Inbreuken op de informatiebeveiliging worden bijna altijd veroorzaakt door het falen van de mens en het management, in veel mindere mate door de technologie – zo concluderen de internationale werkgroepen veiligheid die V-ICT-OR vanuit zijn samenwerking met de zusterorganisatie SOCITM heeft opgezet.
Het feit dat er bij de lokale besturen intussen een bewustzijn is gecreëerd omtrent de technische kwetsbaarheden, maar in veel mindere mate omtrent de behoefte om het menselijk gedrag te veranderen en het voorkomen van inbreuken op de fysieke veiligheid, is hier niet vreemd aan concluderen de werkgroepen.
Deze en nog andere conclusies leren ons dat inbreuken op de beveiliging niet in het minst voorkomen door een onjuiste openbaarmaking van de gegevens, het fysiek verlies of diefstal van opslagapparaten, misbruik van oude documenten, fouten in de afhandeling van e-mail en fax, het verzenden van documenten naar het verkeerde adres t.e.m. de papieren documenten die gestolen of onbeheerd achtergelaten werden (niet versnipperd). Er konden slechts enkele voorbeelden van technisch falen aangehaald worden uit de talrijke incidenten die naar voor kwamen.
De conclusies leren ons dat heel wat lokale publieke dienstverlenende organisaties hun technische informatieveiligheidsrisico’s ondertussen aanpakken door de invoering van de basisprincipes voor informatieveiligheid (onze richtsnoeren), en dat er de laatste jaren een aanzienlijke toename van het aantal benoemingen van een senior information risk officer (SIRO) – veiligheidsconsulenten – geweest zijn. Een beweging die we ook in Vlaanderen zien gebeuren maar die vooral niet mag stilvallen.
Maar er is meer nodig dan een informatieveiligheidsconsulent zo concluderen de werkgroepen. Informatiebeheer dient tot op het hoogste niveau van het beleid ernstig genomen te worden. De werkgroepen pleiten dan ook voor de (her)waardering van het informatieveiligheidsteam waar alle keyspelers binnen de organisatie betrokken zijn (informatieveiligheidsconsulent, secretaris, HRM, ICT, preventie, … ). Veeleer dan informatieveiligheid louter aan een externe consulent over te laten is het belang van interne kennis en bewustzijn de sleutel tot succes.
Hoewel ook in de UK de strenge veiligheidseisen opgezet door het “Cabinet Office” de voorwaarden zijn voor de aansluiting op het openbare dienstennetwerk, heeft dit er voornamelijk voor gezorgd dat de lokale overheden hun technische infrastructuur waterdicht trachten te maken. Dit brengt op lange termijn een ongewild vals gevoel van duur betaalde veiligheid met zich mee en zal er toe leiden dat de meer voor de hand liggende risico’s bij de fysieke beveiliging van de informatie, minder aandacht krijgen dan deze vereisen.
“Zelfs in de beste en duurste beveiligde omgevingen gebeuren inbreuken door menselijk falen. De advisering van deze werkgroep focust zich dan ook zeer sterk op dit menselijk handelen, zonder bangmakerij en meteen de bijkomende vraag tot zeer dure investeringen van opnieuw een nieuwe ijzerwinkel” – zegt Eddy Van der Stock. “Drie van de vijf aandachtspunten die de werkgroepen meegeven zitten dan ook volledig in die richting”:
1. Bewustwording (personeel)
Maak alle medewerkers bewust van het soort informatie waarmee ze omgaan. Persoons- en sociale gegevens – bij uitbreiding medische gegevens - vragen extra aandacht en kunnen niet zomaar ter beschikking gesteld worden of onbewaakt achtergelaten.
2. Plichtsbesef (deontologie)
Ambtenaren werken onder een deontologische code. E-policy en arbeidsreglement verplichten hen om omzichtig om te gaan met de informatie die ze nodig hebben voor hun dagtaak. Corrigeer correct als dit fout loopt.
3. Classificeer (data)
Zorg ervoor dat de informatie die verwerkt wordt correct geclassificeerd wordt. Plaats de documenten op locaties die beveiligd zijn en enkel toegankelijk voor diegene die ze dienen te gebruiken.
4. Beveilig (conform de opgelegde richtsnoeren)
Maak de richtsnoeren “eigen” binnen de organisatie. Er zijn eenduidige en duidelijke richtsnoeren die u als organisatie voldoende afschermen voor de bedreigingen omtrent informatieveiligheid. Lees ze, pas ze toe!
5. Bewaak (in samenwerking met de veiligheidsconsulent)
Zorg voor een interne bewakingsteam (informatieveiligheidscel) dat samen met de veiligheidsconsulent de beveiliging van de informatie “onder controle” kan houden. Heel wat verwerkingsprocessen geven aan in welke mate de medewerkers al dan niet een rol spelen in de afhandeling van bepaalde soorten informatie.
“SOCITM en V-ICT-OR pleiten samen al enige tijd voor het feit dat de aandacht van de ICT-manager enigszins dient te verschuiven van technologie in de richting van het beheer van de informatie”, zeggen zowel Martin Greenwood, programmamanager voor Socitm Insight, als Eddy Van der Stock, voorzitter V-ICT-OR.
“Een deel hiervan is het beheer van de veiligheid. Maar helaas is in deze tijden het rechtvaardigen van de kosten en middelen voor informatieveiligheid ook een uitdaging geworden, want met iets ‘virtueels’ als informatie, is het niet altijd even makkelijk om na te gaan wanneer er iets fout liep.”