copyright Intelink 2012
Bewustwording Bedrijfsgeheimen en Social Media Integriteit Theorie & Praktijk De oorzaken en de gevolgen van het offline en online lekken van bedrijfsvertrouwelijke informatie
Uitgave Nederlands Eerste druk, mei 2012 Copyright Intelink Alle rechten voorbehouden ISBN: 978-90-818205-0-9
Intelink is official member and intermediary for the EC Information Society and Media DG for Awareness Raising.
ISBN: 978-90-818205-1-6
Deze publicatie is tot stand gekomen door:
Intelink
Tilburg University
Ministerie van EL&I
InfoLeakage.com
ENISA
2
ISBN: 978-90-818205-1-6
Intelink 2012 All rights reserved. No part of this publication may be reproduced, stored in a retrieval system, or transmitted, in any form or by any means, electronic, mechanical, photocopying, recording or otherwise, without the written permission of Intelink.
3
INHOUD pagina
THEORIE Hoofdstuk 1
Inleiding & Aanleiding
6
Hoofdstuk 2
Een aantal definities
8
Hoofdstuk 3
De Mens
11
3.1 De zwakste, maar meest vergeten schakel in informatiebeveiliging
11
3.2 Incorrecte perceptie en behandeling leidt tot informatielekkage
13
Waarom is informatielekken een probleem
14
4.1 Wat is de oorzaak van een lekincident
14
4.2 Internen die Bewust lekken – Directe oorzaken
15
4.3 Internen die Bewust lekken – Indirecte oorzaken
16
4.4 Externen die Bewust lekken
17
4.5 Zowel intern als extern
18
4.6 Onderzoek naar de oorzaken van lekincidenten
19
4.7 Samenvatting: Oorzaken van
21
Hoofdstuk 4
lekincidenten Hoofdstuk 5
Het onbewust lekken van bedrijfsvertrouwelijke informatie
22
5.1 Intuïtie
22
5.2 Het beoordelen van bedrijfsvertrouwelijke informatie
23
5.3 Het behandelen van bedrijfsvertrouwelijke informatie
26
5.4 De relatie tussen beoordeling en behandeling
28
4
Hoofdstuk 6
Hoofdstuk 7
Gevolgen van het lekken van bedrijfsvertrouwelijke informatie
29
6.1 Persoonlijke gevolgen en gevolgen voor de organisatie
29
6.2 Persoonlijke gevolgen
30
6.3 Gevolgen voor de organisatie
31
6.4 Nationale gevolgen
33
6.5 Directe vs Indirecte gevolgen
33
6.6 Positieve gevolgen
34
6.7 Onderzoek naar de gevolgen van lekincidenten
34
6.8 Samenvatting: Oorzaken van lekincidenten
35
Het voorkomen van het lekken van bedrijfsvertrouwelijke informatie
36
7.1 Inleiding
36
7.2 Stappenplan
37
7.3 Voorkomen: lekken door internen
38
7.4 Voorkomen: onbewust lekken door
39
internen 7.5 Voorkomen: bewust lekken door internen
40
7.6 Voorkomen: lekken door zowel internen als externen
40
7.7 Voorkomen: lekken door externen
40
7.8 Samenvatting
41
7.9 Quick Reference Card: Oorzaken en Gevolgen
42
5
PRAKTIJK Hoofdstuk 1
Inleiding & Aanleiding
43
1.1 Welke rol speel je zelf in het onbewust lekken van bedrijfsvertrouwelijke informatie?
43
1.2 Offline Footprint
44
1.3 Online Footprint
49
Hoofdstuk 2
Voorbeelden uit de Praktijk
54
Hoofdstuk 3
Tips voor de bescherming van bedrijfsvertrouwelijke informatie
61
3.1 Tips voor de werkgever
61
3.2 Tips voor de werknemer
64
Vervolgonderzoek informatielekken in de Rotterdamse Haven i.s.m. Deltalinqs
66
BIJLAGE
6
THEORIE Hoofdstuk 1 Inleiding & Aanleiding Vijftig procent van de Nederlandse werknemers lekt onbewust bedrijfsvertrouwelijke informatie. Dat blijkt uit een landelijk onderzoek dat werd verricht door Intelink in samenwerking met de Universiteit van Tilburg. Ook in de Rotterdamse haven is er regelmatig sprake van het onbewust verspreiden van vertrouwelijke gegevens. Om dit probleem te voorkomen moet bewustwording hiervan worden ingebed in de processen van de werknemers. Begin februari 2010 kwam in de media dat contactgegevens van 170.000 werknemers en contractanten van Shell waren uitgelekt naar milieuorganisaties. Oud-medewerkers zouden deze informatie bewust hebben gelekt. Ook vanaf begin 2010 maakte WikiLeaks bewust diverse staatsgeheimen openbaar. Eind vorig jaar, december 2011 verscheen een bericht in de pers dat personeel van BASF Antwerpen regelmatig pornosites zou bezoeken en tijdens de werktijden veel gebruik zou maken van sociale netwerken als Twitter, Facebook, Netlog en YouTube. Door de opkomst van social media, bereikt – nu misschien nog meer dan ooit – bedrijfsgevoelige informatie doelbewust of onbedoeld de pers, wat kan leiden tot negatieve gevolgen voor het bedrijf. Denk aan imagoschade, omzetverlies, omzetpotentieverlies en dergelijke. Bedrijven investeren daarom veel in harde beveiliging als ICT-investeringen, toegangspoorten, -codes en -badges en dergelijke om hun bedrijf up-to-date te houden en ‘indringers’ op afstand te houden. Maar als er wordt gelekt, gebeurt dit vaak ook onbewust. Dat blijkt uit een landelijk onderzoek dat werd verricht door Intelink in samenwerking met de Universiteit van Tilburg. Vijftig procent van de Nederlandse werknemers lekt onbewust bedrijfsvertrouwelijke informatie. Bijna negentig procent van deze ondervraagden heeft dit zelf al eens meegemaakt in zijn of haar werkomgeving. ‘Bij een informatielek wordt vaak gedacht aan een fout in de technische beveiliging van informatie. Het is terecht dat dit gebeurt aangezien er veel dreigingen zijn, maar hierdoor wordt vaak een schijnveiligheid gecreëerd. De menselijke factor wordt over het hoofd gezien. Je kunt niet voorkomen dat iemand kwaadwillend informatie naar buiten brengt, maar onbewust informatie naar buiten brengen is te voorkomen.
7
Confronterend Ongeveer een jaar geleden is Intelink samen met de Universiteit van Tilburg gestart met een onderzoek naar onbewust lekken van bedrijfsvertrouwelijke informatie. Afgelopen maanden is Intelink – als vervolg op dit landelijke onderzoek – samen met Deltalinqs een onderzoek gestart in de Rotterdamse haven. In dit havenonderzoek lag de focus op de menselijke factor en het onbewuste, met daarnaast havenspecifieke elementen. Denk hierbij aan het internationale karakter met internationale medewerkers en een vrij hoog verloop. ‘Eén van de opmerkelijke resultaten van zowel het landelijke onderzoek als de eerste resultaten van het onderzoek in de Rotterdamse haven is dat men bij het bepalen van de waarde van bedrijfsvertrouwelijke informatie en de behandeling ervan vooral uitgaat van de eigen intuïtie. Meer dan tachtig procent van de ondervraagden gebruikt intuïtie. Dat is een erg nobel streven, maar wie zegt dat je intuïtie volgen de juiste manier is? Uit de resultaten van beide onderzoeken blijkt juist dat wie zijn intuïtie hierin volgt, meestal door de mand valt. De havenmedewerkers zakken zelfs nog iets harder door het ijs dan wat de landelijke resultaten laten zien.’ In het onderzoek is de perceptie en behandeling van informatie getoetst aan de hand van concrete situatievragen. Een voorbeeld: ‘Een student werkt twaalf uur per week bij een callcenter van een energiebedrijf waar hij vragen en klachten van klanten behandelt. De klachten van de klanten slaat hij op in een elektronisch dossier met vermelding van klantgegevens, aard van klacht en dergelijke. Uit de eerste resultaten van het havenonderzoek blijkt dat ongeveer 78 procent van de ondervraagden vindt dat dit klachtendossier niet bedrijfsvertrouwelijk is. Dit is erg opvallend en confronterend. Je moet als werknemer kunnen terugvallen op richtlijnen rond vertrouwelijkheid die de organisatie heeft opgesteld, en niet op intuïtie.’
Ernst Hoewel intuïtie vaak (verkeerdelijk) wordt gebruikt zijn de werknemers zich daarentegen wel bewust dat er wordt gelekt. Op de vraag of ze weet hebben van het lekken van bedrijfsvertrouwelijke informatie geeft ongeveer 87 procent een bevestigend antwoord. ‘Uit vervolgvragen blijkt dat dit meestal onbedoeld wordt veroorzaakt door een interne collega (74% in haven, 56% landelijk) en niet door externen of leveranciers van buitenaf.’ ‘Wat daarnaast eveneens zorgwekkend is, is dat 57 procent (havencijfer) van de panelleden aangeeft spijt te hebben van het onbewust lekken en 76 procent (havencijfer) geeft aan dat de ander nooit over deze informatie had mogen beschikken. Dit geeft een indicatie over de ernst van de lekken.’ Er is bovendien geen onderscheid te maken tussen de functie die de ondervraagden binnen een organisatie uitoefenen. ‘Managers spelen een grote rol in het voorkomen van onbewust lekken, maar tegelijkertijd zijn zij ook medewerker. Ook zij zijn zich niet altijd bewust van de informatie of de vertrouwelijkheid van de informatie waarmee ze werken en de impact van het naar buiten brengen van die informatie. Managers wisselen ook vaker van werkgever. De doorlooptijd binnen deze groep 8
is relatief hoog terwijl de laag eronder iets loyalere werknemers zijn. Ze hebben een kortere houdbaarheidsdatum.’
Herkennen en Behandelen van Bedrijfsvertrouwelijke Informatie Deze uitgave biedt organisaties en werknemers handvatten die ze helpen bewust te worden van het werken met bedrijfsvertrouwelijke informatie. Uiteraard zijn deze handvatten ter beoordeling en behandeling van bedrijfsvertrouwelijke informatie bruikbaar in toekomstige rollen die ook studenten tijdens en na hun studie binnen diverse organisaties zullen vervullen.
9
Hoofdstuk 2 Een aantal definities Informatie Informatie is een alomvattend begrip en wordt vaak verkozen ter vervanging van de woorden kennis en data. Omdat er wel degelijk verschil tussen deze drie begrippen en dat ook van belang is bij het lekken van informatie wordt er nu toch onderscheid in gemaakt. In het verdere boek zal er gebruik worden gemaakt van de term informatie. Wanneer deze term wordt gebruikt, omvat het zowel data, informatie als kennis.
Data Data is de weergave van getallen, hoeveelheden, grootheden of feiten. Deze gegevens worden vaak ‘hard’ genoemd, omdat er bijna niet aan getwijfeld kan worden. Denk hierbij bijvoorbeeld aan het gegeven: 17 graden Celsius. Informatie, daarentegen, is zachter. Het ontstaat wanneer iemand betekenis aan de data geeft. Informatie is bijvoorbeeld het weerbericht, waarin weerman of -vrouw betekenis toekent aan de data eerder verzameld of gezien. Kennis wordt omschreven als: ‘dat wat iemand in staat stelt een bepaalde taak te vervullen door het situatieafhankelijk selecteren, interpreteren en waarderen van informatie’ (Weggeman, 1997). Kennis wordt vaak gezien als dat wat iemand weet en is opgeslagen in de hoofden van mensen. Het is de samenvoeging van informatie, ervaringen, vaardigheden en attituden (Weggeman, 1997). In het voorbeeld van het weerbericht, kan een persoon besluiten bepaalde kleding aan te trekken.
Kennis Kennis is uit te splitsen in expliciete en impliciete kennis (Boekhof, Ligthart, Vinkenburg & Volz, 1996, Nonaka & Takeuchi, 1995). Expliciete kennis is kennis dat gecodificeerd is en daarmee makkelijk overgedragen kan worden aan iemand anders. Impliciete kennis is kennis dat niet goed te delen is met anderen, bijvoorbeeld: intuïties, ingevingen en voorgevoelens.
Informatielekkage Informatielekkage is het verlies van vertrouwelijke informatie aan de “onvertrouwelijke” omgeving. Het verwijst naar een incident waarbij de vertrouwelijkheid van de informatie wordt geschonden (Information Security Forum, 2007). Dit betekent dat er informatie bij iemand terecht komt, die niet over deze informatie niet zou mogen beschikken.
Bedrijfsvertrouwelijke informatie Bedrijfsvertrouwelijke informatie is gevoelige informatie voor de organisatie die een bepaalde vorm van beveiliging behoeft (Spirovski, 2010). Om duidelijk te maken welke informatie bedrijfsvertrouwelijk is en dus door het lekken ervan schade kan toebrengen aan de organisatie, is in dit onderzoek de informatie in de categorieën Persoonlijk, Strategisch en commercieel en Beveiliging. In tabel 1 zijn een aantal voorbeelden genoemd.
10
Categorieën Persoonlijk
Strategisch / Commercieel
Beveiliging
Voorbeelden Namen Geboortedata Creditcardgegevens Patiënt gebonden informatie Management Informatie Klantenlijsten Onderzoeksdocumenten Marketing- /product- / procesplannen Financiele gegevens( budgetten) Beveiligingsmaatregelen (codes, passwords)
tabel 1: Vormen van bedrijfsvertrouwelijke informatie (GAO, 2010 and Minier, 2004)
11
Hoofdstuk 3 De Mens 3.1 De zwakste, maar meest vergeten schakel in informatiebeveiliging Veel bedrijven zijn beschermd tegen het lekken van informatie via IT-voorzieningen en via bepaalde processen (Ashenden, 2008). Alleen bestaat er nog een groot risicofactor bij het lekken van bedrijfsvertrouwelijke informatie: de mens. Volgens Kosutic is IT-beveiliging maar 50% onderdeel van het gehele informatie beveiliging. Het lekken van informatie veroorzaakt door de mens in de organisatie wordt hierin vaak vergeten.
afbeelding 1: Interne en externe bedreigingen (Echoworx, 2010)
Zoals in de afbeelding hierboven te zien is, vormen zowel internen als externen van de organisatie een bedreiging voor de bedrijfsvertrouwelijke informatie. Hiernaast bestaat er nog een overlapping van deze twee groepen. Deze groep kan zowel als intern als extern worden beschouwd.
12
Internen Internen zijn personen werkzaam binnen de organisatie. Doordat zij geautoriseerde toegang hebben tot alle informatie binnen de organisatie, vormen zij een grote bedreiging voor bedrijfsvertrouwelijke informatie. Zij kunnen bewust en onbewust deze informatie lekken. Als een medewerker bewust informatie lekt, heeft hij het besef dat hij het doet voor de daad. Hij doet het dus met kwaadwillende opzet. Voorbeelden hiervan zijn: - Het verkopen of weggeven van documenten aan derden; - Het vertellen van belangrijke ontwikkelingen binnen de organisatie aan de pers. Bij het onbewust lekken van informatie, doet de medewerker dit zonder het besef voor de daad. Degene doet het dus onbedoeld. Voorbeelden hiervan zijn: - Documenten op de printer laten liggen die vertrouwelijke bedrijfsinformatie bevatten; - Het niet-gescheiden verwerken van bedrijfsvertrouwelijk afval; - Het versturen van een e-mail met bedrijfsvertrouwelijke informatie naar een verkeerde ontvanger; - Verlies van gegevensdragers als een laptop of een usb-stick; - Plaatsen van details over zakelijke activiteiten op een blog of community website als LinkedIn en Facebook; - Een vertrouwelijk gesprek voeren in een restaurant of trein over een geplande overname of reorganisatie (Intelink, 2010); - Het niet uitvoeren van de regels op het gebied van IT-voorzieningen (Homsher, 2010).
Externen Externen zijn personen die niet werkzaam zijn binnen de organisatie, dus buiten de organisatie opereren. Ook externen vormen een bedreiging voor de bedrijfsvertrouwelijke informatie. Externen proberen bewust, dus met opzet, achter bepaalde informatie te komen. Spionage is daar een voorbeeld van. Volgens de Van Dale betekent spionage: ‘het stiekem onderzoeken en achterhalen van geheimen’. Vaak wordt dit door de concurrent gedaan. Daarnaast zijn het hacken van het systeem, het omkopen van medewerkers of het proberen af te pakken van medewerkers en ze aan te nemen bij je eigen bedrijf een bedreiging voor belangrijke informatie van een organisatie.
