InformatielekkageInformatielekkageInformatielekkageInformatielekkage 2011201120112011 De oorzaken en de gevolgen van het lekken van De oorzaken en de gevolgen van het lekken van De oorzaken en de gevolgen van het lekken van De oorzaken en de gevolgen van het lekken van bedrijfsvertrouwelijke informatiebedrijfsvertrouwelijke informatiebedrijfsvertrouwelijke informatiebedrijfsvertrouwelijke informatie

Onderzoek verricht door Intelink in samenwerking met Tilburg University mei 2011

2

Eindredacteur: drs Serge dos Santos Gomes

Auteurs: I. Tanke, S. Kemps

Nederlands

Versie 1.0

Mei 2011

Copyright © Intelink alle rechten voorbehouden

Deze publicatie is tot stand gekomen door:

Intelink Tilburg

University

Ministerie van

ELI

InfoLeakage.com ENISA

3

Voor u ligt de samenvatting van de eerste uitgave van het onderzoek “Informatielekkage

2011”. Dit onderzoek, uitgevoerd door Intelink en Tilburg University, richt zich op de

oorzaken en de gevolgen van het lekken van bedrijfsvertrouwelijke informatie. De primaire

focus van het onderzoek ligt op het menselijke en vaak onbewuste handelen (the human

factor).

Prijsgeven van informatie, bewust of onbewust, kan tot schadelijke gevolgen leiden. Voor

bedrijven, instanties of individuen. Zowel zakelijk als persoonlijk. De beschermende

mogelijkheden van de technologie zijn begrensd. Het rapport dat is voortgekomen uit het

onderzoek en de analyse van de resultaten beschrijft de menselijke factor in een

wereldwijd transformatieproces naar transparantie en toegankelijkheid van informatie.

Maar juist die menselijke factor krijgt nog te weinig aandacht in organisaties.

De samenvatting die u voorligt zoomt in op de belangrijkste bevindingen van het

onderzoek, beschrijft de werkwijze en doet algemene aanbevelingen ter voorkoming van

het lekken van bedrijfsvertrouwelijke informatie.

In juni 2011 zal de volledige uitgave worden gepubliceerd:

In deze publicatie vindt u de onderzoeksresultaten en de analyse van deze resultaten

vanuit een aantal relevante perspectieven, waaronder juridisch, P&O, Psychologisch en

ICT.

Bovendien worden in de volledige uitgave praktische handvatten aangereikt om in uw

organisaties aan de slag te gaan met bewustwording onder medewerkers en het tegengaan

van het lekken van bedrijfsvertrouwelijke informatie door medewerkers.

Wij wensen u veel en inspiratievol leesplezier.

Serge dos Santos Gomes

managing director Intelink

4

pagina

Management Samenvatting 6

1. Inleiding 8

2. Theoretisch Kader 10

2.1 Terminologie literatuurstudie 10

2.2 Theoretisch kader empirisch

onderzoek

15

3. Operationalisatie 18

3.1 Literatuurstudie 18

3.2 Empirisch onderzoek 3.2.1 Online onderzoeksforum 19

3.2.2 Methode 21

4 Oorzaken 25

4.1 Resultaten online onderzoek 25

5 Gevolgen 30

5.1 Resultaten online onderzoek 5.1.1 Persoonlijke gevolgen 31

5.1.2 Gevolgen voor de organisatie 32

6 Empirisch onderzoek 34

6.1 Onbewust lekken door

medewerkers

6.1.1 Perceptie van de waarde van

bedrijfsvertrouwelijke

informatie

34

6.1.2 Behandeling van

bedrijfsvertrouwelijke

informatie

36

5

pagina

6.1.3 Lekkage van

bedrijfsvertrouwelijke

informatie

38

6.1.4 Perceptie, behandeling en

lekkage van

bedrijfsvertrouwelijke

informatie

39

7 Voorkomen van het lekken van

bedrijfsvertrouwelijke

informatie

41

7.1 Stappenplan 7.1.1 Identificatie 42

7.1.2 Risicoanalyse 43

7.1.3 Maatregelen 43

7.1.4 Implementatie 43

7.1.5 Evaluatie 44

Begrippenlijst 45

Over Intelink 48

6

Het lekken van bedrijfsvertrouwelijke informatie is een steeds actueler onderwerp. Er is

echter nog maar weinig onderzoek gedaan naar menselijke factoren die van invloed zijn op

de oorzaken van het lekken van bedrijfsvertrouwelijke informatie. Dit onderzoek

beantwoordt de volgende hoofdvraag:

Deze hoofdvraag wordt beantwoord aan de hand van de resultaten van twee

onderzoeksmethodes: literatuurstudie en empirisch onderzoek. Daarnaast zijn met

vertegenwoordigers uit verschillende, relevante disciplines interviews gehouden om inzicht

te krijgen in de trends en bewegingen rondom dit thema binnen deze disciplines.

De literatuurstudie focust op de oorzaken, de gevolgen en hoe men het lekken van

bedrijfsvertrouwelijke informatie kan voorkomen. Allereerst komen de oorzaken aan bod.

Voorts zal worden in gegaan op de oorzaken van het bewust en onbewust lekken van

bedrijfsvertrouwelijke informatie door een medewerker van een organisatie en worden

twee hypotheses getest.

Hierna zullen de gevolgen worden benoemd. Deze vallen uiteen in persoonlijke gevolgen

en de gevolgen voor de organisatie. Deze samenvatting besluit met een korte beschrijving

van algemene maatregelen die het lekken van bedrijfsvertrouwelijke informatie kunnen

voorkomen.

Het onderzoek toont aan dat de oorzaken bestaan uit: niet-werkgerelateerde problemen

en de moraal van de werknemer die er toe kunnen leiden dat de medewerker ontevreden

is, economische situatie, bedrijfscultuur, lage loyaliteit, regionale of nationale cultuur,

onvoldoende beleid ten aanzien van informatiebeveiliging en een toename van

concurrentie in de markt.

7

De gevolgen van het lekken van bedrijfsvertrouwelijke informatie zijn te verdelen in

persoonlijke gevolgen en gevolgen voor de organisatie.

Ontslag, identiteitsdiefstal, privacy schending, schadevergoeding en waarschuwingen en

berispingen zijn persoonlijke gevolgen die uit het onderzoek naar voren komen.

Als gevolgen voor de organisatie worden genoemd: imagoschade, verlies van

concurrentievoordeel, vertrouwensverlies, lagere marktwaarde/aandeelprijzen, boetes van

privacy regulerende instanties en compensatiekosten. Uit de resultaten van de enquête

blijkt dat imagoschade, verlies van concurrentievoordeel en vertrouwensverlies

aangegeven wordt als veel voorkomend gevolg. Dit in tegenstelling tot de lagere

marktwaarde/ lagere aandeelprijzen; dit wordt maar door dertig procent aangegeven als

gevolg.

Het onderzoek naar de oorzaken en de gevolgen van het lekken van bedrijfsvertrouwelijke

informatie door het menselijk handelen is in delen opgezet. Door middel van

literatuuronderzoek zijn de oorzaken en gevolgen achterhaald. Ook is door het houden van

interviews met personen uit verschillende disciplines inzicht verkregen in dit thema.

Daarnaast is door panelleden in een online onderzoeksforum deelgenomen aan het

empirische deel van het onderzoek.

8

“Werknemers in de Verenigde Staten worden steeds vaker ontslagen of geschorst als

gevolg van het lekken van vertrouwelijke informatie op internet”. Dit blijkt uit een

onderzoek uitgevoerd door Proofpoint (nu.nl, 2009).

