Een van de meest gestelde vragen aan onze ICT consultants, wanneer deze voor het eerst bij nieuwe relaties langs komen, is hoe veilig de ICT omgeving van de organsiatie is. Na een eerste korte inventarisatie blijkt dan vaak dat de poort wel gesloten is, maar de achterdeur wagenwijd open staat.

Security is al een tijdje ‘hot’. Steeds meer wordt informatie digitaal opgeslagen en dus is de vraag hoe betrouwbaar dat daar staat, snel gesteld. Maar de beste ICT beveiliging blijkt vaak niet te werken omdat dit door de medewerkers en soms zelfs (of vooral) de directeur of het management wordt genegeerd. Een firewall helpt nu eenmaal niet tegen kopiëren naar externe harddisks, het verliezen van memory sticks met waardevolle informatie en het gestolen notebook.

Wie het over beveiliging heeft, moet veel breder gaan nadenken dan alleen over ICT beveiliging. Security Officers spreken over percentages van meer dan 80% wanneer ze het hebben over diefstal van ‘binnenuit’. Of, in lekentaal: medewerkers die per ongeluk of expres belangrijke gegevens naar buiten de organisatie brengen.

De overgebleven 20% ontstaat niet alleen doordat kwaadwillenden van buiten naar binnen inbreken (dat is namelijk het kleinste percentage), maar doordat van binnenuit niet voldoende wordt gedaan om mensen van buiten het wat moeilijker te maken. Wanneer de gebruikte wachtwoorden bijvoorbeeld erg eenvoudig zijn, is het niet moeilijk voor buitenstaanders deze te ‘gokken’.

De ‘schuld’ van het gemak van de digitale inbreker ligt niet zelden bij de organisatie zelf. Een van onze relaties hanteerde lange tijd dat iedereen hetzelfde wachtwoord moest gebruiken. Een organisatie regel, omdat daarmee iedereen op elke PC kon werken. Bij vertrek van een oud medewerker wijzigde dit wachtwoord niet. Het wachtwoord werd ook niet na verloop van tijd aangepast. Dus, jarenlang hetzelfde password. Wel zo gemakkelijk. Maar ook wel zo riskant. Zeker daar waar het om oud medewerkers gaat. Niet voor niets wordt soms gezegd dat “een vriend van vandaag de vijand van morgen kan zijn”.

Soms wordt aangenomen dat beveiliging technisch afgedwongen kan worden. Dat is echter maar deels waar. Op Microsoft Windows servers wordt bijvoorbeeld vaak een instelling geactiveerd dat aangeeft hoe vaak een wachtwoord gewisseld moet worden en hoe complex een wachtwoord moet zijn. Organisaties die bewust vragen dit uit te schakelen, missen de kern van de zaak. Immers, je zou deze ‘regels’ zelf al moeten opvolgen, dus waarop stoor je je er aan wanneer het systeem je daar aan herinnert? Maar als mensen op een afdeling elkaar hun wachtwoord doorgeven of de wachtwoorden op papieren lijstjes bijhouden en ophangen op het prikbord, is zelfs dit soort instellingen niet zo zinvol. Gedrag heeft uiteindelijk meer effect op de beveiliging dan technologie, dat moge nu wel duidelijk zijn.

Iedere organisatie zou ons inziens moeten beginnen hun procedures op dit gebied vast te stellen. Niet alleen moet duidelijk worden wat er van een ieder verwacht wordt om zo ‘veilig mogelijk’ te kunnen werken, tevens moet vastgelegd worden hoe met mogelijke beveiligingsissues omgegaan dient te worden. Een goed uitgangspunt van dit opstellen is een risicoanalyse uit te voeren. Onze consultants hebben hier standaard checklisten voor ontwikkeld. Op basis van onze Panthera Security Scan nemen zij in een mum van tijd een aantal belangrijke punten door. Met gezond verstand komt u zelf echter ook al ver, al is een audit natuurlijk nooit verkeerd!