek van Veenman blijkt dat organisaties zich dat onvoldoende realiseren: zij denken dat de grootste bedreiging voor de informatieveiligheid van buiten komt. De belangrijkste conclusie van het onderzoek is echter dat de grootste bedreiging van binnenuit komt: onveilig gedrag van medewerkers en het ontstaan van zwerfinformatie.

Over cybercriminaliteit en het lekken van gegevens staan de kranten vol. En dat de manier waarop mensen met informatie omgaan risico’s oplevert is bekend. Maar in welke mate zijn medewerkers zich bewust van de impact van hun gedrag op de veiligheid? En wat doen organisaties om hun informatieveiligheid te verbeteren? Leggen zij de focus op de techniek of de gedragskant, of zijn beide net zo belangrijk? Veenman, specialist op het gebied van documentmanagement- en informatievraagstukken en visual solutions, heeft dit onlangs laten onderzoeken.

Zwerfinformatie

Gezien alle aandacht voor zaken zoals ransomware, hackers en digitale bedrijfsspionage en pogingen van bepaalde mogendheden om in andere landen verkiezingen te manipuleren, is het niet vreemd dat veel ondervraagden denken dat het gevaar van buiten komt. Toch blijkt uit het onderzoek van Veenman dat de dreiging ‘van binnenuit’ veel groter is. Volgens het onderzoek is het grootste risico dat informatie fysiek of digitaal gaat rondslingeren als gevolg van de ondoordachte manier waarop mensen in hun werk met informatie omgaan.

Deze rondslingerende informatie wordt in het onderzoek ‘zwerfinformatie’ genoemd. Dat kan bijvoorbeeld gaan om prints of USB-sticks die achterblijven op de werkplek. Maar denk ook aan werknemers die hun laptop in de auto laten liggen. Als die laptop gestolen wordt, kan alle bedrijfsinformatie in verkeerde handen komen. Als het dan ook nog privacygevoelige informatie betreft, moet de diefstal in het kader van de meldplicht datalekken officieel worden gemeld bij de Autoriteit Persoonsgegevens. Onveilig gedrag is bijvoorbeeld het klikken op een schadelijke link in een e-mail of het gebruik van publieke diensten, zoals Dropbox en WeTransfer, om zakelijke informatie uit te wisselen. Of een e-mail met een bijlage met salarisgegevens die per ongeluk aan de verkeerde personen wordt gestuurd. Wat ook voorkomt is dat documenten worden rondgestuurd, zonder dat de verzender controleert of iedereen op de verzendlijst wel gerechtigd is die informatie te ontvangen.

Het probleem voor de security is dat medewerkers zich niet of nauwelijks bewust zijn van de waarde van privacy- en concurrentiegevoelige informatie. Daarbij komt dat werknemers ook niet weten wat zij precies moeten doen om zwerfinformatie te voorkomen.

Onbewust onbekwaam

Door de voortschrijdende digitalisering is informatieveiligheid een steeds complexer domein geworden. Voor het onderzoek is de borging van informatieveiligheid daarom benaderd vanuit een overzichtelijke driehoek met als hoekpunten:

  • Bewustzijn van mensen (kennen zij de waarde van informatie en van mogelijke gevaren?)
  • De techniek (adequate beveiligingssoftware en –hardware)
  • Het gedrag van mensen (vertonen zij het juiste gedrag als het om veiligheid gaat?)

Voor optimale veiligheid moeten de drie punten een solide geïntegreerd geheel vormen. Bij informatieveiligheid van organisaties is ICT – de techniekhoek – traditioneel in de lead, terwijl het merendeel van de respondenten van mening is dat met alleen technische oplossingen de informatieveiligheid niet gegarandeerd kan worden. Zij vinden dat de menskant minstens zo belangrijk is. Nu weet iedereen eigenlijk wel dat als het om security gaat de mens uiteindelijk de zwakke schakel is. Het onderzoek kijkt daarom dieper naar de bewustzijns- en gedragsaspecten en de oorzaken daarvan.

