Een van de belangrijkste speerpunten van de ISO 27001-certificering is een Clean Desk Policy. Een Clean Desk Policy is een beleid dat voorkomt dat gevoelige informatie – in digitale en fysieke vorm – onbeheerd wordt achtergelaten in een publieke ruimte. Gevoelige informatie heet namelijk niet voor niets zo. Bij Dstny voeren we een strakke Clean Desk Policy. Hoe we dat hebben aangepakt? Dat lees je in dit artikel.
Stel je voor: een werknemer zit in een kantoortuin en is op zijn laptop bezig met het opstellen van een kwartaalrapport of een pre-sell onderzoek over een nieuw product dat je bedrijf in de markt gaat zetten. Hij krijgt een telefoontje van zijn baas over een last-minute vergadering of gaat even wat koffie halen en verlaat zijn werkplek.
Deze situatie komt vaker voor dan je je voor kunt stellen en geeft zonder de juiste maatregelen een groot informatierisico. Alle informatie die hij achterlaat kan makkelijk worden bekeken of worden meegenomen door een niet-geautoriseerd persoon. En als hij of zij niet uitlogt op zijn laptop, kan iedereen gewoon dingen uitvoeren uit naam van deze werknemer.
Als bedrijf wil je niet dat je gevoelige informatie op straat komt te liggen. De ISO 27001-certificering draait om optimale informatiebeveiliging en een van de onderdelen is dan ook een Clean Desk Policy. Met zo’n beleid wordt de kans dat onbevoegde personen met gevoelige informatie aan de haal gaan een stuk kleiner.
Wat houdt een Clean Desk Policy in?
Het woord zegt het eigenlijk al: bij een Clean Desk Policy ligt er zo weinig mogelijk op je bureau. Enkel de spullen die je echt nodig hebt – zoals een laptop, telefoon en kop koffie – liggen op je bureau. Als je je werkplek verlaat, stop je vertrouwelijke documenten in een afgesloten kast of lade. Zo is de kans dat informatie in verkeerde handen valt minimaal. Onder Clean Desk Policy valt ook het uitvegen van whiteboards na vergaderingen.
Naast Clean Desk Policy voeren we bij Dstny ook een Clear Screen Policy. Dat houdt in dat werknemers hun scherm vergrendelen wanneer ze hun werkplek verlaten. Het scherm kan alleen ontgrendeld worden door een wachtwoord, dat niemand anders binnen het bedrijf weet. Ook wordt er altijd rekening gehouden met meekijkers en schakelen we al onze computers aan het einde van de dag helemaal uit.
De voordelen van een Clean Desk Policy
Aan het voeren van een Clean Desk Policy kleven verschillende voordelen, zoals:
- Op kantoor slingert geen vertrouwelijke informatie rond, zo kan het dus nooit meegenomen worden door toevallige voorbijgangers.
- Ongeautoriseerde gebruikers kunnen geen toegang krijgen tot apparatuur en dus ook geen digitale informatie meenemen.
- Een opgeruimd bureau geeft een professionele uitstraling naar klanten.
- Je wordt als organisatie een stuk flexibeler en kunt werkplekken flexibeler inrichten, omdat er niet overal documenten rondslingeren.
- Het is uit onderzoek gebleken dat werknemers beter kunnen werken als hun bureau is opgeruimd.
- Schoonmaken wordt een stuk makkelijker.
Tips voor het invoeren van een Clean Desk Policy
Het invoeren van een Clean Desk Policy lijkt makkelijk, maar in de praktijk heeft het toch vaak nog wat voeten in de aarde. Zo’n beleid is echter alleen effectief wanneer de hele organisatie erachter staat, dus daarom is het belangrijk dat er draagvlak wordt gecreëerd. Met de volgende tips vergroot je de bewustwording onder je medewerkers:
- Stel een plan op voor je werknemers. Het is belangrijk dat iedereen op de hoogte is van het beleid en weet wat er van hem/haar verwacht wordt. Bij Dstny hangen in de kantine van Sint-Oedenrode 7 ISO-richtlijnen waar iedereen op terug kan vallen. Zorg ook dat je benadrukt wáarom je dit doet: wat zijn de risico’s en consequenties?
- Je kunt op veel manieren bewustwording creëren bij je werknemers. Bijvoorbeeld door posters, e-mail alerts of nieuwsbrieven. Dstny houdt regelmatig een kennisquiz waarbij de kennis van werknemers over ISO wordt getest. Houd het wel laagdrempelig en denk vooral out-of-the-box!
- Je management moet erbij stilstaan dat ze een voorbeeldfunctie hebben. Hun gedrag wordt doorgaans gekopieerd door personeel en ze moeten dan ook het goede voorbeeld geven.
- Je kunt iemand verantwoordelijk maken voor het bewaken van de Clean Desk Policy.
- Zorg dat je digitale werkplekken optimaal inricht en geef hier ook instructies over. Werknemers kunnen het beste zoveel mogelijk digitaal werken, om printen te beperken.
- Maak gebruik van een wachtwoordmanager. Bij Dstny gebruiken we 1Password, zo hoeft iedereen maar één wachtwoord te onthouden en is toch alles wat toegankelijk moet zijn toegankelijk. Dit wachtwoord delen we natuurlijk met niemand en bij uit dienst treden wordt ook de toegang tot onze wachtwoordkluizen ontzegd.
- Zorg voor een goed back-up beleid. Zo zijn documenten altijd weer terug te halen als je per ongeluk iets weggooit.
- Zorg ook dat er genoeg ‘vergrendelde plekken’ zijn, zoals lades, kasten en kluizen. Daar kun je documenten en apparaten veilig opbergen.
- Koop een papierversnipperaar. Alle documenten met gevoelige informatie gaan hier doorheen, zodat de kans op een informatielek erg klein is.
- Heb je een groot kantoor met meerdere ruimtes? Dan kun je denken aan toegangsautorisatie per ruimte. Zo voorkom je dat mensen een ruimte betreden waar ze niks te zoeken hebben. En ook de kans op meekijken op computerschermen wordt een stuk kleiner.