Blog: Informatiebeveiliging werkt alleen als iedereen zich er aan houdt

“1YbR%MOeqeLfUG-_5q)MJeCVuHYsS=qSGN5X,MNd”. Eén van de wachtwoorden die ik in het verleden heb gebruikt om in te kunnen loggen op mijn Sharepoint omgeving. Een drama om in te moeten voeren, maar gelukkig heb ik daar een Passwordmanager voor. Eentje die mij helpt om voor iedere applicatie een dergelijk uniek, onmogelijk wachtwoord te gebruiken. Superveilig? Niet dus!

Ja, de toegang tot mijn zakelijke applicaties is goed beschermd, en een knappe jongen die daar doorheen weet te breken. Maar een hacker zoekt niet naar het breken van de dikste muren, een hacker zoekt de meest simpele route, het spreekwoordelijke achterdeurtje. En dat is altijd die ene collega die gebruikmaakt van de minimumeisen voor het wachtwoord, vaak 8 karakters. Vaak beginnen met een hoofdletter en eindigt met een 1. En bij voorkeur hetzelfde wachtwoord dat ook wordt gebruikt voor het persoonlijke Facebook account. En al is de zakelijke laptop supergoed beschermd, Facebook draait ook op dat privé telefoontje zonder inlogcode. En daar is het potentiele lek alweer gevonden…

Informatiebeveiliging werkt dus alleen als iedereen zich er strikt aan houdt. Dus niet om de Password manager heen werken, en zakelijk en privé goed gescheiden houden. En vooral voor iedere applicatie echt een uniek wachtwoord gebruiken. En hoe langer, hoe veiliger! Zomaar enkele regeltjes…

Als leverancier beheren wij de vertrouwelijke data van onze klanten. Zij verwachten dat wij dat op een zorgvuldige en veilige wijze doen, en wij kunnen dit aantonen met onze beveiligingskeurmerken NEN 7510 en ISO/IEC 27001. Begin september hebben wij een opvolgaudit door externe auditors doorstaan, en hebben wij kunnen laten zien dat we onze informatiebeveiliging niet alleen hebben beschreven, maar dat we ons er ook daadwerkelijk aan houden. Want daar gaat het uiteindelijk om, het hanteren van de welbekende PDCA-cyclus (Plan-Do-Check-Act). Oftewel, schrijf op hoe het moet, werk in de praktijk zoals je het hebt opgeschreven, controleer dat regelmatig en stel bij daar waar nodig. Het kost tijd, veel tijd soms, maar het is het allemaal waard. Want het gaat 100.000 keer goed, maar vanwege die ene keer dat het fout kan gaan moet je scherp blijven.

Want vertrouwen is goed, maar PDCA is vele malen beter!

Anko Omlo

Commercieel directeur NETQ Healthcare
E-mail: anko.omlo@netqhealthcare.nl