Bijna tweederde van de ict-bedrijven gebruikt bij het ontwikkelen en testen van applicaties privacygevoelige klantgegevens zonder die informatie te versleutelen. Zo ontstaat een beveiligingsrisico. Dat blijkt uit een onderzoek van Compuware en het Ponemon Institute.
Van de Europese ict-bedrijven gebruikt 64 procent bij het testen van applicaties klantgegevens zonder die informatie te versleutelen. Het gaat oonder meer om werknemersgegevens, informatie over leveranciers, accountnummers van klanten, creditcardnummers, sofinummers en andere informatie over het betalingsverkeer. Dat blijkt uit onderzoek van Compuware en Ponemon onder bijna 1000 ict-bedrijven.
Volgens de onderzoekers gaan bedrijven er vaak ten onrechte vanuit dat testdata immuun zijn voor beveiligingsrisico’s omdat de tests plaatsvinden buiten de productieomgeving. De onderzoekers benadrukken dat testomgevingen in de regel vaak minder veilig zijn dan productieomgevingen. De klantgegevens die tijdens het testen worden gebruikt kunnen in handen komen van niet-geautoriseerde bronnen zoals consultants, partners of medewerkers van outsourcers.
Het beveiligingsrisico wordt vergroot doordat in veel gevallen (42 procent) het testen van applicaties wordt uitbesteed. De gegevens zijn dan niet langer in handen van het oorspronkelijke bedrijf. In zestig procent van de onderzochte bedrijven werden operationele gegevens (fraudegevoelige klantgegevens) gedeeld met het bedrijf dat het testen voor zijn rekening neemt.
Onduidelijk
In 7 procent van de ondervraagde bedrijven is niet duidelijk wie binnen die organisatie verantwoordelijk is voor het beveiligen van testdata. Een kwart van de ondervraagden is ervan overtuigd dat de R&D-afdeling (Research & Development) verantwoordelijk is en 21 procent van de respondenten geeft aan dat het bedrijfsonderdeel dat de ontwikkeling en tests betaalt, verantwoordelijk is.
Larry Ponemon, voorzitter en oprichter van het Ponemon Institute: "Veel bedrijven zien grote bestanden met klantgegevens als een eenvoudige en goedkope bron van data voor het testen van applicaties. Door het gebruik van privacygevoelige informatie ontstaat een groot beveiligingsrisico. Vooral als er derde partijen en offshore hulpmiddelen bij betrokken zijn, wordt het gevaarlijk. Dit onderzoek bewijst de noodzaak voor meer aandacht en verantwoordelijkheid over hoe gevoelige gegevens moeten worden gebruikt binnen organisaties. Het is belangrijk om de richtlijnen voor het gebruik van gegevens te evalueren om vast te stellen welke risico’s de organisatie loopt. Daarnaast is het essentieel beveiligingsmaatregelen te implementeren om de veiligheid van die gegevens te garanderen."
Privacy
Maurice Groenveld van Compuware: "Alle commerciële organisaties hebben de verplichting om de privacy van personen te beschermen. Om de beveiligingsrisico’s bij het testen met data uit te sluiten, maken steeds meer bedrijven daarom gebruik van beveiligingsoplossingen voor testdata. Het gaat vaak om een geautomatiseerd en gecontroleerd proces voor het creëren van veilige en effectieve testgegevens."
