Laatste nieuws
 
 
  Achtergrondartikelen  


Kennissessie EIM-campus ‘Access & Control’ wijst uit:

Gedragsverandering grootste probleem bij
vertrouwelijke informatietoegang en -beveiliging


Nieuwe wetgeving, dagelijkse berichten over ransomware of datalekken, de wereld gonst tegenwoordig van het nieuws over (het voorkomen van) cybercriminaliteit, onzorgvuldig handelen, onvoldoende nformatiebeveiliging en geen enkele grip op wie bij welke informatie kan. Reden voor de redactie van EIM in Business Magazine om een kennissessie te organiseren met diverse mensen uit het vakgebied van Enterprise Information Management. Wat betekent de nieuwe wetgeving en wat kunnen we doen om een adequate informatiebeveiliging met vertrouwelijke toegang tot gevoelige informatie te garanderen? Of wordt de nieuwe wetgeving, de Algemene Verordening Gegevensbescherming, net zo’n hype als destijds de millenniumbug? Want wat ging daar nou uiteindelijk eigenlijk mis? Bar weinig toch? Dus…?

Door de redactie

De maatschappij ondergaat momenteel een aantal grote veranderingen die ons leven, zowel privé als zakelijk, sterk beïnvloeden. Naast een toenemende vermenging van privé en zakelijk en steeds grotere mobiliteit en flexibiliteit in zo ongeveer alles, kunnen we feitelijk niets meer zonder computer. Of in ieder geval een apparaat dat de functie van een computer vervult. We zijn er ongeveer volledig van afhankelijk geworden. Daardoor wordt altijd en overal de mogelijkheid gecreëerd om te werken, te ontspannen, te kopen, te verkopen, te communiceren en te informeren. Tegelijkertijd wordt steeds meer van ons reilen en zeilen bekend: wat we doen, met wie we het doen, waar we het doen, hoe vaak we het doen, etc. Al die gegevens leiden tot interessante informatie die gebruikt zou kunnen worden door derden. Om daar wat beperkende kaders voor te scheppen is nu de Algemene Verordening Gegevensbescherming (AVG) in het leven geroepen. Daarmee zijn we er echter niet. Het gaat niet alleen om persoonsgebonden gegevens, er is veel meer relevante informatie. Er zijn grote hoeveelheden interessante zakelijke gegevens die ‘zomaar’ eens ergens terecht kunnen komen, of waar kwaadwillenden achter kunnen komen. En dat gaat sneller dan u denkt.
Denk alleen maar eens aan werknemers die in een rancuneuze bui na ontslag of het uitblijven van promotie wat cruciale gegevens ‘lekken’ naar een concurrent of, nog erger, naar een criminele organisatie. Het erkrijgen
van toegang tot dergelijke informatie blijkt immers een lucratief gegeven voor criminelen. Nog los van andere vormen van cybercriminaliteit, zoals ransomware waar mensen pas tegen betaling weer bij hun gegevens kunnen. En dan blijkt eens te meer dat we daar zelf veel aan kunnen doen. Als we maar eens wat zorgvuldiger zouden willen worden en dit onderwerp serieus nemen….

Aan de hand van een aantal stellingen worden de huidige ontwikkelingen aan de ‘campus-tafel’ doorgenomen door Gert Meijerink (Senior Manager RC ITA, KPMG), Gert Koerselman (Business Owner Digitaal Werken, Doxis), Peter Valckx (Sales Executive, Seeburger), Bart Scheffer (MarCom, ETTU), Edwin Hubers (freelance Information Security Officer/Risk Manager) Robert van der Vossen (Directeur CyCo), Barry Bakker (Directeur Digitt) en Laurens Siderius (Business Development Manager MS Azure & Office 365, ETTU).
Gastheer voor deze sessie is ETTU, die haar accommodatie als winnaar van de DCM Awards in de categorie Access & Control’ beschikbaar stelde voor deze sessie. De discussie wordt geleid door Sander de Wolf (Uitgever, Vakwereld) en John de Waard (Hoofdredacteur, EIM-campus/DocumentWereld) en vindt plaats in het kader van de EIM-campus (www.eim-campus.nl), thema Access & Control.