Zowel intern als extern Verandering in de bedrijfsvoering maken onduidelijk wie intern of extern aan de organisatie is en brengt daarom extra risico’s met zich mee. Bij het outsourcen van bepaalde activiteiten, vormen voormalig buitenstaanders ineens een onderdeel van de organisatie. Zij zullen bijvoorbeeld toegang hebben tot bepaalde bestanden en contact hebben met de medewerkers binnen de organisatie. Ook contracten afgesloten met bepaalde partijen, geven externen toegang tot bepaalde informatie. Ook zij kunnen zowel onbewust al bewust informatie naar de onvertrouwelijke omgeving lekken. Daarnaast vormt de dynamiek in het personeelsbestand een bedreiging voor de beveiliging van bedrijfsvertrouwelijke informatie. Oud-werknemers nemen hun kennis en eventueel belangrijke documenten of bestanden mee naar hun nieuwe werkgever. Zo komt deze informatie gemakkelijk terecht bij de concurrent.
13
Definitie van het lekken van bedrijfsvertrouwelijke informatie door het menselijk handelen Het lekken van bedrijfsvertrouwelijke informatie door het menselijk handelen, kan als volgt gedefinieerd worden: het lekken van bedrijfsvertrouwelijke informatie naar de onvertrouwelijke omgeving, door zowel internen of externen van de organisatie, met of zonder het besef voor de daad van het lekken.
3.2 Incorrecte perceptie en behandeling leidt tot informatielekkage Een incident van het lekken van bedrijfsvertrouwelijke informatie kan zowel door een interne als een externe veroorzaakt worden, bewust of onbewust. Van deze bovenstaande vormen, vormt het intern-onbewust lekken een groot risico. De medewerker is de persoon die toegang heeft tot alle of veel informatie en vormt daarmee ook een risico voor het lekken ervan. Ondanks dit gegeven, zijn nog weinig bedrijven ingespeeld op dit risico (McCue, 2008). Een veel gespeculeerde oorzaak is beschreven in de afbeelding hieronder. Mensen zijn niet bewust van de belangrijkheid van bepaalde informatie en gaan er daarom ook niet bewust mee om. Onopzettelijk en per ongeluk leidt dit dan tot informatielekkage.
Perceptie van de waarde van bedrijfsvertrouwelijke informatie
Behandeling van bedrijfsvertrouwelijke informatie
Lekkage van bedrijfsvertrouwelijke informatie
afbeelding 2: Theoretisch model
14
Hoofdstuk 4 Waarom is informatielekken een probleem 4.1 Wat is de oorzaak van een lekincident
Tijdens een landelijk en havenonderzoek is aan deelnemers gevraagd of ze wel eens een lekincident hebben meegemaakt en wat hiervan de oorzaken en de gevolgen waren: 17,5% van de panelleden zegt nog nooit een lekincident te hebben meegemaakt. 32% geeft aan dat ze één keer een lekincident hebben meegemaakt en maar liefst 50,2% heeft meerdere malen een lekincident meegemaakt.
Maar liefst 82% heeft minimaal één maal een lekincident meegemaakt
15
Zoals eerder beschreven, kan een incident van het lekken van bedrijfsvertrouwelijke informatie veroorzaakt worden door zowel internen als externen van de organisatie en kan dit bewust of onbewust gebeuren. In zowel het landelijke als havenonderzoek wordt onzorgvuldigheid en het per ongeluk lekken als grootste oorzaak van lekken benoemd. In het landelijke onderzoek kwam tevens naar voren dat arbeidsverhoudingen, arbeidsvoorwaarden en reorganisaties belangrijke oorzaken van lekincidenten waren.
4.2 Internen die Bewust lekken – Directe oorzaken Een interne van de organisatie die bewust lekt is een medewerker die lekt met opzet. Vaak ligt hier ontevredenheid aan ten grondslag (Eisele & Coates, g.d.). Rosse en Saturay (2004) geven aan dat hoe meer ontevreden een medewerker is op het werk, hoe meer kans er bestaat dat deze persoon reactief en impulsief gedrag gaat vertonen, zoals ontslag nemen of belangrijke informatie doorspelen. Deze persoon handelt dan uit wraak, woede of voor het verkrijgen van voldoening en/of aandacht en zal daarbij zijn normen en waarden achterwege laten. Daarnaast kan de medewerker het lekken van bedrijfsvertrouwelijke informatie ook als tool gebruiken om invloed uit te oefenen op de organisatie of voor het uiten van zijn ontevredenheid (M. Baars, persoonlijke mededeling, 18 februari 2011). Deze ontevredenheid kan werkgerelateerd of ongerelateerd zijn. Bij het laatste wordt bedoeld dat de problemen in de privésferen bijdragen aan de ontevredenheid op het werk. Hierbij kan gedacht worden aan problemen als een scheiding, overlijdensgeval of drugsgebruik. Ook financiële problemen kunnen een rol spelen. De verkoop van bepaalde belangrijke documenten kan geld opleveren waarmee deze problemen enigszins verholpen kunnen worden. Werkgerelateerde problemen dragen voor het grootste deel bij aan de ontevredenheid. Slechte arbeidsverhoudingen, door geschillen tussen medewerkers en/of leidinggevenden; dreiging van ontslag of overplaatsing; ontevredenheid over arbeidsvoorwaarden en discriminatie zijn hier voorbeelden van. Volgens NIAC (2008) is er geen directe correlatie tussen ontevreden medewerkers en het lekken van bedrijfsvertrouwelijke informatie. Het kwaadwillende gedrag vertoont door een werknemer vereist een complexere psychologische analyse en zal dus ook verschillen per persoon. De ene ontevreden werknemer zal wel geneigd zijn om informatie door te spelen, terwijl de andere daar niet aan zou denken. Deze psychologische factoren kunnen in relatie worden gezien met de ethische discussie. Wanneer beschouwt een persoon het lekken als ethisch en niet-ethisch verantwoord? Dit is sterk afhankelijk van persoonlijke eigenschappen als opvoeding, leeftijd, geslacht, opleiding, nationaliteit, religie en werkervaring (Loe, Ferell& Mansfield, 2000).
16
Een speciale vorm van het intern bewust lekken is klokkenluiden. Een klokkenluider is iemand die op zijn werk heersende misstanden in de openbaarheid brengt (vandale.nl, 2011a). Een klokkenluider zit voorafgaand aan het lekken (of ook wel klokkenluider) in een dilemma. Hij heeft zich namelijk aan de geheimhoudingsplicht te houden, maar daarnaast heeft hij ook een moraal waarin hij vindt dat hij een bepaalde misdaad aan de kaak moet stellen (Jellinghaus, persoonlijke mededeling, 15 maart 2011). Volgens Jellinghaus doen maar weinig klokkenluiders het uit overtuiging, maar aan ongeveer 90% van de klokkenluiders zit een vuiltje. Daar ligt vaak disfunctioneren, ontevredenheid of spijt krijgen van het meedoen aan de misstand aan ten grondslag.
4.3 Internen die Bewust lekken – Indirecte oorzaken Naast de oorzaken hierboven genoemd, zijn er factoren die van invloed zijn op het gedrag van personen en zijn daarmee indirecte oorzaken voor het lekincident. Als eerste kan de economische situatie van invloed zijn. Volgens Mohamed (2009) laten onderzoeken zien dat bij dalende welvaart, de misdaad toeneemt. Hierdoor raken meer werknemers betrokken in georganiseerde lekincidenten. De betrouwbaarheid en de loyaliteit van de werknemers worden in slechte economische tijden op proef gesteld. De economische situatie is een indirecte oorzaak voor het lekken, maar is een directe oorzaak voor de ontevredenheid van de medewerkers. Daarnaast kan de bedrijfscultuur het gedrag van personen beïnvloeden (Colwill, 2009). Dit gebeurt vaak in een periode waarbij de bedrijfscultuur aan het veranderen is. Deze veranderingen kunnen angst, onzekerheid en twijfel veroorzaken bij medewerkers en beïnvloeden daarmee ook de mate van tevredenheid. Dit kan dan weer effect hebben op de houding tegenover de beveiligingsmaatregelen getroffen door de organisatie tegen het lekken van informatie en kan uiteindelijk een lekincident tot gevolg hebben. De regionale of nationale cultuur is ook van invloed (Colwill, 2009). Ook al staan de beveiligingsmaatregelen duidelijk op papier vermeld; de personen uit verschillende landen of regio’s kunnen anders tegenover een bepaalde regel staan en er anders mee om gaan. Dit komt door de verschillende houding bij de naleving van regels, veroorzaakt door de verschillende culturen. De nieuwe vormen van werken zijn ook belangrijk in dit verhaal. Medewerkers werken minder lang bij een werkgever en zijn snel geneigd om te veranderen van baan en werkgever. Het onderlinge vertrouwen tussen medewerkers en tussen werknemer en werkgever, de afhankelijkheid van elkaar en loyaal zijn aan elkaar, die zo belangrijk waren in de lange termijn relaties van vroeger, zijn nu steeds minder vanzelfsprekend. Ook het in toenemende mate thuiswerken heeft effect op de band die de medewerker opbouwt met de organisatie. Dit leidt er allemaal toe dat de medewerker minder in het voordeel van de organisatie zal handelen en een risico kan gaan vormen voor het lekken van informatie (Colwill, 2009). Als laatste zijn natuurlijk de beveiligingsmaatregelen en het beleid ten aanzien van informatiebeveiliging voor het menselijk handelen van invloed op het lekken van informatie. Deze 17
maatregelen bepalen voor een groot deel het gedrag van de medewerkers in de organisatie ten aanzien van het omgaan met belangrijke informatie. Alleen niet in elke organisatie is dit het geval. Veel organisaties missen een beleid of de maatregelen worden niet ten uitvoering gebracht door bijvoorbeeld de onvoldoende toepasbaarheid van het beleid, de onduidelijkheid over het doel van de maatregelen, het gebrek aan duidelijke leiding enzovoort (Williams, 2008). In veel organisaties kan ook het gebrek aan tijd een oorzaak zijn voor het onvoldoende uitvoeren van de beveiligingsmaatregelen (Stetson, 1997).
18
4.4 Externen die Bewust lekken Wanneer de concurrentie in een markt toeneemt, zal ook de bedrijfsspionage toenemen. Bedrijfsspionage is de daad waarbij op een illegale wijze door een buitenstaander van de organisatie data wordt verkregen (Accushred, 2008). Dit wordt over het algemeen ondernomen door de concurrentie om achter bepaalde geheimen te komen. Hierbij valt te denken aan trade secrets en de ontwikkeling van een nieuw product. Door het verkrijgen van deze informatie weet de concurrent wat hem te wachten staat en kan zich daar beter op voorbereiden. Spionage kan op verschillende manieren gebeuren: hacken in het bedrijfssysteem, diefstal van gegevensdragers en/of documenten, door het afval neuzen (dumpster diving), infiltreren in de organisatie en intimidatie of omkopen van een werknemer. Daarnaast is social engineering een belangrijke factor voor het verkrijgen van data. Social engineering is een manier om toegang te krijgen tot gebouwen, systemen of data door de psychologie van de mens. De social engineer belt dan bijvoorbeeld een medewerker op en met een verzonnen verhaal, ontlokt hij de medewerker om zijn wachtwoord te noemen. De social engineer heeft dan toegang tot het systeem (Goodchild, 2010). Veel bedrijven zijn al bekend met spionage en hebben daarom al een beleid in hun organisatie om dit te voorkomen. Wanneer er toch informatie door de buitenstander wordt verkregen, betekent het dus dat dit beleid gefaald heeft. De IT structuur is bijvoorbeeld toch niet volledig gesloten voor buitenstaanders en medewerkers zijn zich niet bewust van het bestaan van social engineers en dat er bijvoorbeeld nooit een wachtwoord vrijgegeven mag worden.
19
4.5 Zowel intern als extern De verdeling tussen internen en externen, zoals hierboven is beschreven, is te scherp. Er bestaat een overlapping (zie ook afbeelding 1), waarin men zich kan afvragen of de persoon een interne of externe is van de organisatie. Outsource bedrijven, partners en voormalig medewerkers vallen hieronder en vormen een bedreiging voor de veiligheid van bedrijfsvertrouwelijke informatie. Zij hebben toegang tot vertrouwelijke informatie van de organisatie, dit terwijl de organisatie niet goed de betrouwbaarheid van deze personen kan peilen. Deze personen kunnen zowel bewust als onbewust lekken, dus de oorzaken genoemd in 6.1 en 6.2 zijn hier ook van belang. Bijvoorbeeld: Een oud-medewerker is ontslagen vanwege reorganisatie binnen de organisatie. In de periode van reorganisatie en de dreiging van ontslag heeft de medewerker besloten om belangrijke klantenlijsten op te slaan op zijn eigen usb-stick. Nu hij werkzaam is bij de concurrent, komen deze lijsten goed van pas om zijn ex-werkgever tot last te zijn en/of om een wit voetje te halen bij zijn nieuwe werkgever. Hierbij zal zijn voormalig werkgever klanten verliezen en dus schade hebben van dit lek. In dit voorbeeld lekt de medewerker bewust en dus kwaadwillend informatie aan de concurrent. Dit kan ook onbewust gebeuren. Door de kennis die de medewerker heeft opgedaan bij zijn voormalige werkgever, kan hij zijn taken beter uitvoeren bij zijn huidige werkgever. Zo kan hij bijvoorbeeld klanten meenemen, omdat de vertrouwensband die is geschapen bij zijn voormalig werkgever als zeer belangrijk wordt ervaren door de klant. Hierbij wordt er onbewust informatie gelekt. De medewerker heeft er geen idee van dat hij het doet, maar bezorgt wel schade bij zijn oude werkgever. Eén belangrijk aspect, zoals ook blijkt uit het uitgevoerde havenonderzoek, kan toegevoegd worden aan de oorzaken: loyaliteit. Doordat in deze vorm de personen geen lange termijn relatie hebben met de organisatie en daarmee ook in mindere mate een band hebben met de organisatie, zullen deze personen minder geneigd zijn om te handelen in het voordeel van de organisatie (Baron & Kreps, 1999). De organisatie zal bij deze personen dus rekening moeten houden met een lagere betrouwbaarheid en loyaliteit en een groter risico voor het lekken van bedrijfsvertrouwelijke informatie.
20
4.6 Onderzoek naar de oorzaken van lekincidenten In een door Intelink en de Universiteit van Tilburg uitgevoerd onderzoek naar de oorzaken en gevolgen van het lekken van bedrijfsvertrouwelijke informatie, is in ronde 4 van de enquête aan de panelleden gevraagd of ze wel eens een lekincident hebben meegemaakt en wat hiervan de oorzaken en de gevolgen waren: − 17,5% van de panelleden zegt nog nooit een lekincident te hebben meegemaakt, − 32% geeft aan dat ze één keer een lekincident hebben meegemaakt, − 50,2% heeft meerdere malen een lekincident meegemaakt.
97,2% geeft aan dat de veroorzaker van het lekincident een interne van de organisatie is. In 44,3% van de gevallen werd er bewust informatie gelekt en in 55,7 % van de gevallen ging dat onbewust.
tabel 2: Lekincidenten meegemaakt
tabel 3 & 4: Lekincidenten door interne of externe en expres of per ongeluk
21
In onderstaande tabel staat per oorzaak aangegeven hoeveel panelleden deze hebben aangevinkt als een van de oorzaken of als de oorzaak van het lekincident. Opvallend is dat 98,6% van de panelleden hebben aangegeven dat onzorgvuldigheid een van de grootste oorzaken is. Zelfs wanneer een interne bewust informatie heeft gelekt, kan onzorgvuldigheid hieraan ten grondslag liggen. Dit kan verklaard worden doordat ontevreden werknemers minder in het belang van hun werkgever handelen en hierdoor onzorgvuldiger te werk gaan.
tabel 5: Oorzaken van lekincidenten
Daarnaast zijn de arbeidsvoorwaarden, reorganisaties en arbeidsvoorwaarden een belangrijke oorzaak van een lekincident. Dit geeft aan dat de werkgever invloed heeft op het voorkomen van het lekken van bedrijfsvertrouwelijke informatie. Er wordt ook aangegeven dat er een andere belangrijke oorzaak aan het lekincident ten grondslag lag. Deze oorzaak is het zich niet bewust zijn van het belang van de informatie.
