Bijna 50 procent van de bedrijven ziet een inbraak in het ict-systeem als belangrijkste risico voor het ongewenst weglekken van bedrijfsgevoelige informatie. Dat blijkt uit onderzoek onder Nederlandse bedrijven van onderzoeksbureau TNS Nipo in opdracht van verzekeraar Nationale-Nederlanden. Andere risico’s in de top vijf zijn het naar huis sturen van bestanden door medewerkers via e-mail (27 procent), het kopiëren van belangrijke documenten (26 procent) en het versturen van onbeveiligde e-mails en bestanden (26 procent).
Verder blijkt uit het onderzoek dat bedrijven de risico's onderschatten van de schade door het weglekken van bedrijfsgevoelige informatie. Zes op de tien bedrijven beschikt over bedrijfsgevoelige informatie. Bij circa tienduizend Nederlandse bedrijven is de afgelopen vijf jaar ongewenst gevoelige informatie op straat komen te liggen. Niet alleen staat de continuïteit van het bedrijf hierdoor op het spel, het kost het bedrijfsleven jaarlijks circa 115 miljoen euro. De grootste schades die bedrijven vrezen bij het weglekken van bedrijfsgevoelige informatie is omzetverlies door klanten die weglopen of het verliezen van de unieke positie op de markt.
Bedrijfsgevoelige informatie komt vaak vrij als medewerkers overstappen naar de concurrent (58 procent), slordig gedrag (31 procent), diefstal (17 procent) en onoplettendheid (11 procent). Schade die wordt geleden bij het lekken van bedrijfsgevoelige informatie is dat de klantendatabase in handen van de concurrent komt of dat informatie van de klanten op straat komt te liggen. Ook raken bedrijven regelmatig klanten kwijt aan een concurrent wanneer hun medewerkers daar gaan werken.
Geheimhoudingsverklaring
Opvallend is dat maar weinig bedrijven (40 procent) hun werknemers een geheimhoudingsverklaring en/of concurrentiebeding laten tekenen in een poging bedrijfsgevoelige informatie veilig te stellen. Ook blijkt dat meer dan de helft van de bedrijven belangrijke papieren niet achter slot en grendel bewaart. Het risico hiervan wordt door 28 procent van de bedrijven onderkend. Het laten slingeren van documenten staat in de top vijf van belangrijkste risico's voor het weglekken van bedrijfsgevoelige informatie.
De helft van de bedrijven zegt de concurrent op de hoogte te brengen als ze gevoelige informatie in handen krijgen. Slechts 1 procent zou er gebruik van maken en drie op de tien bedrijven maakt hier misschien gebruik van. 56 procent zegt zeker geen gebruik van te maken van de informatie.
TNS Nipo
Onderzoeksbureau TNS Nipo onderzocht in opdracht van Nationale-Nederlanden onder 1062 bedrijven met vijf of meer werkenden het lekken van bedrijfsgevoelige informatie en de vervolgschade. Leidinggevenden (eigenaar, directeur, bedrijfsleider) uit het bedrijvenpanel van TNS Nipo hebben meegewerkt aan dit onderzoek. Er is gewogen naar branche en bedrijfsgrootte op basis van CBS-cijfers.
De angst voor het weglekken van bedrijfsinformatie, zoals dit artikel stelt, kan relatief eenvoudig voorkomen worden.
Security policy
Ik mis nog steeds een uniform policy binnen organisaties die de do’s & don’ts duidelijk benoemd waar het bijvoorbeeld alleen al het gebruik van IT peripherals betreft. Natuurlijk worden ‘nieuwkomers’ wel wegwijs gemaakt maar er is nog steeds geen éénduidig document, boekje die je zo uit kunt reiken van ‘zo doen we dit bij ons’.
Men zou daar eens over na kunnen denken om iedereen binnen de organisatie weer eens uit te leggen wie waar verantwoordelijk voor is en hoe je met de spullen op de zaak dient om te gaan.
Paperless office
In het verlengde daarvan zou men kunnen denken aan prachtige Green governance achtige implementaties zoals ‘The Paperless Office’. Velen belijden dit wel met de mond maar in de praktijk blijkt zoiets toch een andere orde klaarblijkelijk. Wil je werkelijk besparen, iets wat een ‘Header’ is van IT en het gebruik daarvan? Gooi dan zoveel mogelijk printers de deur uit en je bespaart niet alleen printpapier, maar wat te denken aan de papierberg die je discreet zou moeten afvoeren en de kosten die met beiden gemoeid zijn laat staan met de energie rekening.
In aansluiting hierbij is het heel eenvoudig, wat er niet is, kan ook niet ‘verdwijnen’. Hoe eenvoudig zou je het willen hebben.
