Management Summary Informatielekken 2011 Intelink & TU DEF...2011”. Dit onderzoek, uitgevoerd door...
Transcript of Management Summary Informatielekken 2011 Intelink & TU DEF...2011”. Dit onderzoek, uitgevoerd door...
InformatielekkageInformatielekkageInformatielekkageInformatielekkage 2011201120112011 De oorzaken en de gevolgen van het lekken van De oorzaken en de gevolgen van het lekken van De oorzaken en de gevolgen van het lekken van De oorzaken en de gevolgen van het lekken van bedrijfsvertrouwelijke informatiebedrijfsvertrouwelijke informatiebedrijfsvertrouwelijke informatiebedrijfsvertrouwelijke informatie
Onderzoek verricht door Intelink in samenwerking met Tilburg University mei 2011
2
Eindredacteur: drs Serge dos Santos Gomes
Auteurs: I. Tanke, S. Kemps
Nederlands
Versie 1.0
Mei 2011
Copyright © Intelink alle rechten voorbehouden
Deze publicatie is tot stand gekomen door:
Intelink Tilburg
University
Ministerie van
ELI
InfoLeakage.com ENISA
3
Voor u ligt de samenvatting van de eerste uitgave van het onderzoek “Informatielekkage
2011”. Dit onderzoek, uitgevoerd door Intelink en Tilburg University, richt zich op de
oorzaken en de gevolgen van het lekken van bedrijfsvertrouwelijke informatie. De primaire
focus van het onderzoek ligt op het menselijke en vaak onbewuste handelen (the human
factor).
Prijsgeven van informatie, bewust of onbewust, kan tot schadelijke gevolgen leiden. Voor
bedrijven, instanties of individuen. Zowel zakelijk als persoonlijk. De beschermende
mogelijkheden van de technologie zijn begrensd. Het rapport dat is voortgekomen uit het
onderzoek en de analyse van de resultaten beschrijft de menselijke factor in een
wereldwijd transformatieproces naar transparantie en toegankelijkheid van informatie.
Maar juist die menselijke factor krijgt nog te weinig aandacht in organisaties.
De samenvatting die u voorligt zoomt in op de belangrijkste bevindingen van het
onderzoek, beschrijft de werkwijze en doet algemene aanbevelingen ter voorkoming van
het lekken van bedrijfsvertrouwelijke informatie.
In juni 2011 zal de volledige uitgave worden gepubliceerd:
In deze publicatie vindt u de onderzoeksresultaten en de analyse van deze resultaten
vanuit een aantal relevante perspectieven, waaronder juridisch, P&O, Psychologisch en
ICT.
Bovendien worden in de volledige uitgave praktische handvatten aangereikt om in uw
organisaties aan de slag te gaan met bewustwording onder medewerkers en het tegengaan
van het lekken van bedrijfsvertrouwelijke informatie door medewerkers.
Wij wensen u veel en inspiratievol leesplezier.
Serge dos Santos Gomes
managing director Intelink
4
pagina
Management Samenvatting 6
1. Inleiding 8
2. Theoretisch Kader 10
2.1 Terminologie literatuurstudie 10
2.2 Theoretisch kader empirisch
onderzoek
15
3. Operationalisatie 18
3.1 Literatuurstudie 18
3.2 Empirisch onderzoek 3.2.1 Online onderzoeksforum 19
3.2.2 Methode 21
4 Oorzaken 25
4.1 Resultaten online onderzoek 25
5 Gevolgen 30
5.1 Resultaten online onderzoek 5.1.1 Persoonlijke gevolgen 31
5.1.2 Gevolgen voor de organisatie 32
6 Empirisch onderzoek 34
6.1 Onbewust lekken door
medewerkers
6.1.1 Perceptie van de waarde van
bedrijfsvertrouwelijke
informatie
34
6.1.2 Behandeling van
bedrijfsvertrouwelijke
informatie
36
5
pagina
6.1.3 Lekkage van
bedrijfsvertrouwelijke
informatie
38
6.1.4 Perceptie, behandeling en
lekkage van
bedrijfsvertrouwelijke
informatie
39
7 Voorkomen van het lekken van
bedrijfsvertrouwelijke
informatie
41
7.1 Stappenplan 7.1.1 Identificatie 42
7.1.2 Risicoanalyse 43
7.1.3 Maatregelen 43
7.1.4 Implementatie 43
7.1.5 Evaluatie 44
Begrippenlijst 45
Over Intelink 48
6
Het lekken van bedrijfsvertrouwelijke informatie is een steeds actueler onderwerp. Er is
echter nog maar weinig onderzoek gedaan naar menselijke factoren die van invloed zijn op
de oorzaken van het lekken van bedrijfsvertrouwelijke informatie. Dit onderzoek
beantwoordt de volgende hoofdvraag:
Deze hoofdvraag wordt beantwoord aan de hand van de resultaten van twee
onderzoeksmethodes: literatuurstudie en empirisch onderzoek. Daarnaast zijn met
vertegenwoordigers uit verschillende, relevante disciplines interviews gehouden om inzicht
te krijgen in de trends en bewegingen rondom dit thema binnen deze disciplines.
De literatuurstudie focust op de oorzaken, de gevolgen en hoe men het lekken van
bedrijfsvertrouwelijke informatie kan voorkomen. Allereerst komen de oorzaken aan bod.
Voorts zal worden in gegaan op de oorzaken van het bewust en onbewust lekken van
bedrijfsvertrouwelijke informatie door een medewerker van een organisatie en worden
twee hypotheses getest.
Hierna zullen de gevolgen worden benoemd. Deze vallen uiteen in persoonlijke gevolgen
en de gevolgen voor de organisatie. Deze samenvatting besluit met een korte beschrijving
van algemene maatregelen die het lekken van bedrijfsvertrouwelijke informatie kunnen
voorkomen.
Het onderzoek toont aan dat de oorzaken bestaan uit: niet-werkgerelateerde problemen
en de moraal van de werknemer die er toe kunnen leiden dat de medewerker ontevreden
is, economische situatie, bedrijfscultuur, lage loyaliteit, regionale of nationale cultuur,
onvoldoende beleid ten aanzien van informatiebeveiliging en een toename van
concurrentie in de markt.
7
De gevolgen van het lekken van bedrijfsvertrouwelijke informatie zijn te verdelen in
persoonlijke gevolgen en gevolgen voor de organisatie.
Ontslag, identiteitsdiefstal, privacy schending, schadevergoeding en waarschuwingen en
berispingen zijn persoonlijke gevolgen die uit het onderzoek naar voren komen.
Als gevolgen voor de organisatie worden genoemd: imagoschade, verlies van
concurrentievoordeel, vertrouwensverlies, lagere marktwaarde/aandeelprijzen, boetes van
privacy regulerende instanties en compensatiekosten. Uit de resultaten van de enquête
blijkt dat imagoschade, verlies van concurrentievoordeel en vertrouwensverlies
aangegeven wordt als veel voorkomend gevolg. Dit in tegenstelling tot de lagere
marktwaarde/ lagere aandeelprijzen; dit wordt maar door dertig procent aangegeven als
gevolg.
Het onderzoek naar de oorzaken en de gevolgen van het lekken van bedrijfsvertrouwelijke
informatie door het menselijk handelen is in delen opgezet. Door middel van
literatuuronderzoek zijn de oorzaken en gevolgen achterhaald. Ook is door het houden van
interviews met personen uit verschillende disciplines inzicht verkregen in dit thema.
Daarnaast is door panelleden in een online onderzoeksforum deelgenomen aan het
empirische deel van het onderzoek.
8
“Werknemers in de Verenigde Staten worden steeds vaker ontslagen of geschorst als
gevolg van het lekken van vertrouwelijke informatie op internet”. Dit blijkt uit een
onderzoek uitgevoerd door Proofpoint (nu.nl, 2009).
