In databases staat veel informatie die eigenlijk helemaal niet van belang is voor het bedrijf. Toch wordt deze informatie wel uitgewisseld met andere databases, waardoor de privacy in het gedrang komt. Beveiligen is niet de oplossing, maar bedrijven moeten de informatie beter beheren.
Bedrijfsdatabases bevatten teveel informatie die voor bedrijven niet noodzakelijk is om te weten. Dat deze data toch gebruikt wordt, heeft niets met de beveiliging van de database te maken, maar met de manier waarop de informatie beheerd wordt. Dat zegt Dennis Hoffman, vice president en general manager van de Data Security Group van RSA, de beveiligingsdivisie van EMC.
"Een groot deel van de ict-systemen die gebruik maken van data zijn ontwikkeld in een tijd waarin bepaalde informatie nog niet als persoonlijk werd gezien", zegt Hoffman. Een voorbeeld is het sofinummer dat door veel bedrijven gebruikt wordt als identificatienummer. Zo zag Hoffman dat bij een organisatie het sofinummer door 91 applicaties gebruikt wordt. "Om te identificeren dat ik het ben, hebben ze eigenlijk alleen maar de laatste vier cijfers van het nummer nodig", zegt hij.
Volgens Hoffman wordt vaak alle informatie in een database uitgewisseld met een andere, terwijl meestal maar een klein deel van de informatie nodig is bij bijvoorbeeld authenticatie. "Het gaat dus om informatiebeheer en niet om informatiebeveiliging", zegt hij.
Het wordt, aldus Hoffman, dan niet gebruikt als informatietechnologie, maar als datatechnologie. Er wordt data uitgewisseld zonder dat beseft wordt wat de data is. "Een it'er ziet ook niet het verschil tussen een logo en een vertrouwelijk document. Hij ziet alleen maar nullen en enen."
Een oplossing voor het problem geeft Hoffman niet, behalve dat bedrijven bewuster moeten omgaan met de data die ze uitwisselen. Het opruimen van de database en de overbodige informatie verwijderen is geen optie. Hoffman: "Het is teveel werk om dat te doen."