22
4.7 Samenvatting: Oorzaken van lekincidenten Intern - bewust Directe oorzaken Ontevredenheid medewerker
Beïnvloedende factoren Werkgerelateerde problemen Niet werkgerelateerde problemen Moraal van de medewerker
Internen - bewust en onbewust Beïnvloedende factoren Economische situatie Bedrijfscultuur Lage loyaliteit (het nieuwe werken) Regionale of nationale cultuur Onvoldoende beleid ten aanzien van informatiebeveiliging
Zowel intern als extern Beïnvloedende factoren Onvoldoende beleid ten aanzien van informatiebeveiliging. Lage loyaliteit
Externen Beïnvloedende factoren Toename concurrentie in de markt Onvoldoende beleid ten aanzien van informatiebeveiliging.
23
Hoofdstuk 5 Het onbewust lekken van bedrijfsvertrouwelijke informatie 5.1 Intuïtie In dit hoofdstuk wordt uitgebreid ingegaan op een aanvullende oorzaak van het lekken van bedrijfsvertrouwelijke informatie: het zich niet of onvoldoende bewust zijn van het belang van de informatie en de gevolgen hiervan op de behandeling van bedrijfsvertrouwelijke informatie. Zo blijkt uit onderzoek, dat men bij het bepalen van de waarde van bedrijfsvertrouwelijke informatie en de behandeling ervan vooral uitgaat van de eigen intuïtie
tabel 6: Intuitie bij het beoordelen van bedrijfsvertrouwelijke informatie
tabel 7: Intuitie bij het behandelen van bedrijfsvertrouwelijke informatie
24
5.2 Het beoordelen van bedrijfsvertrouwelijke informatie Intelink onderzocht of werknemers zichzelf in staat achten adequaat en correct bedrijfsvertrouwelijke informatie te herkennen en dienovereenkomstig te behandelen. Over het algemeen herkent men zich in de stelling dat men redelijk bedrijfsvertrouwelijke informatie op juiste waarde kan inschatten. Maar de hoge standaarddeviatie laat zien dat er een grote verscheidenheid bestaat in de antwoorden. De ene persoon geeft aan dat hij dat niet echt kan, terwijl de ander aangeeft dat hij dat precies weet. Men vindt dus van zichzelf dat hij het uitermate goed of uitermate slecht kan beoordelen;. De situatievragen checken deze uitkomst. In de verschillende opgestelde situaties dienden de panelleden aan te geven of de informatie wel of niet bedrijfsvertrouwelijk was. De uitslag is als volgt:
tabel 8: Foutieve beoordelingen op basis van intuitie
Er blijkt dat bij de eerste drie situaties (werkrooster, productkennis, personeelsdossier) de verschillende vormen van informatie overduidelijk wel of niet vertrouwelijk zijn en dat ook zo is beoordeeld door de panelleden. Het personeelsdossier en kennis over het nieuwe product (situatievragen 1 & 2) zijn duidelijk bedrijfsvertrouwelijk. Alhoewel nog 20 tot 30 procent deze vormen van informatie als niet bedrijfsvertrouwelijk beschouwt. Deze personen vormen een risico voor de organisatie.
25
Het werkrooster (situatievraag 3) wordt duidelijk beoordeeld als niet vertrouwelijk en over het klachtendossier (situatievraag 4) zijn de percepties verdeeld. Het klachtendossier is duidelijk bedrijfsvertrouwelijk, omdat deze naast persoonlijke informatie ook belangrijke informatie bevat over de organisatie, producten en inhoudelijke specificaties. Er bestaan dus grote grijze gebieden bij de beoordeling van bedrijfsvertrouwelijke informatie.
Situatievragen Hieronder worden enkele situaties geschetst, geef aan of u het gevraagde begrip, naar uw eigen inzicht, vertrouwelijk vindt: Situatie 1:
Organisatie X is een bank met veel medewerkers en beschikt daarom over een Personeel
&
Organisatie
verantwoordelijk
voor
het
afdeling.
Medewerkers
aannemen
van
van
personeel,
deze
afdeling
zijn
het
houden
van
functioneringsgesprekken en dergelijke. Gegevens over een personeelslid worden opgeslagen
in
een
dossier,
zoals
het
contract,
het
CV
en
de
functioneringsbeoordeling. Vindt u het personeelsdossier bedrijfsvertrouwelijke informatie? □ Ja □ Nee
Situatie 2:
In bakkerij X werken ze aan een nieuwe formule voor het maken van gezonder brood. Alle medewerkers zijn betrokken bij de ontwikkeling van het nieuwe product. Zij beschikken niet over het document waarin staat hoe het gemaakt moet worden, maar hebben wel de kennis van de formule en wanneer het op de markt gaat komen.
Vindt u de kennis over het nieuwe product bedrijfsvertrouwelijke informatie? □ Ja □ Nee
26
Situatie 3:
Marije werkt in ziekenhuis X als verpleegster. Elke twee weken ontvangt zij een persoonlijk werkrooster met haar werktijden. Daarin staat wanneer zij dag- en nachtdiensten moet draaien en hoeveel uur zij die week moet werken. Voor de rest staat er niets in het werkrooster van Marije weergegeven.
Vindt u het werkrooster van Marije bedrijfsvertrouwelijke informatie? □ Ja □ Nee
Situatie 4:
Een student werkt 12 uur per week bij een callcenter voor een telefoniebedrijf. Hier beantwoordt hij vragen van klanten en handelt hij klachten af. Alle klachten slaat de student op in een elektronisch dossier waarbij er vermeld wordt wie de klacht heeft ingediend, wat de klacht was en hoe deze is opgelost.
Vindt u dit klachtendossier bedrijfsvertrouwelijke informatie? □ Ja □ Nee
27
5.3 Het behandelen van bedrijfsvertrouwelijke informatie Bij de toetsing van de behandeling van bedrijfsvertrouwelijke informatie kan dezelfde conclusie getrokken worden als bij de beoordeling van de bedrijfsvertrouwelijkheid. Men is het redelijk eens met de stelling dat deelnemers in staat zijn bedrijfsvertrouwelijke informatie adequaat en correct te behandelen. Ondanks het feit dat men zich goed in staat acht bedrijfsvertrouwelijke informatie correct te behandelen, laat de volgende tabel zien dat een groot aantal van diezelfde panelleden zeer regelmatig onzorgvuldig met bedrijfsvertrouwelijke informatie is omgegaan.
tabel 9: Behandelen van bedrijfsvertrouwelijke informatie op basis van intuitie
Zo heeft 69% van de panelleden wel eens documenten met belangrijke informatie onbeheerd achtergelaten, heeft 78% van de panelleden wel eens een vertrouwelijk, zakelijk telefoongesprek op een openbare locatie gevoerd, heeft 60% wel eens een e-mail met belangrijke informatie naar de verkeerde ontvanger gestuurd, gooit 42% van de panelleden documenten met bedrijfsvertrouwelijke informatie in de prullenbak en heeft 52% van de panelleden een keer een gegevensdrager met bedrijfsvertrouwelijke informatie verloren.
28
Het lekken van bedrijfsvertrouwelijke informatie via social media als LinkedIn, Facebook en Hyves is tevens onderzocht. Van de panelleden geeft 40% aan wel eens een bericht te hebben geplaatst dat bedrijfsvertrouwelijke informatie bevatte.
tabel 10: Behandelen van bedrijfsvertrouwelijke informatie – social media
In het onderzoek is bovendien vier keer en op verschillende manieren aan de panelleden gevraagd of ze wel eens bedrijfsvertrouwelijke informatie aan iemand hebben overgedragen die daar niet over zou mogen beschikken.
tabel 11: Behandelen van bedrijfsvertrouwelijke informatie
29
Bij elke vraag is de verdeling op de antwoorden “ja” en “nee”, ongeveer 50%. Dit betekent dat 50% van de panelleden bij iedere vraag aangeeft bedrijfsvertrouwelijke informatie te hebben gelekt.
5.4 De relatie tussen beoordeling en behandeling Het onderzoek toont aan dat men bij het bepalen van de waarde van de bedrijfsvertrouwelijke informatie en in de omgang met bedrijfsvertrouwelijke informatie uitgaat van de persoonlijke intuïtie in plaats van bestaande of juist ontbrekende regels in de organisatie. Tegelijkertijd wijst het onderzoek uit dat er grote onduidelijkheden bestaan bij medewerkers bij de beoordeling van bedrijfsvertrouwelijke informatie. De enquêtevragen laten zien dat men zichzelf prima in staat acht deze beoordeling correct te doen, terwijl de situatievragen (praktijk) uitwijzen dat dit te vaak incorrect gebeurt. Bovendien wijst het onderzoek uit dat er een positieve relatie bestaat tussen de perceptie van de waarde van bedrijfsvertrouwelijke informatie en de behandeling van bedrijfsvertrouwelijke informatie. Dat betekent dat wanneer iemand bedrijfsvertrouwelijke informatie beter op waarde weet in te schatten, hij daar ook zorgvuldiger mee om zal gaan en de kans op het lekken van bedrijfsvertrouwelijke informatie aanzienlijk zal afnemen. De resultaten laten zien dat een betere behandeling van bedrijfsvertrouwelijke informatie leidt tot minder informatielekkage. Een eenvoudig en zeer effectief middel voor het verbeteren van de perceptie en behandeling van bedrijfsvertrouwelijke informatie is het uitvoeren van een bewustwordingscampagne, waarbij werknemers worden gewezen op wat bedrijfsvertrouwelijke informatie is en hoe men er mee om moet gaan. De behoefte aan dergelijke programma’s wordt bevestigd door het onderzoek:
tabel 12 & 13: Beleid en noodzaak ten aanzien van beoordeling en behandeling bedrijfsvertrouwelijke informatie
30
Hoofdstuk 6 Gevolgen van het lekken van bedrijfsvertrouwelijke informatie 6.1 Persoonlijke gevolgen en gevolgen voor de organisatie Je zou kunnen stellen dat informatielekken geen probleem is, want het gaat niet bewust en dus niet met verkeerde intenties. Toch kan dit nadelige gevolgen hebben, zowel zakelijk als persoonlijk. Misschien niet direct verwacht, maar zeker een mogelijkheid; het kan zelfs nationale gevolgen hebben! Verderop in dit hoofdstuk worden de drie categorieën verder uitgewerkt. De gevolgen van het lekken van bedrijfsvertrouwelijke informatie hangt af van het type data dat gelekt is. De Security Incident investigation working Group (2010) heeft de gelekte data verdeelt in basis informatie, economische informatie en privacy informatie. Het lekken van deze informatie hebben zij vergeleken met het effect op economisch verlies en emotioneel leed, hieruit is de Economic-Privacy Map voortgekomen. Hier kan men een globale inschatting maken van wat voor gevolgen de informatie heeft die gelekt is.
economic loss
Economic information Basic Privacy information information
emotional distress Afbeelding 3: Economic Privacy map (Security Incident investigation working Group, 2010)
Hierboven wordt de verdeling gemaakt tussen economisch verlies en emotioneel leed als gevolg. Dit komt grotendeels overeen met de verdeling die wordt gehanteerd door Intelink en de Universiteit van Tilburg. Economisch verlies is voornamelijk een gevolg voor de organisatie in kwestie en emotioneel leed een persoonlijk gevolg. Hier wordt gekozen een onderscheid te maken tussen persoonlijke gevolgen en de gevolgen voor de organisatie (Vliet, 2009), aangevuld met mogelijke nationale gevolgen. De verdeling van types informatie blijven persoonlijk, strategisch/commercieel en beveiliging. 31
6.2 Persoonlijke gevolgen Persoonlijke gevolgen zijn gevolgen die betrekking hebben op een bepaald persoon (vandale.nl, 2011b). Dit zijn de consequenties van bepaalde oorzaken die betrekking hebben op een persoon. In dit boek houdt dit in dat het de gevolgen zijn voor een bepaald persoon naar aanleiding van een lekincident. De mogelijke persoonlijke gevolgen kunnen weer onderverdeeld worden in ontslag werknemer(s), ontslag management of directie medewerker(s), identiteitsdiefstal en privacyschending.
Ontslag werknemer(s) Houdt in dat één of meerdere werknemer(s)s word(t)(en) ontslagen als gevolg van een incident. Het ontslag kan veroorzaakt worden door directe oorzaken. Zo kan het betekenen dat de ontslagen werknemer degene is die gelekt heeft en daarom ontslagen wordt. Het kan echter ook betekenen dat het bedrijf door onvoorziene kosten en lagere inkomsten personeel zal moeten ontslaan, wat een indirecte oorzaak is.
Ontslag management of directie medewerker(s) Hier wordt verwezen naar het ontslag van hoge posities binnen het bedrijf.
Identiteitsdiefstal valt ook onder persoonlijke gevolgen Bij identiteitsdiefstal doet iemand zich voor als het slachtoffer, door middel van bijvoorbeeld creditcard gegevens of andere persoonlijke informatie. Het slachtoffer kan hierdoor geassocieerd worden met gebeurtenissen waar hij of zij niets meer te maken heeft. Dit is een vorm van fraude (Information Security Forum, 2007). LET OP: Hoe meer jij over zowel je persoonlijke als zakelijke leven lekt, hoe makkelijker het wordt jouw identiteit voor ongeoorloofde zaken te gebruiken. Met alle gevolgen van dien.
Privacyschending Volgens onderzoek is privacyschending een veelvoorkomend gevolg. Het is een incident waarbij persoonlijke informatie van een individu wordt misbruikt door illegale verkoop, het gebruiken van de informatie of gebrek aan bescherming (Acquisti, Friedman &Telang, 2006). Uit ditzelfde onderzoek blijkt dat privacyschending weer kan leiden tot het gevolg van een daling in de markt waarde van het bedrijf. Verdere uitleg hierover is te vinden in hoofdstuk 7.1.2. Ook zie je dat bijvoorbeeld verzekeringsorganisaties het Internet gebruiken om informatie over personen te achterhalen. Er zijn voorbeelden bekend van mensen die premies terug moesten betalen en werden beschuldigd van fraude, naar aanleiding van informatie dat over hen op Internet te vinden was. Maar ook personen die werden aangesproken op hun concurrentiebeding, nadat een oud werkgever zag dat er via sociale media contact was opdrachtgevers van die oud werkgever.
32
6.3 Gevolgen voor de organisatie In dit deel gaat het over de mogelijke gevolgen voor de organisatie waarbij het incident van lekken van bedrijfsvertrouwelijke informatie plaats heeft gevonden. De gevolgen voor deze organisatie zijn afhankelijk van de soort informatie die gelekt is, de waarde van de informatie en of de media op de hoogte is (Information Security Forum, 2007).
Imagoschade Is een mogelijk gevolg van een incident (Information Security Forum, 2007). Imago gaat over het beeld dat de buitenwereld heeft van de organisatie. Wanneer er een lekincident plaatsvindt, kan het gebeuren dat dit imago in negatieve zin verandert ten opzichte van het beeld dat men daarvoor van de organisatie had. Dit wordt ook wel reputatieschade genoemd.
Verlies van concurrentievoordeel Een organisatie heeft concurrentievoordeel wanneer de organisatie de concurrentie kan overtreffen, waarbij ze de klanten producten of diensten kunnen aanbieden die de concurrent niet heeft (Solomon, Marshall & Stuart, 2008). De organisatie onderscheidt zich dan op een positieve manier van de concurrentie. Als er bepaalde informatie van de organisatie naar de concurrent wordt gelekt, kan het concurrentievoordeel verloren gaan. Dit kan bijvoorbeeld gebeuren wanneer een nieuw productidee uitlekt en hierdoor de concurrent eerder met dit product op de markt kan komen. Of wanneer een marketingplan uitlekt en de concurrent hierop inspeelt. De organisatie kan dan geen onderscheidende producten of diensten meer aanbieden en verliest hiermee het concurrentievoordeel. Hierdoor zal de organisatie klanten verliezen.
Vertrouwensverlies bij (potentiële) klanten Vertrouwensverlies houdt in dat men de organisatie waar men eerst nog vertrouwen in had, nu niet meer betrouwbaar vindt. Dit kan gelden voor zowel huidige klanten als voor potentiële klanten. Het kan leiden tot verlies van bestaande klanten en het niet slagen om nieuwe klanten aan te trekken (Dorantes & Ko, 2006). Het vertrouwensverlies kan veroorzaakt worden doordat de organisatie dankzij het lekkage incident problemen met justitie heeft gekregen of doordat de reputatie van de organisatie verslechterd is (Dorantes & Ko, 2006).