Op 12 februari 2010 meldt het ANP, waarna vele kranten en tijdschriften, dat
contactgegevens van 170.000 werknemers en contractanten van Shell zijn uitgelekt naar
milieuorganisaties. Shell geeft aan dat oud medewerkers deze informatie bewust hebben
gelekt. In de laatste maanden heeft Shell veel mensen moeten ontslaan vanwege de
economische crisis (Elsevier, 2010).
“Grootste lek van militaire geheimen ooit op WikiLeaks” (nu.nl, 2010). Of de data
gestolen zijn door WikiLeaks of doorgespeeld door iemand van de US Army is nog
onbekend.
“Gegevens over F-16-deal op usb-stick op rommelmarkt”. Op de gegevensdrager staan
onder meer persoonlijke gegevens van militairen, informatie over onderhoud en sterke
en zwakke punten van de straaljagers. De usb-stick werd gekocht voor één euro.
(Volkskrant, 2011)
Bij een informatielek wordt nog vaak gedacht aan een fout in de technische beveiliging van
informatie. Maar zoals uit de voorgaande voorbeelden blijkt, ligt aan lekkage van
bedrijfsvertrouwelijke informatie niet in alle gevallen de techniek ten grondslag. Het
menselijke aspect wordt in de beveiliging van bedrijfsvertrouwelijke informatie vaak
vergeten (Williams, 2008). Hermans van KPMG IT Advisory zegt: “Mensen blijken nog altijd
de zwakste schakel in de keten”. Het is dan ook van groot belang om gedegen controle te
houden op werknemers die toegang hebben tot vertrouwelijke informatie (Gunst, 2010).
Volgens Kosutic (2010) bestaat er een verschil tussen het ‘beveiligen van informatie’ en
het ‘beveiligen van de IT’. De beveiliging van de IT is slechts een onderdeel van het
grotere geheel: de beveiliging van bedrijfsvertrouwelijke informatie. Deze beveiliging
omvat een systeem waarbinnen alle risico’s, zowel IT-gerelateerd als niet-IT-gerelateerd,
in kaart zijn gebracht. Bovendien zijn binnen de organisatie passende maatregelen
geïmplementeerd om onaanvaardbare risico’s en gevolgen te voorkomen.
9
Volgens Hoekstra (2010), hoogleraar personeelspsychologie aan de Rijksuniversiteit
Groningen en senior onderzoeker bij adviesbureau GITP, is het niet meer je werkgever
door dik en dun steunen en bij deze blijven.
Wat toeneemt, is tijdelijke loyaliteit. Nu is deze werkgever goed, maar als er straks weer kansen op de arbeidsmarkt ontstaan, beginnen ze weer te bewegen’ (interview met Domevscek, 2010). Een oud-werknemer geeft door deze verminderde loyaliteit gemakkelijker bedrijfsvertrouwelijke informatie door aan zijn nieuwe werkgever. Werknemers behoren ook tot de risicofactoren bij het lekken van strategische informatie.
De hoofdvraag luidt als volgt: Wat zijn de oorzaken en de gevolgen van het lekken van
bedrijfsvertrouwelijke informatie door het menselijk handelen voor organisaties en hoe
kan het voorkomen worden?
10
Het lekken van informatie is het verlies van vertrouwelijke informatie aan de
“onvertrouwelijke” omgeving. Het verwijst naar een incident waarbij de vertrouwelijkheid
van de informatie wordt geschonden (Information Security Forum, 2007). Dit betekent dat
er informatie bij iemand terecht komt, die niet over deze informatie niet zou mogen
beschikken.
Bedrijfsvertrouwelijke informatie is gevoelige informatie voor de organisatie die een
bepaalde vorm van beveiliging behoeft (Spirovski, 2010). Om duidelijk te maken welke
informatie bedrijfsvertrouwelijk is en dus door het lekken ervan schade kan toebrengen
aan de organisatie, is in dit onderzoek de informatie in verschillende categorieën
onderverdeeld:
ttttabel 1:abel 1:abel 1:abel 1: Vormen van bedrijfsvertrouwelijke informatie (GAO, 2010 and Minier, 2004)
Persoonlijk Namen
Geboortedata
Creditcardgegevens
Patiënt gebonden informatie
Strategisch en commercieel Trade secrets
Klantenlijsten
Onderzoeksdocumenten
Marketing-, product- en procesplannen
Financiële- en budgetgegevens
Beveiliging Beveiligingsmaatregelen
11
Informatie is een alomvattend begrip en wordt vaak verkozen ter vervanging van de
woorden kennis en data. Omdat er wel degelijk verschil tussen deze drie begrippen bestaat
en dat ook van belang is bij het lekken van informatie wordt er nu toch onderscheid in
gemaakt. In het onderzoek zal er gebruik worden gemaakt van de term informatie.
Wanneer deze term wordt gebruikt, omvat het zowel data, informatie als kennis.
Data is de weergave van getallen, hoeveelheden, grootheden of feiten. Deze gegevens
worden vaak ‘hard’ genoemd, omdat er bijna niet aan getwijfeld kan worden. Denk hierbij
bijvoorbeeld aan het gegeven: 17 graden Celsius. Informatie, daarentegen, is zachter. Het
ontstaat wanneer iemand betekenis aan de data geeft. Informatie is bijvoorbeeld het
weerbericht, waarin weerman of -vrouw betekenis toekent aan de data die eerder is
verzameld of gezien. Kennis wordt omschreven als: ‘dat wat iemand in staat stelt een
bepaalde taak te vervullen door het situatieafhankelijk selecteren, interpreteren en
waarderen van informatie’ (Weggeman, 1997). Kennis wordt vaak gezien als dat wat
iemand weet en is opgeslagen in de hoofden van mensen. Het is de samenvoeging van
informatie, ervaringen, vaardigheden en attituden (Weggeman, 1997). In het voorbeeld
van het weerbericht, kan een persoon besluiten bepaalde kleding aan te trekken.
Kennis is uit te splitsen in expliciete en impliciete kennis (Boekhof, Ligthart, Vinkenburg &
Volz, 1996, Nonaka & Takeuchi, 1995). Expliciete kennis is kennis dat gecodificeerd is en
daarmee makkelijk overgedragen kan worden aan iemand anders. Impliciete kennis is
kennis dat niet goed te delen is met anderen, bijvoorbeeld: intuïties, ingevingen en
voorgevoelens.
Zoals in de introductie is aangegeven zijn al veel bedrijven beschermd tegen het lekken
van informatie via IT-voorzieningen en via bepaalde processen (Ashenden, 2008). Alleen
bestaat er nog een groot risicofactor bij het lekken van bedrijfsvertrouwelijke informatie:
de mens. Volgens Kosutic is IT-beveiliging maar 50% onderdeel van de gehele
informatiebeveiliging. Het lekken van informatie veroorzaakt door de mens in de
organisatie wordt hierin vaak vergeten.
12
Zoals in de afbeelding hieronder te zien is, vormen zowel internen als externen van de
organisatie een bedreiging voor de bedrijfsvertrouwelijke informatie. Hiernaast bestaat er
nog een overlapping van deze twee groepen. Deze groep kan zowel intern als extern
worden beschouwd.
Internal threats External threats
afbeelding 1: Interne en externe bedreigingen (Echoworx, 2010)
Internen zijn personen werkzaam binnen de organisatie. Doordat zij geautoriseerde
toegang hebben tot alle informatie binnen de organisatie, vormen zij een grote bedreiging
voor bedrijfsvertrouwelijke informatie. Zij kunnen bewust en onbewust deze informatie
lekken.
