‘Bedrijven berusten erin dat ze datalek-regels niet naleven’
04-07-2015 | door: Diederik Toet
Deel dit artikel:

‘Bedrijven berusten erin dat ze datalek-regels niet naleven’

Hoewel het wetsvoorstel al bij de Eerste Kamer ligt, is vrijwel geen enkele organisatie klaar voor de Meldplicht Datalekken. Om na gegevensverlies hoge boetes te voorkomen, moeten organisaties nu aan de slag met encryptie. IT-dienstverleners kunnen de CIO daarbij goed helpen, maar zijn zich nog onvoldoende bewust van de noodzaak. Dat zegt Pieter Lacroix, managing director van Sophos Nederland.

Struisvogelgedrag, noemt Lacroix het. Hij sprak de afgelopen weken veel organisaties over de aanstaande wetgeving en concludeert dat de meesten erin berusten dat ze de regels niet naleven. ‘Toch moet elke onderneming waarschijnlijk al dit jaar op elk moment kunnen aantonen en garanderen dat klantgegevens adequaat zijn beveiligd. Kan hij dat niet, dan loopt hij kans op een geldboete die kan oplopen tot 5 procent van de wereldwijde omzet. Bij grote organisaties gaat het dus om tientallen miljoenen.’

Om het bedrijfsleven bewuster te maken van de verplichte databeveiliging, organiseerde Sophos kortgeleden een heuse roadshow door Nederland. Veel ondernemingen die Lacroix daar sprak, denken al flink op weg te zijn. ‘Sommigen gebruiken wel encryptie om gevoelige gegevens te beschermen. Maar als je ze erop wijst dat ze de versleuteling ook achteraf daadwerkelijk moeten kunnen bewijzen, wordt het stil. Bewijzen is heel iets anders dan de encryptie regelen. Anderen melden dan weer heel trots dat ze een interne gedragscode voor het opslaan en delen van gegevens hebben. Maar de wetgever eist dat alle medewerkers echt weten wat de code inhoudt en dat ze ernaar handelen. Daar mankeert het nu vaak aan. Afdwingen van de code is lastig. Even een document opslaan in een persoonlijke Dropbox is nu eenmaal heel makkelijk, al druist het in tegen interne afspraken.’

Aantoonbaar compliant

De oplossing ligt in automatische versleuteling, of encryption by default zoals Lacroix het noemt. ‘Met ons encryptieproduct SafeGuard bieden wij alle mogelijkheden daartoe. Het maakt niet uit of je de gegevens opslaat op een laptop, een server, een smartphone of in de cloud bij bijvoorbeeld Google of Dropbox. Het gaat niet om hopen, denken of verwachten dat je gegevens veilig zijn, maar om dit zeker te weten en aantoonbaar compliant te zijn met regelgeving.’

Datalekken zijn helaas niet de enige bedreiging voor organisaties. Malware kan evenzeer schadelijk zijn. De belangrijkste uitdaging is dat virussen via diverse manieren de IT-omgeving kunnen binnendringen en dat ze slimmer en gerichter zijn dan voorheen. ‘Wij zien dagelijks meer dan 250.000 nieuwe malwarecodes voorbijkomen. Dat vereist een heel andere aanpak dan tot dusver gebruikelijk is.’

Holistisch

Lacroix: ‘De markt denkt nog te veel in silo’s. Organisaties beveiligen hun endpoints, netwerk, mailserver, cloudapplicaties en kiezen daarvoor telkens de best-of-breed. Dat leidt tot een lappendeken van misschien wel zeventien verschillende security-oplossingen. Het is kostbaar en biedt onvoldoende overzicht. Wij bepleiten daarom een meer holistische aanpak. Het gaat immers om de beveiliging van gegevens, ongeacht waar die staan. Door een integrale security-oplossing bespaar je niet alleen kosten, maar verbeter je ook de beveiliging. Het leggen van correlaties tussen potentieel verdachte activiteiten op het netwerk, de mailserver, de laptop, de smartphone en in de cloud is daarbij essentieel. Op zichzelf staande activiteiten hoeven niet op te vallen, maar wel als ze zich op meerdere plekken in de IT-omgeving manifesteren.’