Op 12 februari 2010 meldt het ANP, waarna vele kranten en tijdschriften, dat

contactgegevens van 170.000 werknemers en contractanten van Shell zijn uitgelekt naar

milieuorganisaties. Shell geeft aan dat oud medewerkers deze informatie bewust hebben

gelekt. In de laatste maanden heeft Shell veel mensen moeten ontslaan vanwege de

economische crisis (Elsevier, 2010).

“Grootste lek van militaire geheimen ooit op WikiLeaks” (nu.nl, 2010). Of de data

gestolen zijn door WikiLeaks of doorgespeeld door iemand van de US Army is nog

onbekend.

“Gegevens over F-16-deal op usb-stick op rommelmarkt”. Op de gegevensdrager staan

onder meer persoonlijke gegevens van militairen, informatie over onderhoud en sterke

en zwakke punten van de straaljagers. De usb-stick werd gekocht voor één euro.

(Volkskrant, 2011)

Bij een informatielek wordt nog vaak gedacht aan een fout in de technische beveiliging van

informatie. Maar zoals uit de voorgaande voorbeelden blijkt, ligt aan lekkage van

bedrijfsvertrouwelijke informatie niet in alle gevallen de techniek ten grondslag. Het

menselijke aspect wordt in de beveiliging van bedrijfsvertrouwelijke informatie vaak

vergeten (Williams, 2008). Hermans van KPMG IT Advisory zegt: “Mensen blijken nog altijd

de zwakste schakel in de keten”. Het is dan ook van groot belang om gedegen controle te

houden op werknemers die toegang hebben tot vertrouwelijke informatie (Gunst, 2010).

Volgens Kosutic (2010) bestaat er een verschil tussen het ‘beveiligen van informatie’ en

het ‘beveiligen van de IT’. De beveiliging van de IT is slechts een onderdeel van het

grotere geheel: de beveiliging van bedrijfsvertrouwelijke informatie. Deze beveiliging

omvat een systeem waarbinnen alle risico’s, zowel IT-gerelateerd als niet-IT-gerelateerd,

in kaart zijn gebracht. Bovendien zijn binnen de organisatie passende maatregelen

geïmplementeerd om onaanvaardbare risico’s en gevolgen te voorkomen.

9

Volgens Hoekstra (2010), hoogleraar personeelspsychologie aan de Rijksuniversiteit

Groningen en senior onderzoeker bij adviesbureau GITP, is het niet meer je werkgever

door dik en dun steunen en bij deze blijven.

Wat toeneemt, is tijdelijke loyaliteit. Nu is deze werkgever goed, maar als er straks weer kansen op de arbeidsmarkt ontstaan, beginnen ze weer te bewegen’ (interview met Domevscek, 2010). Een oud-werknemer geeft door deze verminderde loyaliteit gemakkelijker bedrijfsvertrouwelijke informatie door aan zijn nieuwe werkgever. Werknemers behoren ook tot de risicofactoren bij het lekken van strategische informatie.

De hoofdvraag luidt als volgt: Wat zijn de oorzaken en de gevolgen van het lekken van

bedrijfsvertrouwelijke informatie door het menselijk handelen voor organisaties en hoe

kan het voorkomen worden?

10

Het lekken van informatie is het verlies van vertrouwelijke informatie aan de

“onvertrouwelijke” omgeving. Het verwijst naar een incident waarbij de vertrouwelijkheid

van de informatie wordt geschonden (Information Security Forum, 2007). Dit betekent dat

er informatie bij iemand terecht komt, die niet over deze informatie niet zou mogen

beschikken.

Bedrijfsvertrouwelijke informatie is gevoelige informatie voor de organisatie die een

bepaalde vorm van beveiliging behoeft (Spirovski, 2010). Om duidelijk te maken welke

informatie bedrijfsvertrouwelijk is en dus door het lekken ervan schade kan toebrengen

aan de organisatie, is in dit onderzoek de informatie in verschillende categorieën

onderverdeeld:

ttttabel 1:abel 1:abel 1:abel 1: Vormen van bedrijfsvertrouwelijke informatie (GAO, 2010 and Minier, 2004)

Persoonlijk Namen

Geboortedata

Creditcardgegevens

Patiënt gebonden informatie

Strategisch en commercieel Trade secrets

Klantenlijsten

Onderzoeksdocumenten

Marketing-, product- en procesplannen

Financiële- en budgetgegevens

Beveiliging Beveiligingsmaatregelen

11

Informatie is een alomvattend begrip en wordt vaak verkozen ter vervanging van de

woorden kennis en data. Omdat er wel degelijk verschil tussen deze drie begrippen bestaat

en dat ook van belang is bij het lekken van informatie wordt er nu toch onderscheid in

gemaakt. In het onderzoek zal er gebruik worden gemaakt van de term informatie.

Wanneer deze term wordt gebruikt, omvat het zowel data, informatie als kennis.

Data is de weergave van getallen, hoeveelheden, grootheden of feiten. Deze gegevens

worden vaak ‘hard’ genoemd, omdat er bijna niet aan getwijfeld kan worden. Denk hierbij

bijvoorbeeld aan het gegeven: 17 graden Celsius. Informatie, daarentegen, is zachter. Het

ontstaat wanneer iemand betekenis aan de data geeft. Informatie is bijvoorbeeld het

weerbericht, waarin weerman of -vrouw betekenis toekent aan de data die eerder is

verzameld of gezien. Kennis wordt omschreven als: ‘dat wat iemand in staat stelt een

bepaalde taak te vervullen door het situatieafhankelijk selecteren, interpreteren en

waarderen van informatie’ (Weggeman, 1997). Kennis wordt vaak gezien als dat wat

iemand weet en is opgeslagen in de hoofden van mensen. Het is de samenvoeging van

informatie, ervaringen, vaardigheden en attituden (Weggeman, 1997). In het voorbeeld

van het weerbericht, kan een persoon besluiten bepaalde kleding aan te trekken.

Kennis is uit te splitsen in expliciete en impliciete kennis (Boekhof, Ligthart, Vinkenburg &

Volz, 1996, Nonaka & Takeuchi, 1995). Expliciete kennis is kennis dat gecodificeerd is en

daarmee makkelijk overgedragen kan worden aan iemand anders. Impliciete kennis is

kennis dat niet goed te delen is met anderen, bijvoorbeeld: intuïties, ingevingen en

voorgevoelens.

Zoals in de introductie is aangegeven zijn al veel bedrijven beschermd tegen het lekken

van informatie via IT-voorzieningen en via bepaalde processen (Ashenden, 2008). Alleen

bestaat er nog een groot risicofactor bij het lekken van bedrijfsvertrouwelijke informatie:

de mens. Volgens Kosutic is IT-beveiliging maar 50% onderdeel van de gehele

informatiebeveiliging. Het lekken van informatie veroorzaakt door de mens in de

organisatie wordt hierin vaak vergeten.

12

Zoals in de afbeelding hieronder te zien is, vormen zowel internen als externen van de

organisatie een bedreiging voor de bedrijfsvertrouwelijke informatie. Hiernaast bestaat er

nog een overlapping van deze twee groepen. Deze groep kan zowel intern als extern

worden beschouwd.

Internal threats External threats

afbeelding 1: Interne en externe bedreigingen (Echoworx, 2010)

Internen zijn personen werkzaam binnen de organisatie. Doordat zij geautoriseerde

toegang hebben tot alle informatie binnen de organisatie, vormen zij een grote bedreiging

voor bedrijfsvertrouwelijke informatie. Zij kunnen bewust en onbewust deze informatie

lekken.

Als een medewerker bewust informatie lekt, handelt hij doelgericht en doelbewust. Hij

doet het dus met kwaadwillende opzet. Voorbeelden hiervan zijn:

• Het verkopen of weggeven van documenten aan derden;

• Het vertellen van belangrijke ontwikkelingen binnen de organisatie aan de pers.