Als een medewerker bewust informatie lekt, handelt hij doelgericht en doelbewust. Hij
doet het dus met kwaadwillende opzet. Voorbeelden hiervan zijn:
• Het verkopen of weggeven van documenten aan derden;
• Het vertellen van belangrijke ontwikkelingen binnen de organisatie aan de pers.
Hackers
Competitors
Espionage agents
Negligent employees
Malicious employees
Broken processes
Business partners
Contractors
Ex-employees
13
Bij het onbewust lekken van informatie, doet de medewerker dit zonder het besef voor de
daad. Degene doet het dus onbedoeld. Voorbeelden hiervan zijn:
• Documenten op de printer laten liggen die vertrouwelijke bedrijfsinformatie
bevatten;
• Het niet-gescheiden verwerken van bedrijfsvertrouwelijk afval;
• Het versturen van een e-mail met bedrijfsvertrouwelijke informatie naar een
verkeerde ontvanger;
• Verlies van gegevensdragers als een laptop of een usb-stick;
• Plaatsen van details over zakelijke activiteiten op een blog of community website
als LinkedIn en Facebook;
• Een vertrouwelijk gesprek voeren in een restaurant of trein over een geplande
overname of reorganisatie (Intelink, 2010);
• Het niet uitvoeren van de regels op het gebied van IT-voorzieningen (Homsher,
2010).
Externen zijn personen die niet werkzaam zijn binnen de organisatie, dus buiten de
organisatie opereren. Ook externen vormen een bedreiging voor de bedrijfsvertrouwelijke
informatie. Externen proberen bewust, dus met opzet, achter bepaalde informatie te
komen. Spionage is daar een voorbeeld van. Volgens de Van Dale betekent spionage: ‘het
stiekem onderzoeken en achterhalen van geheimen’. Vaak wordt dit door de concurrent
gedaan.
Daarnaast zijn het hacken van het systeem, het omkopen van medewerkers of het
proberen af te pakken van medewerkers en ze aan te nemen bij je eigen bedrijf een
bedreiging voor belangrijke informatie van een organisatie.
Verandering in de bedrijfsvoering maken onduidelijk wie intern of extern aan de
organisatie is en brengt daarom extra risico’s met zich mee. Bij het outsourcen van
bepaalde activiteiten, vormen voormalig buitenstaanders een onderdeel van de
organisatie. Zij zullen bijvoorbeeld toegang hebben tot bepaalde bestanden en contact
hebben met medewerkers binnen de organisatie. Ook contracten afgesloten met bepaalde
partijen, geven externen toegang tot bepaalde informatie. Ook zij kunnen zowel onbewust
als bewust informatie naar de onvertrouwelijke omgeving lekken.
Daarnaast vormt de dynamiek in het personeelsbestand een bedreiging voor de beveiliging
van bedrijfsvertrouwelijke informatie. Oud-werknemers nemen hun kennis en eventueel
belangrijke documenten of bestanden mee naar hun nieuwe werkgever. Zo komt deze
informatie gemakkelijk terecht bij de concurrent.
14
Het lekken van bedrijfsvertrouwelijke informatiedoor het menselijk handelen, kan als volgt
gedefinieerd worden: het lekken van bedrijfsvertrouwelijke informatie naar de
“onvertrouwelijke” omgeving, door zowel internen of externen van de organisatie, met of
zonder het besef voor de daad van het lekken.
De bescherming van bedrijfsvertrouwelijke informatie door het nemen van maatregelen op
het gebied van het menselijk handelen. Bijvoorbeeld:
• Het management zorgt voor het bewustwordingsproces bij werknemers van welke
informatie vertrouwelijk, minder vertrouwelijk en niet vertrouwelijk is;
• Regels over de behandeling van vertrouwelijke documenten en bestanden;
• Belangrijke documenten niet weggooien, maar in de versnipperaar doen;
• Geen documenten mee naar huis nemen;
• Alleen werknemers die daartoe bevoegd zijn, mogen beschikken over
bedrijfsvertrouwelijke informatie;
• In het contract staat vastgelegd dat bij het lekken van informatie sancties worden
genomen.
15
Een incident van het lekken van bedrijfsvertrouwelijke informatie kan zowel door een
interne als een externe veroorzaakt worden, en bewust of onbewust plaatsvinden. Van
deze bovenstaande vormen, vormt het intern-onbewust lekken een groot risico. De
medewerker is de persoon die toegang heeft tot alle of veel informatie en vormt daarmee
ook een risico voor het lekken ervan. Ondanks dit gegeven, zijn nog weinig bedrijven
ingespeeld op dit risico (McCue, 2008). Een veel gespeculeerde oorzaak is beschreven in de
afbeelding hieronder. Mensen zijn zich niet bewust van de belangrijkheid van bepaalde
informatie en gaan er daarom ook niet bewust mee om. Onopzettelijk leidt dit dan tot
informatielekkage.
afbeelding 2: Theoretisch model
16
Met de perceptie van de waarde van bedrijfsvertrouwelijke informatie wordt bedoeld of de
persoon bedrijfsvertrouwelijke informatie op de juiste waarde voor de organisatie weet in
te schatten.
De behandeling van bedrijfsvertrouwelijke informatie is de manier waarop de persoon met
bedrijfsvertrouwelijke informatie omgaat. Hiermee wordt de mate van zorgvuldigheid van
de behandeling van bedrijfsvertrouwelijke informatie bedoeld.
Het lekken van informatie is het verlies van vertrouwelijke informatie aan de
onvertrouwelijke omgeving. Het verwijst naar een incident waarbij de vertrouwelijkheid
van de informatie wordt geschonden (Information Security Forum, 2007). Dit betekent dat
er informatie bij iemand terecht komt, die niet over deze informatie niet zou mogen
beschikken.
17
Een betere perceptie van de waarde van bedrijfsvertrouwelijke informatie zal
leiden tot een betere behandeling van bedrijfsvertrouwelijke informatie.
De perceptie van de waarde van bedrijfsvertrouwelijke informatie is een belangrijke factor
bij de behandeling van deze informatie van een persoon. Wanneer de perceptie van de
bezitter van bedrijfsvertrouwelijke informatie een hoge belangrijkheid laat zien, zal deze
persoon zorgvuldiger met de informatie omgaan. De bezitter begrijpt de belangrijkheid van
de informatie en ziet het risico van het kwijtraken of het lekken van deze informatie.
Trainingen en uitleg over het ordenen van belangrijkheid van bedrijfsvertrouwelijke
informatie helpt deze perceptie te verbeteren (Minieri, 2004).
De juiste behandeling van bedrijfsvertrouwelijke informatie leidt tot minder
lekkage van bedrijfsvertrouwelijke informatie.
Dit verband houdt in dat, indien men zeer voorzichtig met bedrijfsvertrouwelijke
informatie omgaat, er een kleinere kans bestaat dat deze informatie onbewust uitlekt.
18
Het onderzoek naar de oorzaken en de gevolgen van het lekken van bedrijfsvertrouwelijke
informatie door het menselijk handelen is in delen opgezet. Door middel van
literatuuronderzoekzijn de oorzaken en gevolgen achterhaald. Ook is door het houden van
interviews met personen uit verschillende disciplines inzicht verkregen in dit thema.
Daarnaast is door panelleden in een online onderzoeksforum deelgenomen aan het
empirische deel van het onderzoek.
In het onderzoeksforum zijn aan deelnemers vragen gesteld over een lekincident dat zij in
hun werkomgeving hebben meegemaakt. Er is gevraagd naar welke oorzaken en gevolgen
bij dit incident van toepassing waren en of er andere oorzaken een rol speelden. Zo zijn
oorzaken en gevolgen die niet gevonden zijn in de literatuur maar wel naar voren zijn
gekomen in de praktijkvragen gebruikt bij de beantwoording van de onderzoeksvraag.
Daarnaast is hieruit gebleken welke oorzaken en gevolgen het meest voorkomen bij een
incident.
