Ik kom het nog te vaak tegen. Bedrijven waar informatiebeveiliging eindelijk de aandacht krijgt die het verdient, maar wat dan vervolgens met een te beperkte blik wordt ingevoerd. Dit betekent zoiets als 6 sloten en een alarm op de voordeur, terwijl de achterdeur open staat en, sterker nog, niet eens een slot heeft.
Er wordt nog teveel alleen met de IT bril naar informatiebeveiligingsvraagstukken gekeken. Hierdoor wordt vaak alleen de beveiliging van de eigen systemen en infrastructuur bekeken en wordt een hele belangrijke bron van mogelijke ellende onvoldoende bekeken. Probeer alle spelers in uw bedrijfsproces eens in kaart te brengen! Cybercriminelen maken dankbaar gebruik van dit beperkte inzicht en komen ‘via de leveranciersingang’ binnen.
Informatiebeveiliging bij uw ‘onderaannemers’
Bedrijven die te maken hebben met bijvoorbeeld de Amerikaanse export regelgeving (ITAR, EAR, etc.) realiseren zich (als het goed is) al dat zij verantwoordelijk zijn voor de informatiebeveiliging in de hele keten van ‘onderaannemers’ en leveranciers, de welbekende ‘supply chain’.
Voor de hiervoor genoemde bedrijven wordt dit bewustzijn min of meer afgedwongen. Voor de meeste organisaties is dit echter (nog) niet het geval. Probeer maar eens in kaart te brengen met hoeveel partijen uw organisatie gevoelige informatie uitwisselt. Denk hierbij bijvoorbeeld aan uw ‘intellectual property’. Hoe makkelijk worden persoonsgegevens, (delen van) tekeningen, documenten of betaalgegevens uitgewisseld met leveranciers?
Laten we er even vanuit gaan dat u de zaken aan uw kant goed voor elkaar hebt: bestanden worden via een ‘secure channel’ uitgewisseld en dan is het bestand zelf ook nog eens versleuteld. Om de boel extra in de gaten te houden heb je ook ‘Data Leakage Prevention’ op een volwassen niveau actief. Dat is allemaal heel mooi, maar wat doet de ontvangende partij vervolgens met deze data? Heeft u daar afspraken over gemaakt. En zo ja, is dit een standaard onderdeel van een audit bij deze partij op locatie?
Recht op audit
U kunt de zaken aan uw kant nog zo goed geregeld hebben maar als de ontvangende partij deze informatie daarna in een netwerkfolder zet die voor ‘iedereen’ toegankelijk is, dan worden al die inspanningen in één keer teniet gedaan.
Controleer eens of er in de contracten met uw leveranciers wel afspraken zijn gemaakt over informatiebeveiliging en ook het ‘right to audit’ van de betreffende partij. Dit geeft dan in ieder geval de mogelijkheid om de informatiebeveiligingsmaatregelen van de leverancier(s) te laten toetsen. Ga niet uit van de papieren (schijn)veiligheid, maar voer daadwerkelijk een controle uit (periodiek).
Voor de echte ‘kroonjuwelen’ zijn ook nog aanvullende (technische) maatregelen mogelijk om controle over de informatie te houden als deze het bedrijf verlaat. Hierbij speelt een gedegen ‘Identity Management’ een belangrijke rol.
Bekijk eens wat praktijkvoorbeelden
Helaas komen er steeds meer praktijkvoorbeelden die bevestigen dat het kijken naar de hele keten van informatie-uitwisseling geen overbodige luxe is. De meest in het oog springende was natuurlijk de hack van het Amerikaanse bedrijf Target. Het loont de moeite om het onderzoek van deze aanval eens door te nemen en de lessen ter harte te nemen.
Kom met uw praktijkervaringen op het terrein van managen en organiseren
Deel uw kennis, schrijf 3 columns of artikelen en ontvang een gratis pro-abonnement (twv €200)
Word een pro!
SCHRIJF MEE >>