Bedrijven zien de noodzaak van beveiliging steeds meer in. De investeringen in virusscanners, firewalls en antispam-software vormen een groot deel van het it-budget. Toch is het lekken van gegevens nog altijd een veelvoorkomend probleem. Vaak zelfs onbewust. Dat komt vooral doordat men vertrouwt op de technologie, terwijl 80 procent van al het gegevensverlies het onbedoelde gevolg is van menselijke acties.
'Data leakage' wordt gedefinieerd als het verplaatsen van informatie naar ongeautoriseerde partijen. De gevolgen ervan kunnen gevaarlijker zijn voor een bedrijf dan menigeen denkt. Gevoelige gegevens op straat vermindert het concurrerende vermogen, maar kan ook directe financiële schade opleveren. Het probleem is dat de meeste bedrijven de bedreigingen van buitenaf in de gaten houden en deze met technologische lapmiddelen proberen tegen te houden. Het is hoog tijd voor een nieuwe aanpak. Niet alleen op technologisch gebied, maar ook qua organisatie. Management én werknemers moeten bewust worden van de gevaren en bijvoorbeeld eerst drie keer nadenken, voordat het usb-stickje met klantgegevens in de tas wordt gegooid.
Gegevensverlies treedt vooral op door de enorme hoeveelheid data. Voorheen werkte contentfiltering op een aantal kernwoorden in uitgaande mails nog wel, maar de verschillende data is zo verspreid dat dit nauwelijks nog effect heeft. Bovendien vraagt het veel tijd om alle informatie van het juiste ‘gevoeligheidslabel' te voorzien.
Gegevens, en dan vooral de gevoelige, moeten geïdentificeerd kunnen worden op basis van de locatie in het netwerk. Er is inmiddels een aantal oplossingen dat hier redelijk goed in is. Op die manier wordt er een waardeoordeel aan de gegevens gekoppeld, dat aangeeft in hoeverre die informatie verplaatst mag worden.
Vervolgens dient men een strengere scheiding te maken in gebruikersgroepen. Er zijn slechts weinig mensen die alle informatie nodig hebben om goed te kunnen functioneren. Sterker nog, in sommige gevallen werken mensen beter als ze minder weten. Het 'need-to-know'-niveau van een functie moet onderdeel worden van de taakomschrijving. Stel daarna heldere businessprocessen op en zorg ervoor dat men zich hieraan houdt.
Het is geen eenvoudig, snel door te voeren proces. We zijn met z'n allen al heel lang bezig met informatiebeveiliging, maar de cijfers over dataverlies geven aan dat de combinatie van oplossingen nog in de kinderschoenen staat. Met een groeiende bewustwording en een bijbehorende aanpak zetten we echter wel weer een belangrijke stap.
Henk van der Heijden
Managing Director Benelux bij Comsec Consulting