4 4 Door wie werd het incident veroorzaakt? Internen van de organisatie
Externen van de organisatie
Weet ik niet
5 Is er expres of per ongeluk
bedrijfsvertrouwelijke informatie gelekt?
Expres
Per ongeluk
6 Welke van de volgende achterliggende
oorzaken hebben een rol gespeeld bij het
incident?
Slechte arbeidsverhoudingen
Reorganisatie
Problemen in de privésfeer
Ontevredenheid over
arbeidsvoorwaarden
Discriminatie
Onzorgvuldigheid
19
4 7 Welke persoonlijke gevolgen heeft het
incident gehad?
Ontslag werknemer(s)
Ontslag management/directie
Identiteitsdiefstal
Privacyschending
8 Welke gevolgen heeft het incident gehad
voor de organisatie in kwestie?
Imagoschade
Verlies van concurrentievoordeel
Lagere marktwaarde/aandeelprijzen
Boetes van privacyregulerende
instanties
Compensatiekosten slachtoffers
Op de website www.infoleakage.com hebben mensen zich ingeschreven om panellid te
worden en deel te nemen aan het onderzoek naar de oorzaken en de gevolgen van het
lekken van bedrijfsvertrouwelijke informatie. De website is gelanceerd op 25 januari 2011.
Een belangrijk onderdeel van het aanmelden was het online formulier: Profiel Panelleden.
Na het aanmelden en invullen van het formulier werden de deelnemers gedurende één
maand, vier maal benaderd voor het invullen van de enquêtevragen.
Een kleine meerderheid van de panelleden is vrouw, de gemiddelde leeftijd is 39 en de
hoogst genoten opleiding is bij de meeste panelleden HBO en WO. De sector waar de
meeste panelleden in werken zijn de zakelijke dienstverlening en media. De veel
voorkomende functies zijn advies/beleid, commercieel/verkoop, marketing/communicatie
en medisch/zorg. Een grote meerderheid werkt in loondienst en is werkzaam op het niveau
van medewerker met een contract voor onbepaalde tijd. De tijd dat men werkzaam is in
de huidige organisatie en de tijd dat ze op dezelfde functie werken en of ze bij een MKB-
bedrijf werken is relatief gelijk verdeeld.
20
accounting/controlling
beveiliging/bewaking
cultuur/recreatie/sport
farmaceutisch/gezondheidszorg
industrie/techniek
juridische dienstverlening
maatschappelijke dienstverlening
media
onderwijs
reclame/pr/communicatie
zakelijke dienstverlening
03
01
01
02
02
03
05
02
04
08
02
02
01
02
11
09
06
07
07
03
19
tabel 2: panelleden werkzaam in sectoren - in %
advies/beleid
arbeidsbemiddeling
automatisering/ict
beveiliging
receptie/call center
commercieel/verkoop
directie/management
financieel/economisch
horeca/detailhandel
inkoop/logistiek
marketing/communicatie
medisch/zorg
onderwijs/onderzoek
p&o/training
productie/uitvoerend
techniek
15
01
07
02
01
12
08
03
02
02
16
17
06
03
04
01
tabel 3: panelleden werkzaam in functie - in %
21
Om het verband tussen de drie variabelen te testen, is een enquête opgesteld. Deze is
online afgenomen en bestond uit verschillende rondes:
1 Perceptie van de waarde van bedrijfsvertrouwelijke informatie.
2 Behandeling van bedrijfsvertrouwelijke informatie.
3 Beleid t.a.v. de behandeling van bedrijfsvertrouwelijke informatie.
De theoretische concepten, i.c. perceptie en behandeling, zijn met de volgende variabelen
geoperationaliseerd:
1 1 Ik weet welke bedrijfsinformatie zeer vertrouwelijk of minder
vertrouwelijk is.
2 Ik vind het moeilijk om goed in te schatten of een document
bedrijfsvertrouwelijke informatie bevat.
3 Ik vind het lastig om documenten in te delen in vertrouwelijk en
openbaar.
4 Het is mij bekend welke gevolgen het kan hebben wanneer ik
bedrijfsvertrouwelijke informatie deel met derden.
5 Bij de beoordeling van bedrijfsvertrouwelijke informatie volg ik mijn
intuïtie.
6 Ik vind het moeilijk om in the schatten of de kennis die ik heb over mijn
organisatie vertrouwelijk is.
Situatievragen
22
Om te testen of de deelnemer werkelijk kan inschatten welke informatie
bedrijfsvertrouwelijk is en welke niet, zijn tevens situatievragen toegevoegd (zie
onderdeel 6 van deze Management Summary).
2 1 Ik weet wat ik wel en niet mag doen met bedrijfsvertrouwelijke informatie.
2 In gesprekken met externen ben ik me niet bewust van welke informatie ik
kan delen.
3 Bij het gebruik van bedrijfsvertrouwelijke informatie volg ik mijn intuïtie.
4 Ik weet niet welke informatie ik mag delen met mijn collega’s.
5 Ik heb een keer documenten met belangrijke informatie onbeheerd
achtergelaten.
7 Ik voer wel eens een zakelijk (telefoon)gesprek op een openbare locatie.
8 Ik heb wel eens een e-mail met belangrijke informatie per ongeluk naar de
verkeerde ontvangen verzonden.
10 Ik gooi documenten met bedrijfsvertrouwelijke informatie in de prullenbak.
11 Ik ben wel eens een gegevensdrager verloren.
1 7 Ik heb een keer, op wat voor manier dan ook, informatie overgedragen
aan een persoon die daar niet over mocht beschikken.
2 6 Ik heb een keer bedrijfsvertrouwelijke informatie met iemand gedeeld
waar ik later spijt van had.
9 Ik wel eens per ongeluk en op wat voor manier dan ook, informatie
overgedragen aan een persoon die daar niet over mocht beschikken.
3 8 Ik heb wel eens informatie doorgespeeld aan derden, waarvan ik niet
zeker wist of ze daarover mochten beschikken.
23
Er is bij de enquête rekening gehouden met mogelijke andere variabelen die het verband
tussen de perceptie van de waarde van bedrijfsvertrouwelijke informatie en de
behandeling van bedrijfsvertrouwelijke informatie kan verklaren; dit fenomeen heet
schijnsamenhang. Het testen van schijnsamenhang is gebeurd door de andere variabelen
constant te houden. Deze variabelen bestonden uit: sector, functie, niveau van functie,
contractvorm, tijd werkzaam in huidige organisatie, tijd werkzaam op huidige functie,
opleiding, geslacht, leeftijd, grootte van de organisatie en welke provincie men werkzaam
is.
profiel 1 In welke sector ben u werkzaam?
2 In welke functie bent u werkzaam?
3 In welk dienstverband ben u werkzaam?
4 Op welk niveau bent u werkzaam?
5 Wat voor soort contract heeft u?
6 Hoe lang bent u werkzaam bij u huidige bedrijf?
7 Hoe lang bent u werkzaam op u huidige functie?
8 Wat is uw hoogst genoten opleiding?
9 Geslacht.
10 Leeftijd.
11 Behoort de organisatie waar u werkzaam bent tot het MKB?
12 Binnen welke provincie bent u werkzaam?
24
Daarnaast is er gekeken naar of de organisatie, waarin de deelnemer van het onderzoek
werkzaam is, een beleid op het gebied van het beveiligen van informatie voor het
menselijk handelen heeft geïmplementeerd.
3 1 Er bestaat binnen mijn organisatie een ICT-beleid voor het beveiligen van
bedrijfsvertrouwelijke informatie.
2 Als ik onbedoeld bedrijfsvertrouwelijke informatie ben kwijtgeraakt, dan
kan ik dit melden bij iemand binnen mijn organisatie die hiermee belast is.
