Wanneer informatiemanagement je vakgebied is, kan het natuurlijk niet uitblijven dat je op je weblog iets over WikiLeaks gaat zeggen. Dus blijf ik ook niet achter. Het is niet aan mij om een juridisch of zelfs maatschappelijk oordeel aan WikiLeaks te verbinden. Ik zal het fenomeen daarom vooral vanuit de informatiebeveiliging bekijken. Er zal immers aan heel wat directietafels de vraag worden gesteld of WikiLeaks voor hun bedrijfsinformatie een risico vormt.De afgelopen jaren heb ik verschillende organisaties geadviseerd over visie, beleid en strategie op het gebied van informatiemanagement en Enterprise Content Management. Eén van de punten die in die adviesopdrachten steevast discussie opleverde, was het dilemma tussen de "open" en "gesloten" informatievoorziening. Je kunt je vast wat bij die discussies voorstellen. Wat bij die discussies vaak over het hoofd wordt gezien is dat niet systemen, maar mensen informatie "lekken". Een gouwe ouwe over dit onderwerp is "50 cent holes".
De problemen binnen organisaties, die ervoor zorgen dat WikiLeaks iets te lekken heeft, zijn echter niet door WikiLeaks veroorzaakt. Ze bestaan al binnen organisaties (overheid of niet). De twee belangrijkste zijn:
1. Blijkbaar zijn er toch altijd individuen die of de organisatie willen schaden of het niet eens zijn met de keuze informatie vertrouwelijk te houden
2. Vertrouwelijke informatie wordt met teveel mensen gedeeld (Amerikaanse overheidsinformatie met 3 miljoen mensen, Nederlandse elektronische patiënteninformatie met 300.000).
WikiLeaks veroorzaak wel twee dingen, die de kans op lekken van informatie groter maken:
1. Ze hebben lekken sexy gemaakt. Mensen worden gemotiveerd om toch vooral zoveel mogelijk informatie te lekken en er wordt gegarandeerd het nieuws mee gehaald.
2. Ze maken lekken effectief. Door de media-aandacht voor WikiLeaks wordt informatie op de site door zeer veel kranten, tv-zenders etc. gelezen en vervolgens naar buiten gebracht.
Het wordt daarom wel zaak voor organisaties (overheid en bedrijven) om naar hun informatiebeveiliging te kijken. De nieuwe context die WikiLeaks veroorzaakt heeft, maakt de ruimte voor fouten hierin kleiner. Het verhaal van de 50-cent holes maakt duidelijk dat alles op slot zetten geen optie is. Dan blijven over:
1. Maak alle informatie, die niet strikt vertrouwelijk is, openbaar
2. Deel strikt vertrouwelijke informatie alleen in de zeer kleine kring, die de informatie echt voor hun werk nodig hebben
Hoewel WikiLeaks openheid nastreeft, zet het eigenlijk informatiebeveiliging weer op de plaats waar het thuis hoort: de directie-agenda.
Zie hier mijn andere blogposts over beveiliging.
Geen opmerkingen:
Een reactie posten