In Blogs

Met het creëren van een beleid op het gebied van informatiebeveiliging en het aanzetten van verschillende opties om die beveiliging in Office 365 te verbeteren ben je een heel eind op weg. Maar de zwakste schakel is nog steeds de gebruiker, zegt Tijmen Bak, business consultant bij Mavention. Als die het beleid niet kent of zich er niet van bewust is, heb je nog steeds kans op een datalek.

Er is meer dan de GDPR

Bij informatiebeveiliging wordt tegenwoordig direct gedacht aan de GDPR. Natuurlijk is de GDPR belangrijk, daarover schreef ik al eerder. Maar informatiebeveiliging gaat over meer dan persoonsgegevens. Als een partij het recept van Coca-Cola openbaar maakt, is dat niet in strijd met de GDPR, maar er is wel duidelijk iets mis gegaan met de informatiebeveiliging bij Coca-Cola. Wat belangrijk is in het kader van informatiebeveiliging – gerelateerd aan de GDPR of niet – is voor elk bedrijf weer anders.

Secure score

Microsoft probeert bedrijven inzicht te geven middels de secure score. Aan de hand van ongeveer 150 ‘regels’, waarvoor je punten kunt krijgen, kun je zien hoe veilig jouw data is. Als je bijvoorbeeld softwarematig verplicht dat je werknemers elke drie maanden hun wachtwoord moeten veranderen, krijg je daar een aantal punten voor. Maar dat kan ook een ander effect hebben dan je verwacht. Als je medewerkers daardoor wachtwoorden gaan gebruiken als ‘Welkom2018a’, ‘Welkom2018b’ dan voldoen ze wel aan de regel, maar of het heel veilig is? Het gaat om je bedrijfsbeleid. Bij Mavention bijvoorbeeld werken we met een wachtwoordmanager. Voor elke dienst hebben we een ingewikkelde zin of sequentie van letters als wachtwoord. Dat is behoorlijk veilig, en onze wachtwoorden hoeven daarom echt niet elk kwartaal veranderd te worden. Maar een docent op een lagere school zal niet met een wachtwoordmanager werken, voor hem of haar is het misschien wel verstandig elke drie maanden een nieuw wachtwoord te verzinnen.

Je hebt een beleid. En dan?

Maar heb je met een veiligheidsbeleid alles afgedekt? Zeker niet. De gemiddelde medewerker leest zo’n beleid half door, maar wat het dan concreet betekent? In een beleid worden algemene richtlijnen uitgezet. Maar de uitwerking van zo’n beleid, dat gebeurt meestal niet. Je mist dan de bewustwording onder je medewerkers. Wat kun je daaraan doen?

Zorg dat je je mensen meeneemt

Je kunt je mensen ‘meenemen’ in je beleid, door bijvoorbeeld key users aan te stellen aan wie je medewerkers vragen kunnen stellen, FAQ-secties op je intranet plaatsen, Quick Reference Cards delen en jaarlijkse awareness-sessies organiseren. Zet gerust meerdere middelen in. Zo gaan mensen het beleid ‘leven’.

Zorg dat je beleid logisch is

Eigenlijk moet je beleid zo logisch zijn, dat elke medewerker die met een vraag zit, door logisch redeneren bij het juiste antwoord uitkomt. Een voorbeeld. Office 365 geeft je de mogelijkheid om kwalificaties aan bestanden mee te geven. Die kwalificaties kun je zelf benoemen. Je ziet dan bijvoorbeeld in Word een balk met termen als ‘hoog confidentieel’, ‘alleen intern’ en ‘extern delen toegestaan’. Door deze heldere benamingen zal iedereen snappen dat het document waarin staat dat 10% van de mensen wordt ontslagen de kwalificatie ‘hoog confidentieel’ mee moet krijgen.

Zorg dat je kunt monitoren

Binnen Office kun je de optie om bestanden extern te delen uitzetten. Dat kun je doen. Maar realiseer je dat als mensen dingen willen delen, ze wel een uitweg vinden. Die uitwegen kun je niet monitoren. Als je extern delen wel toestaat, kun je precies zien hoeveel bestanden er gedeeld worden. Ook daaraan kun je restricties meegeven, zodat een bestand bijvoorbeeld 10 dagen lang geraadpleegd mag worden, daarna verloopt de link. Zo kun je goed monitoren wat er gebeurt, wat beter is dan dat mensen ongecontroleerde acties gaan nemen.

Zorg dat je mensen de risico’s zien

Bij bewustwording hoort ook inzicht in de consequenties. Misschien lijkt het niet zo erg als je een document deelt met een partnerorganisatie. Maar wat als dié organisatie zijn security niet op orde heeft? Negen van de tien grote datalekken zijn niet ontstaan bij de organisatie zelf, maar bij een third party. Het Facebook-schandaal zal niemand ontgaan zijn. Ook daar was er geen sprake van een datalek bij Facebook, maar bij hun (inmiddels ex-)partner Cambridge Analytica. Als je mensen zich dat realiseren, ben je een heel eind.

Interesse?

Kan jouw informatiebeveiliging wel een kritische blik gebruiken? Met een quick scan en inspiratiesessie krijg je inzicht in je huidige situatie en de mogelijkheden. Daarnaast begeleiden onze business consultants je graag bij bijvoorbeeld de invoering van een informatiebeleid, strategie en de adoptie hiervan. Wil je meer informatie over de mogelijkheden, neem dan contact met ons op.

Vul je zoekopdracht in.