Beveilig de planning en houd grip op klantgegevens, persoonsgegevens en toegang tot data.
Gegevens buit maken, het lekken van informatie en het achterlaten van een laptop in de auto. Iedereen heeft er wel eens over gelezen, kent een voorbeeld of heeft het zelf meegemaakt. De beveiliging van bedrijfs- en persoonsgegevens, zoals je planning, is voor iedereen actueel. Het verlies van vertrouwelijke gegevens kan grote gevolgen hebben, zeker nu de Europese privacywetgeving bedrijven verplichtingen oplegt.
Een aansluiting naar het internet hebben is tegenwoordig geen keuze meer. Die heb je gewoon nodig. Wanneer heb jij voor het laatst het internet een week niet gebruikt? In een planning zijn vaak gevoelige bedrijfs- en persoonsgegevens opgenomen. In deze blog kijken we eerst naar drie verschillende situaties waar men belangrijke data verliest. Daarna geven we drie tips om deze situaties te voorkomen en de planning dus goed te beveiligen.
Probleemsituaties
Datadrama 1 – Vertrouwelijke gegevens liggen op straat
Je hebt een reclamebureau. Jullie werken voor meerdere internationale bedrijven, waaronder twee grote bierbrouwers. Deze brouwers heten Biabia Brewers en Ubiki Group. Voor Biabia zijn jullie bezig met het opzetten van een campagne voor een nieuwe lijn speciale bieren. Het is de bedoeling dat deze lijn ook in het buitenland wordt uitgezet. Om de concurrentie niet in de kaart te spelen is het belangrijk dat het project geheim blijft.
Op een dag werken er op kantoor wat collega’s aan het project voor Ubiki. Om wat bestanden mee te kunnen nemen naar een bespreking zijn ze op zoek naar een USB-stick. Ze vinden er een, plaatsen er wat bestanden op en nemen deze mee naar het overleg. Na de meeting laten deze collega’s de USB-stick per ongeluk achter in de computer van de klant.
Een tijdje later krijg je een artikel onder je neus geschoven. Twee maanden voordat Biabia Brewers met jullie de nieuwe lijn bier lanceert, komt Ubiki met precies dezelfde producten. Biabia Brewers is woest. Zeker nadat uit een onderzoek blijkt dat Ubiki over interne informatie van Biabia heeft moeten beschikken. Waarschijnlijk komt de informatie vanuit jouw reclamebureau. De achtergelaten USB-stick bevatte namelijk ook nog een project planning van Biabia. De planning was niet beveiligd en bevatte alle details van het project.
Datadrama 2 – Persoonlijke gegevens worden openbaar
Je hebt een bouwbedrijf. De project planning met alle contactgegevens van personeel en klanten maken jullie in een Excel-bestand. Het bestand is niet met een wachtwoord beveiligd. Het document wordt namelijk wekelijks naar alle collega’s in een e-mailgroep gestuurd. Zo weet iedereen wat de activiteiten voor de komende week zijn.
Een medewerker op kantoor krijgt de opdracht om een nieuwe medewerker toe te voegen aan de e-mailgroep. Aan het begin van de volgende week belt de collega op. Hij heeft namelijk zijn planning nog niet ontvangen. Na een controle blijkt dat er een typefout is gemaakt. De medewerker heeft in plaats van .nl, .com gebruikt. De planning is hierdoor naar een bedrijf in India gestuurd. Dit betekent dat alle gegevens van je medewerkers en je contacten nu in handen zijn van onbekenden.
Datadrama 3 – Interne ongemachtigde toegang
Je hebt een adviesbureau met tientallen medewerkers. De planning van collega’s doen jullie in een Excel-document en is niet beveiligd. Dit doen jullie, omdat meerdere mensen toegang hebben tot het bestand. Meerdere collega’s moeten namelijk opdrachten kunnen plannen.
Iedereen met een computer kan bij het Excel-bestand. Het gebeurt wel eens dat een consultant zichzelf even snel inplant of wat uren reserveert. De projectmanagers maken af en toe een kopie, zodat zij een proefplanning voor een groot project kunnen maken.
Medewerkers maken dus zelf aanpassingen aan de planning. Daarnaast zijn er ook vaak meerdere versies van het Excel-bestand. De kans is hierdoor groot dat de planning niet betrouwbaar is. Zo is het een keer gebeurd dat collega’s bij de verkeerde klant voor de deur stonden. Dit kwam doordat ze een verkeerde versie van de planning hadden bekeken. Hierdoor zijn hun verspilde uren niet te declareren bij de klant en wordt er omzet gemist.
Tip 1: Beveilig de planning door te werken met een tool die werkt met:
Het machtigen van gebruikers
Hiermee kan je bepalen wie wat kan zien en wie wat kan doen. Alleen een medewerker die in de software kan, ziet de gegevens van je bedrijf. Wat je kan doen en zien in de software is afhankelijk van de rechten van de gebruiker. Zo kan je ten eerste bepalen dat er medewerkers zijn die de planning mogen aanpassen. Daarnaast kan je vaak ook instellen dat er medewerkers zijn die de planning alleen mogen bekijken. Zo beveilig je de planning en zorg je ervoor dat medewerkers alleen informatie zien die ze nodig hebben.
Veilige verbindingen
Het mobiele werken is van deze tijd. Je collega’s ontvangen hun e-mail op verschillende apparaten. Met hun laptop kunnen ze overal werken. Een versleutelde verbinding is hierdoor onmisbaar. Bij een goede tool is dit de standaard. Zonder een versleutelde verbinding is het namelijk vrij eenvoudig om de communicatie te onderscheppen. Dit wordt nog gemakkelijker wanneer een collega gebruik maakt van de openbare wifi van bijvoorbeeld de McDonalds langs de snelweg.
