Boukje Keijzer is ontregelexpert. Voor Managementboek Magazine houdt ze (ongeveer) eens in de twee maanden een regel tegen het licht. In deze column gaat ze in op regels rond IT beveiliging. Hoe zorgen we dat ICT-systemen gegevens beschermen, zonder de toegang tot die gegevens te veel te belemmeren?

26 oktober 2023

‘De beveiliging van ons ICT-systeem is zo streng ingesteld, dat ik elke dag tientallen keren opnieuw moet inloggen. Dat kost ontzettend veel tijd.’

‘Is het echt nodig om elke keer al die veiligheidstappen te doorlopen, voordat ik eindelijk mijn werk kan doen?’

Ken je die lichte paniek die je overvalt als je bij je gegevens op de computer wilt en dat niet lukt? Omdat je eerst opnieuw moet inloggen of een app moet downloaden voordat je verder kunt. Waarbij steeds vaker extra verificatiestappen nodig zijn, die zelden van een leien dakje gaan. Zo heb ik al maanden ruzie met mijn Teams omgeving, waardoor ik regelmatig te laat op online meetings verschijn, met een rood hoofd van de stress. Ondanks nieuwe installaties en herhaaldelijk afmelden en aanmelden herkent hij mijn werkmail opeens niet meer en kom ik nergens meer in. Bij jou gaat het misschien om wachtwoorden die om de haverklap gewijzigd moeten worden, omslachtige inlogprocedures die meerdere keren per dag doorlopen moeten worden of haperende wifi, waardoor je steeds uit een overleg gegooid wordt. Als je net lekker in de go-go-go stand zit op je werk, is zo’n ‘system says no’ bericht enorm frustrerend.

Natuurlijk zijn die ICT-obstakels er niet voor niets. Microsoft probeert me te beschermen tegen ongewenste gebruikers op mijn accounts. Het scherm dat steeds op zwart gaat is bedoeld om te voorkomen dat gevoelige gegevens bekeken worden door onbevoegde ogen, als je even van mijn werkplek bent. Maar de strenge veiligheidsprocedures rond ICT maken het er niet automatisch veiliger op. Als we heel vaak ons wachtwoord moeten veranderen, kiezen we voor wachtwoorden die makkelijk te onthouden en dus ook eenvoudig te raden zijn. Ik ken medewerkers die de hele dag you tube filmpjes op hun computer draaien, om te zorgen dat hun scherm niet inactief wordt en uitvalt. En bij een grote zorginstelling waar ze de haperende wifi niet echt serieus namen, kwam het regelmatig voor dat cruciale informatie over patiënten te laat beschikbaar was, zoals een reanimatieverklaring of allergieën voor bepaalde medicijnen.

Hoe zorgen we dat ICT-systemen gegevens beschermen, zonder de toegang tot die gegevens te veel te belemmeren?

De grootste winst is te behalen met tijd rekken als rekstrategie. Het kan op een dag vele inlogminuten schelen als het scherm niet na 10 minuten op zwart gaat, maar pas na een half uur. En als een wachtwoord niet elke maand vervangen hoeft te worden, maar een keer per jaar. Dat levert niet alleen tijdwinst op, maar ook blijere medewerkers, die eerder bereid zijn om mee te werken aan de veiligheidsprocedures die er echt toe doen.

Verbreed je perspectief. Er zijn meerdere manieren om gegevens te beschermen dan een harde shutdown of verificatie toevoegen. Gebruik een pop-up scherm om medewerkers eraan te herinneren dat een bepaald programma nog open staat. Stimuleer hen om hun laptop dicht te klappen als ze van hun werkplek afgaan. En benut eenvoudige, minder tijdrovende technologische oplossingen om toegang tot gegevens te krijgen, zoals vingerafdrukken en gezichtsherkenning of het scannen van de medewerkerspas. De mogelijkheden zijn eindeloos.

ICT-toepassingen zijn vaak ook heel geschikt om maatwerk te leveren. Niet elke medewerker werkt met gevoelige informatie. Niet alle gegevens hoeven beschermd te worden. Niet elk programma heeft tweetraps verificatie nodig. Kijk dus of je beveiligingsspecificaties op maat kunt instellen. Zodat ze echt werken waar het nodig is, en er ruimte ontstaat waar het wat losser kan.

En vergeet niet dat ICT-systemen worden ingericht door mensen. Ze zijn bedoeld om collega’s te ondersteunen bij hun dagelijks werk, niet om dat dagelijkse werk moeilijker te maken. Probeer samen de optimale balans tussen veiligheid en werkbaarheid te vinden. Vanuit de gedachte: Systems say no, people say yes.

Deze column is verschenen op de website van Managementboek Magazine.