#areyouincontrol? Social-media-audit Drs. ing. Robbie Braaksma RE Hoe enorm de kracht van social media is, heeft één van de machtigste zakenbanken onlangs moeten ondervinden. Goldman Sachs verloor door social media in één dag 2 miljard dollar aan beurswaarde. Om een organisatie te behoeden voor de potentiële gevaren van social media wordt in dit artikel inzicht gegeven in de risico’s van social media en de wijze waarop men zich hiertegen kan bewapenen. Om als organisatie ‘in control’ te zijn moeten vier aandachtsgebieden worden afgedekt. Een auditor speelt een cruciale rol bij het bepalen en toetsen van de in dit artikel genoemde risico’s en set aan beheersingsmaatregelen.
Inleiding Drs. ing. R.O. Braaksma RE
is manager Risk Consulting, IT Advisory.
[email protected]
Compact_ 2012 4
Hoe enorm de kracht van social media is, heeft één van de machtigste zakenbanken, namelijk Goldman Sachs, onlangs moeten ondervinden. Een ‘onschuldige en hardwerkende’ bankier Smith geeft een interview aan de New York Times. Het felle en kritische opiniestuk illustreert deze machtige zakenbank als een stel aasgieren peuzelend aan een karkas. Smith, die reeds zijn ontslag ingediend heeft, zet op zijn Facebook een link naar het onlineartikel. Binnen een paar uur is het stuk drie miljoen keer aangeklikt, opiniemakers twitteren het nieuws en wereldwijde weblogs reageren met ‘nog nooit grotere inkomensval voor Goldman’. In het huidige glorietijdperk van social media gaat het nieuws in een mum van tijd als een lopend vuurtje de wereld over. Goldman is compleet verrast en verliest die dag 2 miljard dollar aan beurswaarde.1
49
Social media staan vandaag de dag prominent op de agenda van elke bestuursvoorzitter. Zij worden ondersteund door zowel beleidsmakers als consultants om wegen te vinden om de applicaties als Facebook, Wikipedia, YouTube en Twitter winstgevend in te zetten. En met succes; onderzoek heeft uitgewezen dat sterke merken een directe correlatie hebben met enerzijds een goede financiële prestatie en anderzijds een brede inzet van sociale media.2 Om de organisatie te behoeden voor de potentiële gevaren van social media wordt in dit artikel inzicht gegeven in de risico’s van social media en de wijze waarop men zich hiertegen kan bewapenen. De beheersing van deze risico’s is een primaire verantwoordelijkheid van het lijnmanagement, maar ook speelt de auditfunctie een belangrijke rol. Hoe kunnen zij de organisatie toetsen, zodat aan de directie inzicht wordt gegeven over de mate van beheersing? Dit artikel moet een leidraad zijn om social media in organisaties op een beheersbare wijze in te richten, zodat u niet midden in de nacht badend van het zweet wakker wordt en denkt dat uw organisatie 2 miljard minder waard is.
Double-edged sword Social media wordt door veel bedrijven angstig bezien als een double-edged sword. Hoe pluk je de vruchten van de mogelijkheden die de organisatie de beloofde boost bezorgen, terwijl de risico’s als wolven op de loer liggen? Organisaties moeten ook waken voor de negatieve impact en risico’s van deze nieuwe ontwikkeling. Opdroging van verkopen, schending van privacy, afbraak van vertrouwde merknamen, om maar een paar voorbeelden te noemen. Zoals het voorbeeld van Goldman Sachs laat zien, kan de impact in de miljarden lopen. Als eerste dient gezegd te worden dat men social media niet links kan laten liggen, de laissez faire-methode is ook niet het antwoord. Social media is een must; het vereist een duidelijke visie wat de organisatie met social media wil bereiken. Kiezen voor een ad-hocaanpak vergt veel minder resources dan wanneer gekozen wordt om social media in te zetten als enige business driver. Deze laatste vraagt naast afstemming met de strategie van de organisatie, ook senior commitment en een voortdurende alignment van systemen, processen en cultuur. De gemaakte keuze bepaalt het financieel gewin.
50
#areyouincontrol?