Sophos Next-generation Enduser Protection is zo’n allesomvattende IT-beveiligingsoplossing, zegt de managing director. Daarbij wordt encryptietechnologie ingezet om informatie op desktopcomputers en mobiele apparaten te beschermen. Zo herkent de geïntegreerde oplossing alle schadelijke dataverkeer op de apparaten en kan deze hiermee informatie correleren tussen de endpoints, het netwerk en de cloud.

Risk management

De kosten zijn voor veel organisaties nog steeds een leidend aspect bij de keuzes voor IT-beveiliging. Lacroix: ‘Veel klanten worstelen met security. Ze zitten in de nasleep van de economische crisis en zien hun IT-budgetten gereduceerd worden. En dat terwijl ze het drukker dan ooit hebben. Cybercriminaliteit en de onthullingen van Snowden en Assange zijn regelmatig in de media. De bewustwording neemt toe, maar de budgetten niet.’

‘Organisaties moeten security eigenlijk niet beschouwen als onderdeel van de bedrijfs-IT, maar als verlengstuk van de financiële afdeling. Het schurkt namelijk aan tegen risk management en business continuity, twee thema’s die juist nu heel populair zijn in het bedrijfsleven. De problemen die je met IT-beveiliging voorkomt, raken aan het voortbestaan van de onderneming. Ze behoren tot de kritische risico’s die je als bedrijf het hoofd moet bieden. Als je IT security op deze manier ziet, is het gemakkelijker om er meer aandacht voor te krijgen binnen een organisatie.’

Resellers

Lacroix ziet een belangrijke rol weggelegd voor de resellers van Sophos die de IT-afdelingen van organisaties voorzien van IT-security. Zeker sinds het van oorsprong Britse bedrijf in 2013 besloot om zijn organisatie nog beter in te richten op het ondersteunen van partners. Dat resulteerde een jaar later onder meer in een organische Nederlandse omzetstijging van 35 procent. De onderneming dankt dit voor een groot deel aan zijn distributeurs Crypsys, Contec en Avnet en de ruim vijfhonderd wederverkopers in het land.

De komende tijd biedt de aanstaande invoering van de Meldplicht Datalekken nieuwe kansen voor de IT-reseller, zegt de directeur. ‘Het marktpotentieel is enorm. Uit onderzoek blijkt dat slechts 23 procent van de Europese ondernemingen de encryptie van hun klant- en bedrijfsgegevens op orde heeft. Onze partners kunnen ze van informatie voorzien en daarbij diensten aanbieden. De uitdaging is momenteel dat veel partners nog onvoldoende kennis van dataprotectie in huis hebben. Sophos zal ook hen op weg moeten helpen.’

Commitment

Voor Lacroix is het logisch dat zijn team zich daarbij voornamelijk richt op de groep partners die het meeste commitment bieden. ‘De partners moeten ook kleur bekennen. Onze channel first-strategie betekent dat wij continu bouwen aan de relatie met hen. We bieden ze graag training, certificering en extra ondersteuning, maar wel in ruil voor commitment. Je kunt nu eenmaal geen diepgaande kennis van heel veel verschillende security-oplossingen hebben. Als ze dat op orde hebben, beseffen ze hoe gemakkelijk zij de Sophos-producten kunnen verkopen.’ De managing director is er van overtuigd dat het bedrijf met een verhoogde focus op zijn sterkste partners uiteindelijk meer omzet kan genereren.

Voorlopig is er voor Lacroix en zijn team nog veel werk te verzetten. Nederland is zich nog onvoldoende bewust van de aanstaande wetgeving over dataprotectie en te veel organisaties accepteren dat ze de regels niet naleven. De directeur ziet dus volop kansen en hoopt dat ook zijn resellers binnenkort deze handschoen oppakken en de IT-beslissers overtuigen dat encryptie data veel beter kan beveiligen.

Door: Diederik Toet

Terug naar nieuws overzicht
Security