‘Veel financiële bedrijven voldoen niet aan regelgeving rond databeveiliging’

IT-experts in de financiële sector voldoen niet aan regelgevingen rondom het beveiligen van ongestructureerde data zoals e-mails, Pdf’s en andere zakelijke bestanden en documenten. Dit terwijl het niet naleven van deze regelgeving bedrijven boetes kan opleveren.

Dat blijkt uit onderzoek van BlackBerry waarvan de organisatie vandaag de resultaten presenteert. De resultaten, die ook de gevaren van interne vs. externe dreigingen onderstrepen, zijn gepubliceerd in dit nieuwe rapport. Toezicht en boetes gelden zowel voor gestructureerde als ongestructureerde data. Echter, voor ongestructureerde data gelden hogere boetes wanneer er een lek is geconstateerd. Dit doordat bij het lekken van ongestructureerde data vaak sprake is van fouten binnen interne processen. Het rapport van BlackBerry toont aan hoe vaak deze operationele risico’s voorkomen en of deze actief worden geïdentificeerd en afgehandeld. Zo blijkt dat 65 procent van de respondenten niet zeker is of de bedrijfsprotocollen over samenwerking en het delen van documenten voldoen aan de regelgeving. Een derde van de ondervraagden geeft aan ‘deels zeker’ of ‘helemaal niet zeker’ te zijn dat de organisatie voldoet aan de regelgeving, ondanks het feit dat ze wel beleid hebben rondom ongestructureerde data.

Vertrouwelijke gegevens in documenten, spreadsheets en presentaties

“Een deel van de meest vertrouwelijke bedrijfsinformatie wordt opgeslagen in documenten, spreadsheets en presentaties”, zegt Alex Manea, Chief Security Officer bij BlackBerry. “Als je geen efficiënte manier hebt om deze bestanden te beveiligen via alle endpoints, zowel binnen als buiten je netwerk, dan heb je een groot gat in je beveiligingsstrategie. Er hoeft slechts één gebruiker te zijn die een foutieve naam intypt of een verkeerde bijlage in een email toevoegt en je hebt kans dat je organisatie een groot datalek heeft.”

Het onderzoek is uitgevoerd onder 200 IT-professionals uit de financiële sector in de VS. Hieronder een aantal van de bevindingen:

• Een derde van de respondenten zegt dat medewerkers uit hun organisatie apps gebruiken om bestanden te delen die niet zijn goedgekeurd door IT. Medewerkers gebruiken vaak systemen om bestanden te delen die voor de consument bestemd zijn. Door deze systemen te gebruiken brengen ze hun organisatie in gevaar.
• Lekken in ongestructureerde data ontstaan op verschillende manieren, maar interne dreigingen zijn doorgaans een groter probleem dan externe dreigingen als het aankomt op beveiligde bestanden:
  • Slechts 26 procent heeft een lek gemeld dat ontstaan is door een externe cyberaanval
  • Zeventien procent van de respondenten geeft aan dat hun organisatie een datalek heeft gehad door onbetrouwbare medewerkers. Denk hierbij aan ontevreden medewerkers die bijvoorbeeld gevoelige informatie in handen hebben gekregen of misschien altijd al toegang hadden tot deze data en de data hebben gedeeld met derden.
  • Ruim een kwart van de ondervraagden geeft aan dat ze een beveiligingslek hebben gehad door een klein foutje, zoals het per ongeluk delen van gevoelige bestanden.
  • 18 procent zegt dat er een beveiligingslek is ontstaan door verlies of diefstal van een apparaat of een onbeveiligd apparaat
• Het niet goed scheiden van privé- en bedrijfsleven is ook een reden voor bezorgdheid. Respondenten geven toe dat er beveiligingslekken zijn ontstaan door het gebruik van persoonlijke email-accounts en accounts waarmee ze bestanden delen (20 procent) en het gebruik van eigen software of apparaten voor bedrijfsdoeleinden (20 procent)
• Vier van de vijf ondervraagden zegt dat hun organisatie gevoelige bestanden via email stuurt. Als een kopie van een email en andere informatie (zoals bijlages) van de ene naar de andere gebruiker wordt gestuurd, worden verschillende kopieën van dat bericht ook op servers en apparaten, die niet binnen de beveiliging van de organisatie vallen, opgeslagen. Een goede beveiligingsstrategie kan ervoor zorgen dat data veilig blijft, zelfs wanneer deze buiten de organisatie komen.