‘Elk voordeel heb een nadeel’ Aan deze nieuwste ontwikkeling kleven ook risico’s met (financiële) negatieve implicaties. Overall gezien vormt reputatieschade één van de zwaarste risico’s in termen van moeilijk te corrigeren. Mensen vormen de sleutelpositie voor de reputatie van de organisatie. Wat te denken van de onderlinge communicatie waarbij de organisatie geschaad kan worden? Ongepast, lasterlijk en onjuist taalgebruik kan vervelende consequenties hebben voor de organisatie. Een conversatie wordt geïnitieerd en men reageert snel en open op elkaar, echter dit kan ook escaleren of een geheel andere wending krijgen. Dit levert hoe dan ook schade voor de organisatie op, opmerkingen van bijvoorbeeld klanten (of (ex-)werknemers) kunnen een eigen leven gaan leiden en zo de reputatie en merkbeleving schade toebrengen. Vaak is de persoon die een en ander geïnitieerd heeft al uit beeld en had hij of zij die negatieve intentie totaal niet.
Verkeerd gebruik social media Op korte termijn kunnen social media leiden tot reputatieschade; de gebruikers van social media zetten de organisatie in een kwaad daglicht; dit kan snel verergeren als meerdere gebruikers meedoen. Het kan zelfs opgepakt worden door de media (consumentenprogramma’s en/of documentairemakers). Op lange termijn kan het gebruik van social media leiden tot financiële schade; consumenten associëren de organisatie negatief; omzet en winst verminderen, in het ergste geval gaat de organisatie failliet.
Daarnaast mag het social netwerk van een onderneming niet gehackt worden door bijvoorbeeld malware. Malware staat voor ‘malicious software’. Dit is een verzamelnaam van kwaadwillende software die zich verspreidt in de programmatuur van de computer. Malware in relatie tot bijvoorbeeld Facebook zorgt ervoor dat het virus zich verspreidt onder gelinkte klanten, partners of andere contacten. Dergelijke aanvallen op Facebook en Twitter zorgen namelijk ook voor permissie aan de gelinkte gebruikers en data. Het ‘posten’ van berichten in naam van een werknemer of door een werknemer inclusief een linkje kan desastreuze gevolgen hebben voor de onderneming.3
De internationale beroepsvereniging ISACA4 heeft de risico’s van het gebruik van social media geclassificeerd in een viertal aandachtsgebieden:5
Strategisch plan Gebruik social media
1 Social-media-inzet als businesstool Bedrijven zetten social media steeds vaker in als business tool. Hiermee worden social media benut als communicatiemiddel voor geïnteresseerden en potentiële consumenten. Maar wat als het communicatiemiddel niet helemaal juist gebruikt wordt? 2 Social-mediagebruik met toegang vanuit bedrijfsnetwerk Social media worden steeds vaker uitgerold op bedrijfsmiddelen als laptop, iPad of mobiele telefoon. Dit zal in de toekomst verder worden uitgerold om het nieuwe werken in een flexibele kantoortuin mogelijk te maken. De bedrijfsapparatuur (computers en netwerk) wordt niet alleen gebruikt voor de bedrijfsapplicaties. Toegang via een browser wordt ook benut voor social media. Maar zijn met de introductie hiervan de gelinkte klanten dan nog wel veilig? Wat te denken van de bedrijfsgegevens en privacy van klanten? 3 Social-mediagebruik op mobiele telefoon Het gebruik van social media wordt steeds persoonlijker en vindt steeds meer plaats op de mobiele telefoon. Social media worden hiermee laagdrempelig en het gebruik is daardoor explosief gestegen. Dit brengt echter ook specifieke risico’s met zich mee, hetgeen bevestigd wordt in de securityonderzoeken naar deze devices. Problemen hebben vaak te maken met de vele social-engineeringpogingen om informatie te achterhalen van gebruikers om zodoende ook toegang te krijgen tot het bedrijfsnetwerk. Wat te doen als de mobiele telefoons gestolen of verloren raken? Liggen de gegevens van de organisatie dan ook op straat of nog erger bij de concurrent? 4 Persoonlijk gebruik vanuit huis Een laatste en meer controversiële overweging is het gebruik van social media in huis op privécomputers. Het beheer van de privédevices kan vaak niet geregeld en gecontroleerd worden door organisaties. Hoe moet hiermee worden omgegaan? Afhankelijk waar de organisatie social media voor gaat inzetten zijn de bovenstaande vier aandachtsgebieden van toepassing. Ieder aandachtsgebied kent zijn eigen risico’s, en deze dienen (of beter gezegd moeten) te worden afgedekt. Daarbij speelt een auditor een belangrijke rol. Hij kan aangeven welke risico’s daadwerkelijk spelen, wat de
Compact_ 2012 4
Social media
Inzet social media Als businesstool
Mobiele telefonie
Toegang vanuit bedrijfsnetwerk
1
2
3
4 Persoonlijk gebruik thuis
Figuur 1. Strategisch plan voor beheer van social media.
