In de media komt de ene na de andere security-crisis voorbij. Retailers en banken verliezen klantgegevens aan cybercriminelen, pikante foto's van Amerikaanse sterren worden gestolen en nog recenter zorgt het 'Shellshock-'beveiligingslek voor veel ophef. Eén voordeel van dit alles: databeveiliging is ineens weer een prioriteit geworden.
Mark-Peter Mansveld is sinds april 2012 country manager Benelux van Dell Software Group. In deze rol is hij verantwoordelijk voor de Dell Software Group in Nederland, België en Luxemburg. Hij richt zich vooral op Identity & Access Management, Performance Monitoring en Cloud Information & Integration Management. Voor de overstap naar Dell was Mark-Peter country manager voor Quest Software dat in 2012 werd overgenomen door Dell. Daarvoor bekleedde hij diverse commerciële functies bij Novell, Hewlett-Packard en Compaq.
Mark-Peter studeerde technische bedrijfskunde aan de Haagse Hogeschool/TH Rijswijk en deed een sales leadership masterclass aan de Universiteit Nyenrode.
Talloze studies tonen aan dat datalekken meestal niet worden veroorzaakt door slechte beveiliging, maar door menselijk falen. Het is daarom belangrijk dat er beter wordt omgegaan met beveiligingshardware en software. Alle recente beveiligingsincidenten zijn daar voorbeelden van en ze zouden eigenlijk een wake-up call moeten zijn voor bedrijven. Informatiebeveiliging is geen probleem dat je kunt overdragen aan beveiligingssystemen en een team van geeks. Het is een gedeelde verantwoordelijkheid van iedereen die toegang heeft tot gevoelige informatie. Informatiebeveiliging is een centraal onderdeel van elke onderneming, die grondig verankerd moet worden in de bedrijfscultuur.
Reële bedreigingen
Hoe veilig je een IT-infrastructuur ook wilt maken, werknemers zullen altijd proberen om de voor hen onhandige beperkingen te omzeilen. Het is daarom belangrijk een cultuur te creëren waarbij medewerkers zich bewust worden van de middelen die kwaadwillende hackers gebruiken en welke schade ze daarmee aan de organisatie kunnen toebrengen. Om dit te bewerkstelligen is heldere communicatie nodig. Dus niet alleen schrikbeelden oproepen, maar vooral communiceren met inhoudelijke en gedocumenteerde feiten. In mijn ervaring is openhartigheid en informatie delen essentieel om medewerkers zo ver te krijgen dat zij beveiliging serieus gaan nemen. Als zij immers niet geloven dat een bedreiging reëel is, dan zal niemand beveiliging echt serieus nemen. Geef de medewerkers toegang tot echte informatie over de risico’s en gevolgen van datalekken en ze zullen begrijpen dat informatiebeveiliging belangrijk is.
Beloning en straf
Beloningen als winstdelingen en bonussen kunnen de bedrijfsprestaties zeker verbeteren. Mits integriteit en ethiek de fundering is van de bedrijfsvoering. Ze vergroten het besef dat het in ieders belang is om bedrijfsinformatie, waar uiteindelijk de bedrijfsresultaten uit voortkomen, op de juiste manier te beschermen. Eigenlijk zou het beschermen van bedrijfsinformatie een vanzelfsprekendheid moeten zijn, zowel in overtuiging als gedrag. Echter zolang beveiliging niet echt serieus wordt genomen – in the board room – zijn beloningen/sancties wenselijk voor gedragsverandering. Soms moeten er sancties opgelegd worden om het moedwillig omzeilen van beveiligingsprotocollen te ontmoedigen. De meeste mensen zijn slim genoeg om hierdoor hun gedrag te verbeteren. Met een voorspelbaar en transparent beleid omtrent beloning & sancties kun je dus binnen een organisatie de juiste beveiligingscultuur scheppen.
Beveiligingsgrenzen vervagen
Een ander aspect van moderne informatiebeveiliging is dat de grenzen tussen ons zakelijke leven en ons privéleven steeds meer vervagen. Beveiligingoplossingen moeten daardoor contextueel bewust worden, iets dat ook een speerpunt is bij de benadering van Dell bij de menselijke kant van IT-beveiliging.