Lagere marktwaarde of lagere aandeelprijzen De marktwaarde van een organisatie is het geschatte bedrag waartegen de organisatie op de datum van waardering bij een onderhandse overeenkomst tussen een willige verkoper en onafhankelijke koper zou worden verkocht, waarbij wordt aangenomen dat de organisatie openlijk op de markt wordt aangenomen (ondernemersunited.nl, 2011). Het gaat dus om het bedrag dat de organisatie opbrengt, wanneer men het op dat moment zou verkopen. Dit is in samenhang met de aandeelprijzen. Een aandeel is een bewijs van deelneming in het eigen vermogen van een onderneming (beursblik.nl, 2011). Wanneer de waarde van een organisatie stijgt, zullen ook meer mensen de aandelen van dit bedrijf willen en zal de prijs van de aandelen stijgen. Een lagere marktwaarde/lagere aandelenprijzen betekent dat de organisatie minder waard is geworden 33
waardoor de marktwaarde en de aandeelprijzen dalen. Dit kan veroorzaakt worden wanneer bedrijfsvertrouwelijke informatie wordt gelekt. Volgens Goel en Shawky (2009), heeft de bekendmaking van een incident, waarbij bedrijfsvertrouwelijke informatie is gelekt, een negatieve invloed op de korte termijn (tot 10 dagen na bekendmaking van het incident) van 1% op de marktwaarde van de organisatie. Campbell et al. (2003) heeft een termijn van drie dagen gebruikt bij zijn onderzoek. De dag voordat het incident openbaar wordt gemaakt, de dag van de bekendmaking en de dag erna. Dit onderzoek laat een duidelijk significant negatief effect zien op de marktwaarde wanneer het lek incident betrekking heeft op de mogelijkheid dat onbevoegde toegang hebben op vertrouwelijke informatie. Echter, wanneer het daar geen betrekking tot heeft is er geen significante reactie. Onderzoek wijst uit dat het afhankelijk is van het type incident hoe groot het verlies van de organisatie is en of er verlies is.
34
Boetes van privacyregulerende instanties Een ander financieel gevolg zijn boetes van privacyregulerende instanties (Vliet, 2009). Wanneer er vertrouwelijke informatie gelekt wordt kan het zijn dat dit ten koste gaat van de privacy van bijvoorbeeld klanten of medewerkers. Dit bedrijf zal dan een boete ontvangen van een privacyregulerende instantie. Deze instantie is een overheidsorgaan die de wetgeving op het gebied van privacy waarborgt.
Compensatiekosten Als laatste kan het zijn dat de organisatie in kwestie compensatiekosten moeten betalen aan de slachtoffers. Dit wordt ook wel schadevergoeding genoemd. Zoals hierboven al regelmatig blijkt is dat alle gevolgen voor de organisatie in kwestie kunnen leiden tot kosten. Deze kosten komen ongeveer overeen met het begrip ‘economic loss’ in de afbeelding aan het begin van dit hoofdstuk, aangezien uiteindelijk alles tot economisch verlies leidt voor een organisatie, ofwel kosten. Kosten kunnen een direct gevolg zijn, maar de organisatie kan ook indirect extra kosten hebben als gevolg van een incident.
6.4 Nationale gevolgen Waar gelukkig het gros van de mensheid met positieve intenties werkzaam is, zijn er ook personen en organisaties actief die andere intenties hebben. Zij zullen, van hun kant uit bewust en met gerichte acties, op zoek gaan naar informatie en ingangen om hun zaak te versterken en tot een succes te laten worden. Denk hierbij aan activisme, extremisme, terrorisme, proliferatie en spionage1. De gevolgen die hieraan ten grondslag liggen raken de nationale veiligheid en het schaden van economische belangen, zeker bij een groot en belangrijk gebied als de havens van Rotterdam. Natuurlijk sta je hier niet dagelijks bij stil en zeker niet in relatie tot het onbewust lekken van bedrijfsinformatie, maar het is een onderdeel dat niet achterwege mag blijven. Hoe meer bedrijfsinformatie er onbewust gelekt wordt, hoe makkelijker dergelijke personen en organisaties hun doelen bereiken.
6.5 Directe vs Indirecte gevolgen Men kan ook een onderscheid maken tussen directe en indirecte gevolgen. Het ene gevolg kan namelijk leiden tot het andere, waardoor het tweede gevolg een indirect gevolg is. Een voorbeeld hiervan is dat een organisatie imagoschade oploopt, hierdoor hebben mensen minder vertrouwen in de organisatie en is het lastiger om nieuwe klanten voor zich te winnen, wat weer kan leiden tot hogere marketingkosten voor de organisatie (Vliet, 2009). Hieruit blijkt dat het directe gevolg
1
Zie voor meer informatie https://www.aivd.nl/onderwerpen-0/bedrijven/zeehavens/ en https://www.aivd.nl/onderwerpen-0/bedrijven/olie/
35
imagoschade kan leiden tot indirecte gevolgen zoals vertrouwensverlies bij (potentiële) klanten en hogere kosten.
36
6.6 Positieve gevolgen Tot nu toe zijn vooral de negatieve gevolgen van een incident benoemt. Gevolgen kunnen echter ook een positief effect hebben op organisaties. Bijvoorbeeld wanneer iemand ontevreden is over de gang van zaken en dit via een sociaal netwerk naar buiten brengt. Door te lekken, krijgt deze persoon aandacht, wordt er naar hem geluisterd en kan deze persoon dus invloed uitoefenen (M. Baars, persoonlijke mededeling, 18 februari 2011). Doordat er naar deze persoon wordt geluisterd, kan de organisatie het beleid verbeteren waar degene kritiek op had. Dit kan natuurlijk ook leiden tot kosten, maar het kan er ook voor zorgen dat men bijvoorbeeld efficiënter gaat werken en een hogere tevredenheid van het personeel.
6.7 Onderzoek naar de gevolgen van lekincidenten Ook naar de gevolgen is gevraagd in het onderzoek van Intelink en de Universiteit van Tilbrug. Hieronder staan twee tabellen waarin gevolgen voor een persoon en voor de organisatie staan vermeld. Daarnaast is hierin te zien hoeveel panelleden dit gevolg als gevolg van hun lekincident aan hebben gegeven.
tabel 14: Persoonlijke gevolgen lekincidenten bedrijfsvertrouwelijke informatie
Wat hier naar voren komt is dat het ontslag van de werknemer of meerdere werknemers en privacyschending als de meest voorkomende persoonlijke gevolgen zijn. Daarnaast worden drie andere gevolgen gegeven: − − −
Waarschuwing/aanzegging; Berisping van de veroorzaker; Betaling van een schadevergoeding aan de slachtoffers waarvan de privacy is geschonden. 37
tabel 15: Gevolgen voor de organisatie bij lekincidenten bedrijfsvertrouwelijke informatie
De eerste drie gevolgen in de tabel; imagoschade, verlies van concurrentievoordeel en vertrouwensverlies; worden aangegeven als veel voorkomende gevolgen. Dit in tegenstelling tot de directe financiële gevolgen als de boetes en compensatiekosten. Opvallend is ook dat de lagere marktwaarde en lagere aandeelprijzen niet als grootste gevolg uit de enquête komen. Dit komt overeen met eerdere onderzoeken, die hierboven zijn vermeld.
6.8 Samenvatting: Oorzaken van lekincidenten Hieronder staan de gevolgen overzichtelijk weergeven: Persoonlijke gevolgen Ontslag werknemer(s) Ontslag management of directie medewerker(s) Identiteitsdiefstal Privacyschending Schadevergoeding Waarschuwing/berisping
Gevolgen voor de organisatie Imagoschade Verlies concurrentievoordeel Vertrouwensverlies bij (potentiële) klanten Lagere marktwaarde/lagere aandeelprijzen Boetes van privacyregulerende instanties Compensatiekosten aan slachtoffers
En niet te vergeten de nationale gevolgen als er door personen en organisaties die zich bezighouden met activisme, extremisme, terrorisme, proliferatie en spionage, bewust gezocht wordt naar onbewust gelekte informatie. De gevolgen die hieraan ten grondslag liggen raken de nationale veiligheid en het schaden van economische belangen.
38
Hoofdstuk 7 Het voorkomen van het lekken van bedrijfsvertrouwelijke informatie 7.1 Inleiding Sinds het ontstaan van een digitale wereld wordt er steeds vaker de nadruk gelegd op het beveiligen van informatie en informatielekkage. In de laatste jaren is, naast de focus op de beveiliging van de techniek, ook de beveiliging van informatie door het menselijk handelen erbij gekomen. Het voorkomen van informatielekkage door de automatisering en door de mens is een belangrijk onderwerp binnen organisaties. Om organisaties hierbij te helpen zijn er al verschillende standaarden en normen ontwikkeld, zoals Standard BS 7799 en ISO 27001. Deze standaarden dwingen het management keuzes van maatregelen voor informatiebeveiliging te maken, zodat de optimale balans tussen de geïmplementeerde beveiligingsmaatregelen en het te investeren geld wordt behaald (Ashenden, 2008). Door het gebrek aan geld, maar ook door een teveel aan maatregelen, kunnen niet alle maatregelen worden geïmplementeerd in de organisatie. De maatregelen worden gebaseerd op de risico’s, de juridische en contractuele eisen van bijvoorbeeld de overheid en partners en regels voor informatie verwerking die van toepassing zijn op de processen binnen de organisatie (Knowledgeleader.com, 2003). Een onderdeel in het bepalen van regels tegen informatielekkage is risicoanalyse, dit zal uitgelegd worden aan de hand van een stappenplan. Dit stappenplan bevat ook de andere belangrijke stappen, zoals de implementatie van beveiligingsmaatregelen. Hierna zullen de belangrijke aspecten voor het beveiligingen van informatie aan de hand van de oorzaken uiteen worden gezet.
39
7.2 Stappenplan Onderstaande afbeelding bestaat uit de vijf globale stappen die belangrijk zijn voor het beveiligen van bedrijfsvertrouwelijke informatie. Dit is ontstaan door de stappen van verschillende artikelen en onderzoeken samen te voegen tot één globaal stappenplan.
Afbeelding 4: Stappenplan implementatie
De eerste stap is het identificeren van kwetsbare informatie voor de organisatie. Kwetsbare informatie is de informatie die je als bedrijf bij je wilt houden en niet uitgelekt mag worden omdat de gevolgen daarvan te groot zijn voor de organisatie. Het identificeren van deze informatie helpt om de grootte van de informatie te bepalen die beveiligd moet worden en helpt om gerichte beveiligingsmaatregelen (ASIS international, 2007). Daarnaast zorgt een classificatie van deze informatie ervoor dat men het makkelijker kan beveiligen (Al-Faresi, Alazzawe, Alazzwe & Wijesekera, 2010). Een classificatie is het waarderen van de informatie in categorieën van vertrouwelijk tot aan niet vertrouwelijk. Op deze manier kan beter bepaald worden welke informatie prioriteit heeft met beveiligen. De tweede stap is het bepalen van de risico’s, oftewel de risico-analyse. ‘Het risico wordt gedefinieerd als: de kans dat de belangrijke informatie wordt gelekt maal de kosten die gemaakt moeten worden om het op te lossen’ (T. Nijssen, persoonlijke mededeling, 8 februari 2011). Naast de financiële schade, moet hier ook de niet-financiële schade in op worden genomen, bijvoorbeeld imagoschade (Knowledgeleader.com, 2003). Het is dus de impact dat het lekken van de bedrijfsvertrouwelijke informatie, bepaald in stap een, kan hebben voor de organisatie.
40
Wanneer een risico te groot blijkt te zijn, moeten er voor de beveiliging van deze informatie maatregelen bedacht worden. Het is van belang dat de externe én de interne dreiging in deze analyse wordt meegenomen. Dit is stap drie. Deze maatregelen vormen dan tezamen het beveiligingsbeleid. In deze stap moet de afweging gemaakt worden tussen de kosten om de maatregel in te voeren en de impact die het lekincident kan hebben op de organisatie. Wanneer de kosten voor de beveiliging van de informatie in scheve verhouding staan tot de eventuele impact, kan de organisatie beslissen deze maatregel niet te implementeren. In stap vier gaat het om de implementatie van het beveiligingsbeleid. Om de maatregelen voor het voorkomen van informatielekkage succesvol in te voeren is het belangrijk dat het management er achter staat en als een leider fingeert, het nieuwe beleid duidelijk wordt gecommuniceerd naar de gehele organisatie en dat elke medewerker zich wil binden aan de nieuwe regels (KPMG International, 2009). Effectieve implementatie is dus essentieel om het beleid te laten slagen. Elke medewerker moet weten aan welke regels hij zich moet houden en wat acceptabel en nietacceptabel gedrag is. Wanneer er ‘grijze’ gebieden bestaan, ontstaat er onduidelijkheid onder de medewerkers en kan het management de medewerkers niet op onacceptabel gedrag aanspreken of sanctioneren en zal er geen duidelijke lijn binnen de organisatie bestaan voor de beveiliging van de informatie (Colwill, 2009). De laatste stap is de evaluatie van het beleid. In deze stap wordt er gekeken of de maatregelen het gewenste effect hebben en of het beleid nog steeds up-to-date is. Wanneer dit niet zo is, zal de organisatie weer opnieuw moeten beginnen met als doel dat de bedrijfsvertrouwelijke informatie optimaal beveiligd blijft. De organisatie zal zo voortdurend op zoek zijn naar manieren om het beleid te verfijnen en te verbeteren (KPMG International, 2009).
7.3 Voorkomen: lekken door internen ‘Dreigingen van internen van de organisatie vereist evaluatie, prioriteit en actie in plaats van reactie’ (Cole, 2008). Volgens Cole wordt de interne dreiging vaak genegeerd, om drie redenen. De eerste reden is dat de organisaties het vaak niet door hebben dat deze bedreiging bestaat. Ten tweede zijn de organisaties bang voor slechte publiciteit wanneer bekend wordt dat de organisatie de medewerkers niet kan vertrouwen en als laatste is het voor organisaties makkelijker om deze dreiging te negeren. Tegenwoordig nemen organisaties wel aan dat ze iets tegen de interne bedreiging moeten doen, maar weten nog niet hoe of wat (Cole, 2008; NIAC, 2008). Zoals hierboven vermeld hebben organisaties niet altijd door dat er een dreiging van binnenuit plaatsvindt. Medewerkers zijn het misschien wel opgevallen dat er iets niet klopt, maar hebben dit niet gemeld omdat ze zich er niet verantwoordelijk voor voelen, ze de belangrijkheid er niet van begrijpen of niet weten waar ze het kunnen melden (Colwill, 2009). Door bijvoorbeeld een meldingsplichtcultuur in de organisatie te ontwikkelen kan het zijn dat men eerder op de hoogte is van dreiging en kan er sneller actie ondernomen worden. Meldingsplichtcultuur houdt in dat wanneer een medewerker iets verdachts opvalt deze het direct aan de juiste persoon meldt, zodat deze actie kan ondernemen. De heersende cultuur in een organisatie is erg belangrijk, het heeft 41
effect op het gedrag van werknemers en de efficiëntie van het beveiligen van informatie (Colwill, 2009). Volgens mevrouw Baars heeft een cultuur vaak meer invloed dan opgestelde regels. Zij geeft aan dat er geen verantwoordelijke voor hoeft te zijn, die de meldingen in ontvangst neemt, maar dat in een vertrouwenscultuur personen daar direct op worden aangesproken (M. Baars, persoonlijke mededeling, 18 februari 2011).
