Zoals de waard is, vertrouwt hij zijn gasten? Ruim 92 procent van de it-managers in de Benelux verwacht dat werknemers een onbedoeld datalek niet zelf zullen melden. Dit is flink hoger dan wat it-managers in de VS (79,3 procent) en UK (67,5 procent) verwachten. Saillant detail: wanneer werknemers wordt gevraagd of ze een per ongeluk veroorzaakt datalek zouden melden, zegt de helft dit te doen bij hun it-afdeling.
Het wantrouwen van de it-manager lijkt lijnrecht tegenover de intenties van werknemers te staan. Hoe zorgen organisaties ervoor dat dit wantrouwen verdwijnt?
Dat interne datalekken een groot probleem zijn, daarover hoeft geen twijfel te bestaan. Vrijwel alle it-managers maken zich hier zorgen over, in de Benelux gaat het zelfs om alle it-verantwoordelijken. En in onze regio blijkt deze groep ook nog eens bovengemiddeld bezorgd over het bestaan van dergelijke lekken in hun organisatie. Ruim 90 procent van de door Opinion Matters ondervraagde personen denkt dat er onopzettelijk data zijn gelekt (tegenover 78 procent wereldwijd) en een bijna even grote groep vermoedt opzettelijke datalekken (tegenover 75 procent wereldwijd). In het ‘Insider Data Breach Survey 2020’ komen 528 it-managers en 5001 werknemers in de VS, het VK en de Benelux aan het woord.
Oorzaken
Wanneer we deze percentages omlaag willen krijgen, is het zinvol te kijken naar de belangrijkste oorzaken voor het ontstaan van onbedoelde datalekken. Werknemers die aan hebben gegeven dat zij zelf of een collega onopzettelijk bedrijfsinformatie openbaar hebben gemaakt, noemen verreweg het vaakst klikken op een link in een (spear) phishingmail, gevolgd door het sturen van informatie naar de verkeerde ontvanger. Een kleine minderheid van 8 procent wist niet dat de informatie die ze deelden vertrouwelijk was.
Zetten we hier de antwoorden van it-managers tegenover, dan valt op dat bijna een kwart een gebrek aan bewustzijn noemt als reden voor onbedoelde datalekken. Een gebrek aan training, tekort aan adequate securitysystemen en gehaaste werknemers scoren min of meer even hoog. De conclusie lijkt gerechtvaardigd dat it-managers en gewone medewerkers minder lijnrecht tegenover elkaar staan dan in eerste instantie gedacht. Want de door it-verantwoordelijken genoemde redenen zijn evengoed een oorzaak voor het klikken op een verdachte link door werknemers.
Dat beeld wordt verder versterkt als de omstandigheden worden bekeken waaronder werknemers per ongeluk gegevens openbaar hebben gemaakt. Het gebruik van een mobiel device scoort hoog, net als onder druk staan, vermoeidheid en opgejaagd worden. Stuk voor stuk situaties waarin een adequate security-oplossing het ontstaan van het datalek wellicht had kunnen voorkomen.
Bij nadere beschouwing kan zelfs een deel van de bewuste datalekken worden geschaard onder het gebrek aan adequate technologie. Want een kwart van de bewuste datalekken wordt veroorzaakt door werknemers die welbewust risico’s nemen omdat er geen tools voorhanden zijn om informatie op een veilige manier te delen.
Wantrouwen?
We kunnen dus stellen dat de verschillen tussen de verantwoordelijken voor het informatiebeveiligingsbeleid en degenen die het beleid moeten uitvoeren, overbrugbaar zijn – gekeken naar de oorzaken voor datalekken. Blijft over het ‘wantrouwen’ van it-managers of werknemers bewuste of onbewuste datalekken wel zullen melden bij de it-afdeling of hun direct leidinggevende. Ook hier ligt de oplossing op technologisch vlak. Want het blijkt dat de belangrijkste detectietool voor datalekken binnen veel organisaties de werknemer zelf is. En wanneer deze werknemer zich er niet van bewust is dat er onopzettelijk data openbaar zijn gemaakt, of ronduit weigert dit te melden, is deze detectie niet waterdicht.
Rest de vraag hoe it-managers en organisaties ervoor kunnen zorgen dat (onopzettelijke) datalekken teruggedrongen worden, zodat het wantrouwen afneemt. Drie stappen zijn daarin essentieel:
Creëer bewustzijn
Bij verreweg de meeste onbedoelde datalekken zijn werknemers zich bewust dat ze bedrijfsgevoelige of persoonlijke informatie in gevaar hebben gebracht. Maar er is nog een groot grijs gebied. Want ruim 40 procent van de werknemers is van mening dat teams en afdelingen die gegevens creëren de rechtmatige eigenaar van deze gegevens zijn, niet de organisatie zelf. En ruim een vijfde meent zelfs dat eigendom op individueel, werknemersniveau ligt. Meer bewustzijn en kennis zal binnen deze groep direct al een meer verantwoorde omgang met bedrijfsdata opleveren.
Geef training
Meer bewustzijn is één, het in praktijk brengen is een tweede. Door trainingen in verantwoorde omgang met data te geven, zorgen organisaties ervoor dat informatiebeveiliging top of mind is bij iedereen binnen de organisatie. Maak trainingen bovendien zo gepersonaliseerd en actueel mogelijk, zodat de trainingssituatie direct aansluit op de dagelijkse werkelijkheid op de werkvloer.
Stel tools beschikbaar
Zonder de juiste technologie zullen datalekken altijd voor blijven komen. Los van het feit dat een geautomatiseerde detectietool een stuk accurater zal zijn dan wanneer je als security-verantwoordelijke afhankelijk bent van de werknemers zelf, zullen adequate technologische toepassingen het merendeel van de datalekken die worden veroorzaakt door menselijk handelen voorkomen. Zo zorgt een e-mailencryptie-oplossing ervoor dat gevoelige informatie alleen gecodeerd verzonden kan worden naar geverifieerde ontvangers.
Door deze drie elementen centraal te stellen in de informatiebeveiligingsstrategie zullen werknemers zich bewuster worden van hoe ze met bedrijfsgevoelige data om moeten gaan. Bovendien hebben ze de tools voorhanden om dit beleid in praktijk te kunnen brengen. It-managers hebben op hun beurt beter inzicht in hoe gegevens worden gedeeld en beheerd, waardoor ze sneller en effectiever kunnen handelen wanneer er onverhoopt iets misgaat.
Tony Pepper, oprichter en ceo van Egress