Hackers

Competitors

Espionage agents

Negligent employees

Malicious employees

Broken processes

Business partners

Contractors

Ex-employees

13

Bij het onbewust lekken van informatie, doet de medewerker dit zonder het besef voor de

daad. Degene doet het dus onbedoeld. Voorbeelden hiervan zijn:

• Documenten op de printer laten liggen die vertrouwelijke bedrijfsinformatie

bevatten;

• Het niet-gescheiden verwerken van bedrijfsvertrouwelijk afval;

• Het versturen van een e-mail met bedrijfsvertrouwelijke informatie naar een

verkeerde ontvanger;

• Verlies van gegevensdragers als een laptop of een usb-stick;

• Plaatsen van details over zakelijke activiteiten op een blog of community website

als LinkedIn en Facebook;

• Een vertrouwelijk gesprek voeren in een restaurant of trein over een geplande

overname of reorganisatie (Intelink, 2010);

• Het niet uitvoeren van de regels op het gebied van IT-voorzieningen (Homsher,

2010).

Externen zijn personen die niet werkzaam zijn binnen de organisatie, dus buiten de

organisatie opereren. Ook externen vormen een bedreiging voor de bedrijfsvertrouwelijke

informatie. Externen proberen bewust, dus met opzet, achter bepaalde informatie te

komen. Spionage is daar een voorbeeld van. Volgens de Van Dale betekent spionage: ‘het

stiekem onderzoeken en achterhalen van geheimen’. Vaak wordt dit door de concurrent

gedaan.

Daarnaast zijn het hacken van het systeem, het omkopen van medewerkers of het

proberen af te pakken van medewerkers en ze aan te nemen bij je eigen bedrijf een

bedreiging voor belangrijke informatie van een organisatie.

Verandering in de bedrijfsvoering maken onduidelijk wie intern of extern aan de

organisatie is en brengt daarom extra risico’s met zich mee. Bij het outsourcen van

bepaalde activiteiten, vormen voormalig buitenstaanders een onderdeel van de

organisatie. Zij zullen bijvoorbeeld toegang hebben tot bepaalde bestanden en contact

hebben met medewerkers binnen de organisatie. Ook contracten afgesloten met bepaalde

partijen, geven externen toegang tot bepaalde informatie. Ook zij kunnen zowel onbewust

als bewust informatie naar de onvertrouwelijke omgeving lekken.

Daarnaast vormt de dynamiek in het personeelsbestand een bedreiging voor de beveiliging

van bedrijfsvertrouwelijke informatie. Oud-werknemers nemen hun kennis en eventueel

belangrijke documenten of bestanden mee naar hun nieuwe werkgever. Zo komt deze

informatie gemakkelijk terecht bij de concurrent.

14

Het lekken van bedrijfsvertrouwelijke informatiedoor het menselijk handelen, kan als volgt

gedefinieerd worden: het lekken van bedrijfsvertrouwelijke informatie naar de

“onvertrouwelijke” omgeving, door zowel internen of externen van de organisatie, met of

zonder het besef voor de daad van het lekken.

De bescherming van bedrijfsvertrouwelijke informatie door het nemen van maatregelen op

het gebied van het menselijk handelen. Bijvoorbeeld:

• Het management zorgt voor het bewustwordingsproces bij werknemers van welke

informatie vertrouwelijk, minder vertrouwelijk en niet vertrouwelijk is;

• Regels over de behandeling van vertrouwelijke documenten en bestanden;

• Belangrijke documenten niet weggooien, maar in de versnipperaar doen;

• Geen documenten mee naar huis nemen;

• Alleen werknemers die daartoe bevoegd zijn, mogen beschikken over

bedrijfsvertrouwelijke informatie;

• In het contract staat vastgelegd dat bij het lekken van informatie sancties worden

genomen.

15

Een incident van het lekken van bedrijfsvertrouwelijke informatie kan zowel door een

interne als een externe veroorzaakt worden, en bewust of onbewust plaatsvinden. Van

deze bovenstaande vormen, vormt het intern-onbewust lekken een groot risico. De

medewerker is de persoon die toegang heeft tot alle of veel informatie en vormt daarmee

ook een risico voor het lekken ervan. Ondanks dit gegeven, zijn nog weinig bedrijven

ingespeeld op dit risico (McCue, 2008). Een veel gespeculeerde oorzaak is beschreven in de

afbeelding hieronder. Mensen zijn zich niet bewust van de belangrijkheid van bepaalde

informatie en gaan er daarom ook niet bewust mee om. Onopzettelijk leidt dit dan tot

informatielekkage.

afbeelding 2: Theoretisch model

16

Met de perceptie van de waarde van bedrijfsvertrouwelijke informatie wordt bedoeld of de

persoon bedrijfsvertrouwelijke informatie op de juiste waarde voor de organisatie weet in

te schatten.

De behandeling van bedrijfsvertrouwelijke informatie is de manier waarop de persoon met

bedrijfsvertrouwelijke informatie omgaat. Hiermee wordt de mate van zorgvuldigheid van

de behandeling van bedrijfsvertrouwelijke informatie bedoeld.

Het lekken van informatie is het verlies van vertrouwelijke informatie aan de

onvertrouwelijke omgeving. Het verwijst naar een incident waarbij de vertrouwelijkheid

van de informatie wordt geschonden (Information Security Forum, 2007). Dit betekent dat

er informatie bij iemand terecht komt, die niet over deze informatie niet zou mogen

beschikken.

17

Een betere perceptie van de waarde van bedrijfsvertrouwelijke informatie zal

leiden tot een betere behandeling van bedrijfsvertrouwelijke informatie.

De perceptie van de waarde van bedrijfsvertrouwelijke informatie is een belangrijke factor

bij de behandeling van deze informatie van een persoon. Wanneer de perceptie van de

bezitter van bedrijfsvertrouwelijke informatie een hoge belangrijkheid laat zien, zal deze

persoon zorgvuldiger met de informatie omgaan. De bezitter begrijpt de belangrijkheid van

de informatie en ziet het risico van het kwijtraken of het lekken van deze informatie.

Trainingen en uitleg over het ordenen van belangrijkheid van bedrijfsvertrouwelijke

informatie helpt deze perceptie te verbeteren (Minieri, 2004).

De juiste behandeling van bedrijfsvertrouwelijke informatie leidt tot minder

lekkage van bedrijfsvertrouwelijke informatie.

Dit verband houdt in dat, indien men zeer voorzichtig met bedrijfsvertrouwelijke

informatie omgaat, er een kleinere kans bestaat dat deze informatie onbewust uitlekt.

18

Het onderzoek naar de oorzaken en de gevolgen van het lekken van bedrijfsvertrouwelijke

informatie door het menselijk handelen is in delen opgezet. Door middel van

literatuuronderzoekzijn de oorzaken en gevolgen achterhaald. Ook is door het houden van

interviews met personen uit verschillende disciplines inzicht verkregen in dit thema.

Daarnaast is door panelleden in een online onderzoeksforum deelgenomen aan het

empirische deel van het onderzoek.

In het onderzoeksforum zijn aan deelnemers vragen gesteld over een lekincident dat zij in

hun werkomgeving hebben meegemaakt. Er is gevraagd naar welke oorzaken en gevolgen

bij dit incident van toepassing waren en of er andere oorzaken een rol speelden. Zo zijn

oorzaken en gevolgen die niet gevonden zijn in de literatuur maar wel naar voren zijn

gekomen in de praktijkvragen gebruikt bij de beantwoording van de onderzoeksvraag.

Daarnaast is hieruit gebleken welke oorzaken en gevolgen het meest voorkomen bij een

incident.

4 4 Door wie werd het incident veroorzaakt? Internen van de organisatie

Externen van de organisatie

Weet ik niet

5 Is er expres of per ongeluk

bedrijfsvertrouwelijke informatie gelekt?