ernst van de risico’s is en welke wijze van afdekken aan te bevelen is, en kan een onafhankelijke toetsing uitvoeren of de risico’s ook daadwerkelijk afgedekt worden.
In control Voor een organisatie is het belangrijk om ‘in control’ te zijn. Het refereert aan de accountantsterm ‘statement of control’, dit is een ‘kwaliteitscertificaat’ waarin de mate van beheersing van de bedrijfsvoering beoordeeld wordt door auditors. Het geeft aan in hoeverre het management grip heeft op zijn processen. In het statement wordt verwezen naar:
•• •• ••
een set van normen waaraan de beheersing getoetst is; de in de processen opgenomen interne controles; de aangetroffen tekortkomingen en de oorzaken hiervan; •• en de voorgenomen maatregelen om de knelpunten op te lossen. Gezien het risico dat social media vormen, is het voor een organisatie wenselijk ‘in control’ te zijn en de tekortko-
51
Onderdeel
Doel
Social media governance
Vanuit de top commitment en toewijding uitstralen voor het gebruik en inzetten van social media ter ondersteuning van organisatorische doelstellingen: Toewijzing van verantwoordelijke social media in Raad van Bestuur en overige bestuurders/stakeholders Social media in relatie tot het organisatorisch strategisch plan Inzicht in de (significante) beslissingen omtrent social media Informatie van statusinitiatieven (projecten/successen)
• • • • Social-mediabeleid
Beleid opstellen om social media in te zetten ter ondersteuning van het organisatorisch strategisch plan: SMART social-mediadoelstellingen Doelgroep, (gewenst) gebruik social-mediakanalen en bedrijfsgeschikte tooling en technologie Organogram, budget en planning Bepaling uitstraling naar buiten (en binnen) door stijl, frequentie en consistentie van berichtgeving Beperkingen (kanalen, resources, budget) Omgang met beveiliging, data, privégegevens, archivering Zelfbewustwording en training Compliance en juridische zaken
• • • • • • • •
Tabel 1. Social media strategisch plan.
mingen tot een minimum te beperken. Dit betekent dat alle vier ISACA-aandachtsgebieden van de social-mediainzet moeten worden afgedekt. Eerst dient een overallplan te worden opgesteld. Hierin worden de ‘regels’ opgenomen omtrent het beheer van social media. Zo’n plan wordt ook wel het strategisch plan genoemd. Om ‘in control’ op de vier risicogebieden te zijn moet allereerst een social media strategisch plan opgesteld worden. Succesvolle strategische plannen dienen niet alleen te focussen op de social-media-tooling, maar vooral op de relaties met consumenten in combinatie met de bedrijfsdoelstellingen (opgesteld in strategisch organisatorisch plan). Het besef moet doorgedrongen zijn dat de primaire aandachtsgebieden van social media sociologisch en psychologisch zijn en daaraan gekoppeld het secundaire: technologie en tooling. Een voorbeeld van het goed toepassen van het strategisch plan is het playbook van Cisco.6
Strategisch plan Cisco heeft social media intern en extern geprofileerd. Zij heeft een Social Media Playbook geïntroduceerd; zij geeft daarmee aan hoe zij social media benadert voor de Cisco-organisatie: luisteren online, verzamelen van feedback en het leren van de ervaringen. Ondertussen wordt het playbook gezien als één van de best practices rond sharing en social-media-gebruik en -inzet.
52
#areyouincontrol?
