Financiële sector heeft geen vertrouwen in naleving regelgevingen
20 november 2017 -
IT-experts in de financiële sector voldoen niet aan regelgevingen rondom het beveiligen van ongestructureerde data zoals e-mails, Pdf’s en andere zakelijke bestanden en documenten.
Dat blijkt uit onderzoek van BlackBerry. De resultaten, die ook de gevaren van interne vs. externe dreigingen onderstrepen, zijn gepubliceerd in dit nieuwe rapport.
Toezicht en boetes
Toezicht en boetes gelden zowel voor gestructureerde als ongestructureerde data. Echter, voor ongestructureerde data gelden hogere boetes wanneer er een lek is geconstateerd. Dit doordat bij het lekken van ongestructureerde data vaak sprake is van fouten binnen interne processen. Het rapport toont aan hoe vaak deze operationele risico’s voorkomen en of deze actief worden geïdentificeerd en afgehandeld. Zo toont het onderzoek van BlackBerry aan dat 65 procent van de respondenten niet zeker is of de bedrijfsprotocollen over samenwerking en het delen van documenten voldoen aan de regelgeving. Een derde van de ondervraagden geeft aan ‘deels zeker’ of ‘helemaal niet zeker’ te zijn dat de organisatie voldoet aan de regelgeving, ondanks het feit dat ze wel beleid hebben rondom ongestructureerde data.
Vertrouwelijke bedrijfsinformatie
"Een deel van de meest vertrouwelijke bedrijfsinformatie wordt opgeslagen in documenten, spreadsheets en presentaties," zegt Alex Manea, Chief Security Officer bij BlackBerry. "Als u geen efficiënte manier hebt om deze bestanden te beveiligen via alle endpoints, zowel binnen als buiten uw netwerk, dan heeft u een groot gat in uw beveiligingsstrategie. Er hoeft slechts één gebruiker te zijn die een foutieve naam intypt of een verkeerde bijlage in een email toevoegt en u hebt kans dat uw organisatie een groot datalek heeft."
Bevindingen
Het onderzoek is uitgevoerd onder 200 IT-professionals uit de financiële sector in de VS. Hieronder een aantal van de bevindingen:
Een derde van de respondenten zegt dat medewerkers uit hun organisatie apps gebruiken om bestanden te delen die niet zijn goedgekeurd door IT. Medewerkers gebruiken vaak systemen om bestanden te delen die voor de consument bestemd zijn. Door deze systemen te gebruiken brengen ze hun organisatie in gevaar.
Lekken in ongestructureerde data ontstaan op verschillende manieren, maar interne dreigingen zijn doorgaans een groter probleem dan externe dreigingen als het aankomt op beveiligde bestanden:
Slechts 26 procent heeft een lek gemeld dat ontstaan is door een externe cyberaanval
Zeventien procent van de respondenten geeft aan dat hun organisatie een datalek heeft gehad door onbetrouwbare medewerkers. Denk hierbij aan ontevreden medewerkers die bijvoorbeeld gevoelige informatie in handen hebben gekregen of misschien altijd al toegang hadden tot deze data en de data hebben gedeeld met derden.
Ruim een kwart van de ondervraagden geeft aan dat ze een beveiligingslek hebben gehad door een klein foutje, zoals het per ongeluk delen van gevoelige bestanden.
Achttien procent zegt dat er een beveiligingslek is ontstaan door verlies of diefstal van een apparaat of een onbeveiligd apparaat
Het niet goed scheiden van privé- en bedrijfsleven is ook een reden voor bezorgdheid. Respondenten geven toe dat er beveiligingslekken zijn ontstaan door het gebruik van persoonlijke email-accounts en accounts waarmee ze bestanden delen (twintig procent) en het gebruik van eigen software of apparaten voor bedrijfsdoeleinden (twintig procent)
Vier van de vijf ondervraagden zegt dat hun organisatie gevoelige bestanden via email stuurt. Als een kopie van een email en andere informatie (zoals bijlages) van de ene naar de andere gebruiker wordt gestuurd, worden verschillende kopieën van dat bericht ook op servers en apparaten, die niet binnen de beveiliging van de organisatie vallen, opgeslagen. Een goede beveiligingsstrategie kan ervoor zorgen dat data veilig blijft, zelfs wanneer deze buiten de organisatie komen.
Virtueel samenwerken
Momenteel moeten medewerkers veelal virtueel met elkaar samenwerken, maar ook met externe leveranciers, partners en klanten. Dat betekent dat ze toegang moeten hebben tot bedrijfsgegevens en deze moeten aanpassen en delen via verschillende apparaten.