1 juni 2006 -
Paranoia over uw pc- beveiliging? Terecht! Volgens recent onderzoek van YouGov, in opdracht van Microsoft, heeft bijna een kwart van de Britse medewerker weleens illegaal toegang verkregen tot gevoelige bedrijfsinformatie op het bedrijfsnetwerk en zou meer dan de helft die kans zonder aarzelen aangrijpen.
Persoonlijke gegevens De meest verleidelijke informatie voor werknemers betreft personeelsdossiers en salarisgegevens (36 procent), gevolgd door de persoonlijke documenten van hun manager (28 procent) en de persoonlijke documenten van hun collega's (25 procent). Zes procent zou bovendien niet aarzelen het wachtwoord van een collega te stelen als ze daar de kans voor zouden krijgen. Mannen blijken trouwens onbetrouwbaarder dan vrouwen. 26 procent van de mannen en zestien procent van de vrouwen gaf toe ooit vertrouwelijke informatie ingekeken te hebben.
Identiteit Vooral de toegankelijkheid van HR-gegevens is schrikbarend, aangezien dergelijke informatie in verkeerde handen grote schade aan kan richten. Eenmaal in het bezit van salarisgegevens, bankrekeningnummers, gezondheidsgegevens, sofi-nummers, adresgegevens en informatie over gezinsleden is het bijvoorbeeld een fluitje van een cent iemands gegevens en/of identiteit te misbruiken.
Wraak! Ex-medewerkers vormen misschien een nog wel groter risico. Een derde van ondervraagden zou namelijk niet aarzelen zich toegang te verschaffen tot bestanden, documenten, relatiegegevens, enz. van voormalige werkgevers als ze dat zouden kunnen. Wraak ligt dus op de loer. Nog een ijzersterke reden om de bedrijfsgegevens goed te beveiligen en er voor te zorgen dat inloggegevens meteen verwijderd worden zodra iemand het bedrijf verlaat. Toch maar eens een goed gesprek inplannen tussen de afdelingen IT, HR en financiën?
Niets nieuws. Het feit dat Microsoft zo'n onderzoek laat verrichten zegt al veel want zij laten veelvuldig beveiligingssteken vallen.
Het is al jarenlang bekend dat personeel het grootste risico vormt voor een onderneming. Veel ondernemingen zijn ook niet in staat om met een simpele beweging alle authorisaties in te trekken voor ex-personeel. Hierdoor zijn zij niet misschien een groter risico ... dit is een vaststaand feit. Het is niet een zeldzaamheid dat ex-personeel vaak maanden nadat zij de organisatie hebben verlaten nog toegang hebben tot bedrijfssystemen.
Ton
|
|
4
-
06
-
2006
|
13
:
14
uur
Beveiliging en diefstal van gegevens is nooit helemaal te voorkomen. De krachtsmeting tussen hackers en beveiligers is daar een mooi voorbeeld van. Uiteraard is niet iedereen die ongeoorloofd toegang krijgt tot confidentiële informatie een hacker maar zo is ook niet iedereen die met deze informatie werkt op de hoogte van de gevaren en de bescherming hiertegen.
Een administratief medewerker die telebankiert voor het bedrijf en werkt voor een directie die het belang van een virusscanner niet beseft is een mooi recent praktijkvoorbeeld dat ik zag bij een kleiner familiebedrijf.
Veel bedrijven zouden er goed aan doen zich regelmatig te laten voorlichten op dit gebied, trainingen kunnen organiseren voor hun personeel en een duidelijk beleid kunnen opstellen over het gebruik van de pc, software, telefoon en privacyrichtlijnen en wijzen op de gevaren die hieraan verbonden zijn voor alle betrokkenen.
Bovendien zou men betreffende medewerkers ook kunnen wijzen op de impact van het uitlekken van gevoelige informatie voor de betrokkenen en de organisatie waar ze bovendien ook zelf deel van uitmaken.
Het is een kleine moeite om gevoelige informatie dermate te beveiligen door bijvoorbeeld digitale kluizen of codering dat ze veel moeilijker, zo niet onmogelijk te ontfutselen zijn. Er is meer dan voldoende software op de markt te krijgen om dergelijke bestanden en files te beschermen.
Organisaties zouden ook mensen die werken met gevoelige informatie beter kunnen controleren en eventueel sanctioneren als iemand bewust gevoelige informatie niet goed afschermt of lekken laat. Daarvoor heb je natuurlijk wel weer een beleid, regelement en instructies en procedures nodig en zul je de mensen eerst daar waar nodig moeten bijscholen. Je kunt echter al veel ophangen aan het functioneren en de geheimhoudingsplicht.
Ook zijn het bureau, de prullenbak, de flip-over, het whiteboard en de mond natuurlijk ook een mooie informatiebron voor diegenen die zich willen "verdiepen" in de bedrijfsvoering. Na een vergadering blijft er meestal van alles staan op flipovers, sheets belanden in de prullenbak en de aantekeningen en documenten liggen op een bureau.
Ik ken bedrijven waar het personeel graag in de oud papiercontainer snuffelt om te zien of er interessante informatie tussen zit, managers praten over belangrijke beslissingen aan de koffietafel of aan de telefoon in bijzijn van anderen die de opgevangen fragmenten als groot nieuws weer verder vertellen.
Meermaals heb ik cv's op bureau zien liggen in prullenbakken en lijsten van initialen van de medewerkers op de filp-over van bijvoorbeeld vertreklijsten bij reorganisaties en complete doorrekeningen van die reorganisaties in de prullenbak zien verdwijnen. Bovendien worden dergelijke zaken in digitale vorm naar allerlei mensen doorgestuurd en naar privé computers om thuis na te lezen en te bestuderen of visa versa. Meestal ontbreekt het besef bij een organisatie dat dergelijke informatie zo ook bij derden kan belanden zeker als die ontslagen is of gewoon nieuwtjes wil doorgeven aan zijn collega's en prat gaat op de verkregen informatie en zijn connecties.
Systeembeheerder die ex- medewerkers toegang blijven verlenen zijn meestal niet op de hoogte dat een medewerker niet meer in dienst is of doen hun werk niet goed. Dat is dan een teken dat de organisatie zijn zaken niet goed in orde heeft.
Verder kan men als bedrijf natuurlijk er ook van uit gaan dat alles wat geheim is uitlekt. Als bedrijf kan men zich ook beschermen door het verspreiden van desinformatie die men dan bewust laat uitlekken naar o.a. concurrenten die dan hun plannen afstemmen op onjuiste of gemanipuleerde uitgelekte informatie en zo in een val kunnen lopen of de beursnotatie kan beïnvloeden. Openheid is daarom een verstandige keus al kan men zich wel afvragen hoe gekleurd de informatie is die men vrijgeeft en welk doel zij dient.
Ooit ben ik zelf erg geschrokken van een bank-centrale van een grote bekende Nederlandse bank die alle afschriften en briefwisselingen in de oud papier container deponeerde en zelfs het cursusboek van een nieuwe medewerker die data moest verwerken in het datasysteem en die verzocht werd daarin haar password en inlog te noteren noteren in het aangegeven kader. Dat password bleek zelfs nog actief! Als ik had geweten hoe het systeem werkte was ik misschien nu steenrijk of zat ik achter de trallies. Intelligente criminelen die zouden weten dat deze container simpelweg onafgesloten op de parkeerplaats voor de bank stond zouden, denk ik graag in deze schatberg hebben willen snuffelen.
Dit is echter alweer een paar decenia geleden, al is er mijns inziens bij veel bedrijven nog steeds weinig of niets veranderd.