Expres

Per ongeluk

6 Welke van de volgende achterliggende

oorzaken hebben een rol gespeeld bij het

incident?

Slechte arbeidsverhoudingen

Reorganisatie

Problemen in de privésfeer

Ontevredenheid over

arbeidsvoorwaarden

Discriminatie

Onzorgvuldigheid

19

4 7 Welke persoonlijke gevolgen heeft het

incident gehad?

Ontslag werknemer(s)

Ontslag management/directie

Identiteitsdiefstal

Privacyschending

8 Welke gevolgen heeft het incident gehad

voor de organisatie in kwestie?

Imagoschade

Verlies van concurrentievoordeel

Lagere marktwaarde/aandeelprijzen

Boetes van privacyregulerende

instanties

Compensatiekosten slachtoffers

Op de website www.infoleakage.com hebben mensen zich ingeschreven om panellid te

worden en deel te nemen aan het onderzoek naar de oorzaken en de gevolgen van het

lekken van bedrijfsvertrouwelijke informatie. De website is gelanceerd op 25 januari 2011.

Een belangrijk onderdeel van het aanmelden was het online formulier: Profiel Panelleden.

Na het aanmelden en invullen van het formulier werden de deelnemers gedurende één

maand, vier maal benaderd voor het invullen van de enquêtevragen.

Een kleine meerderheid van de panelleden is vrouw, de gemiddelde leeftijd is 39 en de

hoogst genoten opleiding is bij de meeste panelleden HBO en WO. De sector waar de

meeste panelleden in werken zijn de zakelijke dienstverlening en media. De veel

voorkomende functies zijn advies/beleid, commercieel/verkoop, marketing/communicatie

en medisch/zorg. Een grote meerderheid werkt in loondienst en is werkzaam op het niveau

van medewerker met een contract voor onbepaalde tijd. De tijd dat men werkzaam is in

de huidige organisatie en de tijd dat ze op dezelfde functie werken en of ze bij een MKB-

bedrijf werken is relatief gelijk verdeeld.

20

accounting/controlling

beveiliging/bewaking

cultuur/recreatie/sport

farmaceutisch/gezondheidszorg

industrie/techniek

juridische dienstverlening

maatschappelijke dienstverlening

media

onderwijs

reclame/pr/communicatie

zakelijke dienstverlening

03

01

01

02

02

03

05

02

04

08

02

02

01

02

11

09

06

07

07

03

19

tabel 2: panelleden werkzaam in sectoren - in %

advies/beleid

arbeidsbemiddeling

automatisering/ict

beveiliging

receptie/call center

commercieel/verkoop

directie/management

financieel/economisch

horeca/detailhandel

inkoop/logistiek

marketing/communicatie

medisch/zorg

onderwijs/onderzoek

p&o/training

productie/uitvoerend

techniek

15

01

07

02

01

12

08

03

02

02

16

17

06

03

04

01

tabel 3: panelleden werkzaam in functie - in %

21

Om het verband tussen de drie variabelen te testen, is een enquête opgesteld. Deze is

online afgenomen en bestond uit verschillende rondes:

1 Perceptie van de waarde van bedrijfsvertrouwelijke informatie.

2 Behandeling van bedrijfsvertrouwelijke informatie.

3 Beleid t.a.v. de behandeling van bedrijfsvertrouwelijke informatie.

De theoretische concepten, i.c. perceptie en behandeling, zijn met de volgende variabelen

geoperationaliseerd:

1 1 Ik weet welke bedrijfsinformatie zeer vertrouwelijk of minder

vertrouwelijk is.

2 Ik vind het moeilijk om goed in te schatten of een document

bedrijfsvertrouwelijke informatie bevat.

3 Ik vind het lastig om documenten in te delen in vertrouwelijk en

openbaar.

4 Het is mij bekend welke gevolgen het kan hebben wanneer ik

bedrijfsvertrouwelijke informatie deel met derden.

5 Bij de beoordeling van bedrijfsvertrouwelijke informatie volg ik mijn

intuïtie.

6 Ik vind het moeilijk om in the schatten of de kennis die ik heb over mijn

organisatie vertrouwelijk is.

Situatievragen

22

Om te testen of de deelnemer werkelijk kan inschatten welke informatie

bedrijfsvertrouwelijk is en welke niet, zijn tevens situatievragen toegevoegd (zie

onderdeel 6 van deze Management Summary).

2 1 Ik weet wat ik wel en niet mag doen met bedrijfsvertrouwelijke informatie.

2 In gesprekken met externen ben ik me niet bewust van welke informatie ik

kan delen.

3 Bij het gebruik van bedrijfsvertrouwelijke informatie volg ik mijn intuïtie.

4 Ik weet niet welke informatie ik mag delen met mijn collega’s.

5 Ik heb een keer documenten met belangrijke informatie onbeheerd

achtergelaten.

7 Ik voer wel eens een zakelijk (telefoon)gesprek op een openbare locatie.

8 Ik heb wel eens een e-mail met belangrijke informatie per ongeluk naar de

verkeerde ontvangen verzonden.

10 Ik gooi documenten met bedrijfsvertrouwelijke informatie in de prullenbak.

11 Ik ben wel eens een gegevensdrager verloren.

1 7 Ik heb een keer, op wat voor manier dan ook, informatie overgedragen

aan een persoon die daar niet over mocht beschikken.

2 6 Ik heb een keer bedrijfsvertrouwelijke informatie met iemand gedeeld

waar ik later spijt van had.

9 Ik wel eens per ongeluk en op wat voor manier dan ook, informatie

overgedragen aan een persoon die daar niet over mocht beschikken.

3 8 Ik heb wel eens informatie doorgespeeld aan derden, waarvan ik niet

zeker wist of ze daarover mochten beschikken.

23

Er is bij de enquête rekening gehouden met mogelijke andere variabelen die het verband

tussen de perceptie van de waarde van bedrijfsvertrouwelijke informatie en de

behandeling van bedrijfsvertrouwelijke informatie kan verklaren; dit fenomeen heet

schijnsamenhang. Het testen van schijnsamenhang is gebeurd door de andere variabelen

constant te houden. Deze variabelen bestonden uit: sector, functie, niveau van functie,

contractvorm, tijd werkzaam in huidige organisatie, tijd werkzaam op huidige functie,

opleiding, geslacht, leeftijd, grootte van de organisatie en welke provincie men werkzaam

is.

profiel 1 In welke sector ben u werkzaam?

2 In welke functie bent u werkzaam?

3 In welk dienstverband ben u werkzaam?

4 Op welk niveau bent u werkzaam?

5 Wat voor soort contract heeft u?

6 Hoe lang bent u werkzaam bij u huidige bedrijf?

7 Hoe lang bent u werkzaam op u huidige functie?

8 Wat is uw hoogst genoten opleiding?

9 Geslacht.

10 Leeftijd.

11 Behoort de organisatie waar u werkzaam bent tot het MKB?

12 Binnen welke provincie bent u werkzaam?

24

Daarnaast is er gekeken naar of de organisatie, waarin de deelnemer van het onderzoek

werkzaam is, een beleid op het gebied van het beveiligen van informatie voor het

menselijk handelen heeft geïmplementeerd.

3 1 Er bestaat binnen mijn organisatie een ICT-beleid voor het beveiligen van

bedrijfsvertrouwelijke informatie.

2 Als ik onbedoeld bedrijfsvertrouwelijke informatie ben kwijtgeraakt, dan

kan ik dit melden bij iemand binnen mijn organisatie die hiermee belast is.

3 Ik word door mijn organisatie gewezen op hoe ik moet omgaan met

bedrijfsvertrouwelijke informatie.

