Breng security terug naar de boardroom
Je leest elke dag wel in het nieuws over datalekken. Ondanks dat bedrijven de dreiging voor hun business proberen te beperken door nog meer te investeren in hun security-infrastructuur, zien we geen dalende trend in het aantal datalekken en de kosten die daarmee gemoeid zijn. Integendeel zelfs! Onderzoek van het Ponemon Institute laat zien dat een lek bedrijven gemiddeld 4 miljoen dollar kost. Dat is 29 procent meer dan in 2013.
Bedrijven zijn continu bezig de balans te zoeken tussen bescherming tegen mogelijke aanvallen en zorgen dat de groei van de organisatie en medewerkers niet stil komt te staan. De angst voor een lek is zeker aanwezig, maar het lijkt alsof sommige topmanagers nog steeds onderschatten dat ook zij wel degelijk een doel zijn.
De kern van het probleem is dat security blijkbaar niet hoog genoeg op de corporate agenda staat om aandacht te krijgen van de Board. Tijdens een recente CrowdChat waar ik de host van was, bespraken we de ‘disconnectie’ tussen senior management en IT-beslissers (ITDMs) als het gaat om security. Het voelt verkeerd dat 30 procent van de IT’ers vindt dat de CEO verantwoordelijk is voor belangrijke datalekken, terwijl een kwart van hen het senior management team nooit informatie verschaft over datalekken.
De resultaten van een recent onderzoek laten ook zien dat er een zorgelijke disconnectie bestaat tussen de IT-afdeling en de business als het gaat om data-security. De risico’s voor de business kunnen groot zijn. Evenals het verlies van data en geld. De reputatie van een onderneming kan serieuze schade oplopen dankzij een lek. En het is enorm moeilijk om daar weer bovenop te komen. Er moet meer gebeuren op het gebied van educatie en praktische veranderingen aan de IT-infrastructuur om ervoor te zorgen dat bedrijven voorbereid zijn op elk scenario.
Balanceren
Het is bijna onmogelijk om niet te weten dat er wereldwijd zo veel grote security-lekken plaats hebben gevonden de afgelopen jaren. Security mag dan misschien de aandacht hebben van het management, is het wel integraal onderdeel van de business-cultuur van de organisatie? De tijden dat security ‘er bij’ werd gedaan, zijn voorbij. In plaats daarvan zal het senior management het belang van security moeten benadrukken bij alle werknemers en ervoor moeten zorgen dat iedereen de juiste training heeft gehad en volgens de juiste processen werkt.
Naast het zorgen voor een culturele balans zal het management ervoor moeten zorgen dat het over een infrastructuur beschikt die mobiel werken mogelijk maakt. In 2014 heeft het aantal mobiele werkers de kantoorarbeiders overtroffen. Het aantal mensen dat op locatie werkt groeit hard. De traditionele negen-tot-vijf-baan is niet langer relevant omdat we richting een werkplek zonder grenzen gaan.
Ook dit brengt security-issues met zich mee. Want wanneer bedrijven hun mensen toestaan van afstand te werken, moeten ze dat wel veilig kunnen doen, zonder dat bedrijfsgegevens ontvreemd worden. Dankzij de inmenging van steeds meer ‘privé data’ op de werkvloer, van bijvoorbeeld mobiele apparaten, laptops en fitness trackers, groeit het risico dat de organisatie slachtoffer wordt van een hacker.
Uit eerder genoemd onderzoek kwam ook dat 22 procent van de werknemers in EMEA bereid is geldende security-regels te omzeilen om zijn werk effectief te kunnen uitvoeren. De vraag is of dit percentage lager wordt wanneer organisaties meer trainingen geven over gedrag op het gebied van security. Ook een end-to-end-aanpak op het gebied van security zorgt ervoor dat de organisatie beschermd is en dat werknemers over de tools beschikken om hun werk goed en veilig op locatie te kunnen doen.
General Data Protection Regulation
De ‘General Data Protection Regulation’ (GDPR) is nieuwe EU-regelgeving die vanaf mei 2018 effectief wordt. Ondanks het streven consistentie aan te brengen in de huidige databeschermingswetten en het geven van sturing in hoe klantgegevens opgeslagen dienen te worden, denkt 56 procent van de IT’ers in EMEA dat ze niet kunnen voldoen aan de GDPR-eisen.
Een nieuwe aanpak
Het tijdperk van digitale ondernemingen en de opkomst van geavanceerde security-dreigingen vraagt om een nieuwe aanpak de reputatie en het vertrouwen van klanten te beschermen. Security moet geen sluitpost zijn, maar onderdeel van het design vanaf de start. Het komt te vaak voor dat security en compliancy pas op de agenda komen wanneer oplossingen al gebouwd zijn en de projecten zijn gestart. Security moet onderdeel zijn van de fundering van IT. Wanneer het ingebouwd wordt in core platformen, is een veel snellere transactie naar de markt mogelijk omdat dan minder zaken geregeld moeten worden in het proces van ontwikkeling naar testen en uiteindelijk de productie. Echt goede security is onzichtbaar.
Organisaties moeten kunnen beschikken over een software-defined architectuur voor security die alles aanraakt: van het netwerk tot en met de devices om security in elke fase te kunnen beheersen. Wanneer data meer waard wordt zal ook het risiso op een aanval toenemen. Het aantal aanvallen en de groei in hackers neemt niet af, onder andere doordat hackers over steeds meer geavanceerde tools beschikken. Bedrijven moeten bewust zijn van de consequenties van een datalek. Wanneer klantgegevens kwijt raken, verdwijnt vaak ook de goede reputatie. Vervolgens krijgen ze nog een flinke boete. Door security te integreren in het hart van IT en werknemers goed voor te lichten, ontstaat een sterke uitgangspositie voor het beschermen van de organisatie tegen een aanval.
Door: Jeremy van Doorn, Director, EMEA Network & Security Division, VMware
