Wie het over beveiliging heeft, moet veel breder gaan nadenken dan alleen over ICT beveiliging. Security Officers spreken over percentages van meer dan 80% wanneer ze het hebben over diefstal van ‘binnenuit’. Of, in lekentaal: medewerkers die per ongeluk of expres belangrijke gegevens naar buiten de organisatie brengen.
De overgebleven 20% ontstaat niet alleen doordat kwaadwillenden van buiten naar binnen inbreken (dat is namelijk het kleinste percentage), maar doordat van binnenuit niet voldoende wordt gedaan om mensen van buiten het wat moeilijker te maken. Wanneer de gebruikte wachtwoorden bijvoorbeeld erg eenvoudig zijn, is het niet moeilijk voor buitenstaanders deze te ‘gokken’.
De ‘schuld’ van het gemak van de digitale inbreker ligt niet zelden bij de organisatie zelf. Een van onze relaties hanteerde lange tijd dat iedereen hetzelfde wachtwoord moest gebruiken. Een organisatie regel, omdat daarmee iedereen op elke PC kon werken. Bij vertrek van een oud medewerker wijzigde dit wachtwoord niet. Het wachtwoord werd ook niet na verloop van tijd aangepast. Dus, jarenlang hetzelfde password. Wel zo gemakkelijk. Maar ook wel zo riskant. Zeker daar waar het om oud medewerkers gaat. Niet voor niets wordt soms gezegd dat “een vriend van vandaag de vijand van morgen kan zijn”.
Soms wordt aangenomen dat beveiliging technisch afgedwongen kan worden. Dat is echter maar deels waar. Op Microsoft Windows servers wordt bijvoorbeeld vaak een instelling geactiveerd dat aangeeft hoe vaak een wachtwoord gewisseld moet worden en hoe complex een wachtwoord moet zijn. Organisaties die bewust vragen dit uit te schakelen, missen de kern van de zaak. Immers, je zou deze ‘regels’ zelf al moeten opvolgen, dus waarop stoor je je er aan wanneer het systeem je daar aan herinnert? Maar als mensen op een afdeling elkaar hun wachtwoord doorgeven of de wachtwoorden op papieren lijstjes bijhouden en ophangen op het prikbord, is zelfs dit soort instellingen niet zo zinvol. Gedrag heeft uiteindelijk meer effect op de beveiliging dan technologie, dat moge nu wel duidelijk zijn.
Iedere organisatie zou ons inziens moeten beginnen hun procedures op dit gebied vast te stellen. Niet alleen moet duidelijk worden wat er van een ieder verwacht wordt om zo ‘veilig mogelijk’ te kunnen werken, tevens moet vastgelegd worden hoe met mogelijke beveiligingsissues omgegaan dient te worden. Een goed uitgangspunt van dit opstellen is een risicoanalyse uit te voeren. Onze consultants hebben hier standaard checklisten voor ontwikkeld. Op basis van onze Panthera Security Scan nemen zij in een mum van tijd een aantal belangrijke punten door. Met gezond verstand komt u zelf echter ook al ver, al is een audit natuurlijk nooit verkeerd!