4 Ik kan bij twijfel over de vertrouwelijkheid van een document hierover

advies inwinnen binnen mijn organisatie

5 Mijn organisatie wijst mij erop wat bedrijfsvertrouwelijke informatie is.

6 Er is een beleid binnen mijn organisatie om personeel zorgvuldig met

bedrijfsvertrouwelijke informatie om te laten gaan.

25

Het lekken van bedrijfsvertrouwelijke informatie kan worden veroorzaakt door zowel

internen als externen van de organisatie èn zowel bewust als onbewust. Het onbewust

lekken door internen van een organisatie vormt de primaire focus van dit onderzoek en

wordt uitvoerig in het volledige verslag behandeld: hoofdstuk Empirisch Onderzoek –

Onbewust Lekken door Medewerkers. De oorzaken van andere vormen van lekken van

bedrijfsvertrouwelijke informatie die uit het onderzoek naar voren komen, zijn hieronder

samengevat.

Tijdens het onderzoek is, in ronde 4 van de enquête, aan de panelleden gevraagd of ze wel

eens een lekincident hebben meegemaakt en wat hiervan de oorzaken en de gevolgen

waren: 17,5% van de panelleden zegt nog nooit een lekincident te hebben meegemaakt.

32% geeft aan dat ze één keer een lekincident hebben meegemaakt en maar liefst 50,2%

heeft meerdere malen een lekincident meegemaakt.

Nooit

Eén keer

Meerdere malen

18

32

50

tabel 4: Lekincidenten meegemaakt - in %

26

Tevens zijn vervolgvragen over de aard van de lekincidenten door de panelleden

beantwoord. Van deze groep panelleden geeft 97,2% aan dat de veroorzaker van het

lekincident een interne van de organisatie was. In 44,3% van de gevallen werd er bewust

informatie gelekt en in 55,7% van de gevallen gebeurde dat onbewust.

Extern

Intern

03

97

tabel 5: Lekincidenten: Intern of

Extern - in %

Bewust

Onbewust

44

56

tabel 6: Lekincidenten: Bewust of

Onbewust - in %

27

In de hiernavolgende tabel staat per oorzaak aangegeven hoeveel panelleden deze hebben

aangevinkt als een van de oorzaken of als de oorzaak van het lekincident. Opvallend is dat

98,6% van de panelleden hebben aangegeven dat onzorgvuldigheid een van de grootste

oorzaken is. Zelfs wanneer een interne bewust informatie heeft gelekt, kan

onzorgvuldigheid hieraan ten grondslag liggen. Dit kan verklaard worden doordat

ontevreden werknemers minder in het belang van hun werkgever handelen en hierdoor

onzorgvuldiger te werk gaan.

Daarnaast zijn arbeidsverhoudingen (55%), reorganisaties (43%) en arbeidsvoorwaarden

(49%) belangrijke oorzaken van een lekincident. Dit impliceert dat de werkgever direct

invloed heeft op het voorkomen van het lekken van bedrijfsvertrouwelijke informatie.

Arbeidsverhoudingen

Reorganisatie

Privé

Arbeidsvoorwaarden

Discriminatie

Onzorgvuldigheid

Anders

55

43

32

49

03

99

03

tabel 7: Oorzaken lekincidenten - in %

28

In deze studie is uitgebreid onderzoek gedaan naar een aanvullende oorzaak van het

lekken van bedrijfsvertrouwelijke informatie: het zich niet of onvoldoende bewust zijn van

het belang van de informatie en de gevolgen hiervan op de behandeling van

bedrijfsvertrouwelijke informatie. Zo blijkt uit dit onderzoek, dat men bij het bepalen van

de waarde van bedrijfsvertrouwelijke informatie en de behandeling ervan vooral uitgaat

van de eigen intuïtie.

Een uitgebreide analyse van deze oorzaak op basis van de antwoorden die panelleden

hebben gegeven op de vragen die hierover gesteld zijn, is te vinden in onderdeel 6 van

deze management samenvatting.

Volledig mee eens

Eens

Redelijk mee eens

Neutraal

09

54

14

09

tabel 8: Vragenronde 1: Bij de beoordeling van bedrijfsvertrouwelijke informatie volg ik

mijn intuitie - in %

Volledig mee eens

Eens

Redelijk mee eens

Neutraal

06

58

26

05

tabel 9: Vragenronde 2: Bij het gebruik van bedrijfsvertrouwelijke informatie volg ik

mijn intuitie - in %

29

Hieronder zijn de oorzaken die voortkomen uit het onderzoek naar het lekken van

bedrijfsvertrouwelijke informatie schematisch weergeven:

Informatielekken door Internen en Bewust uitgevoerd. Werkgerelateerde problemen

Niet-werkgerelateerde problemen

Moraal van de medewerker

Informatielekken door Internen en Bewust of Onbewust

uitgevoerd.

Economische situatie

Bedrijfscultuur

Lage loyaliteit (nieuwe werkvormen)

Regionale of nationale cultuur

Onvoldoende beleid t.a.v.

informatiebeveiliging

Informatielekken door zowel Internen als Externen Lage loyaliteit (nieuwe werkvormen)

Onvoldoende beleid t.a.v.

informatiebeveiliging

Informatielekken door Externen Toename concurrentie in de markt

Onvoldoende beleid t.a.v.

informatiebeveiliging

30

De gevolgen van het lekken van bedrijfsvertrouwelijke informatie hangen af van het type

data dat gelekt is. De Security Incident investigation working Group (2010) heeft de

gelekte data verdeeld in basis informatie, economische informatie en privacy-informatie.

Het lekken van deze informatie hebben zij vergeleken met het effect op economisch

verlies en emotioneel leed, hieruit is de Economic-Privacy Map voortgekomen. Hiermee

kan men een globale inschatting maken van de te verwachten gevolgen van de informatie

die gelekt is.

afbeelding 3: Economic Privacy map

(Security Incident investigation working Group, 2010)

De verdeling wordt gemaakt tussen economisch verlies en emotioneel leed als gevolg van

een lekincident. Dit komt grotendeels overeen met de verdeling in dit onderzoek.

Economisch verlies is voornamelijk een gevolg voor de organisatie in kwestie en emotioneel

leed een persoonlijk gevolg. Dit onderzoek heeft gekozen om een onderscheid te maken

tussen persoonlijke gevolgen en de gevolgen voor de organisatie (Vliet, 2009). De verdeling

van types informatie zal binnen dit onderzoek hetzelfde blijven als bepaald in onderdeel 2

van deze Management Samenvatting:

• Persoonlijk;

• Strategisch/commercieel;

• Beveiliging.

Basic

information

Economic information

Privacy

information

31

Naar de gevolgen is gevraagd in de enquête. Hieronder staat een tabel waarin de

resultaten van de toetsing naar de persoonlijke gevolgen van het lekken van

bedrijfsvertrouwelijke informatie staan vermeld.

Wat hier naar voren komt is dat het ontslag van de werknemer of meerdere werknemers en

privacy-schending de meest voorkomende persoonlijke gevolgen zijn. Daarnaast worden

drie andere gevolgen gegeven:

• Waarschuwing/aanzegging;

• Berisping van de veroorzaker;

• Betaling van een schadevergoeding aan de slachtoffers waarvan de privacy is

geschonden.

Ontslag werknemer

Ontslag management

Identiteitsdiefstal

Privacyschending

44

17

13

41

tabel 10: persoonlijke gevolgen - in %

32

Bovenstaande tabel laat de resultaten zien van de toetsing naar de gevolgen voor de

organisatie bij het lekken van bedrijfsvertrouwelijke informatie.