De internationale beroepsvereniging van internal auditors IIA7 heeft een boek uitgebracht met vereisten waaraan een strategisch plan ter beheersing van social media dient te voldoen.8 Het social media strategisch plan dient door relevante stakeholders opgesteld te worden; daarbij valt te denken aan: Marketing, IT, Juridische Zaken en Compliance. Nadat de strategie is opgesteld, dient de uitvoering plaats te vinden, inclusief monitoring en terugkoppeling van de bevindingen. Dit laatste dient uitgevoerd te worden door de gedelegeerde verantwoordelijke van social media. Aan de auditor de taak om deze gehele managementcyclus te auditen.
Risk & beheersing Het risico van social media valt niet op voorhand uit te sluiten door organisaties. Als organisatie kun je niet zelf bepalen of je meedoet met social media of niet. Immers, dat wordt bepaald door de ‘internetwereld’. Met risico wordt in deze context bedoeld de potentiële gevaren van social media die de organisatie kunnen bedreigen in haar bedrijfsvoering. De potentiële gevaren kunnen door beheersingsmaatregelen zo goed mogelijk worden gemitigeerd. Daarbij wordt, voor zover mogelijk, de waarschijnlijkheid en impact van een risico tot het minimum beperkt. Zoals eerder besproken zijn social media een enorme kans voor de organisatie, maar heeft dit fenomeen twee kanten (double-edged sword). In tabel 2 (achteraan dit artikel) wordt per aandachtsgebied het risico voor de organisatie genoemd. Daarachter worden in een kolom de mogelijke beheersingsmaatregelen genoemd. Deze laatste beheersingsmaatregelen dient een organisatie in te voeren om in control te zijn. Aan een auditor de taak om de beheersingsmaatregelen te toetsen op inhoudelijkheid.
Conclusie
Noten
Worden social media gehanteerd als middel om finan ciële prestaties van de organisatie te verbeteren? Wordt er overwogen social media in te zetten, maar is er twijfel over het double-edged sword? Dan wordt aangeraden om eerst een strategisch plan op te stellen om op social media ‘in control’ te zijn en te blijven. Daarbij is een auditor van toegevoegde waarde en kunnen de risico’s en beheersingsmaatregelen in de huidige inrichting onder de loep worden genomen. Een auditor kan dat doen aan de hand van een normenkader dat specifiek van toepassing is op de situatie van de organisatie. De auditor kan het social-mediaproces ondersteunen en helpen beheersen. Aangeraden wordt dit minimaal eenmaal per jaar uit te voeren, zodat de organisatie niet net als Goldman Sachs op de voorpagina van Het Financieele Dagblad verschijnt …
1 Het Financieele Dagblad, 17 maart 2012, ‘Vampierinktvissen, aasgieren en muppets bij zakenbank Goldman Sachs’. 2 Engagementsdb, The world’s most valuable brands? Who’s most engaged? Ranking the Top 100 Global Brands. 3 Mortleman, Social Media strategies, Computer fraud & Security. 4 De Information Systems Audit and Control Association (ISACA) is een internationale beroepsvereniging in de vakgebieden IT-governance, IT-auditing, informatiebeveiliging en risicomanagement van automatisering. Zij is wereldwijd actief in 160 landen, met meer dan 86.000 constituties. 5 ISACA, Social Media: Business Benefits and Security, Governance and Assurance Perspectives, May 2010. 6 http://www.scribd.com/doc/33518678/Cisco-Social-MediaPlaybook-Best-Practice-Sharing. 7 Het Instituut van Internal Auditors Nederland (IIA) is de grootste beroepsvereniging van internal auditors in Nederland. De missie van IIA is om het beroep en vak internal audit in Nederland te ontwikkelen en te promoten en daarvoor internal auditors, management en andere belanghebbenden te ondersteunen bij een succesvolle invulling van de internal-auditfunctie. De hoofdtaken van IIA bestaan uit het profileren van het vak, kwaliteitsbewaking, belangenbehartiging en het delen van kennis. 8 P.R. Scott en J.M. Jacka, Auditing-Social-Media-A-Governanceand-Risk-Guide.
Over de auteur Drs. ing. R.O. Braaksma RE is manager bij Risk Consulting, IT Advisory, en heeft acht jaar auditervaring op het gebied van IT-audits, Operational audit en Compliance.
Compact_ 2012 4
Social media
53
54
#areyouincontrol? De risico’s voor de organisatie zijn:
informatie’. Wanneer de medewerker de link aanklikt, blijkt het een virus te zijn genesteld op de bedrijfscomputer.
