De afgelopen jaren zijn onderwerpen als Document Management en Workflow Management en andere ECM onderdelen als initiatief opgepakt bij vele organisaties. Er zijn goede vorderingen geboekt bij het digitaliseren van gegevens en het digitaal afhandelen van interne werkprocessen. Vooral de organisaties waarbij het “digitaal” werken al enige jaren actief is, zien we het volgende probleem de kop op steken namelijk: Security.

Compliancy en corporate governance

Compliancy en corporate governance zijn zaken die een leven zijn gaan leiden door initiatieven als SOX, Basel II, Code Tabaksblad, WPD, etc. Dankzij Document Management en andere ECM toepassingen is er al een hoop zaken richting de opgestelde wet- en regelgeving gerealiseerd, echter het onderdeel security heeft nog niet echt een prominente rol gekregen. Terwijl er talloze voorbeelden in de media te vinden zijn hoe het fout kan gaan.

Het lijkt er soms op dat organisaties wachten met maatregelen nemen totdat er daadwerkelijk wat gebeurt. Je kan eenvoudig de vergelijking trekken met een airbag in de auto, een “compliancy” regel die al jaren in de auto zit. Voor mensen die nog nooit een ernstig ongeluk hebben gehad kan de airbag worden uitgeschakeld of zelfs uit de auto worden gelaten. De mensen die hun leven te danken hebben aan de airbag weten wel beter. Dit geldt ook voor initiatieven om digitale stukken beter te beveiligen tegen fraudeleus gebruik of tegen de bekende “ongelukjes” in het dagelijks proces.

Hoe vaak hebben we de verhalen niet in het nieuws gehoord dat een werknemer van Defensie zijn USB stick in de huurauto laat liggen vol met geheime documenten. Vervolgens wordt de man aan de publieke schandpaal genageld, maar het probleem ligt natuurlijk wel ergens anders. Hoe kan het zijn dat deze man geheime stukken überhaupt op een USB stick kan zetten. Zolang dit soort zaken in een werkproces bij een organisatie mogelijk is, zullen er “fouten” worden gemaakt.

Inventariseren security sitiatie

Organisaties zullen intern hun processen goed moeten bekijken en security policies in kaart moeten brengen. En deze security policies vervolgens “opleggen” aan hun gebruikers. Gelukkig is de techniek al zover dat redelijk eenvoudig binnen de organisatie allerlei security policies kunnen worden gedefinieerd (Windows Rights Management, Workshare Protect) en zo worden ingericht dat werknemers geen Big Brother gevoel krijgen of belemmerd worden in hun dagelijkse werkzaamheden. Dus als iemand documenten van een bepaalde gevoelige classificatie op een USB stick wil kopiëren dan zal dat niet lukken, echter, de vakantiefoto’s kunnen prima worden opgeslagen.Het is natuurlijk een heel verschil of een kwaadwillende geheime stukken of de vakantiekiekjes van een medewerker vindt in de huurauto.

Ook e-mail is een medium waar tal van fouten worden gemaakt. U kent het misschien zelf wel, u stuurt per ongeluk de jaarcijfers naar uw concurrent omdat u per ongeluk het verkeerde e-mail adres heeft gekozen. Een fout is menselijk, maar waarom heeft de organisatie geen security policy dat jaarcijfers niet kunnen worden ge-emailed naar personen buiten de organisatie. Zo zijn er talloze voorbeelden te geven die met security policies kunnen worden opgelost, zonder de gebruiker te vervelen met lastige meldingen of te belemmeren in hun dagelijks werk.

Bewustwording medewerkers is essentieel

Zo zijn er talloze security policies te definiëren voor een organisatie die eigenlijk op de achtergrond de juiste regels in acht neemt en pas in actie komt zodra de digitale regels van de security policy worden overtreden.
Het is wel duidelijk dat compliancy en security hand in hand gaan en daarom is het opvallend dat er toch bij veel organisaties een afwachtende houding is (uitzonderingen natuurlijk daar gelaten). Een oorzaak hiervan zouden de medewerkers van de organisatie zelf kunnen zijn. Vroeger werden papieren dossiers/documenten waar een NDA (Non-disclosure) of ander gevoeligheidsclassificatie op zat zeer zorgvuldig bewaard en behandeld, er was er maar 1 kopij en er was een hoop controle. Echter, tegenwoordig is een hoop medewerkers zich niet bewust dat stukken van de digitale variant net zo zorgvuldig bewaard en behandeld moeten worden ook al zijn deze opgeslagen in bijvoorbeeld een Document Management systeem. Er wordt teveel gerust op het Document Management systeem, dat regelt dat toch wel? En zodra er met een organisatie wordt gesproken over security policies komt er een gevoel bij de gebruikers dat zij bepaalde dingen niet meer “mogen” en bepaalde privileges verliezen, terwijl dit natuurlijk niet het geval hoeft te zijn.

Compliancy blijft een onderwerp de komende jaren en naar verwachting zal wet- en regelgeving verder worden aangescherpt. Dus over het onderwerp security zijn we nog lang niet uitgepraat.

Door: Sebastiaan Bos, Business Unit Manager IRIS Nederland (Morningstar Systems), sebastiaan.bos@iriscorporate.com

Rate this post

Print Friendly