De eerste drie gevolgen in de tabel; imagoschade, verlies van concurrentievoordeel en

vertrouwensverlies worden aangegeven als veel voorkomende gevolgen. Dit in tegenstelling

tot de directe financiële gevolgen als de boetes en compensatiekosten. Opvallend is ook

dat de lagere marktwaarde en lagere aandeelprijzen niet als grootste gevolg uit de

enquête komen. Dit komt overeen met eerdere onderzoeken, die in het onderzoek zijn

beschreven.

Imagoschade

Verlies van concurrentievoordeel

Vertrouwensverlies

Lagere marktwaarde of aandeelprijzen

Boetes van privacyregulerende instanties

Compensatiekosten

60

51

61

31

16

09

tabel 11: gevolgen organisatie - in %

33

Hieronder zijn de gevolgen die voortkomen uit het onderzoek naar het lekken van

bedrijfsvertrouwelijke informatie schematisch weergeven:

Ontslag werknemer(s) Imagoschade

Ontslag management of directie leden Verlies van concurrentievoordeel

Identiteitsdiefstal Vertrouwensverlies bij (potentiele) klanten

Privacyschending Lagere marktwaarde/lagere aandeelprijzen

Schadevergoeding Boetes van privacyregulerende instanties

Waarschuwing/berisping Compensatiekosten aan slachtoffers

34

Dit onderdeel behandelt het onbewust lekken door internen van een organisatie. De twee

hypotheses uit onderdeel 2 van deze Management Summary, worden getest en

geanalyseerd aan de hand van de onderzoeksresultaten. Bovendien worden de resultaten

van het onderzoek naar de relatie tussen ‘perceptie van de waarde van

bedrijfsvertrouwelijke informatie’, ‘behandeling van bedrijfsvertrouwelijke informatie’ en

‘lekkage van bedrijfsvertrouwelijke informatie’ beschreven.

Het gemiddelde (van 4,5) geeft aan dat men neutraal tot redelijk eens is met de positieve

stellingen in de enquête. Men kan dus redelijk bedrijfsvertrouwelijke informatie op de

juiste waarde inschatten. Maar de hoge standaarddeviatie laat zien dat er een grote

verscheidenheid bestaat in de antwoorden. De ene persoon geeft aan dat hij dat niet echt

kan, terwijl de ander aangeeft dat hij dat precies weet.

De situatievragen checken deze uitkomst. In de verschillende opgestelde situaties dienden

de panelleden aan te geven of de informatie wel of niet bedrijfsvertrouwelijk was. De

uitslag is als volgt:

Percentage panelleden dat “ja”

antwoordde.

78 69 16 56

Percentage panelleden dat “nee”

antwoordde.

23 31 84 44

Correcte antwoord ja ja nee Ja

35

Er blijkt dat bij de eerste drie situaties de verschillende vormen van informatie

overduidelijk wel of niet vertrouwelijk zijn en dat ook zo is beoordeeld door de

panelleden.

Het personeelsdossier en kennis over het nieuwe product (situatievragen 1 & 2) zijn

duidelijk bedrijfsvertrouwelijk. Alhoewel nog 20 tot 30 procent deze vormen van

informatie als niet bedrijfsvertrouwelijk beschouwt. Deze personen vormen een risico voor

de organisatie.

Het werkrooster (situatievraag 3) wordt duidelijk beoordeeld als niet vertrouwelijk en over

het klachtendossier (situatievraag 4) zijn de percepties verdeeld.

Het klachtendossier is duidelijk bedrijfsvertrouwelijk, omdat deze naast persoonlijke

informatie ook belangrijke informatie bevat over de organisatie, producten en inhoudelijke

specificaties. Er bestaan dus grote grijze gebieden bij de beoordeling van

bedrijfsvertrouwelijke informatie.

Situatievraag 1: personeelsdossier

Situatievraag 2: productkennis

Situatievraag 3: werkrooster

Situatievraag 4: klachtendossier

23

31

16

44

tabel 12: perceptie van de waarde van bedrijfsvertrouwelijke informatie - foutieve

antwoorden - in %

36

Bij de toetsing van de behandeling van bedrijfsvertrouwelijke informatie kan dezelfde

conclusie getrokken worden als bij de variabele “perceptie”. Men is neutraal tot aan

redelijk eens met deze stelling. Ook bij de toetsing van deze stelling blijkt dat de

standaarddeviatie relatief hoog is.

Op de situatievragen is het volgende geantwoord:

Percentage panelleden dat

“ja” antwoordde.

69 78 60 42 52

Percentage panelleden dat

“nee” antwoordde.

31 22 40 58 48

Correcte antwoord ja ja nee ja -

Ondanks dat er uit de eerste vraag naar de behandeling blijkt dat men redelijk weet hoe

ze met bedrijfsvertrouwelijke informatie om moeten gaan, laat de volgende tabel zien dat

een groot aantal panelleden wel eens onzorgvuldig met bedrijfsvertrouwelijke informatie

is omgegaan.

37

Zo heeft 69% van de panelleden wel eens documenten met belangrijke informatie

onbeheerd achtergelaten, heeft 78% van de panelleden wel eens een vertrouwelijk,

zakelijk telefoongesprek op een openbare locatie gevoerd, heeft 60% wel eens een e-mail

met belangrijke informatie naar de verkeerde ontvanger gestuurd, gooit 42% van de

panelleden documenten met bedrijfsvertrouwelijke informatie in de prullenbak en heeft

52% van de panelleden een keer een gegevensdrager met bedrijfsvertrouwelijke informatie

verloren.

Het lekken van bedrijfsvertrouwelijke informatie via social media als LinkedIn, Facebook

en Hyves is tevens onderzocht. Van de panelleden geeft 40% aan wel eens een bericht te

hebben geplaatst dat bedrijfsvertrouwelijke informatie bevatte.

Ik heb een keer bedrijfsvertrouwelijke documenten

onbeheerd achtergelaten

Ik voer wel eens een zakelijk gesprek op een

openbare locatie

Ik heb wel eens een e-mail met

bedrijfsvertrouwelijke informatie naar een…

Ik gooi documenten met bedrijfsvertrouwelijke

informatie in de prullenbak

Ik ben wel eens een gegevensdrager verloren

69

78

60

42

52

tabel 13: behandeling van bedrijfsvertrouwelijke informatie - in %

Nee

Ja

60

40

tabel 14: Ik heb een keer een bericht met bedrijfsvertrouwelijke

informatie geplaatst op een sociaal netwerk (LinkedIn, Facebook, Hyves)

- in %

38

In het onderzoek is vier keer en op verschillende manieren aan de panelleden gevraagd of

ze wel eens bedrijfsvertrouwelijke informatie aan iemand hebben overgedragen die daar

niet over zou mogen beschikken.

Percentage panelleden dat “ja”

antwoordde.

46 43 49 55

Percentage panelleden dat “nee”

antwoordde.

54 57 51 45

Bij elke vraag is de verdeling op de antwoorden “ja” en “nee”, ongeveer 50%. Dit betekent

dat 50% van de panelleden bij iedere vraag aangeeft bedrijfsvertrouwelijke informatie te

hebben gelekt.

Ronde 1

Ronde 2

Ronde 2

Ronde 3

46

43

49

55

tabel 15: Ik heb wel eens een keer bedrijfsvertrouwelijke informatie aan

iemand overgedragen die hier niet over mocht beschikken - in %

39

Het onderzoek toont aan dat men bij het bepalen van de waarde van de

bedrijfsvertrouwelijke informatie en in de omgang met bedrijfsvertrouwelijke informatie

uitgaat van de persoonlijke intuïtie in plaats van bestaande regels in de organisatie.

Tegelijkertijd wijst het onderzoek uit dat er grote onduidelijkheden bestaan bij

medewerkers bij de beoordeling van bedrijfsvertrouwelijke informatie. De enquêtevragen

laten zien dat men zichzelf prima in staat acht deze beoordeling correct te doen, terwijl

de situatievragen (praktijk) uitwijzen dat dit vaak incorrect gebeurt.

