‘Beveiligen van bedrijfsgegevens blijft een heikel punt’
Het beveiligen van bedrijfsgegevens blijft bij veel bedrijven nog een heikel punt. Op het moment dat zich een beveiligingsincident voordoet, blijkt er vaak geen beveiligingsplan te zijn. Als het wel bestaat, dan is het vaak verouderd. Heel vaak worden de risico’s onderschat of dateren de plannen uit een periode waar de druk van big data nog geen feit was. De tijden zijn wel degelijk veranderd.
De convergentie van sociale media, mobiliteit en de cloud heeft voor een data-explosie gezorgd. Deze trend brengt weer andere beveiligingsrisico’s met zich mee. Daarnaast hebben we te maken met een andere manier van werken en van het aanbieden van IT-diensten – BYOD, meer en meer applicaties in de cloud – zorgen voor grotere risico’s aangezien vertrouwelijke bedrijfsgegevens nu buiten de veilige grenzen van de werkplek beschikbaar zijn.
Kwesties rond databeveiliging doen zich steeds vaker voor en kunnen buitengewoon schadelijk zijn voor het bedrijf zelf en voor zijn reputatie. Het gaat al lang niet meer om een worm of een Trojaans paard. We hebben te maken met vele uiteenlopende bedreigingen: cyberaanvallen, hacking en menselijke fouten zijn gemeengoed. Pogingen om de beveiliging te doorbreken nemen toe in sterkte en intensiteit en zijn schadelijker dan ooit. Volgens het Nationaal Cyber Security Center is in 2012 het aantal gemelde beveiligingsincidenten gestegen van 236 in 2011 tot 364 in 2012.
Voorbereid
Je zou zeggen dat de meeste organisaties voorbereid zijn op beveiligingsincidenten. Helaas is dat niet het geval. Onderzoek in Nederland onder grote Nederlandse organisaties en de overheid toont aan dat bij een op de drie van de ondervraagde organisaties de directie nauwelijks aandacht heeft voor beveiligingsrisico’s.Bovendien heeft 1 op de 5 organisaties die IT-risico tot topprioriteit hebben verklaard, geen actieplan voor het geval dat de IT-beveiliging faalt.
Vanzelfsprekend hebben verschillende types organisaties ook behoefteaan een verschillend detailniveau in hun beveiligingsbeleid. Afhankelijk van de bedrijfsactiviteit en de wetgeving, zijn de inhoud en de processen anders Maar wie geen beveiligingsbeleid heeft, is beslist roekeloos.
Het beveiligingsbeleid van sommige organisaties zal gedetailleerde processen omvatten, de verschillende soorten data in kaart brengen en aangeven welke het meest gevoelig zijn. Aan de hand daarvan is dan een duidelijk noodplan opgesteld. Voor andere maakthet databeveiligingsbeleid deel uit van een breder risk managementprogramma. Welke benadering ook wordt gekozen, elk beveiligingsplan moet up-to-date zijn en up-to-date worden gehouden.
Een punt van aandacht is dat een beleid vaak alleen na een incident wordt aangepast. Dat zal echter niet leiden tot een weloverwogen en waterdichte aanpak om de organisatie veilig te houden. Onderzoek van Cisco laat zien dat 77% van de IT-professionals wereldwijd gelooft dat het beveiligingsbeleid van hun organisatie een update nodig heeft.
Beveiligingsbeleid
Een bedrijf dat de kans op beveiligingsincidenten wil beperken en er zonder kleerscheuren vanaf komt als zich toch een incident voordoet, moet echt meer doen dan een meetbaar en up-to-date beveiligingsbeleid ontwikkelen. Het kritieke punt hier is dat informatie en richtlijnen ten aanzien van het proces dat gevolgd moet worden na een incident gedeeld én begrepen moeten worden binnen de gehele organisatie.
De voorlichting van de werknemers is vooral belangrijk als het gaat om een nieuwe manieren van werken, zoals BYOD. Niet-geautoriseerde apparatuur die van buiten op het bedrijfsnetwerk worden aangesloten stelt de infrastructuur bloot aan forse bedreigingen. Een duidelijk en goed beheerd BYOD programma biedt de uitkomst. Een migratie naar de cloud roept ook vragen op over de beveiliging en organisaties noemen deze zorgen de grootste barrière om daadwerkelijk naar de cloud te gaan. Hier ligt de bewijslast niet bij de klant, maar bij de cloudprovider die niet alleen moet aantonen dat de juiste beveiligingsmaatregelen zijn genomen, maar ook de verantwoordelijkheid moet nemen als zich een beveiligingsincident voordoet. De provider moet ook werken volgens strikte Service Level Agreements, idealiter met ISO27001 en ISO9002 certificeringen die aantonen dat de processen worden gevolgd.
Databeveiliging is niet langer een puur technische kwestie. Vaak loopt een bedrijf tegen barrières aan bij het doorvoeren van effectieve databeveiliging binnen de organisatie: misschien een gebrek aan ondersteuning van het management, een beperkt budget, apathie of een bedrijfstop die het belang ervan niet goed snapt. Sommige bedrijven moeten gewezen worden op de financiële gevolgen van een beveiligingsincident voordat ze beveiliging serieus nemen.
Concurrentievoordeel
Uit het eerder genoemde onderzoek blijkt dat de helft van de grote bedrijven en instellingen in Nederland geen idee heeft van de schade die zij kunnen oplopen als hun IT-beveiliging doorbroken wordt. Naast financiële schade kan het ook gaan om aanzienlijke reputatieschade, kosten van eventuele boetes en juridische kosten.
Bovendien kan men door een goede beveiliging ook concurrentievoordeel behalen. Het is onderdeel van service en klantbeleving en er is een maatschappelijk belang. Bedrijven die zich ook moreel verplicht voelen om hun gegevens – en die van hun klanten – goed te beveiligenzullen ook eerder vertrouwen krijgen, ze zijn aantrekkelijker om zaken mee te doen vergeleken met een concurrent die onvoldoende aandacht schenkt aan databeveiliging.
We kunnen zeker besluiten dat data toch wel kritisch kapitaal zijn van een onderneming. Het zijn bedrijfsmiddelen die goed beschermd moet worden. Bedrijven zijn het verplicht aan zichzelf, hun klanten, partners, werknemers en leveranciers om zorgvuldig met de data om te springen. Toch blijkt dat er nog best wat werk aan de winkel is.
Dirk Peeters is Managing Director Northern Europe bij Easynet Global Services
