We staan er misschien niet bij stil, maar de beveiliging van bedrijfsinformatie
begint al bij de voordeur. De wijze waarop organisaties omgaan met bezoekers
binnen hun pand kan al een risico met zich meebrengen. Kunnen zij zich
bijvoorbeeld vrij door het pand bewegen of is er altijd begeleiding? Hoe dit is
geregeld, verschilt per branche en zelfs per organisatie. Met de juiste
procedures kun je een risico al beperken wanneer bezoekers binnenkomen. We
moeten er niet aan denken dat er belangrijke informatie in verkeerde handen
komt.
Aan de hand van drie praktijkvoorbeelden
laat ik zien hoe er wordt omgegaan met bezoekers.
De bank
Bij de bank waar ik jaren heb
gewerkt, is de entree een visitekaartje. Na binnenkomst in de enorme hal wordt
je vriendelijk welkom geheten door één van de gastvrouwen. In de hal zijn ook
half afgeschermde vergaderruimtes. Deze worden vanwege de volgeboekte
vergaderzalen vaak gebruikt door medewerkers. Iets verderop is de receptie waar
je je kunt aanmelden voor je afspraak. De gastvrouw belt naar degene waarmee je
een afspraak hebt en vraagt zijn bezoeker te komen ophalen bij de receptie. Zij
maakt ook meteen een bezoekerspas aan waarmee je gedurende een bepaalde tijd
door de elektronische poortjes kunt. Na afloop brengt de bankmedewerker zijn
bezoeker naar de receptie en levert de bezoeker zijn tijdelijke pas in.
Het toegangsbeleid is hier geregeld
volgens vaste protocollen. Een bezoeker heeft weinig tot geen ruimte om alleen
door het pand te lopen. De mogelijkheid dat hij ongezien met belangrijke
informatie naar buiten loopt, is zo goed als uitgesloten.
Het softwarebedrijf
Onlangs bezocht ik een klantrelatie
in software. Deze organisatie is gevestigd in een pand met meerdere bedrijven.
In de gemeenschappelijke hal zag ik op een bord dat ik op de derde verdieping
moest zijn. Daar belde ik aan en één van de medewerkers deed open. Hij liet mij
binnen en haalde degene met wie ik een afspraak had. Hij verzocht mij het
digitale gastenboek te tekenen. Ik wachtte bij de receptie, die niet meer was
bemand en dienst deed als koffiecorner. Ik kon de gesprekken tussen de
medewerkers die daar stonden opvangen. Even later kwam mijn contactpersoon
eraan en gingen we in overleg.
Ook hier voelde het toegangsbeleid goed
georganiseerd aan. Toch was het protocol al een stuk losser dan bij de bank.
Bij de receptie stond ik alleen en kon ik even vrij door het pand lopen als ik
dat wilde. Hier is al een risico dat belangrijke informatie in verkeerde handen
komt.
Het transportbedrijf
Twee weken geleden had ik een afspraak bij een
transportbedrijf. De ingang aan de voorkant was nog op slot en aan de
achterkant waren chauffeurs bezig met laden en lossen. Mijn contactpersoon was
nog niet gearriveerd en mij werd gevraagd of ik alvast in de wachtruimte naast
de administratie wilde wachten. Ik kon door het magazijn lopen en moest bij de
tweede deur naar links. Ik mocht ook koffie pakken. Mijn contactpersoon kwam
tien minuten later aanlopen.
Het toegangsbeleid was hier duidelijk minder
goed georganiseerd, maar voelde door de informele sfeer prettig aan. Toch is
hier het grootste risico dat er iets mis gaat. Totdat mijn contactpersoon er
was, kon ik overal heen lopen en alles bekijken als ik dat wilde.
Conclusie
Deze voorbeelden tonen aan dat er verschillende
manieren zijn waarop het toegangsbeleid is geregeld. Natuurlijk is de impact
als er iets misgaat bij een bank het grootst. Het lijkt misschien vergezocht,
maar ook dit is een onderdeel van informatiebeveiliging.
Het risico bij informatiebeveiliging wordt
bepaald door de kans op lekken, de impact en de kwetsbaarheid van de
informatie. Op organisatieniveau wordt er bij alle drie de organisaties gewerkt
met klant- en medewerkersgegevens. Als die op straat komen te liggen, heb je
ongeacht de grootte van de organisatie reputatieschade.
Als je dan kijkt naar de kans dat er iets mis
gaat in de informatiebeveiliging, voel je aan dat dit bij het laatste bedrijf
het minst goed is geregeld. Maar ook bij de bank waar alles volgens vaste
protocollen schijnt te verlopen, wordt er vergaderd in een openbare ruimte. Die
gesprekken kunnen worden opgevangen en dan is er feitelijk al sprake van een
lek.
Zelfs bij iets eenvoudigs als het omgaan met
bezoekers, kan er dus al iets misgaan. Dat risico kan worden beperkt via de
juiste protocollen, maar hier speelt ook de menselijke factor een rol. Zo zie
je maar dat informatiebeveiliging al begint bij de voordeur.