Dit lijstje gedragsregels naast elke computer of liever in het hoofd van elke computergebruiker zou de kansen op datalekken, ransomware en andere cybercriminaliteit aanzienlijk indammen.
De IT-afdeling is verantwoordelijk voor het inrichten en onderhouden van een veilige IT-omgeving. Maar de technische maatregelen hebben weinig zin wanneer de gebruikers hun eigen verantwoordelijkheid negeren, bewust of onbewust.
The Register verzamelde een top 10 tips van IT administrators:
1. Noem nooit, maar dan ook nooit aan iemand je wachtwoord
Maak gebruikers duidelijk dat wanneer iemand jouw inloggegegevens gebruikt, die ze ook kan misbruiken en dat misbruik is dan direct aan jou gekoppeld. Inloggegevens mogen dus nooit worden gedeeld, ook niet met de helpdesk of andere serviceafdelingen om iets te controleren. De IT-afdeling is verantwoordelijk voor het opzetten van accounts waarmee alle gebruikersgroepen kunnen worden gecontroleerd.
2. Gebruik nooit, maar dan ook nooit het wachtwoord van iemand anders
Maak gebruikers duidelijk dat wanneer je de inloggegevens van iemand anders gebruikt je wellicht toegang krijgt tot informatie die niet mag of wil zien. Je wil niet meemaken dat je later moet uitleggen wat je met die informatie hebt gedaan, ook al heb je die niet eens gezien.
3. Je bent verantwoordelijk voor de apparatuur die je gebruikt
Sluit een contact met gebruikers die apparatuur van het bedrijf gebruiken waarin duidelijk staat omschreven dat ze verantwoordelijk worden gehouden voor zorgvuldig gebruik ervan. Bij duidelijke nalatigheid moet de gebruiker voor de schade opdraaien.
4. Denk na voor je op een verzendknop drukt
Verplicht iedereen 10 seconden na te denken en zich de volgende vragen te stellen alvorens een mail te versturen, zeker wanneer die bijlagen bevat:
– Bevat deze mail vertrouwelijke of gevoelige informatie?
– Waarom moet deze mail worden verstuurd?
– Weet je zeker dat alle geadresseerden de bevoegdheid hebben al deze informatie in te zien?
Bij enige twijfel altijd de leidinggevende of de juridische afdeling raadplegen
5. Spreek mensen aan die zich niet aan de voorschriften houden
Wanneer er onbekenden rondlopen zonder bezoekersbatch of zonder begeleiding zijn werknemers verplicht ze aan te spreken. Er moet worden gevraagd wat ze zoeken en de werknemer moet ze begeleiden naar de betreffende plek of een andere werknemer in te schakelen om voor de begeleiding te zorgen. Ook externen die bekend zijn bij het bedrijf moeten worden aangesproken. Het is immers niet zeker of het wel de bedoeling is dat de externe op die bepaalde plek is.
6. Vind beveiliging belangrijker dan beleefdheid
Het openhouden van deuren voor een ander is ons allemaal met de paplepel ingegoten als een basale beleefdheid naar anderen. Maar deze gewoonte is een ramp voor de beveiliging. Doe het voor niemand, ook niet voor een bekende collega. Die kan net daarvoor zijn pasje hebben moeten inleveren.
7. Rapporteer verdachte zaken
Stimuleer werknemers alle verdachte zaken te melden. Of het nu gaat om gevaarlijke situaties, potentiële lekken in de vertrouwelijkheid of mogelijke verstoringen in het bedrijfsproces. Garandeer volledige vertrouwelijkheid bij de aangifte, maar sta geen anonieme tips toe omdat die niet kunnen worden nagetrokken. Werknemers hebben samen een aantal ogen en oren op de werkvloer dat nooit met technologie kan worden geëvenaard.
8. Er zijn geen uitzonderingen
Iedereen die te maken heeft gehad met accreditatie van een proces gebaseerde activiteit (bjvoorbeeld ISO9001) weet dat de crux zit in het standaardiseren van processen. Daardoor ontstaat uniformiteit. Natuurlijk kunnen er variaties zijn op het standaardproces, maar die moeten dan in een subproces worden beschreven. Wat echter nooit mag gebeuren is dat werknemers, die menen dat het proces voor hen niet van toepassing is, hun eigen manier gaan bedenken. Dat is een lastige boodschap om aan werknemers over te brengen. Bij een ISO-gecertificeerde organisatie is er altijd de toezichthouder die de certificering kan intrekken als stok achter de deur.
9. Beveiliging is bijna even belangrijk als veiligheid
Wanneer het veiligheidsbeleid nadrukkelijk naar voren wordt gebracht, zijn er altijd werknemers die dit in extreme vorm gaan toepassen. Maak duidelijk dat de beveiliging nooit ten koste mag gaan van persoonlijke veiligheid.
10. Handhaving is de regel
Alles wat hierboven staat moet onderdeel zijn van een contract dat de organisatie tekent met zijn werknemers, maar ook met tijdelijke contractanten, met gedetacheerden en met derden die werkzaamheden binnen de organisatie uitvoeren. Wees echter wel redelijk bij het handhaven. Er kan sprake zijn van onbedoelde missers. Probeer als IT-afdeling in zo’n geval begrip te kweken waarom ze beter niet hadden kunnen doen wat ze hebben gedaan. Bij ernstigere overtredingen moet wel personeelszaken worden ingelicht.
Bron: Automatiseringsgids
