Directie zelf is zwakste schakel in informatie‑veiligheidsketen
19 september 2016 -
De grootste geheimen gaan door hún handen, maar de directie zelf is de zwakste schakel in de keten van de informatie-veiligheid. Onderzoek door Opinion Matters in opdracht van Iron Mountain toont aan dat CxO´s en Managing Directors (MD´s) de grootste overtreders zijn van hun eigen informatie-protocollen, die ze zélf te ingewikkeld vinden.
Hoogste tijd om het beleid en de processen aan te passen en te bouwen aan een verantwoorde informatiecultuur.
Informatieprotocollen zijn er met reden: de reputatie en toekomstige groei staan op het spel; en de nieuwste, strikte Europese GDPR wet- en regelgeving kent onverbiddelijke, loodzware sancties.
Toch weet collega Ellen het meestal het eerst, want zij zit naast de printer:
Meer dan de helft (57 procent) van de ondervraagde CxO´s en MD´s laat wel eens bedrijfsgevoelige of vertrouwelijke informatie op de printer slingeren.
Hillary Clinton, maar ook de hoogste bazen mogen hun persoonlijke e‑mailadressen niet gebruiken voor vertrouwelijkheden:
De helft (49 procent) van de CxO´s en MD´s gebruikt zijn persoonlijke e-mailadres wél om gevoelige bedrijfsinformatie te versturen.
´Beschikbaar openbaar wifi-netwerk: Restaurant ´Het Gesprek van de Dag´:
40 Procent van de directieleden stelt vertrouwelijkheden bloot aan onveilige wifi-verbindingen
Informatieveiligheid zit gewoonweg niet in de directiecultuur:
43 Procent van de directie ´vernietigt´ documenten in de gewone prullenbak.
39 Procent heeft wel eens bedrijfsinformatie verloren in een openbare gelegenheid, zoals restaurant en taxi, of op het toilet van Schiphol of Zaventem.
Heilige of Zondaar?
Niemand in de pikorde is heilig, wijst het onderzoek uit, maar de grootste zondaars tegen het informatieveiligheidsbeleid zitten in de top van het middenbedrijf. Daarmee schaadt de directie het vertrouwen van de onderneming; van bedrijven en mensen van wie het bedrijf informatie beheert; en van de maatschappij en zijn burgers als geheel. Dat klinkt zwaar en ís dat ook, want juist in het bedrijfsleven stelt de maatschappij zijn vertrouwen, toont de Trust Barometer van het gerenommeerde Edelman aan.
Trust
De Edelman Trust Barometer 2016 laat zien dat het maatschappelijk vertrouwen wereldwijd de laatste jaren is verschoven: eerst van de kerk naar overheden en Ngo’s; en nu naar het bedrijfsleven. Dat vertrouwen is dus onterecht als het aankomt op de vaardigheden van CxO´s en MD´s om de bedrijfsinformatie te beschermen.
Complexiteit
De directie is verantwoordelijk voor de informatieveiligheid: voor het opstellen en bewaken van informatiebeheerprocessen die de gegevensintegriteit beschermen én die voldoen aan de wet- en regelgeving, maar:
een op de vijf (21 procent) CxO´s en MD´s in het Iron Mountain-onderzoek vindt de informatiebeheerprocessen te complex en overweegt ze aan te passen
nog eens een op de zeven (veertien procent) volgt het informatieveiligheidsbeleid niet omdat het te ingewikkeld is, terwijl zes procent zich helemaal niet bewust is dat dergelijk beleid van kracht is.
Lagere echelons
Op de schaal van heilige tot zondaar, komen de interne dienst (facility managers) en het secretariaat (office managers) ruim op een bedenkelijke tweede plaats. Meer dan de helft (56 procent) van hen neemt gevoelige en vertrouwelijke informatie mee naar buiten het kantoor of bedrijf. De helft (48 procent) heeft dergelijke informatie wel eens aan een verkeerde ontvanger gestuurd.
Aan de ander kant van de schaal bevindt zich de administratie, die het betrekkelijk goed doet, maar nog steeds wanbeheer pleegt. Bijna een derde (29 procent) kent de blunder met de vertrouwelijkheden op de printer. Een vijfde (21 procent) geeft toe wel eens gegevens zoek te hebben gemaakt, of aan het verkeerde adres te hebben gestuurd. Vijftien procent geeft toe bedrijfsdocumenten te hebben verloren in een openbare ruimte.
Informatiecultuur
Jeroen Strik, Iron Mountain´s directeur van België en Nederland zegt: "De leiding van middelgrote bedrijven neemt zelf waarschijnlijk meer risico´s dan enig andere medewerker, en heeft de neiging om strikte protocollen te omzeilen. Dat is zorgelijk, ook omdat de boetes op het niet-naleven van de verplichtingen sinds de GDPR heel hoog zijn geworden. Maar er is ook een hoger doel om het goed te willen doen: de reputatie en het vertrouwen van klanten en partners staan op het spel, en daarmee het bedrijfsresultaat. De grote belangen en behoorlijk bestuur, of governance, maken het noodzakelijk om het informatiebeleid en de ‑beheerprocessen op orde te brengen en goed gedrag te stimuleren. Dit onderzoek toont de noodzaak aan om het informatiebeleid en de processen aan te pakken en laat zien dat een cultuurverandering vereist is - en die begint zoals altijd aan de top."