Zo verkleinen managers het risico op datalekken door eigen personeel
11 juli 2016 -
Binnen de retailbranche is het een bekend gegeven: niet buitenstaanders, maar eigen medewerkers zijn verantwoordelijk voor een groot deel van alle winkeldiefstal. Algemene schattingen gaan uit van zo’n 40 procent. Minder bekend is dat de verantwoordelijken voor datadiefstal ook vaak van binnen de eigen organisatie komen.
Dave Maasland, Managing Director van ESET Nederland, vertelt hoe het management datalekken door eigen personeel kan voorkomen.
Volgens Maasland zijn datalekken door eigen medewerkers geen uitzondering. Uit onderzoek van Accenture blijkt dat 69 procent van alle ondervraagde organisaties te maken heeft gehad met datadiefstal – of een poging daartoe – door eigen medewerkers. "Datadiefstal door externen vond plaats bij ‘slechts’ 53 procent van de organisaties. De schade is bovendien fors: jaarlijks zo’n 2.000 miljard dollar."
Onbewuste datalekken
De hierboven genoemde cijfers gaan enkel over bewuste acties van personeel. Want data verdwijnt ook op een andere manier door de kieren van het kantoor: per ongeluk. "Winkeldiefstal gebeurt vrijwel altijd met opzet, maar dat is met datalekkage beslist niet per se het geval", zegt Maasland. Medewerkers zijn zich volgens hem niet altijd bewust van privacyrisico’s. "Veel organisaties hebben priviliged users, ofwel gebruikers met veel toegangsrechten. Deze medewerkers beseffen vaak onvoldoende welke verantwoordelijkheden dit met zich meebrengt. Ze nemen bijvoorbeeld een gezellige kantoorfoto, waarbij op een beeldscherm vertrouwelijke informatie leesbaar is, en sturen deze naar vrienden. Het komt ook weleens voor dat een vertrouwelijk rapport via privémail wordt gestuurd. Onbedachtzaamheid is vaak de oorzaak van dataverlies."
Ongewenst
Datalekken door personeel hebben vrijwel altijd ongewenste gevolgen. Vertrekkende medewerkers stappen met concurrentiegevoelige gegevens naar een concurrent, rancuneus personeel gebruikt de informatie voor negatieve PR, en bij een onbewust datalek kunnen de ‘vinders’ van de data misbruik maken van deze gegevens. Hoe dan ook: zowel bewust als onbewust verlies van gegevens is onwenselijk. Het zorgt mogelijk voor reputatieschade en in sommige gevallen ligt zelfs een boete op de loer.
Maatregelen
Met deze maatregelen verkleinen managers het risico op moedwillige en onbewuste datalekken door het eigen personeel:
1. Zorg voor een goede werksfeer
Datalekken kunnen ontstaan wanneer gefrustreerde medewerkers wraak willen nemen. Voorkomen is volgens Maasland beter dan genezen. "Zorg voor een goede werksfeer. Betrek medewerkers bij de bedrijfsvoering en laat hen niet aan hun lot over bij problemen of conflicten. Blijf in gesprek over risico’s en de verantwoordelijkheden van de medewerkers. Een positieve, open werksfeer is een van de beste verdedigingen tegen interne datadiefstal."
2.Ontzeg bij vertrek direct toegang tot alle bedrijfsaccounts en systemen
Vertrekkende medewerkers vormen een potentieel risico. "Zij hebben soms nog tot ver na vertrek toegang tot e-mailaccounts, social tools of andere data, terwijl dat natuurlijk niet de bedoeling is. Zij kunnen op die manier niet alleen schade berokkenen, maar de data ook gebruiken bij een nieuwe werkgever, niet zelden een directe concurrent", legt Maasland uit. "Afdelingen moeten de toegang tot alle corporate accounts daarom op het einde van de laatste werkdag onmogelijk maken."
3. Hanteer en communiceer een duidelijk databeleid
Het is volgens Maasland belangrijk om met alle medewerkers goede afspraken te maken over de omgang met bedrijfsgegevens. Mag men bijvoorbeeld zakelijke e-mails versturen met een privételefoon? Hoe wordt er omgegaan met klantgegevens? Wat is het IT-beleid als het gaat om encryptie van bijvoorbeeld gegevensdragers en mobiele apparaten? "Door deze regels centraal en duidelijk aan iedereen kenbaar te maken, benadrukt het management het belang ervan. Eventueel kan zij dergelijke regels opnemen in de arbeidsovereenkomst.
De technologie kan helpen bij de uitvoering en handhaving van het beleid. In ‘Bring Your Own Device’ (BYOD)-omgevingen zijn niet alleen beleidsafspraken gewenst over het gebruik van bijvoorbeeld privésmartphones, maar ook oplossingen voor onder andere Mobile Device Management (MDM). Dit zorgt ervoor dat de organisatie de opgestelde regels ook in de praktijk optimaal kan toepassen."
Ik ben het helemaal eens met dit artikel, maar ik mis nog wel 1 belangrijk punt: veel datalekken ontstaan vanuit niet productie omgevingen (test/ analyse/ demo/ opleiding etc.). In die omgevingen wordt vaak gewerkt met echte klantdata.
Door in dergelijke omgevingen te gaan werken met geanonimiseerde gegevens, voorkom je dat veel medewerkers toegang hebben tot productiedata.
Dit is niet alleen compliant (je mag niet testen met productiedata), maar dit verkleint bovendien de kans op een datalek significant.