Een al bestaande en bekende maatregel tegen het lekken van informatie is het need-to-know concept. De ‘need’ kan uitgelegd worden als de noodzaak voor bepaalde informatie om hun taak te vervullen en goed te presteren (Minieri, 2004). Dit houdt dus in dat de toegang tot bepaalde informatie niet wordt bepaald door de positie of management niveau, maar door de functie van een medewerker (ASIS International, 2007). Wanneer een organisatie op basis van dit concept toegang verschaft voor bepaalde informatie, krijgen alleen de noodzakelijke mensen deze (vertrouwelijke) informatie te zien. Dit kan plaatsvinden in de vorm van dat bepaalde medewerkers het wachtwoord niet hebben tot bepaalde opgeslagen bestanden, maar het kan ook zijn dat sommige medewerkers geen toegang hebben tot bepaalde delen van het gebouw. Bij dit laatste kan er gedacht worden aan dat belangrijke documenten in een kluis bewaard worden, of dat bepaalde afdelingen alleen met een pasje te betreden zijn. Naast dat het de medewerkers van de informatie afhoudt, zal dit ook tegen diefstal en spionage beschermen. Daarnaast kan screening van de sollicitanten voor het aannemen een maatregel zijn om lekincidenten te voorkomen. De achtergrond van de sollicitanten wordt dan gecheckt om hun ervaring bij andere werkgevers te valideren en om erachter te komen of ze werkelijk zijn, wie ze zeggen dat ze zijn. Mirjam Baars gaf aan dat sollicitanten op verschillende competenties worden getest, waaronder integriteit, om na te gaan of deze personen naar alle eerlijkheid zullen handelen (persoonlijke mededeling, 18 februari 2011). Volgens Colwill (2009) is het belangrijk dat screening op alle niveaus in de organisatie gebeurt, maar vooral bij de personen die een belangrijke functie binnen de organisatie zullen gaan vervullen en bij personen die toegang krijgen tot vertrouwelijke informatie. Juridisch kunnen medewerkers gebonden worden aan de afspraak dat informatie eigendom is van de ondernemer en dat dit niet uitgelekt mag worden (ASIS, 2007). De medewerkers dienen het contract te ondertekenen waarmee ze laten weten dat ze het hebben gelezen en het begrijpen en daar ook naar te zullen handelen. Dit heet ook wel het geheimhoudingsbeding. Wanneer er toch informatie uitlekt, heeft de organisatie iets om op terug te vallen en kan aan de hand van hiervan gepaste maatregelen nemen als het ontslaan van de werknemer of het geven van een boete. Alleen bestaan er rondom het geheimhoudingsbeding twee problemen (Jellinghaus, persoonlijke mededeling, 15 maart 2011). Ten eerste: hoe leg je het geheimhoudingsbeding vast? Er moet namelijk gespecificeerd worden wat bedrijfsvertrouwelijke informatie is. Het is hierbij belangrijk dat het begrip niet te smal of te breed wordt gedefinieerd. Het tweede probleem is: Hoe bewijst een organisatie wie er heeft gelekt? Bij het controleren hiervan zal de organisatie vaak regels voor de bescherming van de privacy moeten worden omzeild.
42
7.4 Voorkomen: onbewust lekken door internen Een van de belangrijkste maatregelen die een bedrijf kan nemen tegen het lekken van bedrijfsvertrouwelijke informatie door het menselijk handelen is educatie, training en bewustwording (Colwill, 2009; ASIS, 2007). Vooral omdat veel incidenten veroorzaakt worden door het onbewuste handelen van een medewerker. Wanneer een organisatie zijn medewerkers erop wijst dat bij bepaalde handelingen het risico groot is dat er informatie gelekt wordt en wat de gevolgen daarvan zijn, zal het bewustzijn voor het risico onder de werknemers toenemen bij het doen van deze handelingen. Zij zullen dan zorgvuldiger met de informatie omgaan. Daarnaast kan training en educatie nieuw gedrag bij medewerkers aanleren en het oude afleren (Sasse et al., 2007). Hierbij kan gedacht worden aan: belangrijke documenten bij het weggooien door de versnipperaar doen, het niet gebruiken van sociale netwerksites op het werk, altijd een laatste check uitvoeren voor het verzenden van een mailtje of het naar de goede persoon wordt verstuurd, enzovoort. Om dit echt effectief te laten zijn, is het belangrijk dat er begrip ontwikkeld wordt voor het belang van de maatregelen en kennis over risicovolle situaties en de daarbij behorende gevolgen als het fout gaat.
7.5 Voorkomen: bewust lekken door internen Ook al zal niet elke ontevreden werknemer informatie lekken, toch verdient dit risico aandacht. Tot op een zekere hoogte kan het probleem van een ontevreden werknemer voorkomen worden, met name als dit werkgelateerde ontevredenheid is (Eisele & Coates, g.d.). De organisatie kan bijvoorbeeld trainingen aanbieden aan managers en teamleiders om potentiële problemen te herkennen. Daarnaast kan er regelmatig een medewerkerstevredenheidsonderzoek plaatsvinden en kunnen organisaties persoonlijke begeleiding aanbieden aan werknemers, waardoor ontevredenheid sneller boven tafel komt. Als laatste is een open cultuur erg belangrijk om dit risico te voorkomen. De communicatie tussen hogere en lagere lagen moet open zijn en werknemers moeten ook feedback op hun baas kunnen geven, zonder dat daar gevolgen aan verbonden zitten. Ontevredenheid wordt ook veroorzaakt door veranderingen. Bij reorganisaties, waarbij de medewerker de dreiging voelt van ontslag of overplaatsing, of een veranderende bedrijfscultuur kan het risico tot het bewust lekken van bedrijfsvertrouwelijke informatie vergroten. Om onzekere en ontevreden werknemers in deze tijden te voorkomen, geeft Colwill (2009) aan: ‘Change must be managed.’ Het is belangrijk dat wanneer een organisatie gaat veranderen, dit duidelijk met het personeel wordt besproken en het goed wordt begeleid.
7.6 Voorkomen: lekken door zowel internen als externen Externen zijn een belangrijke factor voor informatie beveiliging. Het is hierbij belangrijk dat men goed de risico’s van analyseert en de regels opneemt in het contract met de externe partij, zoals de rol van de externe partij en hun verantwoordelijkheden (KPMG International, 2009).
43
Ook is het verstandig om partners mee te nemen in het programma van educatie, training en bewustwording van de beveiliging van bedrijfsvertrouwelijke informatie om er zeker van te zijn dat ook zij weten van de belangrijkheid van bepaalde informatie en hoe daarmee omgegaan behoort te worden (ASIS, 2007). Hiermee zal ook de loyaliteit onder deze ‘medewerkers’ toenemen, omdat ze zich meer verbonden voelen aan de organisatie en samen met de anderen werken aan het welzijn van de organisatie. Oud-werknemers kunnen juridisch er aan gehouden worden, ook al zijn ze weg bij de organisatie, om informatie niet vrij te geven. In het contract dient dan opgenomen te worden dat bij ontslag deze afspraak nog gewoon doorloopt voor de komende jaren (ASIS, 2007). Zo kan er ook in opgenomen worden dat in de komende tijd de oud-werknemer niet werkzaam mag zijn bij de concurrentie. Dit heet het concurrentiebeding. Er moet hierin worden opgenomen om welke regio het gaat en om welke tijdsduur. Zoals het bij elke juridische maatregel betreft, moet het beding redelijk en billijk zijn (Jellinghaus, persoonlijke mededeling, 15 maart 2011).
7.7 Voorkomen: lekken door externen De lekincidenten veroorzaakt door externen gebeurt vaak via de techniek en het netwerk. Omdat dit boek zich richt op het menselijk handelen, zullen we niet op deze beveiligingsmaatregelen ingaan. Wel kunnen mensen erop gewezen worden hoe om te gaan met de apparatuur, het netwerk en de techniek om te voorkomen dat door het toedoen van de mens, externen bij de informatie terecht kunnen komen. Als laatste kunnen er nog veel verschillende maatregelen worden genomen om lekincidenten, ontstaan door externen, te voorkomen. Veel zijn hiervoor al uitgelegd. Bijvoorbeeld: Om dumpster divers niks terug te laten vinden, kan de maatregel van ‘belangrijke documenten door de versnipperaar’ uitkomst bieden. Om infiltrage in de organisatie te voorkomen, zouden sollicitanten gescreend kunnen worden en om social engineers geen kans te bieden om aan vertrouwelijke informatie te komen, zou educatie, training en bewustwording om de medewerkers erop te wijzen van het bestaan van social engineers en hoe te handelen wanneer zo een situatie zich voordoet.
7.8 Samenvatting Bij het beveiligen van bedrijfsvertrouwelijk informatie moet je je als organisatie constant afvragen welke informatie je wilt beveiligen en of het de moeite waard is om deze informatie te beveiligen in relatie tot de kosten. Er dient een risicoanalyse gemaakt te worden om te na te gaan of de kosten en de schade van het lekken van bepaalde informatie opweegt tegen de maatregelen die je als bedrijf wilt nemen. De organisatie moet een afweging maken tussen de kosten voor de beveiliging en de risico’s. Met behulp van het vijf stappenplan (identificatie van de kwetsbare informatie, identificatie van risico’s, bepalen beveiligingsmaatregelen, implementatie van beveiligingsbeleid, evaluatie van beveiligingsbeleid) kan de organisatie tot een beveiligingsbeleid komen. Belangrijk is dat de organisatie de risico’s erkent, duidelijk leiderschap wordt getoond bij de implementatie van het beleid en dat iedere medewerker zich aan het beleid bindt. 44
Een aantal maatregelen die als onderdeel kunnen zijn van het beveiligingsbeleid zijn hieronder samengevat: Internen Meldingsplichtcultuur
Intern-onbewust Educatie, training, bewustwording
Vertrouwenscultuur Need-to-know concept Screening Geheimhoudingsbeding Intern/extern Contractuele afspraken met externe partijen Educatie,training, bewustwording Concurrentiebeding
Intern bewust Voortijdige herkenning van medewerker’s ontevredenheid Open communicatie Begeleiding bij verandering
Extern IT-beveiliging
45
7.9 Quick Reference Card: Oorzaken en Gevolgen Oorzaken
Gevolgen
Intern bewust - Werkgerelateerde problemen - Niet werkgerelateerde problemen - Moraal van de medewerker
Ontevredenheid werknemer
Intern onbewust - Verkeerde perceptie wat leidt tot onzorgvuldige behandeling van bedrijfsvertrouwelijke informatie
Intern bewust/onbewust - Economische situatie - Bedrijfscultuur - Lage loyaliteit - Regionale en nationale cultuur - Onvoldoende beleid ten aanzien van informatiebeveiliging
Informatielekkage
Persoonlijk - Ontslag werknemer(s) - Ontslag management of directie medewerker(s) - Identiteitsdiefstal - Privacyschending - Schadevergoeding - Waarschuwing/berisping
Organisatie - Imagoschade - Verlies concurrentievoordeel - Vertrouwensverlies bij (potentiële) klanten - Lagere marktwaarde/lagere aandeelprijzen - Boetes voor privacyregulerende instanties - Compensatiekosten aan slachtoffers
Intern/extern -Onvoldoende beleid ten aanzien van informatiebeveiliging - Lage loyaliteit
Extern - Toename concurrentie in de markt - Onvoldoende beleid ten aanzien van informatiebeveiliging
Nationaal - potentiële bijdrage aan activisme, extremisme, terrorisme, proliferatie en spionage
Intern bewust/onbewust
Intern onbewust
Intern bewust
Intern/extern
Extern
- Meldingsplichtcultuur - Vertrouwenscultuur - Need-to-know concept - Screening - Geheimhoudings-beding
- Educatie, training, bewustwording
- Voortijdige herkenning van medewerker’s ontevredenheid - Open communicatie - Begeleiding bij verandering
- Contractuele afspraken met externe partijen - Educatie, training, bewustwording - Concurrentiebeding
- IT-beveiliging
46
PRAKTIJK Hoofdstuk 1 Inleiding & Aanleiding Uit twee onderzoeken naar dit onderwerp, beiden uitgevoerd voor Intelink en de Universiteit van Tilburg, blijkt vooral dat men bij het bepalen van de waarde van bedrijfsvertrouwelijke informatie en de behandeling ervan vooral uitgaat van de eigen intuïtie. Het blijkt echter dat bij een betere perceptie van bedrijfsvertrouwelijke informatie dit ook beter behandeld wordt. Er wordt bij een betere perceptie dus zorgvuldiger met de bedrijfsvertrouwelijke informatie omgegaan. Bij een juiste behandeling van bedrijfsvertrouwelijke informatie zal er minder informatielekkage optreden.
1.1 Welke rol speel je zelf in het onbewust lekken van bedrijfsvertrouwelijke informatie? “Maar juist die menselijke factor krijgt nog te weinig aandacht in organisaties”. Daarom is het helemaal niet vreemd dat jij nog niet bewust met dit onderwerp bezig bent geweest. Bewustwording zit in jezelf. Wat vertel jij over jezelf en over je werk: • Op feestjes • In het OV • Op internet • Op ieder ander willekeurig moment of plaats Denk hier eens over na en praat er eventueel op je werk over met collega’s. In dit boek onderscheiden we twee soorten informatieafdrukken die je als persoon achter kunt laten, de On- en Offline footprint. Deze worden in de volgende paragrafen verder uitgewerkt.
47
1.2 Offline Footprint Onder Offline footprint wordt in dit boek verstaan de informatieafdruk die je achterlaat of kunt laten door handelingen binnen een niet digitale omgeving. Hieronder worden ter verduidelijking uiteenlopende voorbeelden uit de praktijk genoemd, gevolgd door aandachtspunten ter overweging. −
De borrel aan het einde van de week: Na een harde week werken ga je met vrienden een borrel drinken in de kroeg/op het terras. Jullie nemen samen de week door en vertellen elkaar trots waar je momenteel mee bezig bent en dat je gevraagd bent voor die speciale opdracht! Je vrienden vragen natuurlijk belangstellend wat de opdracht inhoudt en jij vertelt honderduit… Ben je je op dat moment echt bewust van hetgeen je vertelt en is deze informatie eigenlijk wel openbaar? Vrienden kies je zelf, dus meestal op basis van overeenkomstige interesses. Dit kan dus ook op werkvlak zijn en misschien is je vriend eigenlijk wel een concurrent. Is het dan handig dat jij belangrijke details vertelt? Besef dat je niet weet welke personen zich nog meer in de nabijheid van jou en je verhaal bevinden. Maak de bewuste afweging of je je verhaal wel op deze locatie moet vertellen of meer in een privé omgeving, zoals bij je thuis. Besef dat als je informatie weggeeft (zowel mondeling als digitaal), dat jij er geen controle meer op hebt. Jij kunt je mond wel houden over iets dat niet gedeeld mag worden, maar je weet nooit zeker of de persoon aan wie het je vertelde hetzelfde kan. Vraag je af of je andere personen wel moet belasten met informatie waar ze niets mee kunnen. Een geheim vertellen is even leuk, maar vervolgens mag de ander er niets meer mee. Dat had je vast niet bedoeld.
−
Praten vanuit betrokkenheid met je bedrijf: De economische tijden zorgen ervoor dat er minder opdrachten binnenkomen dan in betere tijden. Je merkt dat klanten later hun rekeningen voldoen en dit kan zelfs gevolgen krijgen voor jouw organisatie. Jullie hebben immers ook kosten en rekeningen te betalen. Het zit je best hoog, want jouw bedrijf gaat je aan het hart. Als iemand uit je omgeving vraagt hoe het gaat, vertel je al snel over de financiën en de kwetsbaardere positie die het bedrijf hierdoor inneemt. Ook al vertel jij vanuit betrokkenheid, het betreft bedrijfsinformatie die niet op straat hoort te liggen!
−
Leeswerk thuis bij het oud papier: Je hebt wat werk uitgeprint en besluit thuis dat leeswerk wel te doen. Nadat je het leeswerk af hebt, ga je keurig recyclen en gooit de papieren in de bak voor oud papier. Wat gebeurt er met de bedrijfsinformatie die jij nu weggooit nadat het papier is opgehaald? Jij zult het nooit weten, maar ook niet zeker of het niet in verkeerde handen valt… 48
−
Phishing: Jij krijgt een telefoontje of mailtje van een persoon of organisatie die vraagt naar namen, codes, wachtwoorden en andersoortige gegevens. Ook als vind je het misschien een beetje vreemd, denk je toch dat het wel goed zit. Pas op met het weggeven van namen, codes en nummers door de telefoon of via de mail. Zeker als je de persoon aan de andere kant van de lijn niet kent! Een voorbeeld van de waarschuwing die de Rabobank aan zijn internetbankierders geeft: “Let op dat u nooit uw persoonlijke beveiligingscodes per telefoon afgeeft! Ook niet aan personen die zich uitgeven als Rabobankmedewerker. De Rabobank zal ook nooit via e-mail vragen naar uw (persoonlijke) beveiligingscodes: dit zijn bijvoorbeeld de I-code en S-code van uw Random Reader of de pincode van uw bankpas. Wanneer u deze gegevens verstrekt, geeft u criminelen de mogelijkheid om geld van uw rekening(en) af te schrijven.”
−
Document op de printer: Je werkt bijvoorbeeld aan een reorganisatievoorstel, waarbij ontslagen gaan vallen. Omdat je het prettig vindt een papieren versie te lezen, print je het voorstel uit. Nog voordat je naar de printer kunt lopen, krijg je telefoon en vragen andere collega’s je aandacht. Het reorganisatievoorstel ligt al die tijd al de printer en wordt gevonden door collega’s die deze informatie nog niet onder ogen hoorden te krijgen… Grote onrust en ophef zijn het gevolg. Laat je in dergelijke situaties niet afleiden en wees je bewust van de waarde van deze informatie. Belangrijke informatie uitgeprint? Meteen ophalen!
