Je werkt minder ‘informatieveilig’ dan je denkt, wat kun je daaraan doen?

Frans Möhring: ‘Veilig omgaan met informatie is geen hogere wiskunde’
Het belang van informatiebeveiliging kan in deze tijd van toenemende cybercrime niet worden overschat. En dat draait niet alleen om techniek, zegt Frans Möhring, P en O-directeur en opdrachtgever van het programma Informatieveiligheid. ‘Gedrag is even belangrijk en daarin overschatten we vaak onze kennis.’ Wat kun je zelf doen en wat doet Fontys?

Van studentendossiers tot financiële transacties en onderzoekgegevens, we verzamelen en verwerken elke dag enorme hoeveelheden gevoelige informatie. Natuurlijk weten we allemaal best dat we geen cv’s open en bloot op onze bureaus moeten laten liggen. Dat we niet overal hetzelfde wachtwoord moeten gebruiken. En dat we onze wachtwoorden vooral niet moeten delen met anderen. Maar ja, soms is het gewoon heel handig om een collega even toegang tot je systeem te geven. Als je ziek bent bijvoorbeeld en er moet met spoed een document de deur uit.

‘Het gebeurt vaak met de beste bedoelingen’, zo weet ook Möhring. ‘We willen ten slotte allemaal dat ons werk door kan gaan en denken dat het zo’n vaart niet zal lopen. En juist daar gaat het vaak mis.’ Een inbreuk op de beveiliging veroorzaakt niet alleen financiële schade en reputatieverlies, maar kan ook het vertrouwen van studenten en docenten ondermijnen.

Ongeluk zit in een klein hoekje

De ransomware-aanval op de Universiteit van Maastricht in 2019 schudde ook Fontys Hogeschool wakker. ‘Gelukkig hebben we zelf nooit een incident van die omvang meegemaakt waarbij de hele boel plat lag en we enorme hoeveelheden geld moesten ophoesten,’ zegt Möhring.

‘Bij ons bleef het beperkt tot een relatief onschuldig voorval waarbij een cv per ongeluk via reply to all bij te veel mensen terecht kwam. Dat hebben we snel recht kunnen zetten, waardoor de schade beperkt bleef. Maar het toont wel aan dat een ongeluk in een klein hoekje zit en hoe kwetsbaar onze gegevens en die van anderen dus zijn.’ [tekst gaat verder onder foto]

Fontys wil graag haar open karakter behouden, bewust omgaan met gegevens is daarom extra van belang - foto: Bas Gijselhart.
Fontys wil graag haar open karakter behouden, bewust omgaan met gegevens is daarom extra van belang - foto: Bas Gijselhart.


Signaalfunctie van onderzoek

Informatieveiligheid klinkt misschien technisch, maar het heeft vooral ook een menselijke kant. ‘Er lopen al verschillende belangrijke dingen. Zo moet iedereen met een authenticator inloggen en worden er surveys afgenomen waarin we collega’s vragen wat ze al weten over zaken als veiligheid en wachtwoordgebruik.’

Het voornaamste doel hiervan is het inwinnen van informatie. ‘Maar tegelijkertijd hebben deze vragenlijsten ook een belangrijke signaalfunctie. Mensen denken vaak te weten hoe het allemaal werkt, maar komen er tijdens het invullen achter dat ze misschien helemaal niet zo goed op de hoogte zijn.’

Goede voorbeeld leidinggevenden

Een tweede initiatief is het opnemen van informatieveiligheid in het onboardingprogramma voor nieuwe medewerkers. ‘Als er één afdeling binnen Fontys is die verstand zou moeten hebben van gedragsbeïnvloeding, dan is het wel P en O. Daarom willen wij bij startende collega’s vanaf dag één bewustzijn creëren over zaken als laptop- en wachtwoordgebruik.’

Leidinggevenden hebben hier een belangrijke voorbeeldfunctie, zegt de directeur. ‘Zij moeten niet uitstralen dat informatieveiligheid nu eenmaal verplichte kost is, maar kunnen door zelf het goede voorbeeld te geven een belangrijke gedragsverandering in gang zetten.’

Open karakter behouden

Möhring benadrukt dat hij het open karakter van Fontys zo veel mogelijk wil behouden. ‘Het is niet voor niks dat we nergens fysieke poortjes gebruiken. We willen 24/7 in contact met de buitenwereld staan en kunnen laten zien wat voor moois we te bieden hebben. Binnen en buiten lopen letterlijk door elkaar heen en dat is prachtig. Maar wel reden te meer om bewust om te gaan met je eigen informatieveiligheid en die van anderen’, zegt Möhring.

‘De hoeveelheid data die wij als hogeschool genereren is immens. Denk aan personeelsgegevens, salarisadministratie en ziekmeldingen. Maar ook aan de onderzoeksresultaten van lectoraten en de samenwerkingsverbanden met het werkveld. Stuk voor stuk kennis die voor anderen heel interessant kan zijn. Je wilt gewoon niet dat die kroonjuwelen op straat komen te liggen.’

Werk en privé gescheiden houden

Möhring wil graag nog van de gelegenheid gebruik maken om wat tips mee te geven. ‘Regelmatig zien we bij collega’s die uit dienst treden dat er nog allerlei belangrijke privédocumenten op hun laptop staan en bergen foto’s. Ik ben zelf ook heus niet brandschoon, maar ik wil mensen wel bewust maken van de risico’s die ze lopen. Probeer privé en zakelijk gewoon zo veel mogelijk te scheiden.’

Verder beschikt ieder instituut en elke dienst over een informatiemanager. ‘Twijfel je over een mailtje dat je hebt gekregen? Of weet je niet zeker hoe je een belangrijk document versleuteld opslaat? Vraag het. Onze informatiemanagers zijn heel benaderbaar en hebben liever dat je hen drie keer belt dan dat je een veiligheidsvraagstuk zelf probeert op te lossen.’

Feedback geven aan collega’s

Zoals elke verandering vraagt ook de weg naar een optimale informatiebeveiliging de nodige gedragsaanpassingen. ‘Maar het is echt geen hogere wiskunde,’ vindt Möhring. ‘We hebben ook allemaal leren werken met een iPhone, dus dit moet ook lukken.’
‘Wijs je collega gerust op dat ene cv dat open op tafel ligt. In Nederland zijn we niet zo van de feedback, maar zeg er gewoon wat van als iemand de medische gegevens van een ander verspreidt. Je helpt echt mee onze informatieveiligheid te verbeteren door te zeggen: “Dit is niet zo handig”. Wel op een nette manier natuurlijk.’

Alles over informatieveiligheid

Reacties

De redactie keurt reacties voordat ze geplaatst worden. Dit doen wij alleen op werkdagen. Reacties die niet over de inhoud van het artikel gaan en kwetsend kunnen zijn voor (groepen) mensen, worden niet toegelaten op dit platform.