woensdag 4 augustus 2010

Informatiebeveiliging door bewustwording? Ja natuurlijk!

Beveiliging is niet alleen het borgen van de toegang tot de systemen, maar ook een beveiliging van de content van die systemen, van de informatie dus.
Bovenstaand zinnetje uit het artikel van Voorhout en Tegelaar uit de zomereditie van de Informatieprofessional is mij uit het hart gegrepen. Alleen jammer dat ze het in de rest van het artikel zo slordig uitwerken.
Voorhout en Tegelaar betogen terecht, dat informatiebeveiliging veel meer is dan het tegenhouder van hackers en het afsluiten van systemen en databases door middel van wachtwoorden. Als je de legitieme gebruikers van die systemen niet duidelijk maakt dat ze de aanwezige informatie niet zo maar mogen verspreiden (in welke vorm dan ook), span je het paard achter de wagen. De auteurs demonstreren dit aan de hand van een hele riedel voorbeelden:
Wie herinnert zich niet de geslaagde hackpoging in de servers van het Amerikaanse Pentagon?
(...)
Herinnert u zich nog het verhaal van een verloren USB-stick met gevoelige info van het ministerie van Defensie, achtergelaten in een huurauto? De computer van de Amsterdamse Officier van Justitie Tonino? Het wachtwoord van een directeur op een geeltje op zijn computer? En, recent nog, de plaatsing van gevoelige en vertrouwelijke informatie op de website van het ministerie van Justitie?
(...)
Denk bijvoorbeeld aan de tweets van kamerleden die achteraf moesten worden gerectificeerd - met ontslag tot gevolg. (...)
Dat herinner ik me niet allemaal precies en ik zou vooral over dat ontslag-door-twitter wel meer willen weten. Jammer dat Voorhout en Tegelaar hun bronnen geheim houden...

Maar goed, er is dus een probleem met informatiebeveiliging, wie zou dat dan op moeten lossen?
De informatieprofessional!
Waarom hij?
Omdat hij vroeger ook de dossiers met 'geheim', 'vertrouwelijk' en 'staatsgeheim' beheerde en creëerde.
En wat moet hij dan nu doen?
Hij moet "vanuit zijn vakgebied meer tegenwicht bieden aan de groeiende onachtzaamheid van werknemers ten opzichte van informatie." En hij moet "in overleg met ICT richtlijnen opstellen voor beheer, locatie en gebruik van informatie." Tegenwicht bieden, overleg, richtlijnen opstellen, dat klinkt erg... bureaucratisch, ambtelijk en ouderwets.
En "de informatieprofessional" moet drie dingen doen:
  1. Er voor zorgen dat informatie niet meer via routine back-ups wordt verplaatst naar servers in India of het Oostblok (Bestaat dat nog, het Oostblok? En is dit niet ook erg "systeemgericht"?)
  2. De nieuwste generatie het besef bijbrengen dat niet iedereen toegang mag hebben tot alle informatie. Want "de nieuwe generatie medewerkers weet straks niet beter dan dat informatie overal en nergens verkrijgbaar is, maar beseft pas welke risico's men loopt als het te laat is." (Dit lijkt me, vriendelijk gezegd, toch een beetje een onderschatting van de 'nieuwe generatie.')
  3. De medewerkers op de gevolgen van onachtzaam gebruik van informatie wijzen. (En ik neem aan dat hij deze bevoegdheid dan ook echt krijgt en dat iedereen naar hem gaat luisteren?)
De grote makke van het artikel vind ik eigenlijk dat de auteurs stellen dat het cruciaal is dat de gebruikers (informatiewerkers noemt Ton dit) zich bewust worden van de risico's, maar dat ze de ene "deskundige" (de ICT-er die vooral aan systeembeveiliging wil doen) inruilen voor de andere "deskundige" (de informatieprofessional, die informatie gaat beveiligen).
Mij lijkt dat je als eerste moet vaststellen op welke manier de informatiewerker wil werken en hoe hij de vertrouwelijkheid en waarde van de door hem gebruikte informatie inschat.
  • Waarom plaatst hij een presentatie op Slideshare?
  • Waarom werkt hij in Google Docs aan een document?
  • Waarom neemt hij bestanden op een USB-stick mee naar huis?
  • Wat gebeurt er als deze informatie kwijt raakt?
  • Hoe erg is het als deze documenten openbaar worden?
Je zult dus met de informatiewerkers moeten gaan praten en hun zelf laten nadenken over waarom ze iets doen en wat daar de gevolgen van kunnen zijn.
Als je weet hoe hij wil werken en je weet hoe gevoelig de informatie is waar het om gaat, kun je bekijken op welke manier je de informatiewerker beter kunt faciliteren, met behulp van applicaties, afspraken en richtlijnen. Dan kan de informatiewerker op basis van de gewenste werkwijze en de gevoeligheid van de informatie een afweging maken tussen verschillende hulpmiddelen. Op die manier kan hij bewust veiliger werken, maar blijft hij zelf verantwoordelijk voor zijn keuzes en werkwijzen.
Is dat allemaal een taak van de "informatieprofessional"? Misschien wel, juist omdat de term wel erg ruim en vaag is...