3 Ik word door mijn organisatie gewezen op hoe ik moet omgaan met
bedrijfsvertrouwelijke informatie.
4 Ik kan bij twijfel over de vertrouwelijkheid van een document hierover
advies inwinnen binnen mijn organisatie
5 Mijn organisatie wijst mij erop wat bedrijfsvertrouwelijke informatie is.
6 Er is een beleid binnen mijn organisatie om personeel zorgvuldig met
bedrijfsvertrouwelijke informatie om te laten gaan.
25
Het lekken van bedrijfsvertrouwelijke informatie kan worden veroorzaakt door zowel
internen als externen van de organisatie èn zowel bewust als onbewust. Het onbewust
lekken door internen van een organisatie vormt de primaire focus van dit onderzoek en
wordt uitvoerig in het volledige verslag behandeld: hoofdstuk Empirisch Onderzoek –
Onbewust Lekken door Medewerkers. De oorzaken van andere vormen van lekken van
bedrijfsvertrouwelijke informatie die uit het onderzoek naar voren komen, zijn hieronder
samengevat.
Tijdens het onderzoek is, in ronde 4 van de enquête, aan de panelleden gevraagd of ze wel
eens een lekincident hebben meegemaakt en wat hiervan de oorzaken en de gevolgen
waren: 17,5% van de panelleden zegt nog nooit een lekincident te hebben meegemaakt.
32% geeft aan dat ze één keer een lekincident hebben meegemaakt en maar liefst 50,2%
heeft meerdere malen een lekincident meegemaakt.
Nooit
Eén keer
Meerdere malen
18
32
50
tabel 4: Lekincidenten meegemaakt - in %
26
Tevens zijn vervolgvragen over de aard van de lekincidenten door de panelleden
beantwoord. Van deze groep panelleden geeft 97,2% aan dat de veroorzaker van het
lekincident een interne van de organisatie was. In 44,3% van de gevallen werd er bewust
informatie gelekt en in 55,7% van de gevallen gebeurde dat onbewust.
Extern
Intern
03
97
tabel 5: Lekincidenten: Intern of
Extern - in %
Bewust
Onbewust
44
56
tabel 6: Lekincidenten: Bewust of
Onbewust - in %
27
In de hiernavolgende tabel staat per oorzaak aangegeven hoeveel panelleden deze hebben
aangevinkt als een van de oorzaken of als de oorzaak van het lekincident. Opvallend is dat
98,6% van de panelleden hebben aangegeven dat onzorgvuldigheid een van de grootste
oorzaken is. Zelfs wanneer een interne bewust informatie heeft gelekt, kan
onzorgvuldigheid hieraan ten grondslag liggen. Dit kan verklaard worden doordat
ontevreden werknemers minder in het belang van hun werkgever handelen en hierdoor
onzorgvuldiger te werk gaan.
Daarnaast zijn arbeidsverhoudingen (55%), reorganisaties (43%) en arbeidsvoorwaarden
(49%) belangrijke oorzaken van een lekincident. Dit impliceert dat de werkgever direct
invloed heeft op het voorkomen van het lekken van bedrijfsvertrouwelijke informatie.
Arbeidsverhoudingen
Reorganisatie
Privé
Arbeidsvoorwaarden
Discriminatie
Onzorgvuldigheid
Anders
55
43
32
49
03
99
03
tabel 7: Oorzaken lekincidenten - in %
28
In deze studie is uitgebreid onderzoek gedaan naar een aanvullende oorzaak van het
lekken van bedrijfsvertrouwelijke informatie: het zich niet of onvoldoende bewust zijn van
het belang van de informatie en de gevolgen hiervan op de behandeling van
bedrijfsvertrouwelijke informatie. Zo blijkt uit dit onderzoek, dat men bij het bepalen van
de waarde van bedrijfsvertrouwelijke informatie en de behandeling ervan vooral uitgaat
van de eigen intuïtie.
Een uitgebreide analyse van deze oorzaak op basis van de antwoorden die panelleden
hebben gegeven op de vragen die hierover gesteld zijn, is te vinden in onderdeel 6 van
deze management samenvatting.
Volledig mee eens
Eens
Redelijk mee eens
Neutraal
09
54
14
09
tabel 8: Vragenronde 1: Bij de beoordeling van bedrijfsvertrouwelijke informatie volg ik
mijn intuitie - in %
Volledig mee eens
Eens
Redelijk mee eens
Neutraal
06
58
26
05
tabel 9: Vragenronde 2: Bij het gebruik van bedrijfsvertrouwelijke informatie volg ik
mijn intuitie - in %
29
Hieronder zijn de oorzaken die voortkomen uit het onderzoek naar het lekken van
bedrijfsvertrouwelijke informatie schematisch weergeven:
Informatielekken door Internen en Bewust uitgevoerd. Werkgerelateerde problemen
Niet-werkgerelateerde problemen
Moraal van de medewerker
Informatielekken door Internen en Bewust of Onbewust
uitgevoerd.
Economische situatie
Bedrijfscultuur
Lage loyaliteit (nieuwe werkvormen)
Regionale of nationale cultuur
Onvoldoende beleid t.a.v.
informatiebeveiliging
Informatielekken door zowel Internen als Externen Lage loyaliteit (nieuwe werkvormen)
Onvoldoende beleid t.a.v.
informatiebeveiliging
Informatielekken door Externen Toename concurrentie in de markt
Onvoldoende beleid t.a.v.
informatiebeveiliging
30
De gevolgen van het lekken van bedrijfsvertrouwelijke informatie hangen af van het type
data dat gelekt is. De Security Incident investigation working Group (2010) heeft de
gelekte data verdeeld in basis informatie, economische informatie en privacy-informatie.
Het lekken van deze informatie hebben zij vergeleken met het effect op economisch
verlies en emotioneel leed, hieruit is de Economic-Privacy Map voortgekomen. Hiermee
kan men een globale inschatting maken van de te verwachten gevolgen van de informatie
die gelekt is.
afbeelding 3: Economic Privacy map
(Security Incident investigation working Group, 2010)
De verdeling wordt gemaakt tussen economisch verlies en emotioneel leed als gevolg van
een lekincident. Dit komt grotendeels overeen met de verdeling in dit onderzoek.
Economisch verlies is voornamelijk een gevolg voor de organisatie in kwestie en emotioneel
leed een persoonlijk gevolg. Dit onderzoek heeft gekozen om een onderscheid te maken
tussen persoonlijke gevolgen en de gevolgen voor de organisatie (Vliet, 2009). De verdeling
van types informatie zal binnen dit onderzoek hetzelfde blijven als bepaald in onderdeel 2
van deze Management Samenvatting:
• Persoonlijk;
• Strategisch/commercieel;
• Beveiliging.
Basic
information
Economic information
Privacy
information
31
Naar de gevolgen is gevraagd in de enquête. Hieronder staat een tabel waarin de
resultaten van de toetsing naar de persoonlijke gevolgen van het lekken van
bedrijfsvertrouwelijke informatie staan vermeld.
Wat hier naar voren komt is dat het ontslag van de werknemer of meerdere werknemers en
privacy-schending de meest voorkomende persoonlijke gevolgen zijn. Daarnaast worden
drie andere gevolgen gegeven:
• Waarschuwing/aanzegging;
• Berisping van de veroorzaker;
• Betaling van een schadevergoeding aan de slachtoffers waarvan de privacy is
geschonden.
Ontslag werknemer
Ontslag management
Identiteitsdiefstal
Privacyschending
44
17
13
41
tabel 10: persoonlijke gevolgen - in %
32
Bovenstaande tabel laat de resultaten zien van de toetsing naar de gevolgen voor de
organisatie bij het lekken van bedrijfsvertrouwelijke informatie.
