'Zwerfinformatie’ en onveilig gedrag grootste gevaren voor security

Elke organisatie, zowel kleinere als grotere, staat voor de uitdaging om de informatieveiligheid te waarborgen. Investeren in security-technologie ligt dan voor de hand. Maar als medewerkers ‘onbewust onbekwaam’ met de risico’s omgaan, helpt zelfs de meest geavanceerde technologie niet. Uit onderzoek van Veenman, specialist op het gebied van documentmanagement, informatievraagstukken en visual solutions, blijkt dat organisaties zich dat nog onvoldoende realiseren: zij denken nog steeds dat de grootste bedreigingen voor de informatieveiligheid van buiten komen.

De belangrijkste conclusie van het onderzoek is echter dat de grootste bedreigingen van binnenuit komen: onveilig gedrag van medewerkers en het ontstaan van ‘zwerfinformatie’. ‘Zwerfinformatie’ ontstaat als informatie fysiek of digitaal gaat rondslingeren als gevolg van de ondoordachte manier waarop mensen in hun werk met informatie omgaan.

Wilco van Bezooijen, algemeen directeur van Veenman: “Uit ons onderzoek blijkt dat ondanks alle aandacht die de afgelopen jaren aan security is besteed mensen zich nog steeds nauwelijks bewust zijn van de waarde van informatie en van de onveilige manier waarop zij daarmee omgaan. De uitdaging is om dit onbewust onbekwame gedrag om te zetten in onbewust bekwaam gedrag: veilig omgaan met informatie, zonder er over te hoeven nadenken.”

Het rapport ‘Zwerfinformatie - Zonder omwegen goed en veilig werken met informatie’ is in opdracht van Veenman uitgevoerd in het najaar van 2016. In het onderzoek is gekeken naar: bewustzijn van mensen (kennen zij de waarde van informatie en van mogelijke gevaren?), het gedrag van mensen (vertonen zij het juiste gedrag als het om veiligheid gaat?) in combinatie met de techniek (beveiligingssoftware en –hardware).

Waarde van informatie 

Veilig omgaan met informatie wordt allereerst in de weg gestaan doordat medewerkers hun onveilige gedrag als privé informatieconsument meenemen naar hun werk. Verder signaleert het onderzoek dat bestanden net water zijn: ze volgen de weg van de minste weerstand. Mensen willen gemakkelijk hun werk kunnen doen en zonder drempels of beperkingen informatie uitwisselen. Ze zijn zich echter niet bewust van de informatiewaarde en het informatiespoor dat ze achterlaten en hoe anderen hier misbruik van kunnen maken.

Bij ruim de helft van de respondenten zijn medewerkers zich er niet van bewust dat ze met concurrentiegevoelige informatie werken. Zij staan er niet bij stil (36%) of beseffen niet dat de informatie waarmee ze werken of waartoe ze toegang hebben voor anderen van waarde kan zijn (17%).

Wilco van Bezooijen: “Zwerfinformatie is een symptoom van de manier waarop mensen met informatie omgaan. Ga na of de applicaties die medewerkers gebruiken hun specifieke informatiebehoeften goed ondersteunen. Zo niet zullen zij ‘workarounds’ bedenken om de officiële, goed beveiligde werkwijzen te omzeilen. Achterhaal welke ‘workarounds’ dat kunnen zijn, waarom medewerkers daar gebruik van maken en welke risico’s dit met zich meebrengt. Op basis daarvan zijn dan de juiste aanpassingen door te voeren. We zien zwerfinformatie ook aan de outputkant, het ‘einddocument’, zoals de print, de factuur of aantekeningen op flipovers. Dit is vrij eenvoudig op te lossen door bijvoorbeeld een printmanagementbeleid in te stellen.”

Groot vliegwiel

Een positieve uitkomst is dat driekwart van de organisaties het veiligheidsbeleid heeft aangescherpt. Bij 21% ging het zelfs om een aanzienlijke aanscherping. Dat het groeitempo van het veiligheidsbewustzijn niet synchroon loopt met de technologische ontwikkelingen vormt daarbij een behoorlijke uitdaging. Er is nog onduidelijkheid over wie het informatieveiligheidsbeleid moet initiëren en wie waarvoor verantwoordelijk is als er iets mis gaat.

Gevraagd naar wie ervoor moet zorgen dat medewerkers onbewust bekwaam worden in het werken met informatie is het antwoord: directie en management (26%), een interne veiligheidsspecialist (26%) en een afdeling/speciale commissie informatieveiligheid (16%). Slechts 14% vindt het een gedeelde verantwoordelijkheid.

Informatieveiligheid is als het ware een groot vliegwiel dat langzaam op gang komt. Alarmerend is dat veel organisaties nog op weg zijn naar bewustzijnsverandering. Bij 17% van de organisaties hebben medewerkers onvoldoende kennis over de voorschriften met betrekking tot informatieveiligheid en 52% van de organisaties durft hierover geen uitspraak te doen. Bijna een kwart is nog niet actief bezig met kennisoverdracht en bewustwording rond informatieveiligheid.