19 februari 2010
Steeds meer bedrijven kijken naar het nieuwe werken. De opkomst ervan wordt vanuit leveranciers en overheden, gestimuleerd. Termen als 'efficiënter werken', 'beperken reiskosten' en 'terugdringen fileleed' worden te pas en te onpas gebruikt, maar IT-technisch hoor je niet zo veel. Hoe zit het met de beveiliging bij het nieuwe werken? Momenteel zijn we in de overgang van een informatietijdperk naar een netwerktijdperk. Toegevoegde waarde lever je door kennis te delen en bijdragen te leveren aan een collectief. Deze ontwikkeling zien we niet alleen in een web 2.0-fenomeen als Wikipedia, maar ook in het nieuwe werken, waarbij het kennisdelen en samenwerking belangrijke succesfactoren zijn. De integriteit van deze gedeelde kennis is daar een zorgpunt. We moeten er voor zorgen dat kennis gebaseerd is op betrouwbare bronnen en dat deze niet hopeloos verouderd of incompleet is. Dit betekent dat we technieken en methoden moeten ontwikkelen waarmee we de integriteit van gedeelde kennis kunnen vergroten.
Anytime, anyplace, anywhere is cyclisch. Steeds weer duikt het op onder een andere naam, tegenwoordig heet het 'het nieuwe werken'. Nieuw beleid moet zich richten op werken buiten de fysieke grenzen van een organisatie, rekening houdend met gevoeligheid van informatie, tijd/plaats (omgeving) en bedrijfsgericht samenwerken. Nieuwe oplossingen dienen zich te richten op het beveiligen van informatie, documenten, etc. in plaats van het beveiligen van netwerken en computers. Het gevaar voor dataverlies komt uit twee hoeken. Enerzijds zijn er de technische onvolkomenheden, waardoor de informatie niet adequaat wordt beschermd. Het risico hiervan neemt toe bij hogere mobiliteit van de werknemers, omdat de informatie dan met meerdere onderdelen van de infrastructuur en vaak met meerdere soorten hardware in aanraking komt. Anderzijds is er de onwetendheid van de werknemer. Deze realiseert zich in veel gevallen niet voldoende, hoe belangrijk het is om bepaalde informatie goed te beschermen, of denkt dat wel te doen, maar slaat de plank hierin mis. Deze onwetendheid is op kantoor, onderweg of thuis aanwezig en altijd bedreigend. Lastig wordt het qua security wanneer een onderneming de controle over haar gegevens uit handen geeft aan een derde partij, zoals op grote schaal gebeurt bij cloudoplossingen. Het gebrek aan toezicht en controle vereist een blind vertrouwen in de leverancier. En als je al twijfelt of je zelf de twee gevaren van dataverlies wel goed hebt afgedicht, hoe kun je er dan zonder meer vanuit gaan dat een bedrijf dat je nauwelijks kent alles wel prima op orde heeft? Informatie vertegenwoordigt waarde voor de organisatie in kennis, kunde, ontwikkeling en historie. De waarde van de informatie varieert in de tijd. De industrie is al op vele fronten bezig technologie te ontwikkelen die het mogelijk maakt de informatie zelf te beveiligen op vertrouwelijkheid en integriteit. Het komt er op neer dat we helder moeten maken wat we willen beveiligen en hoe we dat willen doen. Willen we het bijvoorbeeld onmogelijk maken om informatie 'mee te nemen', thuis op te slaan of onderweg via USB-sticks te gebruiken ? Of willen we dat juist wel en zetten we encryptie in om de informatie te beveiligen ? Zonder te weten wat we eigenlijk willen veilig stellen wordt het moeilijk informatiebeveiliging te operationaliseren. Vast staat wel, dat het bewustzijn dat informatie beveiligd moet worden, moet toenemen, evenals het begrip dat dit ook met het gedrag van medewerkers te maken heeft.