De eerste drie gevolgen in de tabel; imagoschade, verlies van concurrentievoordeel en
vertrouwensverlies worden aangegeven als veel voorkomende gevolgen. Dit in tegenstelling
tot de directe financiële gevolgen als de boetes en compensatiekosten. Opvallend is ook
dat de lagere marktwaarde en lagere aandeelprijzen niet als grootste gevolg uit de
enquête komen. Dit komt overeen met eerdere onderzoeken, die in het onderzoek zijn
beschreven.
Imagoschade
Verlies van concurrentievoordeel
Vertrouwensverlies
Lagere marktwaarde of aandeelprijzen
Boetes van privacyregulerende instanties
Compensatiekosten
60
51
61
31
16
09
tabel 11: gevolgen organisatie - in %
33
Hieronder zijn de gevolgen die voortkomen uit het onderzoek naar het lekken van
bedrijfsvertrouwelijke informatie schematisch weergeven:
Ontslag werknemer(s) Imagoschade
Ontslag management of directie leden Verlies van concurrentievoordeel
Identiteitsdiefstal Vertrouwensverlies bij (potentiele) klanten
Privacyschending Lagere marktwaarde/lagere aandeelprijzen
Schadevergoeding Boetes van privacyregulerende instanties
Waarschuwing/berisping Compensatiekosten aan slachtoffers
34
Dit onderdeel behandelt het onbewust lekken door internen van een organisatie. De twee
hypotheses uit onderdeel 2 van deze Management Summary, worden getest en
geanalyseerd aan de hand van de onderzoeksresultaten. Bovendien worden de resultaten
van het onderzoek naar de relatie tussen ‘perceptie van de waarde van
bedrijfsvertrouwelijke informatie’, ‘behandeling van bedrijfsvertrouwelijke informatie’ en
‘lekkage van bedrijfsvertrouwelijke informatie’ beschreven.
Het gemiddelde (van 4,5) geeft aan dat men neutraal tot redelijk eens is met de positieve
stellingen in de enquête. Men kan dus redelijk bedrijfsvertrouwelijke informatie op de
juiste waarde inschatten. Maar de hoge standaarddeviatie laat zien dat er een grote
verscheidenheid bestaat in de antwoorden. De ene persoon geeft aan dat hij dat niet echt
kan, terwijl de ander aangeeft dat hij dat precies weet.
De situatievragen checken deze uitkomst. In de verschillende opgestelde situaties dienden
de panelleden aan te geven of de informatie wel of niet bedrijfsvertrouwelijk was. De
uitslag is als volgt:
Percentage panelleden dat “ja”
antwoordde.
78 69 16 56
Percentage panelleden dat “nee”
antwoordde.
23 31 84 44
Correcte antwoord ja ja nee Ja
35
Er blijkt dat bij de eerste drie situaties de verschillende vormen van informatie
overduidelijk wel of niet vertrouwelijk zijn en dat ook zo is beoordeeld door de
panelleden.
Het personeelsdossier en kennis over het nieuwe product (situatievragen 1 & 2) zijn
duidelijk bedrijfsvertrouwelijk. Alhoewel nog 20 tot 30 procent deze vormen van
informatie als niet bedrijfsvertrouwelijk beschouwt. Deze personen vormen een risico voor
de organisatie.
Het werkrooster (situatievraag 3) wordt duidelijk beoordeeld als niet vertrouwelijk en over
het klachtendossier (situatievraag 4) zijn de percepties verdeeld.
Het klachtendossier is duidelijk bedrijfsvertrouwelijk, omdat deze naast persoonlijke
informatie ook belangrijke informatie bevat over de organisatie, producten en inhoudelijke
specificaties. Er bestaan dus grote grijze gebieden bij de beoordeling van
bedrijfsvertrouwelijke informatie.
Situatievraag 1: personeelsdossier
Situatievraag 2: productkennis
Situatievraag 3: werkrooster
Situatievraag 4: klachtendossier
23
31
16
44
tabel 12: perceptie van de waarde van bedrijfsvertrouwelijke informatie - foutieve
antwoorden - in %
36
Bij de toetsing van de behandeling van bedrijfsvertrouwelijke informatie kan dezelfde
conclusie getrokken worden als bij de variabele “perceptie”. Men is neutraal tot aan
redelijk eens met deze stelling. Ook bij de toetsing van deze stelling blijkt dat de
standaarddeviatie relatief hoog is.
Op de situatievragen is het volgende geantwoord:
Percentage panelleden dat
“ja” antwoordde.
69 78 60 42 52
Percentage panelleden dat
“nee” antwoordde.
31 22 40 58 48
Correcte antwoord ja ja nee ja -
Ondanks dat er uit de eerste vraag naar de behandeling blijkt dat men redelijk weet hoe
ze met bedrijfsvertrouwelijke informatie om moeten gaan, laat de volgende tabel zien dat
een groot aantal panelleden wel eens onzorgvuldig met bedrijfsvertrouwelijke informatie
is omgegaan.
37
Zo heeft 69% van de panelleden wel eens documenten met belangrijke informatie
onbeheerd achtergelaten, heeft 78% van de panelleden wel eens een vertrouwelijk,
zakelijk telefoongesprek op een openbare locatie gevoerd, heeft 60% wel eens een e-mail
met belangrijke informatie naar de verkeerde ontvanger gestuurd, gooit 42% van de
panelleden documenten met bedrijfsvertrouwelijke informatie in de prullenbak en heeft
52% van de panelleden een keer een gegevensdrager met bedrijfsvertrouwelijke informatie
verloren.
Het lekken van bedrijfsvertrouwelijke informatie via social media als LinkedIn, Facebook
en Hyves is tevens onderzocht. Van de panelleden geeft 40% aan wel eens een bericht te
hebben geplaatst dat bedrijfsvertrouwelijke informatie bevatte.
Ik heb een keer bedrijfsvertrouwelijke documenten
onbeheerd achtergelaten
Ik voer wel eens een zakelijk gesprek op een
openbare locatie
Ik heb wel eens een e-mail met
bedrijfsvertrouwelijke informatie naar een…
Ik gooi documenten met bedrijfsvertrouwelijke
informatie in de prullenbak
Ik ben wel eens een gegevensdrager verloren
69
78
60
42
52
tabel 13: behandeling van bedrijfsvertrouwelijke informatie - in %
Nee
Ja
60
40
tabel 14: Ik heb een keer een bericht met bedrijfsvertrouwelijke
informatie geplaatst op een sociaal netwerk (LinkedIn, Facebook, Hyves)
- in %
38
In het onderzoek is vier keer en op verschillende manieren aan de panelleden gevraagd of
ze wel eens bedrijfsvertrouwelijke informatie aan iemand hebben overgedragen die daar
niet over zou mogen beschikken.
Percentage panelleden dat “ja”
antwoordde.
46 43 49 55
Percentage panelleden dat “nee”
antwoordde.
54 57 51 45
Bij elke vraag is de verdeling op de antwoorden “ja” en “nee”, ongeveer 50%. Dit betekent
dat 50% van de panelleden bij iedere vraag aangeeft bedrijfsvertrouwelijke informatie te
hebben gelekt.
Ronde 1
Ronde 2
Ronde 2
Ronde 3
46
43
49
55
tabel 15: Ik heb wel eens een keer bedrijfsvertrouwelijke informatie aan
iemand overgedragen die hier niet over mocht beschikken - in %
39
Het onderzoek toont aan dat men bij het bepalen van de waarde van de
bedrijfsvertrouwelijke informatie en in de omgang met bedrijfsvertrouwelijke informatie
uitgaat van de persoonlijke intuïtie in plaats van bestaande regels in de organisatie.
Tegelijkertijd wijst het onderzoek uit dat er grote onduidelijkheden bestaan bij
medewerkers bij de beoordeling van bedrijfsvertrouwelijke informatie. De enquêtevragen
laten zien dat men zichzelf prima in staat acht deze beoordeling correct te doen, terwijl
de situatievragen (praktijk) uitwijzen dat dit vaak incorrect gebeurt.
