25 juli 2012 -
Bijna iedere week komen tal van organisaties in het nieuws vanwege het lekken van gevoelige bedrijfsdata. De oorzaak zit meestal in kwaadaardige aanvallen door hackers. Het gevolg is dat de privé-gegevens van met name consumenten op straat komen te liggen. Voor staatssecretaris Teeven van Justitie en Veiligheid een reden tot een wetsvoorstel, waarbij bedrijven en instellingen kunnen worden beboet als zij hun beveiliging niet op orde hebben.
Een lek in het digitale netwerk van een organisatie kan enorme reputatieschade toebrengen. Zo kunnen geheime cijfers in handen komen van de concurrentie. Ook kunnen alle vertrouwelijke klantgegevens op straat komen te liggen. "Dat zouden toch voldoende redenen moeten zijn om topmanagers flink angst in te boezemen en security topprioriteit te maken," zegt Marco van Lieverloo, Country Manager van CA Technologies in Nederland. "Uit het stijgende aantal incidenten over datalekken dat de kopregels in de media haalt, kan echter maar één conclusie worden getrokken: er schort nog erg veel aan informatiebeveiliging in ons land. Daarom is het wetsvoorstel van Teeven bittere noodzaak."
Maak van uw bedrijf geen fort
Van Lieverloo geeft aan dat er wel degelijk managers zijn waarbij de schrik er goed in zit. Deze managers maken van hun bedrijf een fort en ze proberen nieuwe ontwikkelingen zoals cloud en mobility buiten de deur te houden. "Daarmee kiezen ze voor de verkeerde aanpak. Het helpt niet om nog meer sloten op de deur te spijkeren ofwel nog meer traditionele security-maatregelen als firewalls en antivirus-software aan te schaffen. Een goede beveiliging moet een integraal onderdeel zijn van de werkprocessen van de organisatie. Alleen dan kunnen we security-problemen daadwerkelijk voorkomen in plaats van achteraf proberen te herstellen. Hoe diep we de slotgracht om het fort ook graven, uiteindelijk komen hackers er doorheen. Daarom moeten we ook binnen de firewall maatregelen nemen: in onze werkprocessen. Helaas zien veel bedrijven die kans nog over het hoofd."
ICT houdt ontwikkelingen tegen
Daarnaast is bekend dat IT-afdelingen vaak innovatieve ontwikkelingen proberen tegen te houden door ‘security’ als afschrikargument te gebruiken. "Deze aanpak is niet verstandig, want medewerkers verwachten onder meer dat ze hun mobiele devices voor zowel privégebruik als zakelijk kunnen inzetten. Je kunt dit soort ontwikkelingen niet tegengaan." Een andere groep bestaat uit managers die de problemen rond de beveiliging van privé-apparaten op de werkvloer helemaal niet als probleem zien. Ze gaan er van uit dat desktopvirtualisatie borg staat voor het veilig leveren van gegevens aan mobiele apparaten. Security heeft geen hoge proriteit
Waarom gaat er nog steeds zoveel mis rondom de security van bedrijven? Volgens Van Lieverloo komt dit doordat security geen hoge prioriteit heeft, doordat managers het soms als irritant ervaren. Medewerkers raken wachtwoorden vaak zoek, vaak ook doordat ze de wachtwoorden met enige regelmaat moeten vervangen. Ook worden apparaten vanwege beveiliging geblokkeerd en zijn bestanden of applicaties ontoegankelijk. Zodra een medewerker zijn werkplek even verlaat, blokkeren de pc’s. Veel bedrijven staan ook het gebruik van een USB-sticks niet toe. "Al deze maatregelen lijken op het eerste oog contra-productief te werken. Bovendien is een goede beveiliging een hoop gedoe, het is een kostenpost en bedrijven gaan er niet meer door verkopen."
Maatregelen door overheid terecht
Van Lieverloo geeft aan dat het nemen van maatregelen door de overheid dan ook terecht is. De overheid wil dat organisaties die persoonsgegevens verzamelen en gebruiken zich voortdurend en met klem realiseren welke schade ze zichzelf en anderen kunnen toebrengen bij digitale inbraak. Zij moeten een datalek direct rapporteren aan het College Bescherming Persoonsgegevens. Op het moment dat blijkt dat een organisatie zich hier niet aan heeft gehouden, kunnen zij een boete krijgen van 200.000 euro. "Dit relatief hoge bedrag geeft aan dat het de overheid ernst is. Het lijkt een goede stap te zijn; de tijd zal leren of het afdoende is. De overheid speelt bij het wetsvoorstel hoog spel: ook (semi-)overheidsorganisaties vallen onder deze wetgeving."