 |
| Afbeelding van auteur |
Beste
manager, ik heb klachten over u ontvangen. U zou signalen over het niet naleven
van beveiligingsvoorschriften wegwuiven, of een redenering verzinnen waarmee
het lijkt alsof er wél aan die voorschriften wordt voldaan. Omdat ik mensen
graag help bij het waarmaken van hun verantwoordelijk-heden, moesten we het
daar maar eens samen over hebben.
U
bent niet één specifieke manager en u werkt ook niet bij een specifiek
onderdeel van onze grote organisatie. Ook het niveau doet er niet toe: dit
verschijnsel kan zich overal in de organisatie op team-, afdelings- en
directieniveau voordoen. Sterker nog, ik ben ervan overtuigd dat u zich ook
buiten mijn eigen organisatie bevindt. Vandaar ook dat ik netjes ‘u’ zeg (bij
ons tutoyeren we van laag tot hoog). En verder: wie de schoen past, trekke hem
aan.
Het
meest misbruikte woord in de informatiebeveiliging is weer eens gevallen:
eigenlijk. De manager die de klachten van een medewerker aanhoort en dan zegt
dat die “eigenlijk” wel gelijk heeft, maar dat hij er ook niks aan kan doen, of
dat het nu eenmaal zo gaat (“als het niet kan zoals het moet, dan moet het maar
zoals het kan”). Er zijn ongetwijfeld ook managers die zeggen dat zij over die
afwijking mogen beslissen, omdat ze nu eenmaal manager zijn. Ja, managers zijn
er inderdaad om beslissingen te nemen, maar niet álle managers mogen over álle
zaken beslissen. En soms gaat iemand op dit moeilijke onderwerp zijn boekje te
buiten, mogelijk zonder het zelf in de gaten te hebben. Sta er even bij stil of
een bepaald besluit wel binnen uw mandaat past.
Maar
de klachten, die mij ter ore komen, zijn helemaal niet zo moeilijk. Die gaan
bijvoorbeeld over sleutelkastjes waarvan de sleutel bovenop het kastje ligt, of
waarvan de code op een geeltje staat, ergens binnen een straal van een meter
van dat kastje. Een fysieke sleutel is inderdaad lastig als je die met meerdere
mensen moet delen, maar de code van nummerslot kan iedereen gemakkelijk
vastleggen in (verrassing!) zijn password manager. Ik ben geen voorstander van
het verplicht wijzigen van wachtwoorden na een bepaalde termijn, maar codes van
fysieke sloten moet je juist wel regelmatig aanpassen, omdat afgesleten toetsen
anders de code verraden.
Onze
interne mail biedt de mogelijkheid om gevoelige berichten te versleutelen. Eén
gemakkelijk te plaatsen vinkje zorgt ervoor dat het mailtje en eventuele
bijlagen uitsluitend door de geadresseerde(n) kan worden ingezien; gemachtigden
zien slechts een wit scherm. Denk eens aan deze optie bij het versturen van
bijvoorbeeld persoonsgegevens van klanten of medewerkers, en bedenk daarbij dat
de AVG een best wel strenge wet is. Deze tip is natuurlijk voor iedereen, maar
van managers verwacht ik dat zij dit uitdragen.
Soms
is het handig om in een uitnodiging voor een overleg ook meteen de relevante
documenten op te nemen. Geen probleem, zolang die documenten maar geen
vertrouwelijke gegevens bevatten. Omdat je agenda toegankelijk is voor alle
collega’s, kunnen die ook allemaal de bijlagen lezen. En dan is het erg slordig
als een afspraak voor een personeelsgesprek een beoordelingsformulier bevat.
Stop vertrouwelijke informatie dus niet in de uitnodiging, maar stuur een
separaat mailtje. In de uitnodiging kun je dan iets opnemen als “zie mijn
mailtje van 16-12-2022 09:56”.
Je
ziet het, vaak zit het ‘m in de kleine dingen waar je als manager best iets mee
kunt, zonder grootste daden te hoeven verrichten. Als managers laten zien dat
ze beveiliging serieus nemen, dan heeft dat ook effect op hun medewerkers. Neemt
de manager het minder serieus, dan zal ook menige medewerker zijn schouders
ophalen.
Laten
we de managers helpen. Ben je bijvoorbeeld business security officer of
datacoördinator (een aan de AVG gelinkte rol) en zie je dat iets niet goed
gaat? Spreek het management er dan op aan. Zoek het desnoods hogerop en zorg
dat je met een goed onderbouwd verhaal komt. Kortom: neem je taken serieus en
zorg ervoor dat het management dat ook doet.
Van
onze eigen manager kregen we een kerstbal (bedankt, Ton). Een onbreekbare, zei
hij er expliciet bij. Net zo onbreekbaar moeten we ons opstellen bij het
naleven van beveiligingsregels – en dat is iets anders dan star. Een andere
teammanager bracht een op een conferentie gekregen kerstbal voor mij mee uit
het buitenland (bedankt, Robin). Kijk, managers die zelfs ver buiten hun werk
nog aan beveiliging denken, die moeten we hebben.
De
Security (b)log keert na de kerstvakantie terug.
En in de grote boze buitenwereld …
- hebben politiediensten in onder andere Nederland, Duitsland en de VS vijftig DDoS-for-hire-diensten uit de lucht gehaald.
- moet je ook op Mastodon aan je beveiliging denken.
- zijn slecht gebouwde IoT-apparaten het asbest van het internet.
- heeft tachtig procent van de Nederlands zo’n slim apparaat in huis.
- kunnen Europese Microsoft-klanten er straks voor kiezen om hun gegevens alleen in Europa op te slaan.
- kunnen webwinkels beboet worden voor nepreviews.
- blinkt Nederland uit in cyberdiplomatie.
- heeft het NCSC de factsheet Open source security uitgebracht.
- heeft de AIVD weer de jaarlijkse kerstpuzzels gepubliceerd. Succes…
Geen opmerkingen:
Een reactie posten