Bovendien wijst het onderzoek uit dat er een positieve relatie bestaat tussen de perceptie

van de waarde van bedrijfsvertrouwelijke informatie en de behandeling van

bedrijfsvertrouwelijke informatie. Dat betekent dat wanneer iemand

bedrijfsvertrouwelijke informatie beter op waarde weet in te schatten, hij daar ook

zorgvuldiger mee om zal gaan en de kans op het lekken van bedrijfsvertrouwelijke

informatie aanzienlijk zal afnemen.

De getoetste hypotheses worden op basis van dit onderzoek en de analyse aangenomen:

Een betere perceptie van de waarde van bedrijfsvertrouwelijke informatie zal

leiden tot een betere behandeling van bedrijfsvertrouwelijke informatie.

De perceptie van de waarde van bedrijfsvertrouwelijke informatie is een belangrijke factor

bij de behandeling van deze informatie van een persoon. Wanneer de perceptie van de

bezitter van bedrijfsvertrouwelijke informatie een hoge belangrijkheid laat zien, zal deze

persoon zorgvuldiger met de informatie omgaan. De bezitter begrijpt de belangrijkheid van

de informatie en ziet het risico van het kwijtraken of het lekken van deze informatie.

Trainingen en uitleg over het ordenen van belangrijkheid van bedrijfsvertrouwelijke

informatie helpt deze perceptie te verbeteren (Minieri, 2004).

De juiste behandeling van bedrijfsvertrouwelijke informatie leidt tot minder

lekkage van bedrijfsvertrouwelijke informatie. Dit verband houdt in dat, indien men zeer

voorzichtig met bedrijfsvertrouwelijke informatie omgaat, er een kleinere kans bestaat dat

deze informatie onbewust uitlekt.

40

Het onderzoek naar het onbewust lekken door medewerkers verklaart beide hypotheses.

Het laat zien dat er gewerkt moet worden aan de perceptie van bedrijfsvertrouwelijke

informatie bij de werknemers, zodat ze deze op de juiste waarde kunnen inschatten en

correct kunnen behandelen.

Daarnaast laten de resultaten zien dat een betere behandeling van bedrijfsvertrouwelijke

informatie leidt tot minder informatielekkage. Een eenvoudig en zeer effectief middel

voor het verbeteren van de perceptie en behandeling van bedrijfsvertrouwelijke

informatie is het uitvoeren van een bewustwordingscampagne, waarbij werknemers

worden gewezen op wat bedrijfsvertrouwelijke informatie is en hoe men er mee om moet

gaan. De behoefte aan dergelijke programma’s wordt bevestigd door het onderzoek:

Volledig mee eens

Eens

Redelijk mee eens

Neutraal

52

35

12

01

tabel 16: Ik vind het noodzakelijk om medewerkers binnen mijn organisatie bewust te

laten maken van hoe het lekken van bedrijfsvertrouwelijke informatie voorkomen kan

worden - in %

Nee

Ja

81

19

tabel 17: Mijn organisatie wijst mij erop

wat bedrijfsvertrouwelijke informatie is - in

%

Nee

Ja

72

28

tabel 18: Ik word door mijn

organisatie gewezen op hoe ik om

moet gaan met bedrijfsvertrouwelijke

informatie - in %

41

Sinds het ontstaan van een digitale wereld wordt er steeds vaker de nadruk gelegd op het

beveiligen van informatie. In de laatste jaren is, naast de focus op de beveiliging van de

techniek, ook de beveiliging van informatie door het menselijk handelen punt van

aandacht. Het voorkomen van informatielekkage door de automatisering en door de mens

is een belangrijk onderwerp binnen organisaties. Om organisaties hierbij te helpen zijn er

al verschillende standaarden en normen ontwikkeld, zoals Standard BS 7799 en ISO 27001.

Deze standaarden dwingen het management keuzes van maatregelen voor

informatiebeveiliging te maken, zodat de optimale balans tussen de geïmplementeerde

beveiligingsmaatregelen en het te investeren geld wordt behaald (Ashenden, 2008). Door

het gebrek aan geld, maar ook door een teveel aan maatregelen, kunnen niet alle

maatregelen worden geïmplementeerd in de organisatie. De maatregelen worden

gebaseerd op de risico’s, de juridische en contractuele eisen van bijvoorbeeld de overheid

en partners en regels voor informatieverwerking die van toepassing zijn op de processen

binnen de organisatie (Knowledgeleader.com, 2003).

Een onderdeel in het bepalen van maatregelen tegen informatielekkage is de

Risicoanalyse, dit zal uitgelegd worden aan de hand van een stappenplan. Dit stappenplan

bevat ook de andere belangrijke stappen:

• Identificatie van kwetsbare informatie;

• Identificatie van risico’s;

• Bepalen van beveiligingsrisico’s;

• Implementatie van het beveiligingsbeleid;

• Evaluatie van het beveiligingsbeleid.

42

Onderstaande afbeelding bestaat uit de vijf stappen die belangrijk zijn voor het beveiligen

van bedrijfsvertrouwelijke informatie.

afbeelding 4: Stappenplan beveiligen bedrijfsvertrouwelijke informatie

De eerste stap is het identificeren van kwetsbare informatie voor de organisatie.

Kwetsbare informatie is de informatie die je als bedrijf bij je wilt houden en die niet

gelekt mag worden omdat de negatieve gevolgen daarvan te groot zijn voor de organisatie.

Het identificeren van deze informatie helpt om de grootte van de informatie te bepalen

die beveiligd moet worden en helpt om gerichte beveiligingsmaatregelen te bepalen (ASIS

international, 2007). Daarnaast zorgt een classificatie van deze informatie ervoor dat men

het makkelijker kan beveiligen (Al-Faresi, Alazzawe, Alazzwe & Wijesekera, 2010). Een

classificatie is het waarderen van de informatie in categorieën van vertrouwelijk tot aan

niet-vertrouwelijk.

43

De tweede stap is het bepalen van de risico’s, oftewel de risicoanalyse. ‘Het risico wordt

gedefinieerd als: de kans dat de belangrijke informatie wordt gelekt maal de kosten die

gemaakt moeten worden om het op te lossen’ (T. Nijssen, persoonlijke mededeling, 8

februari 2011). Naast de financiële schade, moet hier ook de niet-financiële schade in op

worden genomen, bijvoorbeeld imagoschade (Knowledgeleader.com, 2003). Het is dus de

impact die het lekken van de bedrijfsvertrouwelijke informatie, bepaald in stap één, kan

hebben voor de organisatie.

De tweede stap is het bepalen van de risico’s, oftewel de risicoanalyse. ‘Het risico wordt

gedefinieerd als: de kans dat de belangrijke informatie wordt gelekt maal de kosten die

gemaakt moeten worden om het op te lossen’ (T. Nijssen, persoonlijke mededeling, 8

februari 2011). Naast de financiële schade, moet hier ook de niet-financiële schade in op

worden genomen, bijvoorbeeld imagoschade (Knowledgeleader.com, 2003). Het is dus de

impact die het lekken van de bedrijfsvertrouwelijke informatie, bepaald in stap één, kan

hebben voor de organisatie.

In stap vier gaat het om de implementatie van het beveiligingsbeleid. Om de maatregelen

voor het voorkomen van informatielekkage succesvol in te voeren is het belangrijk dat het

management er achter staat en als een leider fungeert, het nieuwe beleid duidelijk wordt

gecommuniceerd naar de gehele organisatie en dat elke medewerker zich wil binden aan

de nieuwe regels (KPMG International, 2009). Effectieve implementatie is dus essentieel

om het beleid te laten slagen. Elke medewerker moet weten aan welke regels hij zich

moet houden en wat acceptabel en niet-acceptabel gedrag is. Wanneer er ‘grijze’

gebieden bestaan, ontstaat er onduidelijkheid onder de medewerkers en kan het

management de medewerkers niet op onacceptabel gedrag aanspreken of sanctioneren en

zal er geen duidelijke lijn binnen de organisatie bestaan voor de beveiliging van de

informatie (Colwill, 2009).

