40.143 klanten van Ziggo zagen eind 2013 hun gegevens op straat belanden. De gegevens stonden op een gestolen laptop van een medewerker van het kabelbedrijf.
Alleen al in Nederland zijn er de afgelopen jaren tientallen van dergelijke verhalen opgedoken, waarin bedrijven en instellingen slordig omgaan met informatie. KPN, Aegon en Het Groene Hart Ziekenhuis in Gouda, om er een paar op te noemen.
Hoewel steeds meer bedrijven zich bewust zijn van de risico’s, zetten ondernemingen vaak niet de stap om daadwerkelijk hun informatiebeheer te verbeteren, bleek uit een enquête van informatiebeheerder Iron Mountain.
Toch kan goed ICT-beleid en informatiebeheer een hoop sores besparen. Acht manieren waarop bedrijven beter om kunnen gaan met hun data.
1. Werknemers met wrok
ICT-beveiliging is met name voor het midden- en kleinbedrijf geen speerpunt, concludeerde internetbeveiliger Kasperky enkele jaren geleden. ‘Wij zijn niet interessant genoeg om te hacken’, is vaak de mentaliteit. Daarbij vergeten bedrijven dat één van de grootste bedreigingen voor cybersecurity niet de begaafde tiener is die vanuit zijn slaapkamer voor de lol inbreekt in computersystemen. De zwakste plek zit intern: ontevreden werknemers.
Misschien is het de afdelingschef die een promotie door de neus is geboord, of de systeembeheerder die ondanks aandringen geen loonverhoging krijgt. Ze kunnen hun onvrede uiten door systemen te saboteren of gevoelige informatie naar buiten te brengen. Een groot risico is ook de ontslagen werknemer die uit wrok het complete klantenbestand meeneemt naar zijn volgende baan.
Zorg er daarom te allen tijde voor dat je goed zicht hebt op wie toegang heeft tot welke informatie binnen je bedrijf. Vertrekt er iemand? Sluit dan zijn account, zodat hij of zij niet weken na dato nog in kan loggen op het intranet of de werkmail.
Ontsla je iemand die toegang heeft tot vertrouwelijke informatie en vermoed je dat diegene kwaad in de zin heeft? Laat de werknemer dan niet meer terugkeren naar de werkplek, maar vang hem of haar op de dag van ontslag buiten kantoor op. Dat is hard, maar soms noodzakelijk.
2. Naïeve werknemers opleiden
Naast misnoegd personeel dat bewust informatie lekt, is een ander gevaar de naïeve werknemer die jouw bedrijf onopzettelijk blootstelt aan risico's. Klik je op een link als je de afzender niet vertrouwt? Het antwoord is natuurlijk nee, maar dat moet je sommige medewerkers wel inprenten. Het bewust omgaan met gegevens is niet iets dat iedereen van nature doet. Opleiden is daarom belangrijk.
Maar de mens is gemakzuchtig. Daarom moet ook de technologie een handje helpen. Wil je een vertrouwelijk bestand per mail versturen? Het systeem kan je erop wijzen dat dat onverstandig is. Of om een ander potentieel lek te nemen: dat het tijd is om je wachtwoord te veranderen.
Soms is het blokkeren van bepaalde acties het beste, zoals het onmogelijk maken om bestanden te kopiëren op een usb-stick. Sommigen zullen daar in het begin niet blij mee zijn, maar als je uitlegt waarom je dat doet - zicht houden op waar bestanden zijn - begrijpen ze het meestal wel.
3. Geen beleid of calamiteitenplan
Wie is er verantwoordelijk voor het beheer van informatie? Bij veel bedrijven komt dit op het bordje van de ICT-afdeling. Maar het risico om gegevens te verliezen is een veelkoppig monster. Een werknemer kan vertrouwelijke bestanden doormailen aan mensen buiten het bedrijf, de beveiliging van een laptop kan ontoereikend zijn of er kan simpelweg brand uitbreken.
Vaak heeft de ICT-afdeling niet het volledige overzicht om alle risico’s goed in te schatten. Daarnaast is verstandig omgaan met gegevens iets waar alle werknemers in een bedrijf mee bezig moeten zijn. Kortom: er moet beleid voor zijn. Informatiebeheer zou dus onder de verantwoordelijkheid van de directie moeten vallen.
