Gemak dient de beveiliging

“Streven naar een adequaat niveau van informatiebeveiliging”, deze eenvoudige zin is vaak terug te vinden in beleidsstukken. Maar voor een ervaren security officer bevat deze eenvoudige zin een veelvoud aan valkuilen. Wanneer is iets adequaat? Maar even belangrijk, is er balans tussen de beveiligingsmaatregel en het draagvlak voor de maatregel?

Draagvlak is van veel verschillende factoren afhankelijk, waarvan awareness waarschijnlijk een van de belangrijkste is. Zonder het bewustzijn waarom een maatregel of werkwijze op een bepaalde wijze is ingericht is de kans op een succesvolle implementatie miniem. Een andere belangrijke factor is gebruikersgemak. Dit aspect word toch vaak vergeten of onderschat.
Om een voorbeeld te noemen:

Ik heb een paar jaar geleden een consultancy-opdracht gedaan voor een organisatie waar een paar maanden eerder besloten was om beveiligd te gaan printen. Een prima uitgangspunt, zeker als de documenten vertrouwelijke informatie bevatten. Bijna alle betrokken waren het eens met het concept. Echter, toen kwam de uitvoering, de operationele stappen zagen er ongeveer als volgt uit:

• Geef aan of er beveiligd geprint moet worden, zo ja:
  • Geef dan aan welke printer gebruikt moet worden
  • Doorloop drie schermen om een pincode in te vullen
  • Druk op print en loop naar de printer
  • Kom bij de printer zelf via vijf schermen uit bij een invulscherm en vul dan de user-ID en pincode in
  • Druk dan op print

Aan de andere kant was er niet-beveiligd printen. Dat proces zag er ongeveer als volgt uit: op het print-icoontje drukken en papier ophalen van je standaard printer. Gek genoeg was er oprechte verbazing bij het management dat de medewerkers niet aan beveiligd printen deden. Want mensen snappen toch dat het belangrijk is? Iedereen was het er toch mee eens?

De medewerkers snapten het ook wel, nog belangrijker ze wilden ook wel, maar door de druk van het dagelijkse werk werd de werkwijze als onnodig hinderlijk ervaren. Soms was snelheid belangrijker. Kortom ze hadden wel wat beters te doen. Ondanks dat er in het begin nog wel eens een poging ondernomen werd verwaterde het draagvlak al snel. Beveiligd printen werd al snel alleen een regel op papier.

De onnodige complexiteit van de maatregel ondermijnde niet alleen de maatregel zelf, maar ook nog de andere maatregelen. De medewerkers begonnen security als hinderlijk te ervaren. Uiteindelijk is de issue eenvoudig opgelost door de printers te voorzien van een paslezer en deze te koppelen aan de toegangspas en het autorisatieprofiel van de medewerkers. Dit vereenvoudigde het proces en dwong meteen het beveiligd printen af. De medewerkers zagen het nieuwe proces niet als een security maatregel, maar als een maatregel die hen het werk makkelijker maakte.

Er is een optimum tussen enerzijds het gewenste niveau van beveiliging en anderzijds wat geaccepteerd wordt door de organisatie. Naarmate de maatregel complexer/lastiger wordt zal het draagvlak afnemen. Naarmate de maatregel eenvoudiger/makkelijker wordt, zal er een hoger draagvlak zijn. Dit is mede afhankelijk van het risicoprofiel en volwassenheidsniveau van de organisatie. Het betreft hier natuurlijk geen exacte wetenschap. Het is passen en meten. De maatregel moet getoetst worden op bruikbaarheid, zowel als individuele maatregel als in samenhang met de overige maatregelen. En dat biedt wel wat uitdagingen. Met andere woorden: Je vraagt iets van de organisatie, maar het moet ook gefaciliteerd worden. Mensen willen (terecht) geen last hebben van informatiebeveiliging. En juist hierin ligt een mooie taak voor de security officer.

Benieuwd naar de verschillen tussen de verschillende certificeringsmogelijkheden?

Neem dan contact op met onze opleidingsadviseur:
Michel de Coninck: m.deconinck@iir.nl of 020 – 580 54 51.

Oorspronkelijk gepubliceerd op Vidar Security

Geplaatst op: 13 augustus 2015