Veel bedrijven denken dat datalekken meestal het gevolg zijn van onachtzaamheid van eindgebruikers…Boze opzet wordt minder als oorzaak gezien. Ongeveer driekwart van de respondenten, 45 procent, denkt dat datalekken vooral komen door menselijke fouten. Slechts vijftien procent geeft diefstal door buitenstaanders de schuld (bron).
We bedrijven geven hiermee eigenlijk een brevet van onvermogen aan hun medewerkers…stelletje stommelingen, hebben we weer een datalek.
Wat ze naar mijn mening vergeten is dat het topmanagement het voorbeeld moet geven, daar begint het. Begint het daar niet dan gaat het nooit werken. Het management stelt beveiliging ondergeschikt aan de primaire doelen van de organisatie (is logisch en maar goed ook, anders hoeven we helemaal geen beveiliging te regelen want bestaan we niet lang meer). De kunst is om een optimum te vinden tussen commerciele/financiele doelen en beveiliging. Geloof me, dat is makkelijker gezegd dan gedaan. Maar kosten/baten-analyses willen daarbij nog weleens helpen.
Zolang we medewerkers afblijven rekenen op de commerciele doelen (daar hangt hun bonus vanaf) zal beveiliging altijd een ondergeschoven kindje blijven. Als we het veilig willen doen dan kost ons dat tijd en moeite die we niet in commerciele activiteiten kunnen steken.
Maar weer even terug, het ligt dus aan de fouten van de medewerkers en niet aan bewust handelen? Ehm, kijken we even naar alle bedrijven die op dit moment aan het reorganiseren zijn (en we weten allemaal dat reorganiseren betekent: mensen ontslaan) dan neemt het risico op bewust handelen snel toe.
Medewerkers hebben vaak teveel rechten (de beheerders, maar zeker ook de medewerkers) en kunnen bij allerlei mappen, directories en systemen waar ze niets te zoeken hebben. De kans dat ze uit frustratie informatie deleten wordt daarmee groter. De slimmere medewerkers zullen zorgen dat lang nadat ze weg zijn pas wordt opgemerkt dat er gegevens kwijt zijn, in zo’n geval is herleidbaarheid naar de medewerker enorm moeilijk. Hoe bedrijven dit kunnen voorkomen? Ehm, wat dacht je van gewoon netjes omgaan met je medewerkers, je medewerkers echt tevreden houden? Dat is mogelijk, ook als je mensen moet ontslaan, als je dat op de goede wijze doet heb je een stuk minder te vrezen.
Uit het onderzoek blijkt ook dat er geen budget beschikbaar is voor bewustwordingscampagnes (beetje laat als je daar nu nog mee moet beginnen en dan nog geen budget hebben ook?) en dat de ICT-afdelingen samen moeten werken is natuurlijk ook een domper. Nou ik wens iedereen veel succes.