Bovendien zijn de hoogste ICT'ers vaak niet bij machte om de leiding te nemen bij een calamiteit. Hun takenpakket is daarvoor te beperkt: ze repareren wat stuk is, timmeren een computersysteem dicht, maar van crisiscommunicatie en juridische gevolgen hebben ze geen kaas gegeten.
Zorg er daarom voor dat je als bedrijf een noodscenario klaar hebt liggen. Want er komt een hoop op je af als het misgaat. Zo moet je beslissen of de data nog terug te halen is, en zo niet, hoe je de risico’s kunt beperken. Bovendien moet je in Nederland ernstige datalekken melden bij het College Bescherming Persoonsgegevens. En dan zijn er nog die vervelende journalisten, die bij een groot lek aan de lijn hangen. Een communicatieplan is daarom handig, niet in de laatste plaats om je klanten op de hoogte te stellen.
Heb je een noodplan, leg het dan niet in de lade maar oefen het. Zorg dat iedereen weet wat hij of zij moet doen als er informatie op straat komt te liggen.
4. Privételefoons op het werk
Vroeger had je op het werk betere computers en telefoons dan thuis. Gadgets waren duur, en alleen een bedrijf kon zich de aanschaf veroorloven. Maar tegenwoordig is dat dikwijls omgekeerd. Smartphones, tablets en schootcomputers zijn inmiddels dermate goedkoop, gebruiksvriendelijk en populair dat iedereen ze in huis heeft.
Steeds meer mensen nemen die consumentenproducten ook mee naar hun werk. Omdat de eigen iPhone nu eenmaal prettiger werkt dan de verouderde BlackBerry die je van je baas hebt gekregen. Deze trends zijn bekend onder de termen consumerisation of IT en bring your own device (BYOD).
Zakelijk gebruik van privé-gadgets levert tevredener werknemers op. En een directe kostenbesparing, omdat de werkgever minder uit hoeft te geven aan apparaten. Maar vooral de smartphones en tablets vormen een beveiligingsrisico. Werknemers koppelen hun mobiel achteloos aan het bedrijfsnetwerk, maar de gegevens die ze downloaden op het apparaat zijn vervolgens nauwelijks beveiligd. En als een telefoon gestolen wordt, kan dat problemen opleveren.
Bedrijven worstelen met de vraag hoe ze dit mobiele beveiligingsprobleem aan moeten pakken. Privé-apparaten verbieden op het werk is een drastische oplossing die werkt, maar daarmee jaag je werknemers weg. Verplicht een complex wachtwoord instellen is een andere optie, maar dat wil de werknemer niet.
Gelukkig zijn er steeds meer software-oplossingen die het BYOD-probleem aanpakken. Denk hierbij aan software die werknemers via een beveiligde app op hun smartphone toegang geeft tot bedrijfsgegevens. De data blijft online, op de server van de werkgever, staan en wordt niet gedownload op het eigen apparaat. Zo worden zakelijke en persoonlijke gegevens niet vermengd.
Met deze zogenoemde container-apps, die beveiligd zijn met bijvoorbeeld een pincode, krijgen virussen moeilijker toegang tot het systeem. En nu spraakherkenning en een vingerafdrukscanner gemeengoed zijn op smartphones, wordt het inloggen nog weer een stukje veiliger.
5. Veilige wachtwoorden maken en bewaren
Mensen zijn doorgaans niet zo creatief met het bedenken van wachtwoorden. Dat blijkt keer op keer uit de jaarlijkse lijst van populairste wachtwoorden die is samengesteld door Splashdata op basis van gelekte persoonsgegevens. De top vijf van vorig jaar bestaat uit '123456', 'password', '12345', '12345678' en 'qwerty'.
Veel mensen gebruiken bovendien hetzelfde wachtwoord voor verschillende diensten. Dat is gevaarlijk: er hoeft maar één website zijn beveiliging niet goed op orde te hebben en het wachtwoord dat je voor alle internetdiensten gebruikt, ligt op straat.
Door verschillende wachtwoorden te gebruiken wordt dit sneeuwbaleffect voorkomen. Maar dat brengt weer een ander probleem met zich mee. Hoe onthoud je alle wachtwoorden voor websites, forums, e-mailaccounts en bankrekeningen? Schrijf je ze op in een boekje, maak je een bestand aan op je computer of zet je een lijst ergens online?