Sterke wachtwoorden afdwingen
Aan het eind van elk jaar worden er lijsten met de meest gebruikte wachtwoorden gepubliceerd. Elk jaar staan hier ‘welkom1234’, ‘wachtwoord’, ‘qwerty’ en ‘123456789’ weer bij. Het is natuurlijk ook een kluif om alle wachtwoorden voor alle websites te onthouden. Wachtwoorden zijn hierdoor vaak eenvoudig en worden hergebruikt. Goede software kan gebruikers dwingen moeilijke wachtwoorden te gebruiken. Daarnaast kunnen ze vaak ook voorkomen dat medewerkers oude wachtwoorden opnieuw instellen. Tenslotte is er vaak ook een optie om bijvoorbeeld maandelijks medewerkers te verplichten om een nieuw wachtwoord in te stellen.
Om informatie van je bedrijf, zoals de planning, te beveiligen raden we altijd aan om sterke wachtwoorden af te dwingen. Er zijn diensten die je collega’s kunnen helpen om al die wachtwoorden te onthouden, namelijk wachtwoordmanagers. Voorbeelden hiervan zijn Apple Sleutelhanger, Dashlane of Lastpass.
Tip 2: Geef vertrouwelijke gegevens een schuilnaam
Pseudonimiseren is een handeling waarmee gegevens, bijvoorbeeld een naam, wordt vervangen door een ander. Een schuilnaam, is met de juiste informatie altijd weer terug te vertalen naar het origineel. Een grote bierbrouwer staat bijvoorbeeld niet onder de eigen naam in de project planning, maar als Warp Limited. Namen van projecten krijgen een eigen schuilnaam.
Met deze manier van het beveiligen van de planning voorkom je niet dat informatie de wereld in gaat. Je voorkomt wel dat iemand van buiten je bedrijf iets met de informatie kan. Informatie een schuilnaam geven is dus een goede optie. Het is een laag die voor extra privacy zorgt. Als stukken naar buiten komen, dan is het voor een buitenstaander onduidelijk waar de stukken precies over gaan. Daarnaast zien ze ook niet wie er allemaal bij het project betrokken is.
Hetzelfde kan je doen met de persoonlijke gegevens van medewerkers. Werknemers worden in de communicatie alleen met afkortingen genoemd en niet met de volledige naam. Paul Johnson heeft bijvoorbeeld geen paul.johnson@uwbedrijf.nl als e-mailadres, maar alleen pj@uwbedrijf.nl. Je kan de planning nog meer beveiligen door nog een stap verder te gaan. Je kan er namelijk ook voor kiezen om zelfs de beginletters van namen niet te gebruiken, maar alleen cijfers.
De planning beveiligen door te anonimiseren gaat nog een stap verder. Waar een pseudoniem met de juiste informatie terug te vertalen is, lukt dat na anonimiseren niet meer. Als ex-medewerker Paul bij je bedrijf vergeten wilt worden, is anonimiseren, na de wettelijke bewaarplicht, zelfs verplicht. Informatie mag op geen manier meer naar Paul te herleiden zijn.
Tip 3: Beveilig de toegang tot je planning
Er is een manier om er zeker van te zijn dat informatie alleen door de juiste collega’s bekeken of bewerkt kan worden. Dit regel je door een autorisatiematrix te maken. Met deze matrix bepaal je per persoon of functie welke informatie ze mogen zien en mogen bewerken.
Software werkt vaak met profielen. Met deze profielen bepaal je welke onderdelen van de software een collega mag gebruiken. Een planner krijgt toegang tot het planbord. Een projectmanager krijgt toegang tot een Gantt Chart van zijn project. Een monteur in de buitendienst kan alleen zijn eigen planning bekijken en de voortgang doorgeven aan zijn projectmanager. Op die manier zorg je ervoor dat medewerkers alleen dingen kunnen doen en zien die ze nodig hebben. Deze manier van het beveiligen van de planning voorkomt dat je medewerkers verdrinken in informatie. Hierdoor wordt hun werk niet alleen makkelijker. Het verkleint namelijk ook het gevaar dat vertrouwelijke gegevens op straat komen te liggen.
Een ander belangrijk punt is dat je zicht houdt op wie toegang heeft tot je software. Medewerkers komen en gaan. Als een ex-medewerker na een jaar bij de concurrent werkt, is het onhandig als hij of zij nog je software in kan. Om dit te voorkomen zou je ook Single Sign On (SSO) kunnen toepassen op de planning software vanuit je Identity Provider Systeem. Met SSO kun je de toegang tot alle software op één plek binnen je organisatie beheren.
Conclusie
Het veilig houden van je persoons- en bedrijfsgegevens, zoals je planning, is een hele taak. Je bedrijf zal er altijd de aandacht bij moet hebben. Een planning van projecten bevat vaak gevoelige informatie. Bij bedrijven zijn steeds meer gegevens digitaal opgeslagen. Hierdoor is er voor partijen met kwade bedoelingen steeds meer te halen. Bedrijven worden hierdoor steeds vaker doelwit. Nieuwe wetten verplichten je daarnaast ook dat je de boel qua privacy op orde hebt.
Wanneer je op zoek gaat naar nieuwe planning software, zijn niet alleen de praktische functies belangrijk. De maatregelen die de software veilig maken zijn net zo belangrijk. Tot slot moet je de gebruiker van de software niet vergeten. Hoe medewerkers met de software omgaan, bepaalt mede hoe veilig de planning echt is. Beleid hierop en instructie aan medewerkers zijn onmisbaar.