Informatiebeveiliging is geen kinderspel
Deze week is de baby van Prins William en Kate geboren. Net als ieder kersvers ouderpaar, wilden zij het nieuws natuurlijk meteen delen. Daar is een protocol voor, omdat het niet zomaar een baby betreft en omdat ze die dingen in het koningshuis van het Verenigd Koninkrijk van Engeland nu eenmaal zo omslachtig mogelijk doen. Koningin Elizabeth is de eerste die het nieuws te horen krijgt. Daarna de directe familie, dan medewerkers aan het Hof en dan pas het volk. Maar hoe houd je zulke geheime informatie nu echt beveiligd?
Encrypted telefonie is niet alleen voor spionnen
Er wordt een telefoontje gepleegd naar de koningin. Op een vergrendelde telefoon. Deze encrypted manier van bellen moet ervoor zorgen dat niemand kan aftappen. Hoe belangrijk dat is blijkt uit de Prism-affaire. Daar werd duidelijk hoe vaak onversleutelde telefoongesprekken worden afgeluisterd. Encryptie van communicatiemiddelen wordt steeds vanzelfsprekender. Lync, de unified communications-tool van Microsoft, biedt bijvoorbeeld standaard encrypted telefonie.
Gelden in elke organisatie dezelfde regels?
Nu is er, naast de geboorte van een baby, wel meer dat geheim moet blijven. In de zakelijke wereld is informatiebeveiliging soms van miljoenenbelang. Dat betekent niet dat iedere organisatie meteen moet overstappen op versleutelde usb-sticks en mailverkeer via SEEOTI. Het verschilt per organisatie hoe belangrijk informatiebeveiliging is. Bij een overheid zijn de regels anders dan op een school.
Defensie heeft een heel streng beleid waarbij ze onder andere gebruik maken van statische tokens en daarnaast van apparaatjes die via algoritmes een token produceren. Dat maakt hacken lastiger. Verder gebruikt Defensie iris-scans en SMART-cards en worden er verschillende lagen van security toegepast. Hoe meer toegang je wilt in de organisatie, hoe meer je je bij elke laag zult moeten identificeren. Dit gebeurt vanuit het principe ‘something you know, have, or are’. 'Something you know' is bijvoorbeeld een pincode, wachtwoord of een patroon. Iets dat je hebt kan een pasje zijn. En iets dat je bént, is bijvoorbeeld je vingerafdruk.
Dat is wat strenger als je het afzet tegen beveiliging in het onderwijs waar nog niet veel gebruik gemaakt wordt van iris-scans. Hoewel men zich daar ook wel degelijk bezighoudt met risicoreductie van opengebroken computers en het veilig opbergen van examens.
Hoe maak je het veiliger op kantoor?
Het aanstellen van een security officer kan helpen. Zo’n specialist denkt mee over de te nemen beveiligingsmaatregelen en de implementatie ervan, zowel technisch als organisatorisch. Binnen OGD heerst bijvoorbeeld onder andere de clear screen policy: je moet altijd je pc locken als je van je bureau wegloopt. Met als belangrijkste reden dat het heel eenvoudig is om snel geheime documenten te vinden en door te mailen, of een complete schijf op een usb-stick te zetten, als een pc onbemand is achtergelaten.
Het is raadzaam, zodra er een informatiebeveiligingsbeleid is, om een baseline voor informatiebeveiliging op te stellen. En dan te zorgen dat medewerkers zich eraan houden. Door een awarenesscampagne bijvoorbeeld.
Een onderdeel van een goed beleid is het invoeren van een centraal meldpunt. Hier komen alle informatiebeveiligingsincidenten snel aan het licht. Het is bovendien slim om informatieclassificatie toe te passen. Zo zien medewerkers in een oogopslag met welke mate van vertrouwelijkheid een document behandeld moet worden.
Certificeringen zijn niet genoeg
Guido Verhoeff houdt zich binnen OGD met informatiebeveiliging bezig. “Het wordt steeds meer van belang om de informatiebeveiliging binnen organisaties te borgen. Dat een organisatie de informatiebeveiliging op orde heeft kan worden aangetoond door middel van certificaten. Wij raden dan ook aan om hiervan bewust te zijn. Maar dat is niet genoeg. De mindset van informatiebeveiliging is niet perse “hebben we alles in beleid vastgelegd?” maar eerder “hoe kan de beveiliging beter en hoe kan ik als medewerker daaraan meewerken?”
Volgens Guido gaat dat veel verder dan technische oplossingen.“Wie hoort bijvoorbeeld de gesprekken die je voert over de telefoon? Want je kunt wel bellen via een encrypted systeem, maar als je hard genoeg spreekt kunnen alle mensen in je omgeving je horen. Dan is je communicatie wel beveiligd, maar nog steeds niet veilig.”
Misschien vind je dit leuk
Anderen hebben deze artikelen gelezen