Bovendien wijst het onderzoek uit dat er een positieve relatie bestaat tussen de perceptie
van de waarde van bedrijfsvertrouwelijke informatie en de behandeling van
bedrijfsvertrouwelijke informatie. Dat betekent dat wanneer iemand
bedrijfsvertrouwelijke informatie beter op waarde weet in te schatten, hij daar ook
zorgvuldiger mee om zal gaan en de kans op het lekken van bedrijfsvertrouwelijke
informatie aanzienlijk zal afnemen.
De getoetste hypotheses worden op basis van dit onderzoek en de analyse aangenomen:
Een betere perceptie van de waarde van bedrijfsvertrouwelijke informatie zal
leiden tot een betere behandeling van bedrijfsvertrouwelijke informatie.
De perceptie van de waarde van bedrijfsvertrouwelijke informatie is een belangrijke factor
bij de behandeling van deze informatie van een persoon. Wanneer de perceptie van de
bezitter van bedrijfsvertrouwelijke informatie een hoge belangrijkheid laat zien, zal deze
persoon zorgvuldiger met de informatie omgaan. De bezitter begrijpt de belangrijkheid van
de informatie en ziet het risico van het kwijtraken of het lekken van deze informatie.
Trainingen en uitleg over het ordenen van belangrijkheid van bedrijfsvertrouwelijke
informatie helpt deze perceptie te verbeteren (Minieri, 2004).
De juiste behandeling van bedrijfsvertrouwelijke informatie leidt tot minder
lekkage van bedrijfsvertrouwelijke informatie. Dit verband houdt in dat, indien men zeer
voorzichtig met bedrijfsvertrouwelijke informatie omgaat, er een kleinere kans bestaat dat
deze informatie onbewust uitlekt.
40
Het onderzoek naar het onbewust lekken door medewerkers verklaart beide hypotheses.
Het laat zien dat er gewerkt moet worden aan de perceptie van bedrijfsvertrouwelijke
informatie bij de werknemers, zodat ze deze op de juiste waarde kunnen inschatten en
correct kunnen behandelen.
Daarnaast laten de resultaten zien dat een betere behandeling van bedrijfsvertrouwelijke
informatie leidt tot minder informatielekkage. Een eenvoudig en zeer effectief middel
voor het verbeteren van de perceptie en behandeling van bedrijfsvertrouwelijke
informatie is het uitvoeren van een bewustwordingscampagne, waarbij werknemers
worden gewezen op wat bedrijfsvertrouwelijke informatie is en hoe men er mee om moet
gaan. De behoefte aan dergelijke programma’s wordt bevestigd door het onderzoek:
Volledig mee eens
Eens
Redelijk mee eens
Neutraal
52
35
12
01
tabel 16: Ik vind het noodzakelijk om medewerkers binnen mijn organisatie bewust te
laten maken van hoe het lekken van bedrijfsvertrouwelijke informatie voorkomen kan
worden - in %
Nee
Ja
81
19
tabel 17: Mijn organisatie wijst mij erop
wat bedrijfsvertrouwelijke informatie is - in
%
Nee
Ja
72
28
tabel 18: Ik word door mijn
organisatie gewezen op hoe ik om
moet gaan met bedrijfsvertrouwelijke
informatie - in %
41
Sinds het ontstaan van een digitale wereld wordt er steeds vaker de nadruk gelegd op het
beveiligen van informatie. In de laatste jaren is, naast de focus op de beveiliging van de
techniek, ook de beveiliging van informatie door het menselijk handelen punt van
aandacht. Het voorkomen van informatielekkage door de automatisering en door de mens
is een belangrijk onderwerp binnen organisaties. Om organisaties hierbij te helpen zijn er
al verschillende standaarden en normen ontwikkeld, zoals Standard BS 7799 en ISO 27001.
Deze standaarden dwingen het management keuzes van maatregelen voor
informatiebeveiliging te maken, zodat de optimale balans tussen de geïmplementeerde
beveiligingsmaatregelen en het te investeren geld wordt behaald (Ashenden, 2008). Door
het gebrek aan geld, maar ook door een teveel aan maatregelen, kunnen niet alle
maatregelen worden geïmplementeerd in de organisatie. De maatregelen worden
gebaseerd op de risico’s, de juridische en contractuele eisen van bijvoorbeeld de overheid
en partners en regels voor informatieverwerking die van toepassing zijn op de processen
binnen de organisatie (Knowledgeleader.com, 2003).
Een onderdeel in het bepalen van maatregelen tegen informatielekkage is de
Risicoanalyse, dit zal uitgelegd worden aan de hand van een stappenplan. Dit stappenplan
bevat ook de andere belangrijke stappen:
• Identificatie van kwetsbare informatie;
• Identificatie van risico’s;
• Bepalen van beveiligingsrisico’s;
• Implementatie van het beveiligingsbeleid;
• Evaluatie van het beveiligingsbeleid.
42
Onderstaande afbeelding bestaat uit de vijf stappen die belangrijk zijn voor het beveiligen
van bedrijfsvertrouwelijke informatie.
afbeelding 4: Stappenplan beveiligen bedrijfsvertrouwelijke informatie
De eerste stap is het identificeren van kwetsbare informatie voor de organisatie.
Kwetsbare informatie is de informatie die je als bedrijf bij je wilt houden en die niet
gelekt mag worden omdat de negatieve gevolgen daarvan te groot zijn voor de organisatie.
Het identificeren van deze informatie helpt om de grootte van de informatie te bepalen
die beveiligd moet worden en helpt om gerichte beveiligingsmaatregelen te bepalen (ASIS
international, 2007). Daarnaast zorgt een classificatie van deze informatie ervoor dat men
het makkelijker kan beveiligen (Al-Faresi, Alazzawe, Alazzwe & Wijesekera, 2010). Een
classificatie is het waarderen van de informatie in categorieën van vertrouwelijk tot aan
niet-vertrouwelijk.
43
De tweede stap is het bepalen van de risico’s, oftewel de risicoanalyse. ‘Het risico wordt
gedefinieerd als: de kans dat de belangrijke informatie wordt gelekt maal de kosten die
gemaakt moeten worden om het op te lossen’ (T. Nijssen, persoonlijke mededeling, 8
februari 2011). Naast de financiële schade, moet hier ook de niet-financiële schade in op
worden genomen, bijvoorbeeld imagoschade (Knowledgeleader.com, 2003). Het is dus de
impact die het lekken van de bedrijfsvertrouwelijke informatie, bepaald in stap één, kan
hebben voor de organisatie.
De tweede stap is het bepalen van de risico’s, oftewel de risicoanalyse. ‘Het risico wordt
gedefinieerd als: de kans dat de belangrijke informatie wordt gelekt maal de kosten die
gemaakt moeten worden om het op te lossen’ (T. Nijssen, persoonlijke mededeling, 8
februari 2011). Naast de financiële schade, moet hier ook de niet-financiële schade in op
worden genomen, bijvoorbeeld imagoschade (Knowledgeleader.com, 2003). Het is dus de
impact die het lekken van de bedrijfsvertrouwelijke informatie, bepaald in stap één, kan
hebben voor de organisatie.
In stap vier gaat het om de implementatie van het beveiligingsbeleid. Om de maatregelen
voor het voorkomen van informatielekkage succesvol in te voeren is het belangrijk dat het
management er achter staat en als een leider fungeert, het nieuwe beleid duidelijk wordt
gecommuniceerd naar de gehele organisatie en dat elke medewerker zich wil binden aan
de nieuwe regels (KPMG International, 2009). Effectieve implementatie is dus essentieel
om het beleid te laten slagen. Elke medewerker moet weten aan welke regels hij zich
moet houden en wat acceptabel en niet-acceptabel gedrag is. Wanneer er ‘grijze’
gebieden bestaan, ontstaat er onduidelijkheid onder de medewerkers en kan het
management de medewerkers niet op onacceptabel gedrag aanspreken of sanctioneren en
zal er geen duidelijke lijn binnen de organisatie bestaan voor de beveiliging van de
informatie (Colwill, 2009).