Beheersingsmaatregelen Plaatsing van berichten 1 Social-media-informatiebeveiligingsbeleid (organogram, RACI, inlog & wachtwoordbeleid) 2 Procesbeschrijving (incl. template, controle (web care), plaatsing, controle, live) 3 Automatic scripting van tweets, blogs, etc. Controle 4 IJzeren (bestellingen/berichten) testsettool 5 Automatic scripting (search engine keywords) 6 Opvolging bij verschillen Calamiteiten 7 Aanstelling van ‘calamiteiten’ team (met diverse achtergronden) 8 Laagdrempelige mogelijkheid tot (anoniem) melden incidenten 9 Draaiboek met algemene en specifieke directe opvolging van incidenten 10 Lesson Learned-rapportage incl. communicatie naar organisatie
2 Toegang vanuit bedrijfsnetwerk Als een virus meegestuurd wordt via social media (linkje op Twitter/ Facebook) en een gebruiker dit vanuit een beveiligde omgeving aanklikt, kan een onbevoegde ‘binnen’ komen. Eenmaal binnen bestaat het risico dat bedrijfsgegevens verworven kunnen worden met reputatieschade en financiële gevolgen nadien. Een medewerker heeft een Twitter-account, hij is er actief op. Hij volgt andere tweets met nieuwste aanbiedingen, zo ook een aanbieding van een bekende bank. Deze geeft een hoge hypotheekrentekorting: ‘zie de link voor meer Beheersingsmaatregelen Beveiliging 1 Internetinformatiebeveiligingsbeleid (organogram, RACI, dataclassificatie, inlog & wachtwoordbeleid) 2 Websiteclassificatie + blokkering 3 Softwarebeleid (download en gebruik, updates m.b.t. OS, firewall en virus) 4 Detectie en rapportage m.b.t. virussen, freeware, shareware 5 Awareness en training Calamiteiten Zie 1 Businesstool
Beheersingsmaatregelen & Rol auditor Door de organisatie te treffen beheersingsmaatregelen In de kolom met beheersingsmaatregelen wordt een aantal concrete maatregelen genoemd. Hierop dient de auditor te toetsen. Naast het opvragen en vastleggen dient hij/zij ook inhoudelijk de deliverables te beoordelen en de naleving vast te stellen. In de laatste kolom zijn specifieke aspecten genoemd die getoetst dienen te worden.
Aandachtsgebied
Risico Het risico wanneer de organisatie toegang vanuit het bedrijfsnetwerk biedt aan social media
Voorbeeld Een organisatie biedt social media vanuit het bedrijfsnetwerk verkeerd aan
Beheersingsmaatregelen & Rol auditor In de kolom met beheersingsmaatregelen wordt een aantal concrete maatregelen genoemd. Hierop dient de auditor te toetsen. Naast het opvragen en vastleggen dient hij/zij ook inhoudelijk de deliverables te beoordelen en de naleving vast te stellen. In de laatste kolom zijn specifieke aspecten genoemd die getoetst dienen te worden.
Zie voor calamiteiten de rol die de auditor speelt bij 7 – 10 van 1 Businesstool.
Rol auditor 1 Belangrijk is dat het internetinformatiebeveiligingsbeleid in lijn is met het organisatorische/overkoepelende informatiebeleid. 2 Officiële instanties brengen periodiek overzichten uit met websites die schadelijk zijn voor de organisatie. De auditor moet toezien dat hiervan gebruik wordt gemaakt. 3 In het beleid dient minimaal vastgelegd te zijn hoe omgegaan wordt met de genoemde onderdelen; daarnaast moet getoetst worden dat ernaar gehandeld wordt. 4 De auditor moet vaststellen dat de controle op deze onderdelen iedere dag uitgevoerd wordt inclusief periodieke rapportage (en directe lijnrapportage). 5 Om ‘inslapen’ te voorkomen moet dit periodiek worden herhaald op een unieke creatieve wijze.
• beschadiging (fysiek & financieel) aan bedrijfseigendommen; • reputatieschade.
