#2 – Gebruiksgemak en veiligheid staan op gespannen voet met elkaar


Je kan je IT-omgeving helemaal dichttimmeren en continu om wachtwoorden (middels multi factor authentication) vragen, maar daar wordt het werken niet makkelijker van.

Maar aan de andere kant… alles open gooien, zodat iedereen overal makkelijk bij kan, is vragen om moeilijkheden.

Laat ik eens een voorbeeld schetsen hoe zoiets in de praktijk gaat.

Henk, je weet wel, de Security Officer, is zich namelijk heel erg bewust van dit spanningsveld.

“Afgelopen weekend heeft iemand geprobeerd om bij onze data te komen, maar het is mooi niet gelukt” grijnst Henk.

“Dat is mooi, Henk”, zegt Marc.

Marc is ondernemer en maar wat blij met Henk.

“Ik wil je iets laten zien”, Marc opent zijn computer, tikt zijn wachtwoord in en koppelt zijn computer aan het grote scherm zodat Henk kan meekijken. Marc laat zijn nieuwste idee zien.

“O, wauw”, Henk is blij verrast, “dat betekent dat we een hele nieuwe afdeling optuigen.”

“Klopt, en de rapportages die we daar genereren moeten weer op andere afdelingen terechtkomen.”

“O, maar dat kan prima, als we de juiste machtigingen koppelen, is dat net zo makkelijk als wat jij net deed.”

“Hoe bedoel je, zoals ik dat deed?” Marc vraagt zich af wat voor bijzonders hij zojuist heeft gedaan.

“Dit document dat je mij nu laat zien, staat centraal opgeslagen, maar alleen het MT kan erbij.”

“Dat mag ik hopen ja…”

“Door jouw wachtwoord in te vullen gaat er een veiligheidsprotocol lopen, zoals we dat in het beveiligingsbeleid hebben beschreven. Je kunt al je gegevens ophalen met een druk op de knop. Iemand buiten het MT weet niet eens dat dit document bestaat, totdat jij het deelt natuurlijk.”

“En als ik het dan deel?” Marc begint even te twijfelen.

“Het kan het nooit de organisatie verlaten, alleen interne mensen kunnen het dan zien.”

“Dat is dan precies zoals we hebben afgesproken.” antwoordt Marc opgelucht.

“De mensen hier zijn heel blij dat je zoveel met ze deelt, Marc. Maar moet je eens indenken wanneer het net zo makkelijk naar buiten zou lekken als hoe jij dit op dit scherm kan laten zien.”

Marc ziet direct 3 doemscenario’s op zijn netvlies verschijnen.

“Daarom moet je ook elke maand je wachtwoord aanpassen. Mocht iemand het te weten komen, is het risico beperkt.”

“Het is maar een wachtwoord.”

“En daar achter hangt een uitgebreid protocol. Toen jij die nieuwe laptop kreeg, moest je ook verifiëren dat jij het was.”

“Dat sms’je met die code?”

“Yep, die nieuwe afdeling krijgt straks van mij een mobiele telefoon die ik heb ingericht. Zij ontvangen datzelfde soort sms’je om hun toegang te activeren.”

Henk is best een beetje trots, ziet Marc.

“Maar wat nou als iemand toch toegang probeert te krijgen?”

“Van alle ongeautoriseerde inlogpogingen krijg ik een melding. En als jij het vermoeden hebt dat iemand jouw wachtwoord heeft, dan blokkeer ik die en zal je een nieuwe moeten aanvragen.”

“Ja, dat hebben we wel mooi bedacht.”

“Ja, zeker!”

En jij, hoe denk jij erover?

De namen zijn uiteraard fictief en de uitleg is zo oppervlakkig mogelijk gehouden. Want we willen natuurlijk niet dat onze protocollen te achterhalen zijn. Maar dit is een voorbeeld hoe het er bij onze opdrachtgevers aan toe gaat. Onduidelijkheid, twijfels, angsten. “Beveiliging moet goed geregeld zijn” horen we vaak. Maar dit moet uiteraard niet ten koste gaan van het gebruikersgemak.

Maar wel weer in lijn met Wet Meldplicht Datalekken en zo is het cirkeltje weer rond.

Om gebruiksgemak optimaal te laten samenwerken met beveiliging heb je een  correct ingericht beleid nodig. Denk eens na over je data, wat je wel en (vooral) niet wilt delen, hoe je dat wilt doen en maar ook met wie. Hoever ga je, om je omgeving veilig te maken?

Daarnaast zijn er diverse tools beschikbaar (zoals Intune) om het technisch in te richten en veilig te houden.

Beveiliging en gebruikersgemak….