‘Het gaat er vooral om mensen op te voeden. Als je alles in redelijkheid en billijkheid hebt gedaan, is het meer dan voldoende, maar de mensen zijn de zwakste schakel.’

De wet is de wet
Aan tafel is het voor iedereen duidelijk dat de nieuwe wetgeving een belangrijke trigger is geworden voor velen om eindelijk iets te gaan doen aan informatiebeveiliging. Maar toch, als het vanwege de wetgeving niet verplicht was, was niemand echt in actie gekomen, denken ze…. En dat is eigenlijk vreemd, want het onderwerp informatiebeveiliging is belangrijk. Ook als het niet verplicht is eraan te denken. Niet voor niets staan de media bol van de miskleunen en cybermisdrijven. ‘Het grappige is dat iedereen ermee te maken  heeft, of je nu aanbieder bent of afnemer van specifieke producten, privé of zakelijk, we krijgen en delen allemaal informatie waar we wat mee willen. En waar anderen wat mee willen. Soms kan dat en mag dat, soms ook niet, omdat de wet het niet toestaat. De wet is de wet, zeker, dat is waar, maar juist het voortdurend informeren en kennis delen vormen een belangrijk aspect van onze kenniseconomie. Dat kun je niet zomaar helemaal wegcijferen, omdat er een wet komt die de belangen van eigenaren van persoonsgebonden informatie beschermt.’

Probleem speelt al jaren
Bovendien is men het aan tafel eens dat dit probleem al vele jaren speelt. De wet Bescherming persoonsgegevens is volgens deze ‘rondetafel’ echt niet zo veel anders dan deze AVG. Het lijkt door de komst van de AVG, en vooral de strikte handhaving per 25 mei 2018, dat het nieuw is, maar discussies over het gebruik van cookies, loyalty cards, action marketing en allerlei andere zaken die volledig zijn gebaseerd op het verkrijgen, verzamelen en gebruiken van informatie zijn er al heel lang. Al net zolang zijn we in staat gebleken dergelijke informatie weer in te zetten voor andere doeleinden dan waarvoor ze oorspronkelijk waren bedoeld. Dat is direct een belangrijk issue, de kern van de zaak: het gebruik van gegevens voor doelen waarvoor ze eigenlijk niet waren verzameld. Daarvoor is de nieuwe wetgeving bedoeld, om de eigenaar van die gegevens meer invloed te geven op het gebruik ervan. ‘De wet stelt de kaders en daarbinnen moet je je blijven bewegen. Dat wil echter niet zeggen dat je niets meer kunt.

Er zijn echter duidelijk(er) spelregels. Iedereen heeft hierin zijn eigen verantwoordelijkhe id en die kun je niet doorschuiven. Dat is met deze wet wél anders geworden en daarin moeten we de mensen opvoeden.’ Dat schiet volgens de meesten aan tafel nog niet zo erg op. Het wachten is op de eerste boetes die worden uitgedeeld. Die blijken er vervolgens al te zijn geweest en het waren ook forse boetes, maar namen van de betrokken bedrijven worden veiligheidshalve aan tafel maar niet genoemd… Echter, door het voelen van die pijn van een flinke geldboete (met bijbehorende imagoschade als wel bekend wordt om wie het gaat) worden managers zich wel meer bewust van de gevaren. Vervolgens worden de medewerkers aangesproken op hún verantwoordelijkheid. Het gaat er namelijk om dat iedereen zich op elk moment bewust is van wat er mis kan gaan en wat de consequenties kunnen zijn.