Onbewust bekwaam

Als bewustzijn en gedrag nader worden bekeken, dan blijkt dat veel mensen als het ware ‘onbewust onbekwaam’ met informatie omgaan. Mensen blijken zich gewoon niet of onvoldoende bewust van de waarde van de informatie waar ze mee werken. Zij kunnen zich soms ook niet eens voorstellen dat bedrijfsinformatie voor andere partijen waarde heeft. Daarnaast zijn zij zich ook vaak onbewust van wat de gevolgen kunnen zijn van de manier waarop zij met informatie omgaan. Tot slot speelt ook het gedrag een belangrijke rol. Een berucht voorbeeld: ondanks talloze waarschuwingen om niet op links in mails van onbekenden te klikken, gebeurt dat desondanks maar al te vaak. Het streven moet dus zijn dit alles zodanig te veranderen dat mensen ‘onbewust bekwaam’ worden in veilig omgaan met informatie. Dit wordt in de weg gestaan door:

  • Medewerkers nemen hun gedrag als privé informatieconsument mee naar hun werk. Dat creëert grote veiligheidsrisico’s als zij zich niet bewust zijn dat de bedrijfsinformatie die ze prijsgeven, een heel andere impact kan hebben dan het prijsgeven van privé-informatie.
  • Bestanden zijn net water: ze volgen de weg van de minste weerstand. Mensen willen gemakkelijk hun werk kunnen doen en zonder drempels of beperkingen informatie uitwisselen. Net als in hun privésituatie. Ze zijn zich echter niet bewust van het informatiespoor dat ze achterlaten en hoe anderen hier misbruik van kunnen maken.

Daarnaast blijkt uit het onderzoek dat het gros van de medewerkers niet weet wat binnen hun organisatie wordt verstaan onder informatieveilig werken. Men kent het beleid hiervoor gewoonweg niet. Waar nog bijkomt dat uit het onderzoek naar voren komt dat in veel organisaties nog geen strak informatieveiligheidsbeleid is vastgesteld. Solide securityprocedures ontbreken soms en als ze er zijn laat de communicatie erover vaak te wensen over. Ook blijkt dat niet of nauwelijks is doorgedrongen dat informatieveiligheid een gemeenschappelijke verantwoordelijkheid is van de organisatie én van alle medewerkers. Het wordt te veel gezien als een verantwoordelijkheid van de organisatie.

Groot vliegwiel

Positiever is dat driekwart van de organisaties op een of andere manier bezig is met bewustzijnsontwikkeling, een kwart besteedt daar helemaal geen aandacht aan. Dat het groeitempo van het veiligheidsbewustzijn niet synchroon loopt met de technologische ontwikkelingen vormt een behoorlijke uitdaging. Informatieveiligheid is als het ware een groot vliegwiel dat langzaam op gang komt. Veel organisaties blijken zich nog in de beginfase van de weg naar bewustzijnsverandering te bevinden.

Geen zwerfinformatie meer

Het onderzoeksrapport komt ook met een aantal aanbevelingen om zwerfinformatie tegen te gaan:

  • Bepaal of er nieuwe en/of additionele technologische oplossingen nodig zijn, bijvoorbeeld oplossingen die gebruikersvriendelijker werken en beter voldoen aan de behoeften van de medewerkers .
  • Communiceer over het beleid en de risico’s van zwerfinformatie, en blijf dat regelmatig doen.

Je kunt zwerfinformatie alleen bestrijden als goed in kaart is gebracht welke informatie geen duidelijke plek heeft binnen de primaire processen en daardoor op allerlei plekken bewaard wordt, zoals laptops, USB-sticks, bureaus en de voor iedereen toegankelijke ‘public cloud storage’ platformen zoals Dropbox, WeTransfer en Google Drive.

