Een goed begin is het halve werk

  1. 26 okt 2015
  2. 0 reacties
Dennis-Baaten

Van cruciaal belang voor een goede informatiebeveiliging is het gedrag en de attitude van de medewerkers in de organisatie. Je kunt technische maatregelen nemen of beleid schrijven tot je scheel ziet, maar wanneer medewerkers zich niet aan de regels of voorschriften houden, is het een kwestie van tijd voordat zich serieuze incidenten voordoen. Het is dan ook niet verwonderlijk dat dit onderwerp op verschillende plaatsen binnen de ISO 27002:2013 terugkomt.

Het bewerkstelligen van gewenst gedrag bij medewerkers begint bij de indiensttreding. Als we willen dat medewerkers zich aan de regels houden, dan moeten we zorgen dat ze de regels kennen én weten hoe ze deze toe kunnen passen. De maatregelen 7.1.1, 7.1.2 en 7.3.1 vormen hierin een eerste stap, en daar wil ik in deze blog dan ook bij stilstaan.

Indiensttreding 

Bij het in dienst treden van medewerkers zijn er in de basis twee dingen belangrijk. Allereerst is het belangrijk om met elkaar een aantal basisafspraken te maken, en ervoor te zorgen dat het niet houden aan de afspraken wordt ontmoedigd. Ten tweede is het ter voorkoming van interne fraude wenselijk om eventuele rotte appels al tijdens de sollicitatieprocedure eruit te halen.

Tijdens de sollicitatieprocedure voor nieuwe medewerkers (intern en extern) vinden daarom controles plaats op onder andere:

  • De aanwezigheid van positieve referenties;
  • De volledigheid en nauwkeurigheid van het curriculum vitae;
  • De opgegeven professionele kwalificaties;
  • De geclaimde identiteit.

Maak daarnaast tijdens de sollicitatieprocedure duidelijk dat van alle medewerkers bij het aangaan van een (tijdelijk) dienstverband wordt verlangd dat zij een Verklaring Omtrent Gedrag (VOG) overleggen.

Wanneer een kandidaat succesvol door de sollicitatieprocedure komt, zorg dan dat een arbeidsovereenkomst of contract voorziet in:

  • Geheimhouding of non-disclosure;
  • Afspraken omtrent het intellectuele eigendom en het copyright betreffende de resultaten van de in dienstverband verrichte werkzaamheden;
  • Een clausule waarmee de medewerker zich conformeert aan de verantwoordelijkheden en plichten ten aanzien van het vigerende (informatiebeveiligings)beleid, en de hieraan verbonden werkwijzen;
  • Een beschrijving van de sancties die van toepassing zijn wanneer de gemaakte afspraken of geldende regels en voorschriften worden overtreden.

Op de eerste werkdag van nieuwe medewerkers ontvangen zij documentatie waarin de regels en voorschriften inzake informatiebeveiliging duidelijk staan beschreven. Er wordt bijvoorbeeld verwezen naar het informatiebeveiligingsbeleid, de gedragscodes, en de plek waar meer informatie kan worden gevonden of opgevraagd.

Wanneer een nieuwe medewerker een zogenaamde vertrouwensfunctie vervult, kan het verplicht of verstandig zijn om een aanvullend betrouwbaarheidsonderzoek uit te (laten) voeren.

Uitdiensttreding 

Uiteraard wil je dat een aantal gemaakte afspraken ook gelden wanneer een medewerker uit dienst treedt. Het kan niet de bedoeling zijn dat een ex-medewerker met de kroonjuwelen onder de arm het pand verlaat, en deze te grabbel legt voor de rest van de wereld. Borg daarnaast dat medewerkers na uitdiensttreding geen gebruik meer kunnen maken van geboden voorzieningen.

Bij het beëindigen van een (tijdelijke) arbeidsrelatie voorziet een ingericht proces minimaal in:

  • Geheimhouding na beëindiging van de arbeidsrelatie;
  • Opzeggen van abonnementen en lidmaatschappen;
  • Inname van bedrijfsmiddelen;
  • Ontnemen van toegangsrechten;
  • Wijzigen van generieke wachtwoorden (bij voorkeur zijn deze er zo weinig mogelijk!)

Geen garantie 

Een handtekening onder een set goede afspraken is uiteraard geen garantie dat er niks misgaat. Toch heb je deze afspraken nodig. Ze kunnen helpen bij het handhaven van het (informatiebeveiligings)beleid, of het afhandelen van een juridisch conflict. Zeker wanneer technische maatregelen slechts beperkt aanwezig zijn, en de informatieveiligheid sterk afhangt van het volgen van de regels.

Dennis Baaten is eigenaar van Baaten ICT Security en helpt organisaties op organisatorisch en technisch vlak met het opzetten en borgen van een goede informatiebeveiliging