Een groot deel van de verantwoordelijkheid voor het voorkomen van datalekken licht op de schouders van de it-afdeling. 57 procent van de it’ers vindt dat zij de volledige zeggenschap hebben over de veiligheid van het bedrijf. Bijna de helft (46 procent) van de managers onderschrijft deze verantwoordelijkheid. Dat blijkt uit onderzoek Redshift Research in opdracht van security-leverancier Palo Alto Networks.
Ruim zevenhonderd beleidsmakers binnen bedrijven met meer dan duizend medewerkers in het Verenigd Koninkrijk, Duitsland, Frankrijk, Nederland en België zijn ondervraagd over de General Data Protection Regulation (GDPR). Europese bedrijven moeten hierbij voldoen aan gestelde cybersecurity-eisen om onder meer datalekken te voorkomen. Wanneer deze wet niet wordt nageleefd, lopen bedrijven het risico om een forse geldboete (tussen de tien tot twintig miljoen euro) te moeten betalen.
Kennisgebrek
De regelgeving wijst ook verantwoordelijkheid toe aan iedereen die toegang heeft tot data in het geval van een datalek: van de klantenservice tot de it-afdeling en bestuurders. In de praktijk blijken organisaties nog van mening te verschillen over bij wie de verantwoordelijkheid ligt om deze regelgeving na te leven. Dit wijten de onderzoekers aan een kennisgebrek over cybersecurity bij de bestuurders: 13 procent heeft ‘enigszins’ kennis van de online veiligheidsrisico’s voor bedrijven, maar raadpleegt vaak Google om dit uit te zoeken.
De meerderheid van de medewerkers toont een groeiend besef van de cyberrisico’s waar bedrijven mee te maken hebben. Eén op de tien medewerkers gelooft echter niet dat hun bestuurders relevante of nauwkeurige kennis hebben over huidige cybersecuritykwesties om zo effectief te voorkomen dat cyberaanvallen de computeromgeving in hun organisatie in gevaar brengt.
Maatregelen
Regelgeving en kaders zorgen voor gestandaardiseerde succesvolle maatregelen, wat betreft de effectiviteit van cybersecurity, standaardiseren. Hiervoor is het noodzakelijk dat bedrijven de rollen en verantwoordelijkheden vaststellen en kiezen voor een gezamenlijke securityaanpak.
De manier waarop organisaties hun veiligheid meten, biedt momenteel geen allesomvattend overzicht van alle risico’s. Een kwart meet de effectiviteit van de cybersecuritymaatregelen aan de hand van het aantal aanvallen dat is tegengehouden als gevolg van hun cybersecuritybeleid. 1 op de 5 verwijst naar de tijd die het kostte om de kwestie op te lossen. Daarnaast meet 13 procent de tijd die er is verstreken sinds het laatste incident.
Volgens de onderzoekers moeten preventieve en realtime maatregelen, zoals het vermogen van een organisatie om al het verkeer binnen een netwerk te monitoren, worden meegenomen om een nauwkeurig beeld van de risico’s te krijgen.
Herkenbaar, maar wel een groot risico: zo lang een organisatie het gevoel heeft dat het een “IT feestje” is, blijft het risico bestaan dat je aan het dweilen bent met de kraan open. Bij veel van onze klanten zien wij bijvoorbeeld dat het inderdaad vaak de IT afdeling is die wil stoppen met het gebruik van productiedata in testomgevingen. Dit signaal zou eigenlijk van de “eigenaar” van die data moeten komen en dat is in veel gevallen de business en niet de IT afdeling. Met andere woorden, op een goede manier omgaan met persoonsgegevens zou een verantwoordelijkheid moeten zijn die de hele organisatie voelt. Dat de IT afdeling vervolgens verantwoordelijk is voor de technische implementatie van beveiligingsmaatregelen zoals het anonimiseren van privacygevoelige data, is dan een logisch vervolg.