Balans tussen techniek en gedrag
Technisch kan gegevensbeheer best allemaal waterdicht, of nagenoeg waterdicht, worden gemaakt. Maar is het dan nog wel werkbaar? ‘Er moet een balans zijn tussen techniek en gedrag’, vinden de aanwezigen.  ‘Zodra het te veel moeite kost om veilig te werken, gaan mensen er omheen werken. Dan is er altijd wel weer een app te vinden die hetzelfde bereikt, maar dan zonder al die veiligheidspoespas.’ Daar zit een belangrijk knelpunt in de hele discussie rondom informatiebeveiliging en beveiligde toegang tot vertrouwelijke en/of belangrijke (bedrijfs)gegevens: doordat zakelijk en privé steeds meer door elkaar lopen, worden privé apps ook vaker zakelijk gebruikt. ‘Kijk alleen al naar WhatsApp. Een simpele communicatie-app, maar een groepje
is snel aangemaakt en je hebt direct een ‘vertrouwelijk’ platform voor het uitwisselen van informatie binnen een project of iets dergelijks. Foto’s, teksten, documenten, je kunt ze zo met groepsleden delen, maar waar is dan nog de controle? Ook geldt dat voor LinkedIn waar in principe zakelijk gebruik van wordt gemaakt, maar waar ook steeds meer privé in terecht komt.
Privé en zaken lopen steeds meer door elkaar en dat maakt het lastig. Dus als je zakelijk gezien niet minstens met een applicatie komt die net zo eenvoudig werkt en wel veilig is, voer je als bedrijf een achterhoedegevecht.’



Is de hele privacywetgeving en de handhaving ervan sowieso niet een achterhoedegevecht?
Niet in de zin dat het een zinloze wetgeving is en je het eigenlijk allemaal vrij zou moeten laten. Daarover is iedereen het aan tafel eens. Hoever je moet gaan in regulering is echter wat anders. ‘Zolang maar helder is wat je wilt en hoe je het wilt met de daarbij horende sturing. Geen vrijheid blijheid en zie maar of en wanneer het je uitkomt. Nee, strikt erop toezien dat wordt nageleefd wat je hebt afgesproken met elkaar. Zodat iedereen voor hetzelfde doel gaat. Alignment binnen de organisatie is cruciaal voor een succesvolle toepassing van informatiebeveiliging.’ Het besef van wat je eigenlijk doet en waarom zou er volgens de aanwezigen ‘ingeramd’ moeten worden bij iedereen. Dat besef moet tot in de diepste vezels van een
organisatie zijn doorgedrongen. Dat geldt niet alleen voor de medewerkers, zeker ook het management mag zich de kritiek aanrekenen, dat ze vaak geen idee hebben wat er speelt en wat er mis zou kunnen gaan. Maar het is allemaal zo moeilijk, lastig, bewerkelijk en het kost tijd, geld, energie…
Anders werken, digitaal werken, het Nieuwe Werken of hoe je het ook wilt noemen, is voor veel organisaties al een probleem en krijgt vaak binnen een organisatie (te) weinig mensen op de been. Laat staan bij complexe zaken als informatiebeveiliging en gecontroleerde toegang tot informatie. Het helpt echter als ze eens kunnen zien wat er bijvoorbeeld op het Dark Web gebeurt. ‘Een mooi lesje bewustwording is om een TOR-browser op te starten en ze te laten zien dat gegevens live verhandeld worden in deze onderwereld van het internet. Zonder dat iemand kan achterhalen wie nu precies wat doet. Althans, het is een heel stuk ingewikkelder om erachter te komen.’ Wanneer mensen doorhebben wat informatie waard is, gaan meestal de
ogen wel open. Je kostbare juwelen leg je immers ook niet open en bloot op de keukentafel. ‘Dáár ligt een belangrijk deel van de oplossing om mensen bewust te maken van de gevaren. Wat is jouw informatie waard? Veel mensen denken dat ze niet interessant zijn, dat ze daarom niet zullen worden gehackt. Vergeet het maar. Alles is interessant of interessant te maken door gegevens te combineren, met bijvoorbeeld wat te vinden is op openbare sociale media. Denk dus niet dat ze jou zullen overslaan.
Het idee dat ze niet interessant zijn zit zelfs bij organisaties waar je het niet van zou verwachten. Medisch specialisten die denken dat de informatie in het medisch dossier niet interessant is, zijn echt geen uitzondering.’ De bewustwording en de noodzakelijke gedragsverandering is dus echt een probleem dat door de hele maatschappij speelt. Tot op de hoogste niveaus. Kijk door de bril van de crimineel en bedenk wat hij zou willen…

