Wat is een Clean Desk Policy en Clear Screen Policy? En 10 handige tips voor het invoeren!
Met een Clean Desk Policy en Clear Screen Policy verklein je het risico op gegevensdiefstal. Wij geven je 10 tips.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlJe gaat even naar het toilet en dat resulteert in een gesprek op de gang wat zomaar een kwartier kan duren. Herkenbaar? Ondertussen, terwijl je op de gang bent, kan er vertrouwelijke informatie op je bureau liggen of op je computerscherm zichtbaar zijn die eenvoudig gelezen kan worden door toevallige voorbijgangers waarvoor deze informatie niet bedoeld is. Of erger nog, de toevallige voorbijganger gaat aan de haal met de informatie. Een doemscenario, want als bedrijf wil je niet dat je vertrouwelijke informatie op straat komt te liggen. Om dit soort situaties te voorkomen kun je denken aan een Clean Desk Policy en een Clear Screen Policy. Daarmee wordt de kans dat een ongeautoriseerd persoon aan de haal gaat met vertrouwelijke informatie, zowel in fysieke als digitale vorm, aanzienlijk kleiner. Maar wat is een clean desk policy? En wat is een clear screen policy? Dat leggen we juit. Ook geven we 10 handige tips voor het invoeren van een dergelijk beleid in je organisatie.
Clean desk en clear screen binnen informatiebeveiliging
Wist je dat een Clean Desk en Clear Screen Policy onderdeel uitmaken van het informatiebeveiligingsbeleid van je organisatie? Meer weten over informatiebeveiliging of specifiek ISO 27001, de norm voor informatiebeveiliging?
Lees dan ook: Wat is ISO 27001? Een introductie op dé norm voor informatiebeveiliging.
Wat is een Clean Desk Policy?
Een beleid waarmee ervoor gezorgd wordt dat gevoelige informatie, zowel in fysieke als digitale vorm, en apparaten, zoals laptops, telefoons en tablets, niet onbeschermd worden achtergelaten in persoonlijke en publieke werkruimten zodra iemand de werkplek verlaat.
Een Clean Desk Policy betekent simpel gezegd dat er zo min mogelijk op je bureau ligt. Spullen als notitieblokken, brieven, contracten, etc. zijn netjes opgeborgen en slingeren niet overal rond. Enkel de spullen die je nodig hebt tijdens je werk, zoals je laptop, telefoon en kopje koffie, zijn aanwezig. Zodra je de werkplek verlaat berg je eventuele vertrouwelijke documenten en apparaten waar je mee aan het werk bent veilig op achter slot en grendel in een daarvoor bestemde kast of lade. Voor wat betreft documenten die belangrijke informatie bevatten, zoals arbeidscontracten, is het van belang dat deze netjes opgeborgen worden in een personeelsdossier dat alleen toegankelijk is voor degene die er vanuit zijn of haar functie – zoals HR – iets mee moet doen. Op die manier kunnen ongeautoriseerde personen niet met de informatie aan de haal gaan als jij even niet op je plek zit. Dat betekent overigens ook dat whiteboards na een meeting dienen te worden gewist en de afdrukken opgehaald worden uit de printer.
Wat is een Clear Screen Policy?
Een Clear Screen Policy betekent onder andere dat je als werknemer verplicht bent om je computerscherm te vergrendelen zodra je de werkplek verlaat. Het scherm kan enkel weer ontgrendeld worden door het invoeren van een wachtwoord. Op deze manier is de content op het scherm beveiligd tegen onbedoelde gebruikers. Tevens is het van belang dat er zo min mogelijk bestanden op het bureaublad van je computer staan. Mocht je dan per ongeluk een keertje vergeten om je computer te locken als je wegloopt, dan kan een toevallige gebruiker in elk geval niet direct vanaf je bureaublad in al je bestanden.
Verder is het vanuit een Clear Screen beleid o.a. van belang dat computerschermen in een kantoorruimte zodanig geplaatst worden dat toevallige voorbijgangers niet de kans krijgen om op het scherm te kijken. Daarnaast betekent het ook dat je aan het einde van de dag de computer helemaal uitschakelt, zodat deze is uitgelogd op het netwerk. Dat geldt ook voor de printer en andere netwerkapparatuur.
Wet- en regelgeving rondom informatiebeveiliging
Op gebied van informatiebeveiliging, waaronder Clean Desk en Clear Screen beleid vallen, en ISO 27001 is behoorlijk wat wet- en regelgeving. Voldoet jouw organisatie daar al aan? Benieuwd?
Lees dan het artikel: ‘Wet- en regelgeving informatiebeveiliging en ISO 27001‘.
De voordelen van Clean Desk en Clear Screen Policies
Het invoeren van een Clean Desk Policy en Clear Screen Policy heeft diverse voordelen. Hieronder benoemen we er een aantal:
- Ongeautoriseerde gebruikers kunnen vanaf de werkplek niet in computers en andere apparaten en dus geen digitale informatie ontvreemden.
- Er slingeren geen vertrouwelijke documenten rond in kantoor, zodat deze ook niet meegenomen kunnen worden door toevallige voorbijgangers.
- Opgeruimde bureaus zorgt voor een professionele uitstraling richting klanten.
- Je kunt als organisatie eenvoudiger flexibele werkplekken inrichten, aangezien er niet overal documenten van iemand anders op bureaus liggen.
- Uit onderzoek is gebleken dat werknemers beter functioneren in een goed georganiseerde omgeving.
- Het is voor de facilitaire dienst makkelijker om de bureaus te poetsen.
- Wanneer je van plan bent om een ISO 27001 certificering te gaan behalen, dan maken beide policies daar verplicht onderdeel van uit.
Clear Screen en Clean Desk Policy invoeren? 10 tips
Doorgaans gaat het invoeren van een Clean Desk en Clear Screen Policy niet zonder slag of stoot. Het beleidsmatig beschermen van informatie heeft de meeste kans als het binnen de organisatie breed gedragen wordt.
Het is dus belangrijk dat er draagvlak wordt gecreëerd onder medewerkers, zodat zij het belang inzien van het beschermen van informatie. Hieronder een aantal Clear Screen en Clean Desk Policy tips om bewustwording te creëren en om het invoeren van een Clean Desk en Clear Screen Policy makkelijker te maken:
- Maak duidelijke werkinstructies voor medewerkers, zodat iedereen op de hoogte is van het beleid en weet wat hij/zij moet doen. Maak daarbij ook steeds duidelijk wat de risico’s en consequenties zijn.
- Bewustwording onder medewerkers kan op allerlei manieren gecreëerd worden. Denk aan posters, e-mail alerts, nieuwsbrieven, alerts op kantoor etc. Houd het laagdrempelig en denk out-of-the-box.
- Het management dient zich bewust te zijn van het feit dat het een voorbeeldfunctie heeft. Het gedrag dat zij vertonen wordt doorgaans gekopieerd door medewerkers.
- Maak eventueel iemand op kantoor verantwoordelijk voor het bewaken van het Clean Desk en Clear Screen beleid. Deze persoon kan anderen stimuleren.
- Richt de digitale werkplek zo optimaal mogelijk in en geef voldoende instructie hierover. Op die manier kan iedereen digitaal werken, waardoor het printen zoveel mogelijk beperkt wordt.
- Maak gebruik van een wachtwoordmanager of een wachtwoordbeleid. Instrueer medewerkers hier ook over. Op die manier gaat iedereen veilig om met wachtwoorden.
- Zorg voor een goede back-up. Op die manier zijn documenten altijd terug te halen als er per ongeluk iets wordt weggegooid.
- Zorg voor voldoende ‘vergrendelde gebieden’, zoals afsluitbare laden, archiefkasten en kluizen waarin documenten en apparaten opgeborgen kunnen worden.
- Schaf een shredder aan, zodat fysieke documenten die gevoelige informatie bevatten eenvoudig vernietigd kunnen worden.
- Bij grotere bedrijven met meerdere kantoorruimtes kan gedacht worden aan toegangsautorisatie per ruimte. Daarmee wordt voorkomen dat mensen zich begeven tot een ruimte waar zij in feite geen toegang toe zouden moeten hebben.
Een beleid opzetten is de basis
“CAN heeft ons gecoacht en ondersteund om in eerste instantie het beleid rondom informatiebeveiliging vorm te geven. Vervolgens zijn we samen aan de slag gegaan met het uitschrijven van de beheersmaatregelen en van daaruit hebben we letterlijk alles vanaf de grond aan opgebouwd. Het was daarbij heel prettig dat er via CAN een ondersteunend systeem beschikbaar was”, vertelt Martijn Stuart van onze klant Infield ICT.
Clean desk policy voorbeeld
Om diverse zaken kracht bij te zetten geven we hieronder nog drie keer een clean desk policy voorbeeld, zodat het wat concreter wordt:
- Een medewerker heeft een fysieke presentielijst waarop gegevens staan van mensen die hebben deelgenomen aan een evenement. Deze gegevens neemt de medewerker over in een digitaal systeem. Vervolgens wordt de papieren presentielijst vernietigd in de shredder, zodat deze gegevens niet inzichtelijk zijn voor andere medewerkers en onnodig in het kantoor blijven rondslingeren.
- De financieel medewerker krijgt regelmatig post, papieren afschriften, facturen ed. met daarop bedrijfs-, klant- of personeelsgegevens. Deze papieren worden netjes bewaard in een afgesloten kastje waarvan de financieel medewerker de sleutel heeft. Deze papieren liggen in elk geval niet open en bloot op zijn of haar bureau, zodat iedereen die voorbijkomt ze in kan zien.
- Een medewerker heeft een USB-stick waarop informatie van het bedrijf staat. Deze stick ligt op zijn of haar bureau. Het is van belang dat deze stick dagelijks goed wordt opgeborgen, zodat deze niet rond blijft slingeren en iedereen toegang heeft tot de informatie. Beter nog, zet de informatie op de stick digitaal in de cloud, zodat je niet eens een stick meer nodig hebt.
Cultuurverandering!
Thijs Baars van onze klant Fastned: “Het hele ISO-traject heeft een (positieve) cultuurverandering teweeggebracht binnen onze organisatie. Gelukkig hebben we voor het gehele traject de begeleiding ingeschakeld van CertificeringsAdvies Nederland, want zonder hen waren we als een kip zonder kop aan de slag gegaan. Vooral de pragmatische inval hadden we niet zonder hen kunnen doen.”
Wil je de hele ervaring van Thijs lezen? Bekijk dan de klantcase van Fastned.
Clear screen policy voorbeeld
Hieronder ook nog een tweetal concrete voorbeelden van een clear screen policy:
- Een medewerker zit in het kantoor te werken achter een laptop. De medewerker verlaat even de werkplek om een kopje thee te gaan halen. De medewerker lockt netjes zijn laptop met sneltoets (voor Windows-gebruikers toetsencombinatie Windows L en voor Macbook-gebruikers toetsencombinatie control command Q). Nu kunnen andere personen geen informatie op het scherm van de medewerker aflezen en de laptop ook niet gebruiken. De laptop is alleen te ontgrendelen met het door de medewerker ingestelde wachtwoord of andere inlogmethode (vingerafdruk, gezichtsherkenning).
- Een medewerker heeft een werktelefoon. De medewerker verlaat de werkplek om naar een meeting te gaan in hetzelfde gebouw. De medewerker neemt de werktelefoon met zich mee, zodat deze niet onbeheerd achterblijft op de werkplek.
Meer informatie?
Wil je graag aan de slag met een Clean desk en/of clear screen policy? Of wil je de informatiebeveiliging, en mogelijk ISO 27001, binnen je organisatie naar een hoger niveau tillen? Bij CertificeringsAdvies Nederland kunnen we je adviseren en ondersteunen:
- Zo bieden we een nulmeting aan: daarbij krijg je helder inzicht in waar je als organisatie staat t.o.v. informatiebeveiliging en hoe groot bijvoorbeeld de stap is naar een ISO 27001 certificering;
- Kun je gebruik maken van een opstaptraject informatiebeveiliging (en ISO 27001): daarmee leg je op een laagdrempelige en toegankelijke manier een informatiebeveiligingsfundament;
- Uiteraard kunnen we ook op andere manieren begeleiden, bijvoorbeeld in de vorm van advies, coaching, workshops en trainingen.
Wat je vraag, wens of behoefte ook is, neem gerust contact met ons op of vraag geheel vrijblijvend een offerte aan. Wij denken graag met je mee over de volgende stap en helpen je graag op weg!
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlVoorkom risico's door verkeerd handelen m.b.t. informatie.
Leid medewerkers op met de e-learning Security Awareness!
- E-learning op maat
- Periodiek trainen
- Maak medewerkers bewust