Winkelmand

Geen producten in de winkelwagen.

Stop met het focussen op security maatregelen

Data zijn het nieuwe goud. Dat beseffen organisaties maar al te goed. Daarom willen ze deze data goed beveiligen. Desondanks is de databeveiliging vaak ondermaats. Hoe kun je jouw data wel goed veiligstellen?

data niet goed beveiligd hack
Foto: Getty

Cybercriminaliteit kost de Nederlandse economie jaarlijks 10 miljard euro. Een succesvolle aanval die je bedrijfsprocessen stillegt, vormt vaak grote financiële schade. Zo kon Q-park in mei dagenlang geen geld innen van parkeerders vanwege het WannaCry-virus. En de Petya-ransomware die vlak daarna rondreisde legde de containerterminal van Maersk in Rotterdam lam, met een directe schade van 170 tot 255 miljoen euro.

Het voorbeeld van Maersk betrof alleen directe schade, omdat het werk stil kwam te liggen. Voor andere organisaties zijn de gevolgen groter. Dat is het geval als het cyberincident de reputatie van de organisatie schaadt en (potentiële) klanten zich afvragen hoe veilig hun gegevens bij deze organisatie zijn. In sommige gevallen is dat catastrofaal. Zoals het inmiddels failliete DigiNotar ondervond toen dit beveiligingsbedrijf werd gehackt. Het bedrijf verzorgde certificaten waarmee de veiligheid van onder meer overheidswebsites werd gegarandeerd. Door het lek bleken malafide websites onterecht als ‘betrouwbaar’ bestempeld.

Ook het stilhouden van een hack kan je veel problemen opleveren. Zo werd taxibedrijf Uber in oktober 2016 gehackt. In totaal maakten de hackers 57 miljoen klant- en chauffeurgegevens buit. In plaats van het lek te melden aan de autoriteiten, betaalde Uber de hackers 85.000 euro om de diefstal stil te houden en de data te vernietigen. Daardoor wisten mensen niet dat hun gegevens gevaar liepen. Afgelopen maand is dit lek alsnog uitgekomen en zijn gebruikers en privacywaakhonden vooral boos dat dit voorval onder het tapijt is geveegd.

Om persoonsgegevens in de toekomst beter te beschermen, wordt de Algemene verordening gegevensbescherming (AVG) op 25 mei 2018 van kracht. Vanaf dan mag de Autoriteit Persoonsgegevens boetes uitdelen als bijvoorbeeld blijkt dat de cybersecurity in jouw organisatie tekort is geschoten en/of je verzaakt een hack binnen 72 uur te melden. Boetes voor het niet naleven van de wet kunnen oplopen tot wel 20 miljoen euro of 4 procent van de jaarlijkse wereldwijde omzet.

Volledig in het duister tasten

Kortom, redenen genoeg om je databeveiliging serieus te nemen. Helaas doen organisaties dit nog te beperkt en ongestructureerd. Bepaald robuust zijn de opgeworpen beveiligingswallen niet, zo blijkt uit onderzoek van accountants- en adviesorganisatie Grant Thornton onder 2.900 topmanagers in 36 landen.

Bijna twee derde (65 procent) van de organisaties tast volledig in het duister over hoeveel data er zijn en hoeveel schade er is als deze data worden gestolen, niet meer beschikbaar zijn of de integriteit ervan ter discussie wordt gesteld. Als ze al niet over deze basiskennis beschikken, hoe kunnen ze er dan zeker van zijn dat ze hun data goed beheren en beschermen?

Verkeerde data beschermen

Ander opvallend resultaat uit het onderzoek is dat meer dan driekwart van de organisaties (78 procent) beveiligingsmaatregelen neemt zonder speciale aandacht te schenken aan de voor hun bedrijfsvoering meest kritieke of waardevolle data. In het ergste geval betekent dit dat ze dure firewalls inzetten om data met weinig waarde te beschermen, terwijl de voor de bedrijfsvoering essentiële data kwetsbaar zijn.