Handhaving wordt lastig
Ofschoon mensen die zich niet serieus bezighouden met de nieuwe privacywetgeving officieel strafbaar zijn, zal het nog knap lastig worden om dat te handhaven. Het is ook niet helemaal duidelijk hoe dat gaat gebeuren, wel dat het de Autoriteit Persoonsgegevens is die handhaving op zich gaat nemen. Maar hoe actief kun je dat doen als in feite iedereen ermee te maken heeft? Je kunt toch moeilijk elk bedrijf langsgaan om te zien of alles volgens de regels gebeurt. Hoe groot, met andere woorden, is dus de pakkans? ‘Het schijnt dat er al de nodige vacatures bij de AP zijn om invulling te kunnen geven aan deze handhaving. In de meeste gevallen zal waarschijnlijk actie worden ondernomen op aangeven van bijvoorbeeld een Data Privacy Officer die toezicht houdt bij een bedrijf. Die is er in principe om het bedrijf te helpen en te controleren of processen verlopen zoals ze zouden moeten verlopen. Als een bedrijf zich echter structureel niet houdt aan de  aanwijzingen van zo’n Functionaris Gegevensbeveiliging zal die naar de AP stappen. Hij zal zelf ook geen verantwoordelijkheid meer willen dragen in zo’n geval. Je bent daarmee als Data Privacy Officer een soort vooruitgeschoven post van de AP. Maar het blijft nog altijd wel redelijk reactief.’



Randvoorwaarden
Natuurlijk zijn er wel controles mogelijk op bijvoorbeeld de aanwezigheid van beveiligingsbeleid, privacybeleid,
dataportabiliteit, afspraken met partners (Bewerkersovereenkomsten e.d.) of het al dan niet aanwezig zijn/laten uitvoeren van een Privacy Impact Assessment. Alleen al door die randvoorwaarden te controleren kun je je een idee vormen of een bedrijf deze zaken serieus neemt. ‘Maar inderdaad zal het heel lastig zijn en arbeidsintensief om te handhaven. De gedachte is uiteraard dat bedrijven zelf die verantwoordelijkheid zullen nemen en het belang gaan inzien van een goed doordacht informatiebeveiligingsbeleid.’
Steekproeven aan de hand van ‘testconsumenten’ die gegevens gaan opvragen bij bedrijven om te zien of er nog iets oneerbaars gaande is, kunnen natuurlijk ook altijd een licht werpen op de information security policy van een bedrijf. Je zult nooit het laatste misdrijf kunnen voorkomen, ook al voldoe je naadloos aan de wet. Criminelen ontwikkelen zich ook in hoog tempo, zijn goed georganiseerd, delen zelfs vaak de kennis (zoals bekend is van hackers) en hebben bovendien veel resources en middelen ter beschikking. Simpelweg omdat het blijkbaar zo lucratief is. Het blijft altijd een race tegen de klok.

Je ziet nu al dat er een verschuiving plaatsvindt van die criminele acties. Niet langer zijn (alleen) de financiële instellingen het doelwit, die zijn inmiddels al een stuk beter beveiligd. Nu zijn ook overheden en andere organisaties die over veel informatie beschikken doelwit. Zij zijn (nu nog) meestal wat zwakker in hun beveiliging doordat ze achter liggen in die ontwikkeling in informatiebeveiliging. Zij waren tot voor kort ook helemaal geen doelwit, dus ja,…. Daar wordt inmiddels hard gewerkt om die achterstand recht te trekken. ‘Als je kunt aantonen dat je er alles in het redelijke aan hebt gedaan, zal je weinig kunnen worden verweten. Traceability & Accountability, volgen en verantwoorden, meetbaarheid daar draait het om. Maar dat betekent niet dat je er met een goedkope firewall bent. Dat is onvoldoende. De beste oplossingen en het best doordachte beleid kosten veel tijd en geld. En je bent niet klaar met het verschuiven van het probleem naar een ander.’