Begin daarom bij de technologische kant van de informatieveiligheidsdriehoek. Wat zijn de reeds aanwezige softwarepakketten of -applicaties en welke mogelijkheden worden daarbinnen geboden voor optimalisatie van werkprocessen en het ondersteunen van specifieke behoeften van medewerkers? Dit kan voorkomen dat medewerkers zogenaamde ‘workarounds’ rondom de bestaande applicaties bedenken. Achterhaal ook welke eventuele workarounds mogelijk zijn, waarom medewerkers daar gebruik van maken en welke risico’s dit met zich meebrengt.

Als blijkt dat de mogelijkheden van bestaande softwarepakketten niet volstaan, of als aanpassingen niet efficiënt toegepast kunnen worden om te voldoen aan de behoefte van de medewerkers, is het interessant om te gaan kijken welke alternatieven wél kunnen voorzien in deze behoefte. Dat kan de kans op onveilig omgaan met informatie drastisch verkleinen.

Zwerfinformatie hoeft niet in alle gevallen een veiligheidsprobleem op te leveren. Dat gebeurt pas als de veiligheid in het geding komt en dat hangt dus af van de aard van de informatie. Privacygevoelige of concurrentiegevoelige informatie levert voor de organisaties een veel groter risico op dan andersoortige informatie.

Wie initieert het informatieveiligheidsbeleid?

Informatiebeveiliging is niet alleen ICT-security, daar komt veel meer bij kijken. Het is een verantwoordelijkheid van de gehele onderneming, van hoog tot laag. Een speciale functionaris gegevensbescherming (FG) oftewel data protection officer (DPO) kan een spin in het web zijn om iedereen in de organisatie, van hoog tot laag, bewust te maken, te trainen en te auditen.

Wie is waar verantwoordelijk voor als er iets mis gaat? Naast helder communiceren wat wel en niet mag, zijn er ook vele trainingen of seminars beschikbaar waarin medewerkers bewust worden gemaakt van de risico’s van zwerfinformatie. Zwerfinformatie als symptoom bevindt zich ook aan de outputkant, het ‘einddocument’, zoals de print, de factuur of aantekeningen op flipovers. Dit laatste is op te lossen door bijvoorbeeld een digitaal bord waar aantekeningen op gemaakt kunnen worden. De notities kunnen direct na een meeting digitaal met de aanwezigen worden gedeeld en vervolgens van het bord worden verwijderd.

Bepaal op welk niveau de verschillende informatie beschermd moet worden. Kroonjuwelen verdienen natuurlijk een ander informatiebeleid en daarmee een ander beschermingsniveau dan gegevens die openbaar beschikbaar mogen zijn. Kijk tot slot goed naar de kosten en baten. Het heeft immers weinig zin geld uit te geven aan bescherming van informatie die geen schade oplevert als het in verkeerde handen komt.

Evelien Roos, Business Solutions Manager bij Veenman

Het rapport ‘Zwerfinformatie – Zonder omwegen goed en veilig werken met informatie’ is in opdracht van Veenman uitgevoerd in het najaar van 2016. Het is een benchmark over informatieveiligheid waaraan bijna 170 personen hebben deelgenomen. De hoogste respons kwam van zakelijke dienstverleners (26%). Ook financiële dienstverleners (13%) en overheden (17%) zijn ruim vertegenwoordigd. Het zwaartepunt van de deelnemers ligt bij ICT-managers (25%). Information security officers en leden van de algemene directie zijn beide goed voor 16% van de respons. Daarnaast is de financiële directie met 5% vertegenwoordigd. In dit onderzoek heeft 33% van de organisaties tussen de 20 en 100 medewerkers, 19% tussen de 100 en 1.000 medewerkers en 17% meer dan 1.000. Ook de fysieke structuur van een organisatie is van invloed op de informatieveiligheid. Wanneer de werkzaamheden op meerdere locaties worden uitgevoerd, stijgen de veiligheidsrisico’s. Ruim de helft van de responderende bedrijven heeft 1 tot 10 vestigingen; 40% heeft 11 tot 20 vestigingen. De overige 10% heeft tussen de 20 en 300 vestigingen of meer. Het volledige rapport is te downloaden via www.zwerfinformatie.nl.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *