Data is vaak het kostbaarste bezit van een bedrijf. Technologie om data te vergaren, te bewaren en te analyseren levert immers waardevolle inzichten op, waardoor bedrijven betere beslissingen kunnen nemen op allerlei domeinen. Maar er schuilt ook gevaar: tijdens bedrijfsprocessen kan die data ongewild blootgelegd worden. Vooral bij e-mailen, printen of scannen van documenten kan het riskant worden.
We zijn alweer bijna aan het einde van de European Cyber Security Month (ecsm), een campagne om mensen te informeren over digitale beveiliging en bedreigingen. Voor bedrijven is dit het perfecte moment om na te denken over de manier waarop zij hun informatie beveiligen tijdens kwetsbare transitiemomenten.
Diverse handen maakt kwetsbaar
Documenten met gevoelige informatie nemen tijdens een werkdag vaak een andere vorm aan, van digitaal naar fysiek en terug naar digitaal. Deze documenten komen daarnaast ook in diverse handen terecht.
Dit soort processen maken bedrijven daardoor kwetsbaar, want hun waardevolle informatie kan in verkeerde handen terechtkomen, al is het onbedoeld. Daarom moeten organisaties de juiste maatregelen nemen voor de beveiliging van een aantal belangrijke transitiemomenten gedurende de werkdag.
E-mails versturen
Als er sprake is van een ‘datalek’, gaat men meestal uit van kwade wil. Maar gevoelige informatie kan ook door menselijke fouten op straat belanden.
Kijk bijvoorbeeld naar wat er gebeurt als iemand een e-mail met een bijlage verstuurt. Dit is weliswaar een efficiënte en gemakkelijke manier om documenten te delen, maar brengt tegelijkertijd ook risico’s met zich mee. Bijlagen die identiteits- of bankgegevens of zelfs maar geboortedata bevatten en per ongeluk bij de verkeerde persoon terechtkomen, kunnen zware gevolgen hebben. Gelukkig bevat de meeste pdf-software een functie waarmee gebruikers hun gegevens met een wachtwoord kunnen beveiligen. Een andere optie is om delen van tekst of afbeeldingen onleesbaar of onherkenbaar te maken. Niet door ze te bedekken, maar door de geselecteerde zone pixel per pixel te overschrijven en zo gevoelige informatie af te schermen.
Printen
Printers worden vaak over het hoofd gezien in databeveiligingsplannen. Toch is het vrij gemakkelijk om een bedrijf – en zijn reputatie – te schaden als er geen maatregelen worden genomen om te bepalen wie wat kan printen of hoe geprinte exemplaren worden verspreid.
Met een weloverwogen printerbeheer en de juiste software beperken organisaties de toegang tot specifieke documenten, houden ze bij wie wat heeft geprint en kunnen alle geprinte documenten getraceerd worden.
Ook hier geldt dat niet alle datalekken kwaadwillig zijn. Iemand kan een document op een kopieerapparaat laten liggen, of per ongeluk een verkeerd printje pakken. Printsoftware kan een printopdracht in de wachtrij van een beveiligd netwerk houden tot de geautoriseerde gebruiker het document aan een printer vrijgeeft met zijn identificatiebadge of een wachtwoord. Op die manier kunnen gebruikers over hun documenten beschikken waar en wanneer zij willen.
Scannen
De combinatie van gevoelige informatie en ongecontroleerde toegang tot scanners brengt grote risico’s met zich mee en vereist extra databeveiliging. Dit kan door de toegang tot documenten te beperken met een privacy filter op de scanapplicatie, het liefst in combinatie met optical character recognition technologie (ocr).
Ocr-filters converteren het gescande beeld naar doorzoekbare tekst en doordat deze technologie woorden zoals ’vertrouwelijk‘ herkent, kunnen bestanden automatisch versleuteld of zelfs verwijderd worden.
Bedrijven moeten maatregelen nemen om hun documenten in iedere fase van hun levenscyclus te beveiligen om zo waardevolle data af te schermen. Elke beveiligingsstrategie dient rekening te houden met risicovolle transitiemomenten, wanneer documenten van papier naar digitaal worden geconverteerd en andersom. Door de juiste stappen te nemen om data tijdens deze kwetsbare momenten te beschermen, kunnen bedrijven de data als geheel benaderen en bereiken zo een meer doeltreffende databeveiliging.
Chris Strammiello, vice president global alliances & strategic marketing bij Nuance Communications
Helder artikel. Waar ik ‘een bal’ neer leg is bij de individuele IT professional die een duidelijke rol speelt in deze keten en dient te fungeren als voorbeeld en aangever in security. Immers, het maakt gewoon deel uit van je discipline dus ben je professioneel de aangewezen persoon in de praktijk te brengen waar het in en met security en IT om gaat. In eerdere publicaties, over de perikelen bij de belastingsdienst bijvoorbeeld, .las je het ‘gotspe’ dat externe IT professionals, zonder enige gene, corporate en persoonsdata gewoon met zich mee konden nemen om thuis te werken. Sec betekend dit dat er geen enkele protocol werd opgezet bij de betreffende dienst van de overheid noch dat de betrokken IT professional zichzelf er professioneel van bewust had moeten zijn dat er op zijn minst een sluitend protocol had moeten zijn geimplementeerd en dat op zijn minst moest zijn geregistreerd wie welke data voor welke reden gebruikt en onder zich heeft/had.
Wat heeft een ‘security maand’ voor zin als we als IT professionals dit soort gaten zelf creeeren en in stand houden en daardoor een gevaar vormen waarvoor wij onze klanten denken te kunnen waarschuwen. Een grotere akte van onvermogen en diskwalificatie professioneel niet denkbaar, me dunkt.
@René Civille De individuele IT professional kan er niet veel mee. Hij zit ver weg van degenen die met exteren advies de lijnen uitzetten. Denk eens aan het 9 vlaks kwadrant van Rik Maes en de kanorace parabel.
Voor het anderen neem eens eerst de rekenkamer rapporten over de ICT en de investeringsagenda (periode 2015 en eerder eens door). Het WRR big data rapport in de samenleving mag er ook bij.
De externe hadden geen toegang (usb) om thuis op eigen machines te werken, dat waren en zijn de internen.
Een POC ofwel op machines van de leverancier iets uitproberen of data werkt met jouw data is vrij normaal. Maar betekent ook data structureel met medeweten van manager omgezet wordt. Dat met medeweten van managers stond precies zo in de antwoorden. Steek er een anders in,. Sheet 12 die Rene Jan Vveldwijk getoond heeft (horende bij de datastromen Wyman) toont een selfservice BI omgeving naar desktops (loa’s) als een normale gangbare benadering.
Wat nou als dat opruimen van loa’s dubbele functies en een verdeeldheid onderuit gehaald moet worden om op de oude voet door te kunnen gaan. Dan gaan je verwijten de geheel verkeerde kant op.
Security is altijd een sluitpost geweest. Kost alleen geld en brengt niets op en geeft geen uitstraling. Je moest eens kijken hoe overal een en ander neergezet wordt met het succes van het project met de leverancier. Ondertussen …
Die Rene. Altijd (maar wel bescheiden 😉 doorzagen over basale principes en wetmatigheden..
Maar de grootste moeite met de regel o.t.t. derde persoon enkelvoud : werkwoord stam + t.