9 opmerkingen:

  1. Ik denk dat het voor de 'informatiewerker' vooral eerst en doordringend moet gaan dagen waarom die beveiliging van informatie zo van belang is voor hemzelf en hoe hij zelf aan die beveiliging kan bijdragen. De 'informatiewerker' moet de meerwaarde zien van het extra 'gedoe' dat blijkbaar op hem afkomt. Als hij beseft dat het voor hem van belang is, van nut is, dus waarde heeft, dan komt het goed. Even kort door de bocht gezegd. De 'informatieprofessional' kan hem helpen bij dit bewustwordingsproces en vervolgens tips aanreiken.

    BeantwoordenVerwijderen
  2. @Christian Dat ben ik wel met je eens, maar uitgangspunt moet volgens mij toch zijn dat de "informatiewerker" (grotendeels) bepaalt wat gevoelig is en wat niet. Voorhout en Tiggelaar suggereren enigszins dat de "informatieprofessional" dat wel even vaststelt en oplegt. En dat vind ik dan weer wat kort door de bocht.

    BeantwoordenVerwijderen
  3. Het informatievak kent vele vage mensen… Misschien daarom wel, geven individuele ambtenaren (; noeste informatiewerkers) steeds meer zelf vorm aan de wijze waarop ze hun werk inrichten. Gevolg hiervan is dat ze steeds meer zelf gaan bepalen waar informatie wordt neergezet en bewerkt. Toegegeven, dat gebeurt niet altijd even handig, maar dit mag geen reden zijn om – onder aanvoering van de IP - dús alles maar dicht te timmeren in systemen en procedures. Toegegeven enkel de opmerking don’t be stupid is wat magertjes, maar de toevoeging denk na voor je iets doet, je bent zelf verantwoordelijk en raadpleeg bij twijfel je informatieadviseur (whoever that may be) moet al die informatiemieren toch redelijk aan het denken zetten…

    BeantwoordenVerwijderen
  4. Het jouwe sluit het mijne niet uit. Terug naar jouw reactie: ik zou zelfs niet eens weten hoe die informatieprofessional dat zinvol zou kunnen vaststellen en opleggen. De informatiewerker zelf is namelijk de eerste die kan vaststellen hoe gevoelig bepaalde informatie is, omdat hij zowel de stukken als de context kent. De informatieprofessional kan algemene aanwijzingen geven of adviseren en natuurlijk later nog een oordeel geven. Volgens mij is dat het meest praktisch en richting de informatiewerker ook het meest wenselijk, met het oog op bewustwording en medewerking.

    Ik merk trouwens dat ik per mail alleen jouw reactie op mijn reactie heb gekregen, niet jouw reactie op de reactie van Ton.

    BeantwoordenVerwijderen
  5. Dat kan die informatieprofessional ook niet zinvol, maar dat lijkt wel wat ze willen...

    Ik heb trouwens een keer ergens een optie gezien dat je alleen op de hoogte gesteld wilde worden van reacties op je eigen opmerking of van alle reacties. Ik weet alleen niet meer of dat bij Disqus was of elders... Wordt vervolgd

    BeantwoordenVerwijderen
  6. Die optie geldt dan misschien alleen voor jou. Als 'gast' krijg ik alleen de optie om reacties te krijgen of niet - vinkje aan of vinkje uit. Nou ja, ik geef dit soort bevindingen maar steeds door, zodat je/we DisQus wat leren kennen.

    BeantwoordenVerwijderen
  7. Dank je Ton.
    En mijn punt is dus inderdaad dat je die mieren het best aan het
    nadenken krijgt door met ze te gaan praten en ze zo te dwingen om na
    te denken. Bewustwording zit niet in procedures, regels en systemen.

    Op 05-08-10 heeft Disqus<> het
    volgende geschreven:

    BeantwoordenVerwijderen
  8. Nee, het is diezelfde optie, zie ik nu. Ik ging er ook van uit dat-ie alle
    reacties zou mailen.
    Dat soort opmerkingen waardeer ik ook zeer hoor. Ik ben er nog altijd niet
    uit of ik het nu laat staan of niet.

    Op 5 augustus 2010 21:24 schreef Disqus <

    BeantwoordenVerwijderen
  9. Het blijft een lastig punt om iemand verantwoordelijk te stellen voor het verliezen van belangrijke data, al helemaal als het met een simpele usb stick gebeurd(gebeurd helaas nog veel te vaak).

    Echter lijkt het me verstandig om groepscursus te starten waar iemand zorgvuldig leert omgaan met de bedrijfsdata voordat deze echt een keer in de verkeerde handen komt te vallen!

    BeantwoordenVerwijderen