Rol auditor 1 Belangrijk is dat het social-media-informatiebeveiligingsbeleid in lijn is met het organisatorische informatiebeleid. 2 In de procesbeschrijving dient duidelijk naar voren te komen: wie, wat, waarmee, wanneer en hoe. 3 Bepaling dat automatische scripting wordt uitgevoerd met de voorwaarden daaraan. 4 Vaststellen dat iedere dag de ijzeren testset gedraaid heeft zodat prijzen en hoeveelheden juist zijn en juist berekend worden. 5 Toetsen dat uitlatingen steekproefsgewijs gecontroleerd worden en in lijn zijn met het beleid van 1. 6 Controle alleen is niet voldoende, ook de opvolging moet ingeregeld zijn. Auditor dient dit te toetsen. 7 Kern is dat directe opvolging komt van team met specialisten als communicatie, jurist, verantwoordelijk bestuur, etc. 8 Laagdrempelig hierbij is anonieme en onafhankelijke aanname door medewerker (eventueel geven van bonus). 9 Auditor moet daarbij letten of direct draaiboek (incl. team van 7 & bellijst) uit de kast kan worden gehaald. 10 Auditor moet toetsen dat een Lesson Learned-rapportage is gemaakt, én dat ernaar gehandeld is.
van een televisie voor € 1,-. Gevolg: 1.062 televisies verkocht voor 1 euro, schade was ruim een half miljoen euro.
Facebook is door een organisatie als distributiekanaal ingezet. Zij biedt een laagste prijsgarantie, afdeling Verkoop past haar prijzen aan volgens de laatste ontwikkelingen. Per ongeluk plaatst zij op Facebook een advertentie
Voorbeeld Een organisatie zet social media als businesstool verkeerd in
De risico’s voor de organisatie zijn:
• vergoeding aan of claims van consumenten; • reputatieschade.
Een onjuiste inzet van de businesstool kan ‘verkeerde’ aandacht geven. Bij verkeerde informatie moet de organisatie later altijd met een correctie/verklaring komen. In het ergste geval zal uitleg moeten worden gegeven aan journalisten/media. Gebruikers kunnen de organisatie afschilderen als onprofessioneel.
1 Businesstool
Risico Het risico wanneer de organisatie social media inzet als businesstool
Aandachtsgebied
Compact_ 2012 4
Social media
55
leuk, ze bevatten ook de presentatie van de board. Door sharing is iedereen op de hoogte van de vernieuwde strategie van de organisatie.
4 Persoonlijk gebruik thuis Als social media thuis worden gebruikt is het buiten de organisatorische ‘muren’. De organisatie heeft er geen zicht op of men aan de uitgangspunten van het beleid voldoet. Het risico hierbij is dat schade aan de organisatie optreedt, zonder dat de organisatie het weet of kan ingrijpen. Een medewerker van een organisatie heeft foto’s gemaakt tijdens een personeelsuitje. De foto’s worden gedeeld op Flickr. De foto’s zijn niet alleen Beheersingsmaatregelen Preventief 1 Algemene richtlijn voor social-mediagebruik 2 Specifieke richtlijn voor social media in relatie tot (meerdere vormen van) werkzaamheden 3 Verplichte social-mediatraining 4 Periodieke aandacht in vorm van jaarlijkse test/award en communicatie op intranet Calamiteiten Zie 1 Businesstool
Aandachtsgebied
Risico Het risico van social-mediagebruik thuis
Voorbeeld Een organisatie biedt social media vanuit het bedrijfsnetwerk verkeerd aan
Beheersingsmaatregelen & Rol auditor In de kolom met beheersingsmaatregelen wordt een aantal concrete maatregelen genoemd. Hierop dient de auditor te toetsen. Naast het opvragen en vastleggen dient hij/zij ook inhoudelijk de deliverables te beoordelen en de naleving vast te stellen. In de laatste kolom zijn specifieke aspecten genoemd die getoetst dienen te worden.
Tabel 2. Risico’s voor de organisatie per aandachtsgebied.
Bij grote schade moet de organisatie repareren, maar de kans bestaat dat men te laat is, met de financiële gevolgschade nadien.