Hoe graag je ook alle data wilt beschermen. Het is niet mogelijk. Naast dat het te kostbaar is, is het vaak technisch niet haalbaar. Richt je daarom op de kritieke data. Data die je organisatie lamleggen als ze gestolen worden, je er geen toegang toe hebt of niet meer betrouwbaar zijn. Oftewel, bescherm je ‘kroonjuwelen’.

De CIA-methode

Wat de kroonjuwelen in jouw organisatie zijn, hangt af van je sector, risicoprofiel en bedrijfsdoelstellingen. Het is niet altijd even makkelijk de kroonjuwelen op te sporen tussen alle spreadsheets, gearchiveerde e-mails en talrijke andere databestanden die in jouw organisatie rondzwerven.

Er zijn tools die kunnen helpen bij databeheer, maar er is altijd een menselijk oordeel nodig. Vraag leidinggevenden en andere medewerkers actief na te denken over de verschillende soorten data die zij beheren en deze te classificeren. Grant Thornton doet dit aan de hand van de zogenoemde CIA-methode:

  • Confidentiality: hoe belangrijk is het dat data vertrouwelijk blijven? Klantdata, patenten en R&D-data zijn bijvoorbeeld alleen bestemd voor ingewijden. Zeer belangrijk, dus.
  • Integrity: hoe belangrijk is de data-integriteit? Denk aan vrachtgegevens. Manipulatie van deze data kan ertoe leiden dat goederen niet of verkeerd worden afgeleverd. Dat wil je koste wat kost voorkomen.
  • Availability: hoe belangrijk is het dat data beschikbaar zijn? Data die onmisbaar zijn voor het primaire proces moeten idealiter altijd beschikbaar zijn, en worden beschermd tegen ransomware en andere cyberaanvallen.

Databeveiliging opschroeven

Als de data geclassificeerd zijn kun je de risico’s afwegen en kwantificeren, zodat je kunt inschatten hoeveel je moet en wilt investeren in beveiligingsmaatregelen. Uiteraard is dit niet van vandaag op morgen geregeld. Grip krijgen op data is tijdrovend. Vier adviezen om datarisico’s effectiever te beheersen:

#1. Maak het een organisatiebreed onderwerp

Databeveiliging moet onderdeel worden van de dagelijkse bedrijfsvoering en -cultuur wil het zijn vruchten afwerpen. Dat begint met databeveiliging als een organisatiebreed onderwerp te beschouwen, met het topmanagement als eindverantwoordelijke.

#2. Identificeer de kroonjuwelen en stel data-eigenaren aan

Welke data vallen onder de kroonjuwelen? Stel multidisciplinaire teams samen die de kroonjuwelen van jouw organisatie identificeren en classificeren aan de hand van bovengenoemde CIA-methode. Stel op management en operationeel niveau data-eigenaren aan. Per project kan de data-eigenaar helpen de data te classificeren en nagaan aan welke privacy-verplichtingen moet worden voldaan.

#3. Creëer bewustwording

Creëer meer bewustwording onder al je medewerkers. Zorg dat ze de risico’s begrijpen door ze te vertalen naar de dagelijkse praktijk. Train ze om de waarde van data te herkennen en om privacy- en cyberrisico’s op te kunnen sporen. En test of de training heeft geholpen.

#4. Evalueer, stel bij en herhaal

Er komen voortdurend nieuwe data bij en ook cybercriminelen zitten niet stil. Voer jaarlijks een beveiligingsonderzoek uit zodat je weet of jouw (technische) beveiligingsmaatregelen (nog) de risico’s afdekken. En evalueer en test periodiek ook de effectiviteit van de genomen organisatorische maatregelen en stel deze waar nodig bij.

Wekelijks de nieuwsbrief van Management & Leiderschap ontvangen?



Door je in te schrijven ga je akkoord met de algemene en privacyvoorwaarden.

Meer weten? Download de gratis whitepaper ‘Wat is de waarde van uw data?’ van Grant Thornton.

Lees ook: