De 43-jarige IT-manager noemt de gebeurtenissen rond Wikileaks “wel amusant”. De vrouw herkent veel van het gedrag van de Amerikanen uit haar eigen bedrijf, een onderneming met bijna 500 werkplekken en typisch een bedrijf dat bestaat op basis van kennis en creativiteit.

Een eigen lek

De organisatie kreeg een aantal jaar geleden te maken met een medewerker, die onbetrouwbaar bleek. “Er was geld achterover gedrukt, informatie gestolen en verkocht aan de concurrent, belachelijk gedeclareerd en we werden ook nog eens met informatie gechanteerd”, herinnert de vrouw zich. “Eigenlijk deden we te weinig aan beveiliging was al duidelijk.”

“Het meest pijnlijk was dat een concurrent met ons product ging ontwikkelen en we dus gewoon het nakijken hadden. Wij leverden de creativiteit en zij verdienden het geld”, verzucht ze. Daarna was het natuurlijk hommeles intern. “Alles moest anders en niemand had nog enig vertrouwen in wie dan ook. Echt heel naar.”

Normaal reageren

“Ik kreeg de taak aan beveiliging te gaan werken en alles moest totaal dicht zitten”, verhaalt ze. Bijna fluisterend bekent ze zelf ook door te schieten en totale controle over alles te willen hebben. “Dus moest er veel gebeuren: uitgebreide logging, een filter, meer gesloten directories, versleutelde e-mail, een verbod op USB-sticks, geen eigen software voor de medewerkers, geen thuiswerkplek meer, meerfactorauthenticatie, dubbele virusscanner, werkplekcontroles en meer. Niets zou meer lekken.”

Maar haar enthousiaste stemming sloeg snel om als er om budget moet worden gevraagd. “De directie wilde maar wat graag, maar ik keek tegen een verviervoudiging van de kosten aan en dan kunnen we minder. Het voelde niet goed”, verzucht ze. Een opiniestuk op Webwereld over de ineffectiviteit van filtering vergroot de twijfel. “Toen was mij duidelijk dat het echt anders moest.”

Logisch nadenken

Na lang wikken en wegen besluit ze opnieuw naar de directie te gaan met een nieuw plan. “Niet de informatie, maar wij waren zelf het probleem. Alleen de ontwikkelplannen en privacygevoelige gegevens moet je beschermen. De rest hoeft niet op straat te liggen, maar is ook geen groot geheim”, concludeert ze. “Net als bij Wikileaks konden veel te veel mensen bij geheimen en van die geheimen hadden we er teveel. We moesten leren heel terughoudend te classificeren.”

Een fel debat bij de directie volgt. “Dat ging hard tegen hard en daar werd ook gescholden. De vergadering van een uur begon rond lunchtijd en was rond middernacht klaar”, vertelt ze glimlachend. Op de vraag wie won glimlacht ze breed. “De IT’ers natuurlijk.”

Meer openheid

Inmiddels zijn er regels opgesteld en wordt er wel intensiever beveiligd. “Als je een geheim hebt dan moet je het zo aanduiden en aan strikte regels voldoen. Anders is het bedrijfsinformatie die intern gedeeld kan worden en geldt een geheimhoudingsverklaring. Meer niet”, vertelt ze. Het gevolg van de nieuwe lijn is dat ook vergaderverslagen, beloftes aan klanten en een aantal telefoonnotities intern gedeeld worden. “Medewerkers kunnen dus nu weten wat er in de organisatie speelt. Natuurlijk hebben we geheimen, maar minder dan vroeger.”