20-10-2009 - Twitter, Hyves, LinkedIn en FaceBook maken een enorme groei door. Iedereen zet van alles op het internet, ook zaken die vanuit bedrijfsbeleid ongewenst zijn. Bedrijven worstelen met hun privacy policies.
Chief Security Officers (CSO's) nemen het voortouw beleid te ontwikkelen om binnen hun organisatie bewustwording te creëren, maar achten dit toch in de eerste plaats een verantwoordelijkheid voor de Personeelsmanager of de CEO. Dat was een van de uitkomsten van het CSO Interchange Dinner , gehouden op 1 oktober in de Industrieele Groote Club te Amsterdam.
CSO Interchange is een exclusief ontmoetingsplatform voor CSO's en Chief Information Security Officers (CISO's) van Nederlandse topondernemingen. Tijdens de CSO Interchange Dinners delen zij in beslotenheid hun zorgen en hun best practices. De diners worden regelmatig en op invitation only basis gehouden.
Key note speaker van de bijeenkomst op 1 oktober was Arie Linsen, CISO Stater. Stater is als dochteronderneming van ABNAMRO een belangrijke dienstverlener voor hypotheekverstrekkers in Europa. De titel van Linsen's presentatie was Social vulnerabilities, social opportunities. Linsen: "Je kunt online networking niet buiten je onderneming houden. Met name de jongere medewerkers, ook wel Generatie Y of Millennials genoemd, raak je gegarandeerd kwijt als je Hyves of LinkedIn afsluit. Bovendien gaan mensen stiekem omwegen bewandelen en ben je nog verder van huis". Stater doet voorzichtig kleine stappen op het gebied van online networking. "Het is een ontwikkeling die je niet kunt tegenhouden. We zien op termijn beslist business opportunies, ook al vragen onze klanten er nog niet om". Veel organisaties worstelen met de omgang met de Millennials. De laatsten, geboren tussen 1977 en 1998, treden nu toe tot de arbeidsmarkt, zijn altijd online, hebben veel contacten, zijn sceptisch over autoriteiten. Ze zijn multitasking, snel verveeld, expressief en digitaal zeer creatief. "Bied hen structuur, goede ontplooiingsmogelijkheden en gebruik hun digitale voorsprong. Online networking en moderne collaboration tools spelen daar een cruciale rol in."
De keerzijde van de inzet van social networking is dat bedrijven ook alle cyberdreigingen het hoofd moeten zien te bieden. Online identiteitsdiefstal en andere vormen van cybercrime nemen inmiddels grote vormen aan. Aan de hand van een aantal stellingen konden de ongeveer 20 deelnemers hun opvattingen en ervaringen hieromtrent ventileren. Uit privacy overwegingen worden in het navolgende geen individuen aan het woord gelaten.
Een ruime meerderheid was het volledig eens met de stelling "De ontwikkeling van beleid op het gebied van Social Networks is geen taak voor de CSO. Het is een verantwoordelijkheid van HRM of zelfs van de CEO." Deelnemers gaven daar het volgende motief voor aan: "Het gaat om sturing van gedrag, en dat is een algemeen bedrijfsvraagstuk." Een enkeling vond dat om die reden de CSO zich afzijdig moet houden van beleidsontwikkeling. "Wij zijn verantwoordelijk voor de uitvoering van beleid, niet voor het ontwikkelen en het afdwingen. " Een ander vond: "Je kunt niet iets op je nemen waar je niet de exclusief eigenaar van bent. Het gaat om een multidisciplinair vraagstuk, waarin naast de CSO ook IT, HRM, de business betrokken moeten zijn". Dat gezegd zijnde, was het duidelijk dat bij een aantal bedrijven de CSO toch het initiatief tot beleidsvorming heeft genomen. "Bij gebrek aan beter; niemand anders bij ons heeft dit opgepakt," zoals een van de deelnemers het verwoordde.
De stelling "Wat mensen in hun eigen tijd doen is hun eigen zaak, maar Social Networks op hun werk gebruiken is ongepast gedrag" kon op geen enkele instemming rekenen. Een van de deelnemers: "Wat medewerkers in hun vrije tijd doen is wel degelijk onze zaak. De grens tussen zakelijk en privé is verdwenen. We hebben onze medewerkers telefoons en laptops met toegang tot het bedrijfsnetwerk gegeven, en we verwachten min of meer dat ze altijd en overal beschikbaar zijn. Dan moeten we ook accepteren dat ze tijdens het werk privédingen doen. Wat ze op Social Networks over hun werk melden, raakt ons natuurlijk wel." Het bewust maken van de privacygevaren van Social Networks werd alom gezien als een verantwoordelijkheid van de werkgever, maar in het verlengde daarvan ook van de overheid en beslist ook van het onderwijs. "De Millennials hebben vaak geen benul van wat er allemaal gebeuren kan met de informatie die ze prijs geven van zichzelf of van de werkgever." Een van de deelnemers merkte op dat er wat dit betreft niets nieuws onder de zon is. "Waar er sociale communities zijn, bestaat er risico dat er ongewenst informatie wordt prijsgegeven. Dat is van alle eeuwen. Het enige verschil is de schaal en de snelheid van online networking."
