Management

Security
Bij wapenen tegen GDPR wordt medewerker vergeten

Bedrijven vergeten lekkende medewerker

Het lekken van data door medewerkers is de vergeten dreiging voor dataveiligheid.

6 november 2017

Niemand weet precies wanneer en hoe een gegevenslek zal plaatsvinden. Daarom proberen bedrijven op allerlei manieren hun data te beschermen, vooral nu de invoering van de General Data Protection Regulation (GDPR) in mei 2018 in zicht komt.

Als een bedrijf niet voldoet aan de GDPR, dan kan dat leiden tot boetes die oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaarlijkse omzet. Ondanks de ernst van de gevolgen is meer dan de helft van de organisaties nog niet klaar voor de invoering van de nieuwe regelgeving. Bedrijven weten niet waar zij hun inspanningen op moeten richten. Ze proberen zich met firewalls en encryptie te wapenen tegen kwaadwillende hackers, maar vergeten dat zich ook binnen de organisatie grote dreigingen bevinden: de medewerkers.

Te veel bedrijven laten applicaties binnen de organisatie draaien die kritische informatie uitwisselen tussen systemen en medewerkers, zonder zicht te hebben op de bijhorende risico’s. Het lijkt prettig dat iedere medewerker toegang heeft tot alle applicaties, maar er wordt niet bij stilgestaan dat niet iedere medewerker toegang nodig heeft tot dezelfde data. Hoe meer mensen met dezelfde data werken, hoe groter de kans op een lek. Daarnaast wordt er te weinig aandacht besteed aan het voorkomen van overtredingen door menselijk falen – of het nu gaat om onzorgvuldigheid of kwade opzet. Het wordt tijd dat bedrijven de risico’s van interne fouten onderkennen, waardoor ze in strijd zijn met de GDPR. En niet onbelangrijk, dat bedrijven weten hoe ze de daaraan verbonden financiële gevolgen en reputatieschade kunnen voorkomen.

Bedrijven moeten de risico’s van interne fouten onderkennen

Een goede eerste stap is het opstellen van een robuust beleid en het implementeren van procedures om de kans te verkleinen dat data worden gelekt. Het bedrijf moet ervoor zorgen dat medewerkers gegevens verwerken volgens de hoogste normen. Goed informeren is hierbij essentieel. Schaf daarnaast riskante apps af en zorg ervoor dat enkel veilige apps met een laag risico in gebruik zijn bij medewerkers. Dit kan door een beheerde applicatieomgeving aan te bieden met enkel goedgekeurde applicaties. Verder moet de organisatie goed zicht hebben op wat zich in het IT-landschap afspeelt: welke apparaten bevinden zich binnen de organisatie, welke cloudapplicaties en cloudservices zijn in gebruik, welke gebruikers zijn actief en tot welke apparaten hebben zij toegang? Alleen door goed inzicht te hebben, kan het risico op een datalek worden geïdentificeerd en kan er actie worden ondernomen.

Schaf riskante apps af

Een goed voorbeeld is een verzekeringsmaatschappij die wist dat gegevens werden gestolen, maar niet wist waar het lek zat. Door te analyseren op welke apparaten medewerkers inlogden, ontdekte het bedrijf dat één medewerker alle apparaten gebruikte die verdachte software bevatte voor het schrijven van tekstbestanden en het loggen van toetsaanslagen. De medewerker bleek creditcardgegevens te stelen en te verkopen.

Bedrijven hebben zeer veel data in handen. Data die ze moeten beschermen, maar die zij ook kunnen gebruiken voor het tegengaan van interne dreigingen.

Reactie toevoegen