−
Reizen met OV en tijd vergeten: Je reist met het openbaar vervoer naar en van je werk en vindt het prettig om nog wat dossiers door te lezen. Je verdiept je zo in je werk dat je niet echt in de gaten hebt dat je al bij je uitstaphalte/uitstapstation bent. Je schrikt, springt op, grijpt je jas en tas en rent de trein/bus/metro uit… de spullen in de wagon achterlatend. Een heel vervelende situatie, die helaas nog wel eens voorkomt. Hoe kom je nu weer aan je informatie? Wordt het door iemand meegenomen, afgegeven bij de OV vervoerder en wat is er ondertussen mee gebeurd? Jij zult het helaas niet weten; zelfs als je de informatie weer tot je beschikking krijgt.
49
−
−
Stukken lezen in openbare (wacht)ruimte: Een document met (zeer) gevoelige informatie is nog in ontwikkeling en jij besluit het mee te nemen omdat je toch een half uur op de trein moet wachten. Je gaat het stuk in een openbare ruimte zitten lezen, want dan hoef je dit vanavond thuis niet meer te doen. Er zijn meer wachtenden en je gaat tussen twee personen op een bankje zitten lezen. Besef dat je hiermee een risico loopt, want je kent de mensen naast je niet, je weet niet of ze meelezen en weet niet wat ze met de informatie zouden kunnen doen. Werk op je bureau laten liggen na werktijd: Het einde van de werkdag nadert en je besluit documenten met bedrijfsgegevens op je bureau te laten liggen, zodat je er morgen meteen mee verder kunt. Ook nu loop je een risico, want jij hebt geen zicht op welke personen na jouw vertrek de gegevens nog in (kunnen) zien en of ze er iets mee doen.
−
Informatieblindheid: Werken met bedrijfsinformatie is jouw dagelijkse kost, waardoor je je eigenlijk niet meer beseft dat het gevoelige informatie betreft en je er minder voorzichtig mee omgaat dan je eigenlijk zou moeten doen. Denk bijvoorbeeld aan documenten met N.A.W. gegevens van klanten. Kijk eens van een afstandje naar je werk en besef met wat voor soort informatie je eigenlijk werkt. Zou jij het zelf prettig vinden als bijvoorbeeld je privé gegevens ergens los zouden liggen?
−
Inbraak in de woning: Je hebt toestemming gekregen om werk mee naar huis te nemen. Je haalt je tas leeg en legt de spullen openlijk op tafel. ’s Avonds ga je lekker sporten en eenmaal thuis blijkt er te zijn ingebroken… erg vervelend natuurlijk, maar ook niet zonder gevolgen als blijkt dat de documenten van je werk weg zijn. Zijn er op het werk afspraken gemaakt over het opbergen van werk dat je mee naar huis neemt en heb je je daaraan gehouden? Praat er met elkaar over op het werk.
−
Werkster in huis: Ook in dit voorbeeld neem je werk mee naar huis die op de tafel worden gelegd. Je gaat de volgende dag naar je werk en neemt de stukken nog niet mee, maar de werkster komt wel in je huis. Natuurlijk vertrouw jij deze persoon, anders had je haar toch niet in huis? Neem gewoon geen risico. Berg de stukken op een veilige plaats op of neem ze gewoon weer mee naar je werk.
50
−
Spullen in de auto: Spullen openlijk in je auto laten liggen die eigenlijk heel gevoelige informatie bevat, kunnen een behoorlijk risico in zich dragen. Een ruitje is zomaar ingeslagen, maar de gevolgen van deze daad zijn niet overzien. Wees verstandig en neem de belangrijke spullen mee of leg ze eventueel in een auto kluis (als je hierover zou beschikken). Denk ook aan je smartphone! Zelfs al in het maar voor een paar minuten.
−
De mobiele werknemer: Je bent een mobiele werknemer en daarom bijna altijd bereikbaar. Je telefoon gaat en een belangrijke klant hangt aan de lijn. Jij bent natuurlijk klantvriendelijk en bespreekt de laatste stand van zaken over jullie gezamenlijke project. Ben je je bewust van de omgeving waar jij nu aan het bellen bent en de personen die om je heen aanwezig zijn? Eigenlijk geef je nu in een openbare ruimte allerlei bedrijfsinformatie weg en je weet niet wat de personen in je omgeving met deze informatie kunnen. Praat zacht en loop bijvoorbeeld even naar een ruimte waar je rustig kunt bellen.
−
Spraakherkenning op je telefoon: Je telefoon is voorzien van spraakherkenning en dat is erg handig. Is het ook handig als je in een besloten vergadering zit waarbij zaken en namen besproken worden waar je telefoon op aanslaat? Zorg ervoor dat je telefoon niet ongemerkt kan gaan bellen, waardoor jij onbewust bedrijfsinformatie weggeeft.
−
Werkbespreking in een restaurant: Je wilt met een collega overleg voeren, maar doordat jullie veel op de weg zijn, spreek je halverwege het land in een restaurant af. Het is lunchtijd en het restaurant stroomt vol. Jullie bespreken de laatste nieuwtjes, stand van zaken en de nieuwe klanten die je bijna binnen hebt! Besef je op dit moment dat er allerlei personen in je omgeving zitten die mee kunnen luisteren? Pas je gesprekstoon eventueel aan, of spreek in termen die alleen jullie begrijpen (noem geen “namen en rugnummers”) .
−
Gebruik van laptop in openbare ruimte: Tijdens hetzelfde overleg met je collega, wil je ook zijn mening horen over de eindejaarspresentatie die jij op het werk gaat geven over de behaalde resultaten van afgelopen jaar. Je start je laptop op en draait het scherm zo, dat jullie er beiden naar kunnen kijken. De rug van je laptop zet je tegen het raam/de afscheiding van het volgende tafeltje aan. Besef dat mensen die nu langslopen of in de buurt zitten van je scherm mee kunnen lezen en dat je zo onbewust bedrijfsinformatie weg kunt geven. 51
−
Grote opruiming: Het is voorjaar en er wordt kantoor een grote opruiming georganiseerd. Alles wat je niet meer nodig hebt mag weg; van dubbele nietmachines tot onbruikbare diskettes en cd’s. Al snel ontstaat er een hele afvalberg en is er een doos vol cd’s en cd’roms waar niets meer mee gedaan wordt. Een creatieve collega vraagt of ze die doos mag hebben om de gegevensdragers te gebruiken om kerstkaarten van te maken. Wat wordt er hier allemaal voor bedrijfsinformatie weggeven en naar wie worden deze gegevens allemaal verspreid? Recyclen is goed, maar kan misschien in dit geval beter op een andere manier gedaan worden. Ook de creatieve collega bedoelt het goed, maar het is echt een voorbeeld van onbewust lekken van bedrijfsinformatie.
−
Mensen die interesse in je werk tonen enthousiast vertellen: Veel mensen volgen tegenwoordig een loopbaanadviestraject om inzichten te krijgen in zichzelf en hun “ideale” baan of carrière. Hierin wordt vaak de tip gegeven op zoek te gaan naar personen die het werk van hun interesse al doen en hen te vragen over hun functie te vertellen. Erg leuk natuurlijk om enthousiast over je baan te vertellen, maar ben je in je enthousiasme nog bewust van hetgeen je vertelt en zit hier geen vertrouwelijke bedrijfsinformatie tussen? Is het toegestaan de persoon wat te vertellen of moet je hem of haar doorverwijzen naar de afdeling communicatie?
52
1.3 Online Footprint Onder Online footprint wordt binnen dit boek verstaan de informatieafdruk die je binnen een digitale omgeving achterlaat. Hieronder worden diverse voorbeelden uit de praktijk genoemd, gevolgd door aandachtspunten ter overweging. −
PC onbeheerd achterlaten: Je bent aan een vertrouwelijk stuk aan het werk, maar wordt weggeroepen van je werkplek. Je vergeet hierbij je pc te blokkeren met een wachtwoord. Besef je dat je pc (en daarmee de gevoelige informatie) openstaat voor ieder ander? Neem in het geval van werken met bedrijfsvertrouwelijke informatie geen risico en vergrendel je pc; ook al ben je maar even van je plek.
−
Overdracht van wachtwoorden: Je gaat lekker op vakantie, maar je leidinggevende wil dat je digitaal vervangen kan worden tijdens je afwezigheid. Je geeft je wachtwoorden aan je collega, zodat hij/zij overal bij kan. Enerzijds voldoe je aan de wens van je leidinggevende, maar je hebt nu zelf geen controle meer over de informatie binnen jouw domein. Is dit een risico? Zorg er dan zeker voor dat gevoelige informatie op een afgeschermde plek komt te staan en ga de discussie met je leidinggevende hierover aan.
−
Afwezigheidassistent: Jij gaat met vakantie en je leidinggevende verwacht dat jij je klanten laat weten dat je er niet bent. Om de voortgang in het werk dus niet te laten stagneren zet jij je afwezigheidassistent aan, met daarin de naam, functie, het telefoonnummer en emailadres van je collega. Onbewust geef je nu een hoop weg! Er zijn bedrijven gespecialiseerd in het achterhalen van dergelijke gegevens voor doorverkoop, dus bespreek met je leidinggevende of het niet verstandiger is te verwijzen naar een afdelingsaccount of andere algemene informatie die niet zo vertrouwelijk is.
−
Werk op privé pc: Je hebt het druk op je werk en besluit werk mee naar huis te nemen. Je beschikt niet over een werklaptop met beveiliging of die batterij is leeg. Toch moet het werk echt af en je besluit het op je privé pc te doen, of op de laptop van je partner. Als het klaar is mail je het snel weer door naar je werk, maar als je op zend hebt gedrukt ontdek je dat je een verkeerd e-mailadres hebt gebruikt… Als het echt gevoelig werk betreft, is werken op een privé pc nooit verstandig. Een bestand is nooit meteen zomaar echt weg als je het weggooit. Bovendien is het nu ook nog naar een verkeerd e-mailadres gestuurd. Pas op met auto-aanvulling en controleer liever een keer teveel dan te weinig voordat je op zend drukt! 53
−
Afgeschreven pc: De pc of laptop waarop je (gevoelig) werk hebt verricht is afgeschreven en je besluit een nieuwe te kopen. Alle werkbestanden gooi je weg en je brengt de pc naar de kringloopwinkel. Iemand anders is vast erg blij met deze pc denk je nog. Let op! Weg is vaak niet weg en er zijn programma’s op de markt waarmee verwijderde informatie alsnog terug te halen is. Dit is fijn als je pc crasht, maar minder fijn als anderen er nu met persoonlijke of vertrouwelijke informatie vandoor kunnen gaan! Wil je echt zeker zijn? Haal dan de harde schijf eruit en laat deze professioneel vernietigen door een gespecialiseerd bedrijf.
−
Smartphone niet beveiligd: Als moderne zakenman/vrouw beschik je over de nieuwste smartphone, waarin je keurig alle gegevens van je klanten hebt staan om hen snel van dienst te zijn. Helaas vergeet je hem te beveiligen, waardoor je met die nieuwe laatste app per ongelijk een virus binnenhaalt of je smartphone wagenwijd openzet voor hackers. Het is zeer positief naar je klanten bedoeld, maar door je smartphone niet te beveiligen bestaat de kans dat jij ongewild bedrijfsvertrouwelijke gegevens verspreid. Neem dus even de tijd, beveilig de boel, werk met wachtwoorden en afschermingen en zorg dat je op tijd updates verwerkt als die beschikbaar zijn.
−
Verkeerde applicatie gebruikt op je smartphone: Je hebt een nieuwtje dat je alleen nog maar in kleine kring mag delen. En weer pak je je smartphone erbij om het nieuws te verspreiden binnen je afgesloten groep contactpersonen. Je bent enthousiast en let even niet goed op welke applicatie je gebruikt en voordat je het weet gooi je het nieuws op Twitter of als openbare krabbel op Facebook of Hyves. Hoe weet je dat je vrienden deze informatie niet per ongelijk doorspelen aan anderen of in hun enthousiasme vertellen? Echt zeker weet je dat nooit. Let bovendien echt goed op welke applicatie je gebruikt en ook nu liever dubbel checken voordat je iets verzend dan ongewild vertrouwelijke informatie te lekken.
−
Informatie zoeken via zoekmachines: Even Googelen doen we bijna allemaal dagelijks en we zoeken er lustig op los. Weet je wel dat je via zoekmachines ook allerlei informatie verspreid over je interesses? Deze informatie wordt opgeslagen en voor gebruik verwerkt. Een zoekmachine als Ixquick maakt je anoniem, dus denk er bijvoorbeeld eens aan om die te gebruiken als je wat zoekt.
54
−
Posten op sociale netwerksites: Wie niet digitaal bestaat, lijkt bijna niet meer van deze tijd te zijn. Het stelt ons bovendien in staat met een grote groep mensen contact te houden, op snelle wijze informatie te delen en jezelf te profileren. Allemaal hele mooie en positieve ontwikkelingen, waarvan in dit boek zeker niet gezegd wordt dat je het niet zou mogen gebruiken. Gebruik het echter wel wijs. Post jij weleens op sociale netwerksites? Wat voor informatie is dit en heb je (als het over je werk gaat) ook toestemming nodig van je werkgever? Heeft de werkgever verteld wat je wel en niet mag vertellen over je werk?
−
Eens op Internet is altijd op internet: Zoals al eerder gezegd delen we veel en vaak informatie over onszelf, ons werk en andere zaken die mensen graag delen. Kan wat je nu post later negatief voor jezelf uitpakken? Denk hier eens over na. Is het in dat geval wel verstandig de post te plaatsen of hanteer de regel bij tijfel niet doen. Hoe vinden jullie dat hierin een gezonde balans gevonden kan worden en wat vinden jullie acceptabel en wat niet. Denk hier aan regels vanuit het werk bijvoorbeeld. Ben je ook nog een privé persoon of eigenlijk min of meer altijd in dienst van een bedrijf en moet je daar rekening mee houden? Praat daar met elkaar over.
−
Gebruik van screenshots in presentaties: Je maakt een presentatie en gebruikt screenshots ter verduidelijking. Je was echter ook aan het werk aan bedrijfsvertrouwelijke documenten en/of hebt in je Internetbrowser bladwijzers naar informatie die niet voor een ieder zichtbaar dient te zijn. Besef jezelf dat je via de screenshots onbewust bedrijfsvertrouwelijke informatie weg kan geven. Zorg er dan ook voor dat je de andere bestanden sluit, je de bladwijzers niet zichtbaar maakt of dat je het screenshot bijsnijdt en op deze manier de gevoelige informatie verwijderd.
−
Inloggen op openbaar wifi netwerk: Je bent voor je werk onderweg en besluit via een openbaar netwerk in te loggen om te kijken of die belangrijke klant al gereageerd heeft op jouw mail. Besef dat de informatie die je nu digitaal verstuurd niet versleuteld is en in principe voor een ieder op dat openbare netwerk op te vangen en/of mee te lezen is!
−
Inzicht in je hele adresboek/klantenbestand: De feestdagen staan weer voor de deur en je wilt alle klanten een kerstmail sturen. Je ontwerpt een mooi kaartje met wat foto’s van je eigen bedrijf en maakt trots het mailtje. Je zet je hele klantenbestand in de “Aan” regel en drukt op zend. Besef je op dit moment dat je je hele klantenbestand weggeeft? Wil je aan meerdere personen een mail sturen, doe dit dan via de bcc (blind carbon copy) 55
regel. Zo krijgt de ontvanger geen ongeoorloofd of onbedoeld inzicht in een ander zijn mailadres. −
Prezi: Een van de nieuwere ontwikkelingen is presentaties op Internet maken met bijvoorbeeld Prezi. Handig omdat alles online in de “Cloud” staat en je er dus met ieder instrument dat een Internetverbinding heeft bij kunt. Veel mensen willen wat nieuws uitproberen, maar er niet voor betalen. Ze kiezen dan ook voor de gratis versie. Heb je wel door dat je hierbij meteen toestemming geeft de presentatie online te zetten? Of dit in alle gevallen nu echt zo verstandig is, is de vraag want ook nu kan er ongewenst bedrijfsinformatie gelekt worden. Bovendien kan de Prezi pagina doorzocht worden, waardoor anderen gericht op zoek kunnen naar mogelijk gelekte of vertrouwelijke informatie. Maakt het niet uit of wordt er geen informatie ongewenst gelekt? Prima! Maar dan wel nadat je een bewuste keuze hebt kunnen maken. Bekijk bij dergelijke toepassingen altijd de voorwaarden en neem dan een beslissing over het gebruik.
