Openbare wifi zo lek als een mandje. Hoe bescherm je informatie?

Het artikel van De Correspondent heb ik tientallen keren voorbij zien komen op Twitter. De lezers zijn geschokt om te zien hoe gemakkelijk het is om mobile devices van omstanders binnen te dringen.

Auteur Maurits is een middag op stap gegaan met Wouter Slotboom, ethical hacker, ofwel een goodie die de baddies voor wil zijn. In een sessie op een terras hebben ze in no time toegang tot tientallen devices door een eigen wifi spot te vermommen als openbare spot waar iedereen prompt mee verbindt.

Niet alleen jij en ik worden hier nerveus van, ook het bedrijf of de organisatie waar je voor werkt. Met jouw device en je mobiele werken, is vertrouwelijke data ook kwetsbaar.

Hoe te voorkomen: Data Loss Prevention
Data Loss Prevention (DLP) richt zich op het beschermen van de data, de gegevens en informatie, die het (bedrijfs)netwerk verlaten. Nu veel van ons volgens het bring your own device principe werken, wordt de aandacht voor het onderwerp groter. Als online communicatie professional zal je er in trajecten mee te maken krijgen en zal gevraagd worden om advies. Samenwerking met de IT afdeling is daarbij natuurlijk essentieel. Neem in de basis deze maatregelen mee, en je bent een eind op weg:

1. Beveiligde toegang
3. Reguliere data back ups, inclusief reguliere herstel-testen
4. Kennisdeling over DLP
5. Data classificatie
6. Helder beleid
7. Inzet van DLP software

Ik zal ze kort toelichten:

Beveiligde toegang
Ik hoef dit niet uit te leggen toch? Zorg er voor dat devices zijn voorzien van wachtwoorden, overweeg verdergaande bescherming. Sommige overheden maken bijvoorbeeld gebruik van de zogenaamde Good omgeving: professioneel mobile device management. Niet de meest ideale oplossing, vind ik, omdat het zeer gebruiksonvriendelijk is, maar er zijn andere, vergelijkbare opties. Daarnaast: zorg voor VPN verbindingen met bedrijf kritische systemen.

Reguliere Data back ups
Noodzakelijk. Laat ze regelmatig uitvoeren en zorg er voor dat de back-up files getest worden, zodat ze werken als je ze nodig hebt.

Kennisdeling over Data Loss Prevention
Voorlichten is het halve werk. Vertel wat gevoelige informatie is en hoe het te herkennen is.  Dé uitdaging hier is om dit op zo’n manier te doen dat het geen vervelende verplichting is. Ik heb in mijn carrière al talloze slaapverwekkende sessies meegemaakt of verplichte quizjes gezien waar je niet blij van wordt.

Probeer er een draai aan te geven waardoor zaken blijven hangen. Mensen zijn niet dom, benader ze dan ook niet zo. Gebruik liever een korte video van 5 minuten, dan een centrale powerpointsessie van een half uur. Kies voor een wedstrijd tussen afdelingen, gebruik een verrassingselement zoals je ook bij brandoefeningen kent, you name it. Als het maar anders is dan de reguliere security draken. Goede ideeën of voorbeelden? Ik ben benieuwd! Onderaan vind je een reactie mogelijkheid waar ik ze graag zie verschijnen.

Data classificatie
Als je organisatie dit niet al heeft: ontwikkel een data classificatie standaard. Dit houdt in dat je verschillende categorieën benoemt waarin wordt bepaald hoe je informatie behandelt. Wie mag wat zien?

Als voorbeeld: het Amerikaanse leger hanteert drie niveaus

Top Secret
Secret
Confidential

In een bedrijf kan je dit vertalen naar bijvoorbeeld: Vertrouwelijk, Intern en Publiek.

Door gebruik te maken van de indeling, is het veel gemakkelijker om een scheiding te maken tussen wie tot welke informatie toegang heeft. Ineens zijn er groepen te maken, met navenante toegangsrechten.

Helder beleid
Het gebruik, de toegang tot en de bewerking van informatie moet vastgelegd zijn in vaststaand beleid. Ofwel, hoe ga je om met informatie? Dit beleid moet vervolgens weer onderdeel uitmaken van het algemene veiligheidsbeleid van de organisatie. Je doel is om informatie in elke vorm, in elke fase en op elk ‘medium’ te beschermen. Zowel in systemen, op het netwerk of binnen (mobiele) applicaties.

Inzet van DLP software
Software kan een hulpmiddel zijn bij het beheren van informatie. Zo valt bijvoorbeeld in te stellen dat bepaalde emails, agenda items of documenten niet mogen verschijnen op een smartphone, maar alleen intern toegankelijk zijn en dat er nooit zaken opgeslagen kunnen worden op mobiele apparatuur. Deze software is ‘content aware’ zoals dat heet.

Ook monitoring is mogelijk: waar wordt welke data opgevraagd. Handig ter controle. Maar: ik wordt er altijd kriebelig van. Het heeft een zeer hoog Big Brother gehalte. Als medewerker of gebruiker van de informatie zou ik me enorm bekeken voelen en enigszins beledigd omdat ik word ingeschat als klungel die overal maar deuren open zet.
Een beetje verstandige medewerker, en ik ga er vanuit dat mensen met toegang tot gevoelige informatie een bepaald niveau hebben, weet toch zelf ook wat wel en niet handig is? Aan de andere kant, hoe vaak lezen we niet over gevonden USB sticks, hacking of social engineering zoals in het eerder genoemde artikel van de Correspondent?

Het blijft een uitdaging hoe je mobiel werken en een bring your own device-beleid combineert met beveiliging van je gegevens en het op de juiste manier omgaan met medewerkers. Er valt nog veel te winnen op dit vlak. Ik ben benieuwd hoe jullie hier meer omgaan.

Advertisements

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s