Beheersingsmaatregelen Mobiele beveiliging 1 Mobiel informatiebeveiligingsbeleid (organogram, RACI, inlog + wachtwoordbeleid) 2 Mobiel toegang tot bedrijfsgegevens (inclusief dataclassificatie) 3 Mogelijkheid scheiding omgevingen 4 Beleid opslag, back-up en ‘leegtrekken’ van mobiel Continuïteit 5 Awareness gebruik bedrijfsmobiel voor privédoeleinden 6 Aanstelling van ‘calamiteiten’-team 7 Draaiboek met algemene opvolging van verlies mobiel (inclusief impact op mogelijke bedrijfsrelaties) 8 Track, Trace & Lock-mogelijkheden op afstand Calamiteiten Zie 1 Businesstool
Beheersingsmaatregelen & Rol auditor In de kolom met beheersingsmaatregelen wordt een aantal concrete maatregelen genoemd. Hierop dient de auditor te toetsen. Naast het opvragen en vastleggen dient hij/zij ook inhoudelijk de deliverables te beoordelen en de naleving vast te stellen. In de laatste kolom zijn specifieke aspecten genoemd die getoetst dienen te worden.
Zie voor calamiteiten de rol die de auditor speelt bij 7 – 10 van 1 Businesstool.
Rol auditor 1 In de algemene richtlijn moeten onderwerpen opgenomen zijn als: richtlijnen over spreken over de organisatie, uitingen, zich houden aan organisatorische codes, de te hanteren kanalen (incl. gevaren), verwijzing naar beleid van de organisatie en wat te doen bij calamiteiten. 2 Zoals 1, maar dan voor specifieke maatschappelijk gevoelige zaken, zoals juridisch gerelateerde zaken, privégerelateerde zaken, schade aan mensen of bedrijven. 3 Om ‘inslapen’ te voorkomen moet dit periodiek worden herhaald op een unieke creatieve wijze. 4 Ook hier geldt dat de auditor moet waarschuwen zoals bij (3) Mobiele telefonie gedaan is.
Zie voor calamiteiten de rol die de auditor speelt bij 7 – 10 van 1 Businesstool.
Rol auditor 1 Belangrijk is dat het mobiel informatiebeveiligingsbeleid in lijn is met het organisatorische/overkoepelende informatiebeleid. 2 Vastgesteld dient te worden dat niet iedere mobiele telefoon toegang heeft tot alle bedrijfsgegevens, maar dat er een vorm van classificatie bestaat. 3 Net als bij 2 moet de auditor vaststellen dat preventief data gescheiden worden. 4 Focus als auditor niet alleen dat dit uitgevoerd wordt, maar ook met enige regelmaat. 5 Om ‘indutten’ van de organisatie te voorkomen moet dit periodiek worden herhaald op een unieke creatieve wijze. 6 Kern is dat werkzaamheden snel worden uitgevoerd zodat verdere schade voorkomen wordt; zie verder calamiteiten. 7 De impact van de calamiteit moet snel worden bepaald. Voordat de gevolgen niet te overzien zijn moet preventief actie worden ondernomen. 8 Mobiele providers leveren tegenwoordig deze diensten. De auditor moet vaststellen dat deze worden gehanteerd en dat ieder mobieltje van afstand ‘bestuurbaar’ is.
moet daarom mee op vakantie. Hij/zij raakt de mobiel kwijt. Alle bedrijfsberichten (e-mail & WhatsApp) zijn opgeslagen en eenvoudig te downloaden voor de ‘vinder’.
Voor de medewerkers van organisatie X heeft de organisatie een bedrijfsmobieltje beschikbaar gesteld (inclusief apps). De medewerkers hebben ook privécontacten op de applicatie WhatsApp op de bedrijfsmobiel staan. Mobiel
Voorbeeld Een organisatie zet social media of mobiele telefonie voor social media verkeerd in
Bovengenoemde kenmerken vormen een risico om door de beveiliging te breken en toegang te krijgen tot het bedrijfsnetwerk.
• laagdrempelige hanteerwijze op mobiele telefoons; • speciale (lean mean) sites afgestemd op mobiele telefonie; • mobieltje: klein formaat, knoppen minuscuul, eenvoudig te verliezen.
Om social media eenvoudig toegankelijk te maken voor mobiele telefoons heeft men een aantal beveiligingsmaatregelen niet genomen (welke voor ‘normale’ computers wel gelden), deze vormen een bedreiging voor de organisatie:
3 Mobiele telefonie
Risico Het risico wanneer de organisatie social media toestaat via mobiele telefonie en vice versa
Aandachtsgebied