−
Privé en zakelijk gebruik van digitale opslagkaartjes: Je gebruikt voor je werk een digitale fotocamera om foto’s van bijvoorbeeld defecten, arbeidsongevallen, lekken in machines of gevaarlijke situaties te maken. Hiervoor heb je ook een opslagkaartje (bijvoorbeeld SD) van je werkgever gekregen. Nu komt de vakantieperiode eraan en je wilt de camera en het kaartje gebruiken om privé foto’s mee te maken. Je defragmenteert de SD kaart, want nu zijn alle werkfoto’s weg toch? Niet perse. Met speciale software, zoals bijvoorbeeld CardRecovery2 haal je met een paar simpele drukken op de knop oude bestanden/foto’s/video’s weer naar boven. Dit programma ontdekt ook foto’s op usb sticks, dus hiervoor geldt hetzelfde! Gooi dus ook nooit oude opslagmedia gewoon weg, maar vernietig ze grondig of laat dit door een gespecialiseerd bedrijf doen! http://www.stellarinfo.com/file-recovery.htm doet hetzelfde met verwijderde bestanden. Dit zijn slechts twee voorbeelden van aanbieders, maar er zijn er vele!
−
Inzicht in je contacten binnen sociale netwerksites: Je hebt je aangemeld op sociale netwerken, waaronder bijvoorbeeld LinkedIn en bent trots op de vele contacten die je inmiddels hebt verzameld. Ben je ervan bewust dat iedereen die met jou contact is, in basis, ook al jouw contacten kan zien? Op basis van deze contacten kun je mensen vinden die jij ook kent, maar het kan ook worden gebruikt om commerciële belangen mee te dienen. Het is mogelijk je instellingen zo aan te passen dat je alleen overeenkomstige contacten kunt zien. Hetzelfde geldt binnen LinkedIn ook voor de groups waarvan je lid bent. Je kunt er zelf voor kiezen deze groepen zichtbaar voor de anderen te maken, of niet te tonen. Besef dat je een deel van interesseprofiel vrijgeeft bij het laten zien van de groepen.
2
Bron: http://www.cardrecovery.com/
56
Duik ook eens wat dieper in de andere instelmogelijkheden van dergelijke netwerken en bedenk of je zelf vrijgegeven informatiemeer kunt afschermen. −
Plaatsing van informatie over jou door een ander: Heb jij zicht op wat bekenden over jou op sociale netwerksites plaatsen? Denk bijvoorbeeld aan foto’s van feestjes en vakanties. Het kan voorkomen dat jij besluit een foto niet te plaatsen omdat je hiervoor bewust kiest, maar dat de vriend(in) die er ook op staat hem wel plaatst. Ook nu heb je te maken met het onbewust lekken van informatie; zij het misschien meer op persoonlijk vlak.
−
Veranderende privacyregels van sociale netwerksites: Er is regelmatig ophef over de aanpassing van privacyregels van diverse netwerksites en er is veel over te doen. Facebook is een bekend voorbeeld in dit geval, maar ook Google die alle door jou gebruikte applicaties aan elkaar koppelt om je nog beter van dienst te zijn. Besef dat hoe meer dergelijke sites je aansporen informatie over jezelf te plaatsen, hoe meer zij je enerzijds van dienst kunnen zijn maar ook over je weten. Dat kan weer gebruikt worden voor commerciële doeleinden, maar in sommige gevallen ook beschikbaar worden gesteld aan overheidsdiensten. Google geeft hier zelf informatie over in zijn transparencyreport ; http://www.google.com/transparencyreport/governmentrequests/ . Wees je bewust van dergelijke zaken en denk na voordat je iets plaatst.
57
Hoofdstuk 2 Voorbeelden uit de Praktijk In dit hoofdstuk worden een aantal voorbeelden behandelt van het (potentieel) onbewust lekken van bedrijfsinformatie. Het is tevens als aanmoediging van de discussie over dit onderwerp aan te wakkeren. Hoe meer je er met elkaar over praat, hoe groter de bewustwording. De voorbeelden zijn nadrukkelijk niet stigmatiserend, noch oordelend bedoeld!
Nieuwe terminal voor vloeibaar gas in de Rotterdamse haven Bekijk het artikel uit de krant en vervolgens het item uit het NOS Journaal over ditzelfde onderwerp. Zie je verschil in het brengen van de informatie en waar wordt er meer (eventueel) gevoelige informatie weggegeven? http://nos.nl/video/275422-nieuw-overslagpunt-voor-vloeibaar-gas.html
Aankondiging van controle op een passagiersboot via Twitter Bekijk de blauwe Tweet die hieronder geplaatst werd. Ook al wordt de naam van de boot niet genoemd, kun je je afvragen of deze Tweet niet beter achteraf geplaatst had kunnen worden. Wat is jou mening hierover? Wat vindt je van de Tweet die erboven staan met details over een schip dat de haven net verlaat?
58
Aankondiging intentieverklaring Kijk eens naar onderstaande Intentieverklaring. Valt hier ook iets op? Besef je dat iedereen op Internet dit kan lezen. Zoals gezegd in hoofdstuk 7.2.3 kunnen er ook nationale gevolgen zijn bij het onbewust lekken van bedrijfsinformatie. In dit geval kun je je afvragen of een onderstaand bericht personen uit dergelijke werelden niet triggert om het onderwerp of bepaalde personen te gaan volgen.
59
Inzicht in leden Deltalinqs Via de website van Deltalinqs kun je inzicht krijgen in de leden. Is dit wenselijk in het kader van informatielekkage? Vanuit dit punt kun je verder zoeken naar informatie en zo beetje bij beetje achter steeds meer informatie komen. Sneller dan men vaak verwacht is dan een behoorlijk profiel te schetsen.
60
Nieuwsbrief openbaar op internet Op het moment dat een nieuwsbrief op Internet gezet wordt, kan dat als erg klantvriendelijk en vanuit PR oogpunt zeer verstandig gezien worden. Toch kan er ook bedrijfsinformatie in staan over personen en organisaties, waarvan men zich met de kennis van informatielekkage zou kunnen afvragen of de informatie niet voor openbare publicatie geschikt is. Praat hier binnen je organisatie met elkaar over en neem het mee in toekomstig belied. In het voorbeeld hieronder3 wordt aangegeven wie er precies betrokken zijn bij de scancontroles van containers en iets gezegd over vermogen dat ergens anders ondergebracht gaat worden.
3
Uit mailing 2011-107
61
Ook persoonsinformatie valt onder bedrijfsinformatie en in het voorbeeld hieronder4 wordt over diverse personen aangegeven wat ze binnen Deltalinqs voor rol gaan vervullen.
In het voorbeeld hieronder5 worden nieuwe leden genoemd, inclusief de vorm van het lidmaatschap.
4 5
Uit mailing 2011-107 Idem
62
Van een algemene Tweet tot Persoonsinformatie In het voorbeeld hieronder is binnen Twitter gezocht op “Port of Rotterdam”. Daar kwam onder andere de Tweet van “wancker86” uit, die aangeeft weer in de haven aan het werk te zijn. Als je vervolgens al zijn Tweets bekijkt, dan krijg je een beeld van deze persoon. Bekijk de Tweets en vorm je jezelf een beeld. Kan er in een dergelijk voorbeeld ook sprake zijn van imagoschade voor een bedrijf waar de persoon in kwestie aan het werk is?
63
TV Uitzending Nederland van Boven “De Nederlandse delta. Ooit een moerassig gebied, waar het water vrij spel had. Nu een plek waar dagelijks honderden schepen binnen komen vol olie, auto’s en containers. Hoe we onze spullen met een enorme efficiëntie naar binnenslokken en uitspuwen over de rest van Europa, is spectaculair in beeld gebracht.” Een prachtige uitzending, die bekeken door de bril van (onbewust) informatielekken meer prijsgeeft dan in eerste instantie verwacht…
Prezi’s die onbewust vertrouwelijke bedrijfsinformatie weggeven Naar aanleiding van de eerder genoemde ledenlijst van Deltalinqs, is gekeken of er bijzondere informatie over leden te vinden was binnen Prezi. Hieronder staan een aantal voorbeelden. −
Zo levert een zoektocht naar Argos Oil iets op, dat in eerste instantie niet veel lijkt te omvatten. Toch staat er een soort tekening/plattegrond op. Is dit een nieuwe of bestaande indeling van een kantoor van Argos Oil? Dan zou dit potentieel onbewust gelekte informatie kunnen zijn. Zie: http://prezi.com/ez_yxkvfyydv/argos-oil/
−
Een medewerker van Q8 geeft met een presentatie over “KPE Maintenance Electrical”. Ook al wordt niet veel meer bekend dan dat deze meneer elektrisch onderhoud uitvoert, is door deze Prezi nu wel tot in detail bekend waar dit gebeurd. De vraag is, of dit wenselijk is. Ook lijkt het erop dat er een screenprint met een documentstructuur gemaakt is. Als dit het geval is, heb je direct te maken met het (onbewust) lekken van bedrijfsinformatie. Zie: http://prezi.com/o3etroxg3ba3/presentatie-kpe-maintenance-electrical/
−
Een communicatieplan van het Loodswezen met daarin een SWOT Analyse, is dat bedrijfsinformatie dat openlijk op Internet hoort? Zie: http://prezi.com/tjcvh8fvaekj/loodswezen/
−
Dit voorbeeld laat een presentatie over een onderzoek naar de inzet van Social Media binnen Stena Line zien, inclusief conclusies, aanbevelingen en zelfs een kostenplaatje. Deze Prezi werd gevonden op 31 oktober 2011 en is gemaakt op 27 oktober 2011. De kans bestaat dat de medewerkers van Stena Line op dat moment deze presentatie zelf nog niet eens gezien hadden. Saillant detail is dat er in de probleemstelling gevraagd wordt hoe social media kunnen worden ingezet om het imago te verbeteren. Een van de onderwerpen uit dit boek laten juist zien dat het onbewust lekken van bedrijfsinformatie kan leiden tot imagoschade en dat zal in dit geval nooit de bedoeling van Stena Line zijn geweest. Zie: http://prezi.com/izvzvwlkczuo/scriptie-stena-line-social-media/
64
Hoofdstuk 3 Tips voor de bescherming van bedrijfsvertrouwelijke informatie In dit hoofdstuk worden praktische tips gegeven. Hoe maak je beleid dat gericht is op het beschermen van bedrijfsvertrouwelijke informatie, specifiek gekeken naar het menselijke handelen. Hierbij wordt zowel de werkgever als de werknemer aangehaald. Doel is, buiten de overige maatregelen die genomen zijn in het kader van informatiebeveiliging, vooral te werken aan het bewustwordingsproces. Immers, een betere perceptie van de waarde van informatie, leidt tot een betere behandeling en vermindering van onbewuste informatielekkage.
3.1 Tips voor de werkgever Praat binnen de organisatie met elkaar over dit onderwerp en bepaal in welke mate u dit belangrijk genoeg vindt om er daadwerkelijk mee aan de slag te gaan. Erkenning en commitment, daar begint het mee. Teken eventueel met elkaar een commitment document om de start extra te onderstrepen en een startpunt vast te leggen. Zeker voor het management is het belangrijk dit onderwerp te ondersteunen en uit te dragen. Bespreek met elkaar of en op welke wijze er over de uitvoering van dit onderwerp gecommuniceerd gaat worden. Mogen werknemers met mensen buiten de organisatie over dit onderwerp praten (zowel fysiek als digitaal), of betreft het een uitsluitend interne aangelegenheid. Wijs een ieder hierop en bepaal wat eventuele consequenties zijn als er op andere wijze dan volgens de afspraak gecommuniceerd wordt. Bepaal welke informatie binnen de organisatie onder kwetsbare informatie valt en deel deze informatie in categorieën in (bijvoorbeeld persoonsinformatie, bedrijfsinformatie, concurrentiegevoelige informatie). Zo is het straks makkelijker bekijken welke hoeveelheid informatie beveiligd moet worden. Benoem nu de belangrijkheid en gevoeligheid van de informatie en bepaal voor de categorieën een classificatie. Gebruik hierbij bijvoorbeeld openbaar, projectvertrouwelijk, afdelingsvertrouwelijk, bedrijfsvertrouwelijk, projectgeheim, afdelingsgeheim, bedrijfsgeheim. Nu is het tijd de risico’s te bepalen, waarbij benoemd wordt welke impact het lekken van de bedrijfsvertrouwelijke informatie kan hebben voor de organisatie. Denk aan welke informatie bij lekken op een of andere manier schade kan berokken of informatie over jullie onderscheidend vermogen ten opzichte van de concurrent. Denk aan zowel financiële als niet financiële schade. Vergeet niet de interne en externe dreiging in de analyse mee te nemen. Bepaal welke personen in welke stadia toegang krijgen tot welke categorie informatie. Bepaal waar en hoe deze personen toegang krijgen tot de diverse categorieën informatie (mag het mee naar huis, alleen op kantoor of zelfs alleen in een bepaalde ruimte bekeken en bewerkt worden). Geef de betrokken personen die informatie mee mogen nemen ook de middelen om deze op veilige wijze ter vervoeren en te verwerken. Stel richtlijnen op voor het elders bewaren van de gevoelige informatie en zorg dat de medewerkers deze richtlijnen kennen. Controleer hier desnoods periodiek op. 65
Vertel de betrokkenen wie toegang tot alle of delen van de gevoelige informatie heeft en wie dus niet. Geen toegang tot de info? Dan er met deze personen ook niet over spreken! Vertel de betrokkenen ook tot wanneer dit embargo geldt. Bepaal wat de consequenties (voor mens en organisatie) zijn als de informatie toch gelekt wordt. Vertel de betrokkenen wat deze consequenties zijn en laat ze er eventueel voor tekenen (committent). Maak beleid over het plaatsen van informatie op Sociale netwerken of andere delen van het Internet. Zie bijlage 1 voor een voorbeeld dat het CNV heeft uitgegeven Krijgt een interne medewerker een nieuwe functie? Bekijk dan de toegewezen rechten tot de verschillende categorieën informatie en pas deze aan de nieuwe situatie aan6. Zorg ervoor dat werknemers een melding krijgen als ze bijvoorbeeld een e-mail met vertrouwelijke data willen versturen. De melding kan aanslaan op bepaalde sleutelwoorden in het bericht en brengt de eindgebruiker op de hoogte dat dit doorsturen niet mag. Of beter nog, voorkom dat vertrouwelijke informatie is opgeslagen in een vorm, waarin het voor gebruikers mogelijk is die informatie argeloos te versturen. Dat kan gerealiseerd worden door een gerichte toegang te versturen aan de mensen, die toegang moeten hebben tot de informatie. Daarbij kan gemonitord worden, of er onbevoegden gebruik maken van deze autorisatie7. Geef ook aan dat er bij een ernstig geval van lekken (bij bijvoorbeeld de hoogste categorie informatie), mensen aangeklaagd kunnen worden op basis van artikel 272 uit het Wetboek van Strafrecht. Het gaat hierbij dan duidelijk niet meer om het onbewust lekken van informatie.
Artikel 272 uit het Wetboek van Strafrecht 1.
Hij die enig geheim waarvan hij weet of redelijkerwijs moet vermoeden dat hij uit hoofde van ambt, beroep of wettelijk voorschrift dan wel van vroeger ambt of beroep verplicht is het te bewaren, opzettelijk schendt, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie.
2.
Indien dit misdrijf tegen een bepaald persoon gepleegd is, wordt het slechts vervolgd op diens klacht.