Hoe weet je als klant/afnemer van diensten wat je aan een aanbieder hebt? Wat zeggen al die verschillende certificeringen?
Certificeringen zijn belangrijk, volgens de tafelgenoten. ‘Zeker als ze worden gesteund door instanties als de Autoriteit Persoonsgegevens. Je mag er toch van uitgaan dat het dan in ieder geval de hoogst beschikbare  garanties biedt voor zowel de aanbieder als de afnemer van producten en diensten.’ In een maatschappij waar steeds meer clouddiensten worden aangeboden en afgenomen en mensen steeds mobieler werken is het belangrijk dat je al aan de buitenkant kunt laten zien dat je een controleerbaar betrouwbare partner bent. Daar zijn die certificeringen voor. De kwaliteit van die certificeringen staat of valt echter wel met de instantie die erop toeziet dat daadwerkelijk wordt gedaan wat de certificering zegt dat je zou doen. Als niemand controleert of die regels worden nageleefd, dan heb je weinig aan zo’n certificaat. Daarom is het belangrijk dat certificeringen elk jaar of in ieder geval periodiek worden getoetst door onafhankelijke auditors. Dát bepaalt mede de kwaliteit en de waarde van een certificering.
Alles mooi en wel, maar voor de GDPR (de Europese variant van de AVG) is nog geen officiële certificering. Wel is er een beweging gaande om iets van de grond te krijgen waarop men een dergelijke kwaliteitsgarantie zou kunnen baseren. Ook zijn er allerlei handreikingen die bedrijven op de goede weg kunnen helpen, dus er is wel meer dan alleen een wet die zegt dat je je aan bepaalde regels moet houden. Er zijn wel degelijk hulpmiddelen om je bij te staan.

Zijn al die wetten en regels geen belemmering op innovatie?
‘Misschien is het juist wel een trigger om meer te innoveren! Privacy by Design, zorg dat je binnen de kaders van de wet voor jouw organisatie en jouw klanten de beste methode vindt om toch toegevoegde waarde te creëren uit al die informatie waarover je beschikt. Zowel voor jezelf als voor je klanten. Zolang je als ‘goed huisvader’ omgaat met al die data en de privacy van de betrokken eigenaren van al die gegevens respecteert, is er niets aan de hand. Dat vereist júist innovatiekracht. Bedenk steeds dat het doel niet de wet is; het doel is de bescherming van gevoelige gegevens tegen misbruik of diefstal. Het middel om daarop toe te (kunnen) zien is de wet.’

Slotconclusie van de tafelgenoten:
‘We zijn toe aan de volgende fase: we moeten beter en netter omgaan met alle data die ons ter beschikking staan. Om dat te kunnen doen moet je het simpel houden. ‘Keep it simple and stupid’. Dan begrijpt iedereen wat je wilt en hoe je het wilt. Maak vervolgens heldere afspraken, zodat duidelijk is hoe het doel bereikt moet worden. De keuze om iets met die data te (mogen) doen moet vervolgens bij de eigenaar liggen. Zolang die daadwerkelijk heel eenvoudig zijn keuze kan maken, is nog altijd veel mogelijk om nieuwe producten en diensten te ontwikkelen, gebaseerd op informatie die uit bestaande producten en diensten is gekomen.’

De nieuwe wet is niet het einde van de wereld, het is het begin van een nieuwen informatiegestuurde wereld…

Beeld: Stijn Bogers


Kijk hier voor het hele magazine EIM in Business, thema Access & Control

Plaats op:
Datum: 4 oktober 2017
Bron: DocumentWereld/magazine Eim in Business
Gerelateerde artikelen  
11-10-2017 Achtergrondartikelen Het gat tussen ISO-certificering en bedrijfsvoering moet worden gedicht
21-09-2017 Achtergrondartikelen Nieuwe wet- en regelgeving hét moment om databerg aan te pakken
19-09-2017 Achtergrondartikelen Trusted community platform brengt rust
08-09-2017 Vakbladen Eerste editie EIM in Business online!
08-09-2017 Nieuws Eerste editie EIM in Business online!
 
 

- partners -

 
 
 
 
 
� 2005 - 2017 Vakwereld. All rights reserved Pagina geladen in 0,32 seconden.