Informatiebeveiliging begint al bij de voordeur

We staan er misschien niet bij stil, maar de beveiliging van bedrijfsinformatie begint al bij de voordeur. De wijze waarop organisaties omgaan met bezoekers binnen hun pand kan al een risico met zich meebrengen. Kunnen zij zich bijvoorbeeld vrij door het pand bewegen of is er altijd begeleiding? Hoe dit is geregeld, verschilt per branche en zelfs per organisatie. Met de juiste procedures kun je een risico al beperken wanneer bezoekers binnenkomen. We moeten er niet aan denken dat er belangrijke informatie in verkeerde handen komt.

Aan de hand van drie praktijkvoorbeelden laat ik zien hoe er wordt omgegaan met bezoekers.

De bank

Bij de bank waar ik jaren heb gewerkt, is de entree een visitekaartje. Na binnenkomst in de enorme hal wordt je vriendelijk welkom geheten door één van de gastvrouwen. In de hal zijn ook half afgeschermde vergaderruimtes. Deze worden vanwege de volgeboekte vergaderzalen vaak gebruikt door medewerkers. Iets verderop is de receptie waar je je kunt aanmelden voor je afspraak. De gastvrouw belt naar degene waarmee je een afspraak hebt en vraagt zijn bezoeker te komen ophalen bij de receptie. Zij maakt ook meteen een bezoekerspas aan waarmee je gedurende een bepaalde tijd door de elektronische poortjes kunt. Na afloop brengt de bankmedewerker zijn bezoeker naar de receptie en levert de bezoeker zijn tijdelijke pas in.

Het toegangsbeleid is hier geregeld volgens vaste protocollen. Een bezoeker heeft weinig tot geen ruimte om alleen door het pand te lopen. De mogelijkheid dat hij ongezien met belangrijke informatie naar buiten loopt, is zo goed als uitgesloten.

Het softwarebedrijf

Onlangs bezocht ik een klantrelatie in software. Deze organisatie is gevestigd in een pand met meerdere bedrijven. In de gemeenschappelijke hal zag ik op een bord dat ik op de derde verdieping moest zijn. Daar belde ik aan en één van de medewerkers deed open. Hij liet mij binnen en haalde degene met wie ik een afspraak had. Hij verzocht mij het digitale gastenboek te tekenen. Ik wachtte bij de receptie, die niet meer was bemand en dienst deed als koffiecorner. Ik kon de gesprekken tussen de medewerkers die daar stonden opvangen. Even later kwam mijn contactpersoon eraan en gingen we in overleg.

Ook hier voelde het toegangsbeleid goed georganiseerd aan. Toch was het protocol al een stuk losser dan bij de bank. Bij de receptie stond ik alleen en kon ik even vrij door het pand lopen als ik dat wilde. Hier is al een risico dat belangrijke informatie in verkeerde handen komt.

Het transportbedrijf

Twee weken geleden had ik een afspraak bij een transportbedrijf. De ingang aan de voorkant was nog op slot en aan de achterkant waren chauffeurs bezig met laden en lossen. Mijn contactpersoon was nog niet gearriveerd en mij werd gevraagd of ik alvast in de wachtruimte naast de administratie wilde wachten. Ik kon door het magazijn lopen en moest bij de tweede deur naar links. Ik mocht ook koffie pakken. Mijn contactpersoon kwam tien minuten later aanlopen.

Het toegangsbeleid was hier duidelijk minder goed georganiseerd, maar voelde door de informele sfeer prettig aan. Toch is hier het grootste risico dat er iets mis gaat. Totdat mijn contactpersoon er was, kon ik overal heen lopen en alles bekijken als ik dat wilde. 

Conclusie

Deze voorbeelden tonen aan dat er verschillende manieren zijn waarop het toegangsbeleid is geregeld. Natuurlijk is de impact als er iets misgaat bij een bank het grootst. Het lijkt misschien vergezocht, maar ook dit is een onderdeel van informatiebeveiliging.

Het risico bij informatiebeveiliging wordt bepaald door de kans op lekken, de impact en de kwetsbaarheid van de informatie. Op organisatieniveau wordt er bij alle drie de organisaties gewerkt met klant- en medewerkersgegevens. Als die op straat komen te liggen, heb je ongeacht de grootte van de organisatie reputatieschade.

Als je dan kijkt naar de kans dat er iets mis gaat in de informatiebeveiliging, voel je aan dat dit bij het laatste bedrijf het minst goed is geregeld. Maar ook bij de bank waar alles volgens vaste protocollen schijnt te verlopen, wordt er vergaderd in een openbare ruimte. Die gesprekken kunnen worden opgevangen en dan is er feitelijk al sprake van een lek.

Zelfs bij iets eenvoudigs als het omgaan met bezoekers, kan er dus al iets misgaan. Dat risico kan worden beperkt via de juiste protocollen, maar hier speelt ook de menselijke factor een rol. Zo zie je maar dat informatiebeveiliging al begint bij de voordeur.

Gerelateerde diensten

Top