6
Bron: http://zbc.nu/security/preventie-lekken-van-informatie-dlp/aanpak-data-loss-prevention-dlp/ d.d. 2301-2012 7 Bron: http://zbc.nu/security/preventie-lekken-van-informatie-dlp/aanpak-data-loss-prevention-dlp/ d.d. 2301-2012
66
Ken uw verplichtingen uit de Wet bescherming persoonsgegevens (Wbp) en (in geval van een bestuursorgaan) artikel 2.5 uit hoofdstuk 2 van de Algemene Wet bestuursrecht en handel hier ook naar. Anders kunt u uw medewerkers sommige zaken niet verwijten. Zorg ervoor dat uw medewerkers deze zaken ook kennen. Kijk eens of er andere bedrijven beschikken over informatie die u kunt gebruiken; al is het maar als startpunt. Kijk bijvoorbeeld hier eens: http://zbc.nu/category/security/preventie-lekken-vaninformatie-dlp/
Laat de medewerkers met disclaimers in hun mail werken. Hieronder staan drie voorbeelden: −
−
−
“This email, including any attachments, contains information of company X, which may be confidential or privileged. The information is intended to be for the use of the individual or entity named above. If you are not the intended recipient, be aware that reading, printing, retaining, copying, disseminating, distributing, or using of the contents of this information is prohibited. If you have received this email in error, please notify the sender immediately by "reply to sender only" message and destroy all electronic and hard copies of the communication, including attachments.” “Aan deze e-mail kunnen geen rechten worden ontleend. Organisatie X sluit iedere aansprakelijkheid uit die voortvloeit uit de elektronische verzending van dit bericht. De inhoud van dit e-mailbericht (en de bijlagen) is uitsluitend bestemd voor de geadresseerde(n). Mocht u dit bericht bij vergissing ontvangen hebben, dan wordt u verzocht terstond de afzender hierover te informeren en het bericht te verwijderen. Indien u niet de geadresseerde bent noch een geautoriseerde medewerker die kennis mag nemen van berichten voor de geadresseerde, mag u het bericht niet openbaar maken of op enige wijze verspreiden of vermenigvuldigen.” “De afzender sluit elke aansprakelijkheid uit in verband met het niet juist, onvolledig of niet tijdig overkomen van de informatie in deze e-mail. Aan dit bericht kunnen geen rechten worden ontleend. Dit bericht is alleen bestemd voor de geadresseerde. 67
Indien dit bericht niet voor u bestemd is, verzoeken wij u de inhoud van dit bericht te vernietigen.” Neem een passage met voorwaarden en consequentie over het werken met bedrijfsinformatie op in de contracten van de werknemers; evenals een concurrentiebeding of informatie over gebruik van de bedrijfsinformatie na het verlaten van de organisatie. Laat medewerkers geen werk doen op privé pc’s, laptops, usb sticks, andere opslagmedia of telefoons, maar verstrek ze zakelijk en beveilig deze op de juiste wijze. Laat medewerkers andersom geen privé zaken op het zakelijke netwerk gebruiken. Stel een clean desk policy in en geef aan wat het beleid is bij overtredingen hierop. Blijf het onderwerp aanstippen tijdens bijeenkomsten. Benoem positieve voorbeelden en punten ter lering. Geef ook voorlichting over het onderwerp Social engineering.
3.2 Tips voor de werknemer Hoe meer jij over zowel je persoonlijke als zakelijke leven prijsgeeft, hoe makkelijker het wordt jouw identiteit voor ongeoorloofde zaken te gebruiken. Met alle gevolgen van dien. Let hier dus op. Zorg dat je te weten komt wat bedrijfsvertrouwelijke informatie is binnen je organisatie. Wees je bewust van deze bedrijfsvertrouwelijk informatie binnen je bedrijf, op het moment dat je informatie gaat verwerken of met andere personen spreekt. Praat met je collega’s over dit onderwerp en wijs elkaar erop als het jou opvalt dat iemand onbewust lekt. Twijfel je of bepaalde informatie vertrouwelijk is? Zwijg er dan over totdat je duidelijkheid krijgt van de personen die hier ook daadwerkelijk iets over kunnen zeggen. Als algemene richtlijn kun je gebruiken dat praten op hoofdlijnen meestal wel kan, maar details al snel bedrijfsvertrouwelijk zijn. Ook antwoorden op de vraag als “maar hoe werkt dat specifiek binnen jullie organisatie”. Richtlijn kan ook het jaarverslag zijn. Wat daarin staat is openbaar gemaakt door de organisatie zelf en hierbij mag je er vanuit gaan dat er geen bedrijfsvertrouwelijke informatie in staat. Wat al openbaar is, kun je zonder problemen delen. Zorg ervoor dat je werkt op een beveiligd netwerk, ook thuis en onderweg. Beveilig dus ook je smartphone! Lees geen gevoelige stukken in het openbaar en laat ze zeker niet in het OV achter. Ruim je bureau op als je ‘s avonds naar huis gaat; eventueel in een kast die op slot gaat. Beveilig je pc met een wachtwoord en zet je pc in beveiligde modus als hem even achterlaat, bij het werken aan gevoelige stukken. Liggen er gevoelige papieren stukken op je bureau en moet je ergens heen? Sluit dan je kamer af of leg ze in de kast voordat je je werkplek verlaat. Laat geen spullen in je auto liggen. 68
Als je toestemming hebt om werk mee te nemen, vervoer het dan op de juiste manier, maar behandel het thuis ook op de juiste manier. Dus niet openlijk in huis laten liggen, maar opbergen in een kast die wordt afgesloten. Vergrendel en beveilig je telefoon/smartphone met wachtwoorden om de gegevens die erop staan niet direct toegankelijk te maken voor anderen. Mag je werk gerelateerde zaken op je privé pc verwerken? Zorg er dan voor dat ze in een afgeschermd gedeelte staan, zodat andere gebruikers ze niet per ongeluk kunnen versturen, bewerken of vernietigen. Mag dit niet? Doe het dan ook gewoon niet en werk op je zakelijke pc of werk niet thuis. Scherm je profielen op Internet af en plaats niet ondoordacht informatie die er eigenlijk niet hoort. Denk hierbij ook aan foto’s en filmpjes! Besef je, dat jij misschien met goede bedoelingen iets vertelt of onbewust informatie lekt, maar dat er personen en organisaties zijn die bewust naar deze informatie op zoek zijn!
69
BIJLAGE Vervolgonderzoek informatielekken in de Rotterdamse Haven i.s.m. Deltalinqs Door de opkomst van onder meer sociale media delen we steeds meer informatie met vrienden, collega's of volstrekt onbekenden. Dat geldt ook voor zakelijke informatie. Deze ontwikkeling biedt volop kansen om op een vernieuwende en moderne manier met elkaar te communiceren. Soms heeft dat echter vervelende gevolgen, voor uzelf of de organisatie waar u werkt. Het prijsgeven van informatie, onbewust of bewust, kan tot schadelijke gevolgen leiden. Een landelijk onderzoek naar informatielekken wijst uit dat ongeveer vijftig procent van de werknemers weleens onbewust bedrijfsgevoelige informatie heeft gelekt. Leden van de Deltalinqs Contactgroep Securityzaken hebben dan ook enthousiast gereageerd op de vraag om een aanvullend onderzoek uit te voeren naar deze vorm van informatielekken, dat meer specifiek gericht is op de situatie in het Rotterdamse havengebied. Doel is het creëren van meer bewustzijn bij organisaties en haar medewerkers van de condities die leiden tot het ongewenst prijsgeven van informatie en de gevolgen daarvan. De resultaten en aanbevelingen van dit vervolgonderzoek zullen worden gebruikt voor het ontwikkelen van een praktische tool waarmee leden van Deltalinqs en andere organisaties beter in staat zullen zijn om dit bewustzijn verder te stimuleren en versterken. Iedereen die op de een of andere manier betrokken is bij het werken in de Rotterdamse haven kon meedoen aan dit vervolgonderzoek. Dit aanvullende onderzoek wordt mogelijk gemaakt door Intelink in nauwe samenwerking met Deltalinqs. Voor meer informatie en het invullen van de onderzoeksvragen kunt u via de onderstaande link naar het online onderzoeksforum dat speciaal voor dit project is opengesteld. Hieronder vindt u de belangrijkste resultaten van dit onderzoek. Deze resultaten en de analyse ervan zijn uitgevoerd door Tilburg University.
70
Lekincidenten Rotterdamse Haven
Deelnemers die een lekincident hebben meegemaakt: 86%. Waarvan meer dan één incident: 46%.
Aantal incidenten dat door een interne (medewerker) werd veroorzaakt: 88%.
71
Lekincidenten die onbewust (niet expres, niet doelgericht, niet doelbewust) zijn veroorzaakt: 76%.
72
Beoordeling en Behandeling bedrijfsvertrouwelijke informatie op basis van intuitie
Bij de beoordeling van bedrijfsvertrouwelijke informatie volg ik mijn intuitie: 75%.
Bij de behandeling van bedrijfsvertrouwelijke informatie volg ik mijn intuitie: 90%.
73
Toetsing intuïtie bij beoordeling en behandeling van bedrijfsvertrouwelijke informatie
74
75
Situatievragen toetsing intuïtie bij beoordeling en behandeling Organisatie X is een logistieke dienstverlener met veel medewerkers en beschikt daarom over een Personeel & Organisatie-afdeling. Medewerkers van deze afdeling zijn verantwoordelijk voor het aannemen van personeel, het (bij-) houden van functioneringsgesprekken e.d. Gegevens over een personeelslid worden opgeslagen in een dossier, zoals het aanstellingscontract, het CV en de beoordelingsverslagen. Vindt u het personeelsdossier bedrijfsvertrouwelijke informatie? In chemieconcern X werken ze aan een nieuwe formule voor het maken van duurzame textielverf. Alle medewerkers zijn betrokken bij de ontwikkeling van dit nieuwe product. Zij beschikken niet over het document waarin staat beschreven hoe de textielverf gemaakt moet worden, maar hebben wel de kennis van de formule en van wanneer het op de markt komt. Vindt u de kennis over het nieuwe product bedrijfsvertrouwelijke informatie? Marije werkt voor een organisatie als verkeersbegeleider. Elke twee weken ontvangt zij een werkrooster met de aankomst- en vertrektijden van schepen en haar werktijden. Daarin staat wanneer zij dag- en nachtdiensten moet draaien en hoeveel uren zij die week moet werken. Vindt u het werkrooster van Marije bedrijfsvertrouwelijke informatie? Een student werkt 12 uur per week bij een callcenter van een energiebedrijf. Hier beantwoordt hij vragen van klanten en handelt hij klachten af. Alle klachten slaat de student op in een elektronisch dossier waarbij vermeld wordt wie de klacht heeft ingediend, wat de klacht was en hoe deze is opgelost. Vindt u dit klachtendossier bedrijfsvertrouwelijke informatie?
76
Begrippenlijst Bedrijfsvertrouwelijke informatie Bedrijfsvertrouwelijke informatie is gevoelige informatie voor de organisatie die: •
Strategisch/commercieel van belang is;
•
Persoonlijke informatie bevat;
•
Commercieel van belang is;
•
Bestaat uit organisatie en productspecifieke eigenschappen;
• Onderhevig is aan bepaalde wet- en regelgeving, denk hierbij bijvoorbeeld aan de medische gegevens van patiënten; •
Bij misbruik lasterlijk is.
Beleid om personeel zorgvuldig met vertrouwelijke informatie om te laten gaan De bescherming van bedrijfsvertrouwelijke informatie door het nemen van maatregelen op het gebied van het menselijk handelen. Bijvoorbeeld: • Het management zorgt voor het bewustwordingsproces bij werknemers van welke informatie vertrouwelijk, minder vertrouwelijk en niet vertrouwelijk is; •
Regels over de behandeling van vertrouwelijke documenten en bestanden;
•
Belangrijke documenten niet weggooien, maar in de versnipperaar doen;
•
Geen documenten mee naar huis nemen;
• Alleen werknemers die daartoe bevoegd zijn, mogen beschikken over bedrijfsvertrouwelijke informatie; •
In het contract staat vastgelegd dat bij het lekken van informatie sancties worden genomen.
Compensatiekosten Schadevergoedingen.
77
Identiteitsdiefstal Iemand doet zich voor als het slachtoffer, door middel van bijvoorbeeld creditcard gegevens of andere persoonlijke informatie. Het slachtoffer kan hierdoor geassocieerd worden met gebeurtenissen waar hij of zij niets mee te maken heeft.
Imagoschade voor de organisatie Het beeld dat men van de organisatie heeft is veranderd in negatieve zin, ten opzichte van het beeld dat men daarvoor van de organisatie had. Ook wel reputatieschade genoemd.
Internen Personen die werkzaam zijn binnen de organisatie.
Externen Personen die niet werkzaam zijn binnen de organisatie. Bijvoorbeeld: leveranciers, partners, excollega’s en vrienden.
Gegevensdragers Middelen waarop digitaal opgeslagen gegevens kunnen worden bewaard. Bijvoorbeeld: laptop, usbstick, cd, dvd of memorycard.
ICT-beleid De bescherming van bedrijfsvertrouwelijke informatie door het nemen van maatregelen op het gebied van ICT. Bijvoorbeeld: netwerkinfrastructuren, firewalls, virusscanners en gebruik van harden software.
Kennis Datgene wat je weet en jou in staat stelt om een bepaalde taak uit te voeren.
78
Marktwaarde Het bedrag dat de organisatie opbrengt, wanneer het op dat moment verkocht zou worden.
Openbare locatie Een locatie waartoe iedereen toegang heeft. Bijvoorbeeld de trein of een restaurant.
Privacyregulerende instanties Een overheidsorgaan die de wetgeving op het gebied van privacy waarborgt.
Privacyschending Aantasting van de privacy van personen. Bijvoorbeeld wanneer medische gegevens worden gelekt en hierdoor onbevoegden toegang hebben tot deze informatie.
Verlies van concurrentievoordeel Een organisatie heeft een concurrentievoordeel, wanneer hij zich op dat moment op een positieve manier kan onderscheiden van de concurrentie door bijvoorbeeld een onderscheidend product of service op de markt brengen. Deze kan verloren worden, als bijvoorbeeld een nieuw productidee uitlekt en hierdoor de concurrent eerder met het product op de markt kan komen. Of wanneer het marketingplan uitlekt en de concurrent hierop in speelt. De organisatie is zijn onderscheidende karakter dan verloren in de markt.
Vertrouwensverlies bij (potentiële) klanten De klant vindt de organisatie niet meer betrouwbaar.
Zakenrelatie Een persoon, bedrijf of organisatie met wie jij of jouw bedrijf door of in zaken mee in relatie staat. Bijvoorbeeld: leveranciers, klanten, outsourcebedrijven en adviesbureaus. 79
Over Intelink Intelink is een onafhankelijk adviesbureau dat wordt vertegenwoordigd door adviseurs en projectmanagers die ruime ervaring hebben opgedaan bij grote internationale mediabedrijven, uitgeverijen, zakelijke dienstverleners en de overheid. Intelink is gespecialiseerd in innovatieve security-oplossingen op het gebied van online informatie- en reputatiemanagement: Corporate Intelligence & Security. Intelink onderscheidt zich door een duidelijke focus op het creëren van bewustzijn en op het menselijk handelen (awareness raising & human factors). Intelink begeeft zich hierdoor op het snijvlak van IT en HR. Het advieswerk en het projectmanagement verrichten wij voor kennisintensieve organisaties (LE & SME). Deze organisaties kenmerken zich door een continue noodzaak tot innovatie op het gebied van informatie- en reputatiemanagement. Intelink speelt hierbij een belangrijke rol door het creëren van bewustzijn van de condities die leiden tot ongewenst prijsgeven van bedrijfsvertrouwelijke informatie en de gevolgen daarvan en door het verstrekken van hoogwaardig advies en het verrichten van effectieve awareness campagnes. Intelink heeft programma’s ontwikkeld die organisaties en medewerkers bewust(er) maken van het werken met bedrijfsvertrouwelijke informatie. Deze producten zijn eenvoudig te implementeren en leiden direct tot effectieve participatie van uw medewerkers in het beschermen van uw bedrijfsvertrouwelijke informatie. Enkele voorbeelden van onze producten en diensten zijn: • • • •
Research & Publicaties; Congressen; Bedrijfsscans; Workshops.
Intelink ondersteunt bedrijven bij bewustwordingscampagnes door de verstrekking van voorlichtings- en bewustwordingsmaterialen. Een voorbeeld hiervan zijn onze posters. Deze zijn via onze website aan te vragen en te voorzien van b.v. uw organisatielogo of tekst. Kijk voor meer informatie op: www.infoleakage.com/postercampagne. CONTACT Intelink Dorpsstraat 43A 2761 AB ZUIDPLAS T: 0180-781000 World Trade Center Rotterdam Beursplein 37 3011 AA ROTTERDAM T: 010-2053887 Postbus 40 2760 AA ZUIDPLAS E:
[email protected] W: www.intelink.nl _________________________________________________________________________________________________________________
Intelink is officieel lid en intermediair van de European Commission voor ENISA (European Network and Information Security Agency) en het NIS (Network Information Security in Education). _________________________________________________________________________________________________________________
80
81
