Data als belangrijkste product
In vergelijking met vroeger is er een hoop gemoderniseerd. Belangrijke bedrijfsdata werd voorheen massaal geprint en in grote archiefkasten opgesloten. Goed beveiligd door staal en gewapende beveiliging. Tegenwoordig is dat wel anders; de laatste twee decennia is deze methodiek enorm aan verandering onderhevig geweest. De verhouding ligt nu, afgaande op mijn eigen ervaring, gemakkelijk op 20% papier en 80% digitaal. Uiteindelijk is toch nog één factor uit dit onderwerp hetzelfde gebleven: de data. Of dat nou op papier is opgeslagen, ergens in een stoffige kast, of in een verre uithoek op een of andere rondzwevende NAS wordt gezet, data is data. En zoals door de tijden heen maar al te vaak duidelijk is geworden: specifieke data maakt dat een bedrijf zich kan onderscheiden van haar concurrenten. Of het nou het geheime recept van een donut is of de samenstelling van een specifieke telefoon. Gevoelige data, want dat is het, blijft altijd – in welke vorm dan ook – het belangrijkste product van de meeste bedrijven.
Beveiligen dus van groot belang!
Van groot belang dus, dat belangrijke data goed wordt beveiligd.  Maar hoe neem je actief de beveiliging op in het informatiebeveiligingsbeleid? En waarom staat dat erin? Een van de dingen dat belangrijk is bij security, is het vastleggen van een geïdentificeerde inventaris. Hier zijn verschillende redenen voor:
- Het vastleggen geeft een beeld van wat er bestaat, wie het beheert en misschien wel het belangrijkst: wie de eigenaar is. Stel, ik heb een melding dat een systeem gecompromitteerd is, dan wil ik zo snel mogelijk weten waar het staat en wie ik moet aanspreken om het systeem te isoleren en te repareren.
- Een ander goed voorbeeld, wat misschien meer relatie heeft met de meeste lezers, is het volgende: niet alle informatie mag – in welke vorm dan ook – van de werkplek afgehaald worden. Om even het eerdere voorbeeld van het donutbedrijf aan te houden: je mag dus niet het recept van de donut uitprinten, in je koffertje stoppen en dan thuis flink aan de slag gaan met kokkerellen. Aan de andere kant mag je het recept (in digitale vorm) ook niet naar je eigen e-mail adres mailen of thuis op je netwerkschijf uploaden.
Er zijn genoeg voorbeelden in het verleden waar dit soort gedrag verkeerd is gelopen. Denk aan een rechter of advocaat die een koffertje met extreem gevoelige stukken in de trein is vergeten. Of de terrorisme dossiers van Europol die publiekelijk toegankelijk waren via de NAS van een ex-werkneemster. - Het laatste voorbeeld wat ik wil geven is eigenlijk een statement. Een bedrijf kan namelijk van jou verwachten dat je oppast met wat je zegt over het bedrijf:
‘Medewerkers dienen bij het gebruik van ICT-middelen, social media en bedrijfsinformatie de nodige zorgvuldigheid te betrachten en de integriteit en goede naam van bedrijf X te waarborgen.’
Bovenstaande regel wordt met enige regelmaat in het informatiebeveiligingsbeleid opgenomen. Het voorkomt in feite dat medewerkers ongestraft een boekje open kunnen doen op het internet. Zie ook dit mooie voorbeeld.
Standpunt
Het is misschien lastig om als gebruiker na te gaan wat het beleid nou eenmaal voorstelt en wat je er aan hebt. Je werkt er immers niet dagelijks mee, behalve dan dat je de technisch afgedwongen – en common sense – richtlijnen volgt.
Natuurlijk staat veiligheid stipt op plaats nummer 1, maar niet geheel onbelangrijk is bijvoorbeeld dat het beleid ook de basis is van onze  ISO27001 certificering, waarmee we een groter pallet aan klanten kunnen aanspreken en waardoor we een kwaliteitsborging hebben vastgesteld. Daarnaast is het vastleggen van het beleid – en inherent het actief nastreven ervan – een enorme stap in de volwassenheid van een bedrijf op het gebied van security en IT.
Het beleid staat dus voor het beschermen van de bedrijfsgegevens, persoonlijke gegevens en het volwassen worden van IT binnen het bedrijf. Allemaal punten die bijdragen aan een gezonde en motiverende werkomgeving!