BYOD
Denk nog maar eens goed na over dat bring your own device idee. Het zet niet alleen onbedoeld poorten op een kier, hoe zeer de commercie mij/ons graag anders wil doen geloven. Corporate IT peripherals dienen een zakelijke aanvulling te zijn op de corporate werkzaamheden en niet iets wat ‘ik graag mee wil brengen omdat ik er zo’n plezier in heb’ situatie. Gegevens blijven namelijk steeds vaker op dat own device staan met alle mogelijke gevolgen van dien. (just a thought)
Als laatste, en ik benadruk dit klaarblijkelijk niet vaak genoeg, denk eens goed na over de implementatie van encryptie. Het zijn niet zo zeer de kosten die hier mee gepaard gaan als wel het uitsluiten data te kunnen verliezen. Verbied met name het gebruik van USB sticks en losse opslag media. Het zijn kleine beetjes maar wel net die kleine beetjes die het er steeds toe kunnen doen.
Gesloten procedures
Wat men bijzonder vaak ziet, en als we Kamp en consorten moeten geloven, mogen we er gevoegelijk vanuit gaan dat de markt niet meer op het opbouwen van kennis en potentie meer zit te wachten. Langdurige contracten behoren tot het verleden en we willen klaarblijkelijk erg graag voor een dubbeltje op de zakelijke eerste rang zitten.
Dat is natuurlijk prachtig maar dat kent ook zo keerzijden. Dat de professionals zich soms niet zo heel erg verbonden voelen met de business die hen voor korte tijd tegen het goedkoopste tarief in huurt. Ik weet het, niet iets waar menig commercieel geschoolde professional naar wil kijken, maar als we het hebben over kapitaal verlies, mijn beste CEO/CFO, dan zou ik over dit laatste nog eens rustig een nachtje slapen.
Kennis, kunde, ervaring, professioneel inzicht en loyaliteit komt namelijk van twee kanten. Als een professional namelijk met de nodige argusogen en scepsis wordt behandeld zoals heden ten dage, dan kan ik u gevoegelijk meegeven dat de grootste kapitaal vernietiging voor uw organisatie zich hier bevind. Een professional die zich niet op waarde geschat voelt, ook al wordt het plaatje nog zo mooi geschilderd, zal zich om loyaliteit en betrokkenheid in de regel niet al te zeer bekommeren. Alle waar tenslotte naar zijn geld.
Bedenk, IT is een mooi vehikel maar alleen wanneer het relatief foolproof en simpel is neergezet.
Ik zie dat NumoQuest in reactie weer meer woorden gebruikt dan hele artikel zelf heeft. Maar artikel is ook wel een beetje een ‘open deur’ omdat regelmatig dit soort onderzoeken gehouden worden met min of meer dezelfde uitkomsten. Jammer dan ook dat er geen opdeling van de incontinentie gemaakt wordt naar bijvoorbeeld onderwerpen als: bedrijfsspionage, bedrijfsongelukken en bedrijfsvoering. Want uitdelen van een ‘Jip en Janneke’ over de security policy zoals NumoQuest voorstelt is tenslotte alleen maar ‘bedrijfsvoering’, niet meer dan een leuk verhaal voor de moraal. Dat die moraal door dezelfde bedrijfsvoering ook veranderd is iets wat NumoQuest terecht aangeeft. We hoeven maar de TV aan te zetten, de krant open te slaan of een boek te lezen en kunnen concluderen dat er sprake is van ‘moral hazzard’ in zowel het bedrijfsleven, de politiek als katholieke kerk.
Een security policy is slechts een opstapje. Belangrijker is dat deze nageleeft wordt, en dat er vooral ook op gecontroleerd wordt. We hebben op het bedrijf waar ik werk een hele mooie policy, maar niemand die ooit controleert wat ik mee naar huis neem (op USB, DVD of papier)
Maar naast de security policy speelt er m.i. nog iets anders: er wordt wel veel gesproken over BYOD, maar ik heb een mooie laptop van de zaak, die ik thuis aan mijn eigen netwerk hang om te kunnen werken. Als mijn thuisnetwerk dus lekken bevat, dan hangt de bedrijfsinformatie ineens aan een openbaar netwerk . . . is dat wat we willen ?
Paperless office heb ik nooit in geloofd. Voor kleine documenten (tot max 20 pagina’s) lukt het me nog wel, maar met design of requirements documenten van honderden pagina’s ga ik toch liever voor de papieren versie.
Een oud collega van me had een eigen visie op security: je moet je mensen gewoon genoeg betalen, zodat ze niet in de verleiding komen er met je bedrijfsgegevens vandoor te gaan.
Misschien is dat nog wel het belangrijkste