44
De laatste stap is de evaluatie van het beleid. In deze stap wordt er gekeken of de
maatregelen het gewenste effect hebben en of het beleid nog steeds up-to-date is.
Wanneer dit niet zo is, zal de organisatie weer opnieuw moeten beginnen met als doel de
bedrijfsvertrouwelijke informatie optimaal te beveiligen. De organisatie zal zo voortdurend
op zoek zijn naar manieren om het beleid te verfijnen en te verbeteren (KPMG
International, 2009).
Bij het beveiligen van bedrijfsvertrouwelijk informatie moet je je als organisatie constant
afvragen welke informatie je wilt beveiligen en of het de moeite (kostenpost) waard is om
deze informatie te beveiligen. Er dient een risicoanalyse gemaakt te worden om na te gaan
of de kosten en de schade van het lekken van bepaalde informatie opweegt tegen de
maatregelen die je als bedrijf wilt nemen.
De organisatie moet een afweging maken tussen de kosten voor de beveiliging en de
risico’s. Met behulp van het vijf stappenplan (identificatie van de kwetsbare informatie,
identificatie van risico’s, bepalen beveiligingsmaatregelen, implementatie van
beveiligingsbeleid, evaluatie van beveiligingsbeleid) kan de organisatie tot een
beveiligingsbeleid komen.
Belangrijk is dat de organisatie de risico’s erkent, er duidelijk leiderschap wordt getoond
bij de implementatie van het beleid en dat iedere medewerker zich aan het beleid bindt.
45
Bedrijfsvertrouwelijke informatie is gevoelige informatie voor de organisatie die:
• Strategisch/commercieel van belang is;
• Persoonlijke informatie bevat;
• Commercieel van belang is;
• Bestaat uit organisatie en productspecifieke eigenschappen;
• Onderhevig is aan bepaalde wet- en regelgeving, denk hierbij bijvoorbeeld aan de
medische gegevens van patiënten;
• Bij misbruik lasterlijk is.
De bescherming van bedrijfsvertrouwelijke informatie door het nemen van maatregelen op
het gebied van het menselijk handelen. Bijvoorbeeld:
• Het management zorgt voor het bewustwordingsproces bij werknemers van welke
informatie vertrouwelijk, minder vertrouwelijk en niet vertrouwelijk is;
• Regels over de behandeling van vertrouwelijke documenten en bestanden;
• Belangrijke documenten niet weggooien, maar in de versnipperaar doen;
• Geen documenten mee naar huis nemen;
• Alleen werknemers die daartoe bevoegd zijn, mogen beschikken over
bedrijfsvertrouwelijke informatie;
• In het contract staat vastgelegd dat bij het lekken van informatie sancties worden
genomen.
Schadevergoedingen.
Iemand doet zich voor als het slachtoffer, door middel van bijvoorbeeld creditcard
gegevens of andere persoonlijke informatie. Het slachtoffer kan hierdoor geassocieerd
worden met gebeurtenissen waar hij of zij niets mee te maken heeft.
46
Het beeld dat men van de organisatie heeft is veranderd in negatieve zin, ten opzichte van
het beeld dat men daarvoor van de organisatie had. Ook wel reputatieschade genoemd.
Personen die werkzaam zijn binnen de organisatie.
Personen die niet werkzaam zijn binnen de organisatie. Bijvoorbeeld: leveranciers,
partners, ex-collega’s en vrienden.
Middelen waarop digitaal opgeslagen gegevens kunnen worden bewaard. Bijvoorbeeld:
laptop, usb-stick, cd, dvd of memorycard.
De bescherming van bedrijfsvertrouwelijke informatie door het nemen van maatregelen op
het gebied van ICT. Bijvoorbeeld: netwerkinfrastructuren, firewalls, virusscanners en
gebruik van hard- en software.
Datgene wat je weet en jou in staat stelt om een bepaalde taak uit te voeren.
Het bedrag dat de organisatie opbrengt, wanneer het op dat moment verkocht zou
worden.
Een locatie waartoe iedereen toegang heeft. Bijvoorbeeld de trein of een restaurant.
Een overheidsorgaan die de wetgeving op het gebied van privacy waarborgt.
47
Aantasting van de privacy van personen. Bijvoorbeeld wanneer medische gegevens worden
gelekt en hierdoor onbevoegden toegang hebben tot deze informatie.
Een organisatie heeft een concurrentievoordeel, wanneer hij zich op dat moment op een
positieve manier kan onderscheiden van de concurrentie door bijvoorbeeld een
onderscheidend product of service op de markt brengen.
Deze kan verloren worden, als bijvoorbeeld een nieuw productidee uitlekt en hierdoor de
concurrent eerder met het product op de markt kan komen. Of wanneer het marketingplan
uitlekt en de concurrent hierop in speelt. De organisatie is zijn onderscheidende karakter
dan verloren in de markt.
De klant vindt de organisatie niet meer betrouwbaar.
Een persoon, bedrijf of organisatie met wie jij of jouw bedrijf door of in zaken mee in
relatie staat. Bijvoorbeeld: leveranciers, klanten, outsourcebedrijven en adviesbureaus.
48
Intelink is een onafhankelijk adviesbureau dat wordt vertegenwoordigd door adviseurs en
projectmanagers die ruime ervaring hebben opgedaan bij grote internationale
mediabedrijven, uitgeverijen, zakelijke dienstverleners en de overheid.
Intelink is gespecialiseerd in innovatieve security-oplossingen op het gebied van online
informatie- en reputatiemanagement: Corporate Intelligence & Security.
Intelink onderscheidt zich door een duidelijke focus op het creëren van bewustzijn en op
het menselijk handelen (awareness raising & human factors). Intelink begeeft zich hierdoor
op het snijvlak van IT en HR.
Het advieswerk en het projectmanagement verrichten wij voor kennisintensieve
organisaties (LE & SME). Deze organisaties kenmerken zich door een continue noodzaak tot
innovatie op het gebied van informatie- en reputatiemanagement. Intelink speelt hierbij
een belangrijke rol door het creëren van bewustzijn van de condities die leiden tot
ongewenst prijsgeven van bedrijfsvertrouwelijke informatie en de gevolgen daarvan en
door het verstrekken van hoogwaardig advies en het verrichten van effectieve awareness
campagnes.
Intelink heeft programma’s ontwikkeld die organisaties en medewerkers bewust(er) maken
van het werken met bedrijfsvertrouwelijke informatie. Deze producten zijn eenvoudig te
implementeren en leiden direct tot effectieve participatie van uw medewerkers in het
beschermen van uw bedrijfsvertrouwelijke informatie.
Enkele voorbeelden van onze producten en diensten zijn:
• Research & Publicaties;
• Congressen;
• Bedrijfsscans;
• Workshops;
Intelink ondersteunt bedrijven bij bewustwordingscampagnes door de verstrekking van
voorlichtings- en bewustwordingsmaterialen. Een voorbeeld hiervan zijn onze posters.
Deze zijn via onze website aan te vragen en te voorzien van b.v. uw organisatielogo of
tekst. Kijk voor meer informatie op: www.infoleakage.com/postercampagne.
Intelink
World Trade Center Rotterdam - 4th floor
Beursplein 37
3011 AA ROTTERDAM
Postbus 30006
3001 DA ROTTERDAM
T: 010-2053887
W: www.intelink.nl / www.infoleakage.com