"Daarbij worden het niet regelmatig wijzigen van wachtwoorden, het hergebruik van gebruikersnamen en wachtwoorden en het onbeheerd achterlaten van de computer als het meest risicovolle gedrag omschreven. "

En is het de verantwoording van de werknemer om wachtwoord wijzigingen af te dwingen of hergebruik van wachtwoorden te voorkomen ? Hergebruik van gebruikersnamen - wat wordt hiermee bedoeld, en hij bepaalt een werknemer welke gebruikersnamen hij mag gebruiken ?

De meeste van de genoemde zaken laten eerder zien dat er problemen zijn op het gebied van het instellen van een goede information security policy welke met technische controls wordt afgedwongen, waardoor de individuele gebruiker dergelijke gedrag niet kan voorkomen.

Indien een gebruiker als wachtwoord '123456' of 'welkom' kiest; ligt het probleem dan bij de gebruiker, of bij de beheerder die er niet voor zorgt dat dergelijke wachtwoorden niet zijn toegestaan ?

"Verder blijkt dat werknemers zeer regelmatig (23%) of regelmatig (46%) gevoelige gegevens op hun laptop, smartphone, tablet of ander mobiel apparaat meenemen. In veel gevallen (65%) zijn deze gegevens niet beveiligd."

Wiens verantwoording is het om zorg te dragen voor encryptie op removable media ? Is dat de verantwoording van de werknemer, of van de werkgever ? Dergelijke zaken horen geregeld te zijn in de information security policy, en te worden afgedwongen in de procedures die systeembeheer volgt.

Het installeren van harddisk encryptie is -geen- taak van de individuele gebruiker maar van de systeembeheer afdeling, en dat zou gewoon onderdeel van de standaard image moeten zijn. Gebruikers moeten dergelijke zaken zelf niet installeren, en evenmin kunnen verwijderen.

Ik vind het een beetje lachwekkend om de individuele medewerker verantwoordelijk te stellen, en ik zou eerder stellen dat bedrijven nonchalant zijn gezien veel van de genoemde voorbeelden.

Beveiliging is iets waar iedereen, zowel werkgever als werknemer, een eigen verantwoordelijkheid in heeft. Het kan niet zo zijn dat een werknemer de meest stompzinnige zaken uithaalt omdat deze ervan uit gaat (net als jij dus) dat de werkgever er wel voor zorgt dat er niets gebeurd.
Hoeveel werknemers gebruiken bijvoorbeeld hun werkwachtwoord voor privé zaken? Is het de verantwoordelijkheid van de werkgever als de werknemer gehackt wordt? Het gaat allemaal om houding en gedrag. De Nederlandse werknemer gaat zeer slordig met gegevens om, zowel zakelijk als privé. Het grootste risico in beveiliging zit nog altijd tussen de stoel en het toetsenbord in dus hoezo mag een werkgever geen eisen stellen aan de werknemer of een stuk verantwoordelijkheid bij deze werknemer neerleggen. Niet alles is met techniek te regelen dus moet de mens (werknemer) zelf ook een deel voor z'n rekening nemen. Uiteraard moet een werkgever de werknemer wel in staat stellen om kennis te krijgen van hoe deze zo veilig mogelijk met informatie moet omgaan en moet de werkgever ook faciliteren in middelen maar ergens houdt het wel een beetje op.