Er speelt tegenwoordig genoeg op het gebied van privacy en data-protectie. Met de ongeldig verklaarde Safe Harbor-overeenkomst en het instellen van de Meldplicht Datalekken, zouden privacy-kwesties bij elk bedrijf voorop moeten staan. Volgens Neil Thacker, information security and strategy officer EMEA bij Forcepoint, zijn veel bedrijven toch nog niet voldoende op de hoogte van de databeschermingsrisico’s en ligt er een belangrijke rol voor resellers om organisaties hiervan op de hoogte te brengen. Hoe resellers dit het beste kunnen doen, legt hij uit in deze ‘How to advise on privacy?’.
Bij de meeste bedrijven bevat het beveiligingsbeleid nog geen privacy-eisen, stelt Neil Thacker van Forcepoint. Maar hij meent dat daar langzaamaan wel verandering in komt. ‘Organisaties zijn zich wel steeds meer bewust van de gevolgen van privacy-regelingen, zoals Meldplicht Datalekken, en ze begrijpen de basics. Ook hebben ze hier steeds vaker al discussies over met het juridische team. Maar tegelijkertijd zijn er ook nog genoeg uitdagingen, omdat het omgaan met privacy-kwesties ook wordt gezien als een disruptie voor it. Juist door de nieuwe regelgevingen komt dataprotectie ook hoger op het prioriteitenlijstje van organisaties te staan.’
Volgens Thacker hebben resellers zeker een rol in de bewustwording van organisaties over privacy. ‘Meerdere resellers hebben tegenwoordig ook al gesprekken met hun klanten over privacy-wetgevingen en voor hen ligt dan ook de taak om uit te leggen welke impact dit op de organisatie kan hebben.’ Bovendien meent hij dat resellers wel over producten kunnen gaan praten, maar dat de waarde van de reseller tegenwoordig echt het voorzien in informatie over ontwikkelingen is. ‘Het gaat bij de resellers om vertrouwen. Als je klanten dan onderwijst over privacy-kwesties, win je vertrouwen. Je moet echt een trusted advisor worden en ze laten zien hoe ze hun it-beveiliging moeten verbeteren, zodat ze geen problemen zullen krijgen.’ Vooral kleinere organisaties hebben volgens hem behoefte aan resellers die deze rol aannemen, omdat zij zelf vaak geen juridisch team hebben.
Stappenplan
De stappen die resellers het beste kunnen nemen in het creëren van bewustwording rondom privacy-kwesties, zijn volgens Thacker als volgt:
- Bewijzen dat er een probleem is: Organisaties hebben vaak al beveiligingsmaatregelen genomen. Als je bij een organisatie binnenkomt moet je dan ook eerst op zoek naar een kapot bedrijfsproces, zodat je kan bewijzen dat klanten op dit moment nog niet goed genoeg beveiligd zijn.
- Urgentie benadrukken: Daarna moet je uitleggen waarom deze kwestie urgent is. Dit doe je door de risico’s op een rij te zetten. Dat zijn niet alleen boetes of datalekken, maar vooral ook imago-schade. Geef de organisaties een update van de ontwikkelingen die er op dit moment zijn.
- Tegenmaatregelen bieden: Je moet het niet enkel houden bij de risico’s, je moet vervolgens ook uitleggen welke maatregelen er kunnen worden genomen om deze risico’s te voorkomen. Ook kan je een oefening aanbieden waarbij deze verschillende maatregelen het beste kunnen worden gereviewed.
- Bedrijfskritische data in kaart brengen: Bij dataprotectie moet data worden geclassificeerd op basis van hoe bedrijfskritisch de informatie is. Hoe belangrijker de data, hoe beter de beveiliging moet zijn. Om die reden is dit de volgende stap die resellers met hun klanten kunnen doorlopen. Maak een lijst van datatypes en breng in kaart welke regulaties daar een rol bij spelen.
Voor resellers zelf zijn er volgens Thacker verschillende manieren om op de hoogte te blijven van ontwikkelingen rondom privacy. ‘Je kan in gesprek gaan met juristen, naar conferenties gaan en rondetafelgesprekken organiseren met verschillende personen uit de markt en een jurist.’
Niet willen inzien
Er is volgens Thacker ook een situatie te noemen waarin zelfs deze stappen niet werken. ‘Een organisatie die niet wil inzien dat ze daadwerkelijk incidenten hebben, is daar moeilijk van te overtuigen. Het probleem bij de wetgeving is echter dat datalekken binnen 72 uur moeten worden gemeld. Als organisaties dan niet willen weten dat ze een lek hebben, kunnen ze in grote problemen raken.’ Thacker meent dat resellers ook deze organisaties moeten proberen te overtuigen van de urgentie, maar hij geeft aan dat dit best lastig kan zijn.
Successen nauwelijks gedeeld
Op de vraag of er op dit gebied al succesvoorbeelden zijn, zegt Thacker dat dit lastig is, omdat je in security sowieso nauwelijks succesverhalen hoort. ‘Het komt vooral groot in het nieuws als het fout gaat, maar we zien zeker wel succesverhalen. Organisaties die bijvoorbeeld een lek ontdekken, voordat daar misbruik van is gemaakt.’ En dat is volgens hem precies waarom resellers hun klanten goed moeten inlichten: zodat er meer succesverhalen ontstaan en kunnen worden gedeeld.
Neil Thacker
Neil Thacker is information security and strategy officer EMEA bij Forcepoint en vertelde tijdens zijn presentatie op het Heliview IT & Information Security event in februari 2016 over de grootste security-risico’s die op dit moment spelen. Zijn boodschap was dat er veel actoren binnen cybercrime zijn en veel bedreigingen ook van binnenuit de organisatie komen. Zo is hij eens door het systeem als bedreiging opgemerkt, omdat hij, zonder het te beseffen, documenten via de mail wilde versturen, terwijl dat niet mocht. ‘Maar je moet iemand van wie zijn achternaam het woord ‘hacker’ bevat, ook niet vertrouwen’, grapt hij.
Forcepoint was bekend als Websense, tot 80 procent van het bedrijf vorig jaar werd overgenomen door Raytheon. Na die overname werd de nieuwe naam van de bedrijven samen Forcepoint. Het bedrijf verkoopt in Nederland voornamelijk via partners, waaronder Motiv, Telindus en BT.