Ook de stelling "Als beleid maakt mijn bedrijf GEEN gebruik van Social Networks om informatie in te winnen tijdens een sollicitatieprocedure, omdat dit inbreuk maakt op de privacy van de kandidaat" leidde tot een geanimeerde discussie. Sommige bedrijven gebruiken de informatie op social communities volop. "Het is openbare informatie, die de mensen zelf op internet hebben gezet." Andere bedrijven gingen daar genuanceerder mee om. "Je weet niet of het allemaal waar is en in hoeverre de informatie gemanipuleerd is, dus wij doen het niet." Een bedrijf gebruikt de informatie niet om het risico te vermijden verzeild te raken in juridische procedures. "Je kunt beter niet kijken, omdat je niet hoeft te kijken. Als je wel kijkt, en op basis van die informatie iemand wel of juist niet aanneemt, kun je aansprakelijk worden gesteld als de informatie niet klopt".
De discussie naar aanleiding van de stelling "wordt ten gevolge van het gebruik van Social Networks de CSO Chief Privacy Officer?" leidde tot de conclusie dat privacybewaking nog niet duidelijk juridisch is ingekaderd en bedrijfsmatig belegd. In ieder geval waren de deelnemers het er over eens dat het bewaken van de privacy niet tot hun taken behoort. "Privacy is een juridische aangelegenheid, en behoort niet tot ons domein. De CSO weegt risico's af en handelt daarnaar," zoals een van de deelnemers het formuleerde. Een andere deelnemer merkte op dat er veel wetgeving geregeld is op het gebied van data leakage. Een aantal bedrijven heeft speciale afdelingen Data Protection. "Maar dan gaat het om klantgegevens, niet om wat medewerkers over zichzelf of het bedrijf op het net zetten. Dat is toch meer een zaak van HRM."
De stelling "We hanteren beleid voor het publiceren van corporate informatie op Social Networks" kon rekenen op de instemming van de meerderheid. Een van de deelnemers: "We hanteren beleid voor het publiceren van corporate informatie. Punt. Dus ook op Social Networks." Dit entameerde discussie over de waarde van het begrip "Vertrouwelijk". "Bij ons is het strikt verboden informatie te delen met andere afdelingen om insider trading te vermijden," zei een deelnemer uit de financiële sector. Een andere deelnemer wees op de erosie van het woord 'vertrouwelijk' : "Als alles confidentieel wordt genoemd, wordt het een loos begrip." Een van de deelnemers wees op het belang van een goed gestructureerd document management system om de verspreiding van vertrouwelijke informatie in goede banen te leiden en te controleren.
De stelling "We hebben inbreuken meegemaakt op onze security ten gevolge van Social Networks." Kon een flinke aantal deelnemers bevestigen. Sommige hadden ondervonden dat er namens hun bedrijf blogs of LinkedIn ongewenst groepen waren opgezet door derden. In enkele gevallen zelfs om desinformatie te verspreiden.
De stelling: "Wij zullen binnen zes maanden het eerste bedrijfsfaillissement zien tengevolge van het lekken van gevoelige bedrijfsinformatie op Social Networks" werd door alle deelnemers onderschreven. "Maak er drie maanden van," zei een van de deelnemers.
De stelling"We maken onze medewerkers er actief op attent dat ze op Social Networks benaderd kunnen worden door mensen met slechte bedoelingen" werd door de overgrote meerderheid onderschreven. Enkele deelnemers hadden dit ook al ondervonden. "Wij hebben ethical hackers in dienst, security specialisten die op ons verzoek systemen proberen te kraken. Die meldden ons dat ze benaderd zijn via Social Networks." Ook de stelling "Social Networks zet de turbo op Social Engineering" werd volop beaamd.
Algemeen waren de deelnemers het erover eens dat bewustmaking en wetgeving cruciaal zijn. Voor de overheid en het onderwijs is een belangrijke rol weggelegd bij het creëren van awareness. Op het gebied van wetgeving zijn er nog grote stappen te zetten. Er bestaan grote verschillen tussen de diverse nationale wet- en regelgevingen. Ook binnen onze Nederlandse jurisdictie zijn er inconsistenties. "Wetgeving voor de financial services industry staat haaks op dataprotectieregelgeving," merkte een van de deelnemers op. Bovendien moet de overheid als hoeder van de privacy worden gewantrouwd. "Het is twijfelachtig of onze privacy in goede handen is bij de diverse overheden", vond een deelnemer.
De volgende CSO Interchange Dinner vindt plaats op 4 februari 2010 op een nog nader te bepalen locatie. Het thema is dan "Security and the Cloud".
Trefwoorden: Amsterdam, bewaking, Cybercrime, dief, faillissement, grens, hack, hacker, Hyves, ICT, identiteit, ISS, management, netwerk, NFI, Office, onderwijs, privacy, risico, slot, stelen, vertrouwelijk, meer trefwoorden...
|
|
mobiel
|
inzenden
|
nieuwsbrief
|
rss
|
|
|