Een oplossing daarvoor is een persoonlijke kluis voor wachtwoorden zoals LastPass. Andere opties zijn 1Password of het open-source programma KeePass. Hierbij hoef je nog maar één wachtwoord je onthouden: een hoofdwachtwoord. Alle persoonlijke gegevens worden versleuteld opgeslagen zodat hackers de informatie niet kunnen lezen.
Lastpass heeft zelf een wachtwoordengenerator, waarmee het voor jou moeilijk te kraken wachtwoorden kan bedenken voor bijvoorbeeld je Twitter-, Facebook– of e-mailaccount. Via een browserplug-in worden de wachtwoorden uit de kluis gehaald en ingevuld wanneer je ze nodig hebt.
Rest er nog één vraag: hoe verzin je een sterk hoofdwachtwoord? Zie daarvoor dit artikel: Zo maak je een veilig wachtwoord. In combinatie met tweestapsverificatie (zie punt 6) maak je het hackers zo bijzonder moeilijk.
6. Tweestapsverificatie inschakelen
Voor internetbankieren is alleen een rekeningnummer en wachtwoord niet voldoende. Als je geld wilt overmaken, heb je een speciale code nodig. Die krijg je via sms of via een speciaal apparaatje dat je van de bank hebt gekregen.
Op eenzelfde manier zijn veel internetdiensten ook extra te beveiligen. Met het zogenoemde tweestapsverificatie gebeurt het inloggen in twee stappen. Eerst voer je je wachtwoord in en dan krijg je een speciale code toegezonden via sms of een smartphone-app. Zo hebben kwaadwillenden niet genoeg aan alleen je wachtwoord.
7. Opslaan in de cloud
Gegevens opslaan in de cloud is reuzehandig: met alleen een internetverbinding heb je overal ter wereld toegang tot bedrijfsinformatie. Nederlanders zijn fervente gebruikers van online opslagdiensten als Dropbox, Google, Drive iCloud en OneDrive, blijkt uit cijfers van het Centraal Bureau voor de Statistiek.
Maar hoe veilig zijn je gegevens in de cloud? Om het risico op gegevensdiefstal te beperken zijn een aantal maatregelen aan te raden. Bedenk ten eerste welke data je online op wilt slaan en welke informatie beter niet op servers van een ander bedrijf kan staan. Houd scherp in de gaten waar jouw bedrijfsgegevens zich bevinden en wie toegang heeft tot die informatie.
Als je hebt geïnventariseerd wat in de cloud mag, upload de bestanden dan niet meteen. Het is beter om ze eerst te beveiligen, zodat een indringer ze niet simpelweg kan openen en lezen. Dat kan door de bestanden te versleutelen: daarmee maak je van een Excel-bestand of pdf een onbegrijpelijke reeks getallen en letters, die alleen jij kunt ontcijferen met de juiste sleutel. AES-encryptie is hiervoor een wereldwijde standaard, die wordt gebruikt voor het beveiligen van internetbankieren, draadloze netwerken en bestanden op harde schijven.
Zorg dat de geheime sleutels in jouw beheer zijn. Zo houd je controle over wie toegang heeft tot bedrijfsgegevens, zelfs als ze op de server van een externe clouddienst staan.
8. Werk software op tijd bij
Steeds meer apparaten in een bedrijf zijn verbonden met het internet. Niet alleen de desktops en laptops van het personeel, maar bijvoorbeeld ook routers, servers en printers. Dat betekent dat het aantal zwakke plekken in de beveiliging toeneemt. Hackers zullen niet zo snel proberen om via de voordeur binnen te komen, maar eerder op zoek gaan naar achterdeurtjes in bijvoorbeeld printersoftware.
Zorg daarom dat de software op alle apparaten is bijgewerkt tot de laatste versie. En maak duidelijke afspraken over wat er gebeurt met verouderde apparatuur. Het laatste wat je wilt is dat iemand inbreekt op jouw netwerk via een oude server die zonder dat jij het wist nog in de kelder stond te draaien.
Pas datzelfde strenge updatebeleid ook toe voor software op personeelscomputers. Met name Oracle's Java en Adobe's Flash zijn kwetsbaar.