44

De laatste stap is de evaluatie van het beleid. In deze stap wordt er gekeken of de

maatregelen het gewenste effect hebben en of het beleid nog steeds up-to-date is.

Wanneer dit niet zo is, zal de organisatie weer opnieuw moeten beginnen met als doel de

bedrijfsvertrouwelijke informatie optimaal te beveiligen. De organisatie zal zo voortdurend

op zoek zijn naar manieren om het beleid te verfijnen en te verbeteren (KPMG

International, 2009).

Bij het beveiligen van bedrijfsvertrouwelijk informatie moet je je als organisatie constant

afvragen welke informatie je wilt beveiligen en of het de moeite (kostenpost) waard is om

deze informatie te beveiligen. Er dient een risicoanalyse gemaakt te worden om na te gaan

of de kosten en de schade van het lekken van bepaalde informatie opweegt tegen de

maatregelen die je als bedrijf wilt nemen.

De organisatie moet een afweging maken tussen de kosten voor de beveiliging en de

risico’s. Met behulp van het vijf stappenplan (identificatie van de kwetsbare informatie,

identificatie van risico’s, bepalen beveiligingsmaatregelen, implementatie van

beveiligingsbeleid, evaluatie van beveiligingsbeleid) kan de organisatie tot een

beveiligingsbeleid komen.

Belangrijk is dat de organisatie de risico’s erkent, er duidelijk leiderschap wordt getoond

bij de implementatie van het beleid en dat iedere medewerker zich aan het beleid bindt.

45

Bedrijfsvertrouwelijke informatie is gevoelige informatie voor de organisatie die:

• Strategisch/commercieel van belang is;

• Persoonlijke informatie bevat;

• Commercieel van belang is;

• Bestaat uit organisatie en productspecifieke eigenschappen;

• Onderhevig is aan bepaalde wet- en regelgeving, denk hierbij bijvoorbeeld aan de

medische gegevens van patiënten;

• Bij misbruik lasterlijk is.

De bescherming van bedrijfsvertrouwelijke informatie door het nemen van maatregelen op

het gebied van het menselijk handelen. Bijvoorbeeld:

• Het management zorgt voor het bewustwordingsproces bij werknemers van welke

informatie vertrouwelijk, minder vertrouwelijk en niet vertrouwelijk is;

• Regels over de behandeling van vertrouwelijke documenten en bestanden;

• Belangrijke documenten niet weggooien, maar in de versnipperaar doen;

• Geen documenten mee naar huis nemen;

• Alleen werknemers die daartoe bevoegd zijn, mogen beschikken over

bedrijfsvertrouwelijke informatie;

• In het contract staat vastgelegd dat bij het lekken van informatie sancties worden

genomen.

Schadevergoedingen.

Iemand doet zich voor als het slachtoffer, door middel van bijvoorbeeld creditcard

gegevens of andere persoonlijke informatie. Het slachtoffer kan hierdoor geassocieerd

worden met gebeurtenissen waar hij of zij niets mee te maken heeft.

46

Het beeld dat men van de organisatie heeft is veranderd in negatieve zin, ten opzichte van

het beeld dat men daarvoor van de organisatie had. Ook wel reputatieschade genoemd.

Personen die werkzaam zijn binnen de organisatie.

Personen die niet werkzaam zijn binnen de organisatie. Bijvoorbeeld: leveranciers,

partners, ex-collega’s en vrienden.

Middelen waarop digitaal opgeslagen gegevens kunnen worden bewaard. Bijvoorbeeld:

laptop, usb-stick, cd, dvd of memorycard.

De bescherming van bedrijfsvertrouwelijke informatie door het nemen van maatregelen op

het gebied van ICT. Bijvoorbeeld: netwerkinfrastructuren, firewalls, virusscanners en

gebruik van hard- en software.

Datgene wat je weet en jou in staat stelt om een bepaalde taak uit te voeren.

Het bedrag dat de organisatie opbrengt, wanneer het op dat moment verkocht zou

worden.

Een locatie waartoe iedereen toegang heeft. Bijvoorbeeld de trein of een restaurant.

Een overheidsorgaan die de wetgeving op het gebied van privacy waarborgt.

47

Aantasting van de privacy van personen. Bijvoorbeeld wanneer medische gegevens worden

gelekt en hierdoor onbevoegden toegang hebben tot deze informatie.

Een organisatie heeft een concurrentievoordeel, wanneer hij zich op dat moment op een

positieve manier kan onderscheiden van de concurrentie door bijvoorbeeld een

onderscheidend product of service op de markt brengen.

Deze kan verloren worden, als bijvoorbeeld een nieuw productidee uitlekt en hierdoor de

concurrent eerder met het product op de markt kan komen. Of wanneer het marketingplan

uitlekt en de concurrent hierop in speelt. De organisatie is zijn onderscheidende karakter

dan verloren in de markt.

De klant vindt de organisatie niet meer betrouwbaar.

Een persoon, bedrijf of organisatie met wie jij of jouw bedrijf door of in zaken mee in

relatie staat. Bijvoorbeeld: leveranciers, klanten, outsourcebedrijven en adviesbureaus.

48

Intelink is een onafhankelijk adviesbureau dat wordt vertegenwoordigd door adviseurs en

projectmanagers die ruime ervaring hebben opgedaan bij grote internationale

mediabedrijven, uitgeverijen, zakelijke dienstverleners en de overheid.

Intelink is gespecialiseerd in innovatieve security-oplossingen op het gebied van online

informatie- en reputatiemanagement: Corporate Intelligence & Security.

Intelink onderscheidt zich door een duidelijke focus op het creëren van bewustzijn en op

het menselijk handelen (awareness raising & human factors). Intelink begeeft zich hierdoor

op het snijvlak van IT en HR.

Het advieswerk en het projectmanagement verrichten wij voor kennisintensieve

organisaties (LE & SME). Deze organisaties kenmerken zich door een continue noodzaak tot

innovatie op het gebied van informatie- en reputatiemanagement. Intelink speelt hierbij

een belangrijke rol door het creëren van bewustzijn van de condities die leiden tot

ongewenst prijsgeven van bedrijfsvertrouwelijke informatie en de gevolgen daarvan en

door het verstrekken van hoogwaardig advies en het verrichten van effectieve awareness

campagnes.

Intelink heeft programma’s ontwikkeld die organisaties en medewerkers bewust(er) maken

van het werken met bedrijfsvertrouwelijke informatie. Deze producten zijn eenvoudig te

implementeren en leiden direct tot effectieve participatie van uw medewerkers in het

beschermen van uw bedrijfsvertrouwelijke informatie.

Enkele voorbeelden van onze producten en diensten zijn:

• Research & Publicaties;

• Congressen;

• Bedrijfsscans;

• Workshops;

Intelink ondersteunt bedrijven bij bewustwordingscampagnes door de verstrekking van

voorlichtings- en bewustwordingsmaterialen. Een voorbeeld hiervan zijn onze posters.

Deze zijn via onze website aan te vragen en te voorzien van b.v. uw organisatielogo of

tekst. Kijk voor meer informatie op: www.infoleakage.com/postercampagne.

Intelink

World Trade Center Rotterdam - 4th floor

Beursplein 37

3011 AA ROTTERDAM

Postbus 30006

3001 DA ROTTERDAM

T: 010-2053887

W: www.intelink.nl / www.infoleakage.com