‘Alles beschermen is niets beschermen’

Beveiliging alle data onmogelijk

0

Data is een essentiële asset voor organisaties. Daarmee is niet gezegd dat alle data die organisaties in bezit hebben even belangrijk zijn.

Voor het overgrote deel van organisaties geldt dat een minderheid van hun data de strengste bescherming behoeft. Precies daar gaan veel organisaties de mist in: ze proberen al hun data te beschermen conform hetzelfde beveiligingsniveau.

Dat is niet te verbazen: wereldwijd onderzoek van accountants en adviesorganisatie Grant Thornton onder leidinggevenden bij bijna 3.000 organisaties duidt erop dat deze geen duidelijk beeld hebben van de data die zij in bezit hebben en verwerken. Ook hebben de organisaties geen zicht op het strategisch belang van deze data voor de organisatie.

Ofschoon 65 procent ernaar streeft zijn data volledig te doorgronden, lukt het slechts iets meer dan de helft van alle ondervraagden (56%) om data in risicoprofielen in te delen. Dat laatste betekent echter nog niet dat het deze bedrijven lukt de meest waardevolle, gevoelige data adequaat te beschermen.

Omdat de gevolgen van gevoelige informatie die verloren gaat of op straat komt te liggen tot reputatieschade, financiële verliezen, forse boetes, verstoring van de bedrijfsvoering en klantenverloop kunnen leiden, horen informatiebeveiligingsrisico’s hoog op de agenda van leidinggevenden te staan.

Denken vanuit risico’s

Daarvoor is het wel nodig dat beslissers weten wat er op datagebied speelt. Om te beginnen hebben velen onvoldoende kennis van de privacywetgeving waaraan hun organisatie moet voldoen. Daarnaast lijkt het erop dat leidinggevenden geneigd zijn technische oplossingen voorrang te verlenen op een inschatting van de risico’s waaraan hun data blootstaan. Dit is deels verklaarbaar omdat cybersecurity en data privacy traditioneel het werkterrein waren van de IT-afdeling en externe dienstverleners.

De antwoorden van de ondervraagden spreken voor zich: slechts 20 procent van de organisaties verwacht doelwit te zijn en denkt dat zij adequaat is beveiligd, terwijl 30 procent denkt dat zij redelijk goed zijn voorbereid op een cyberaanval. De helft van de respondenten denkt echter dat aanvallen zich niet op hen zullen richten.

Organisaties zijn daarnaast niet up-to-date-met hun beveiliging. Ze beoordelen de effectiviteit van de technische maatregelen niet of niet periodiek, detecteren incidenten onvoldoende en doen te weinig aan bewustwording inzake security bij het personeel.

Daarnaast leidt het slechts denken in technische oplossingen volgens de onderzoekers tot inefficiëntie: bijna tachtig procent van de ondervraagden geeft toe dat ze hun beschermingsmaatregelen evenredig verspreiden over al hun data, waarbij de ‘kroonjuwelen’ evenveel bescherming genieten als de overige bedrijfsdata. Slechts een vijfde van de ondervraagde organisaties zegt specifieke maatregelen te hebben genomen om hun meest essentiële data te beveiligen.

80/20 regel

Volgens de onderzoekers is twintig procent van de data die organisaties in bezit hebben verantwoordelijk voor 80 procent van het risico. Daarbij gaat het om nauwkeurige, up-to-date gegevens die onmisbaar zijn voor de bedrijfsvoering of het behouden van de concurrentiepositie. Alleen deze data verdient, op alle plaatsen waar deze beschikbaar is, een state-of-the-art beveiliging.

Overige, in meerderheid accurate data, moet uiteraard adequaat worden beveiligd, maar kan met lagere maatstaven toe. Het gaat om een risicoafweging: als een potentieel risico tot een ton schade leidt, heeft het geen zin om maatregelen te treffen die een miljoen kosten. Daarom moeten organisaties zich richten op de betrekkelijk kleine hoeveelheid data waarvan bescherming van essentieel belang is.

Beveiliging is mensenwerk

De onderzoekers geven drie adviezen om datarisico’s effectiever te beheersen. Ten eerste zouden organisaties databeveiliging als een organisatiebreed risico moeten beschouwen, beheerst door het topmanagement en geïmplementeerd door medewerkers op operationeel niveau.

Ten tweede moeten bedrijven kennis van data een standaard onderdeel van iedere projectopzet maken, waarbij multidisciplinaire teams overeenstemming bereiken over wat de grootste datagerelateerde bedreigingen voor de organisatie zijn, wie in het geval van nieuwe gegevens de data-eigenaar wordt en aan welke privacy-verplichtingen moet worden voldaan.

Ten derde zouden organisaties moeten inzetten op bewustwording – communicatie van bovenaf of training – op een menselijk, niet-technisch niveau.

Meer weten over data- privacy- en cyberrisico’s? Download onze whitepaper.

Grant Thornton

Grant Thornton in Nederland is lid van Grant Thornton International Ltd (GTIL), één van ’s werelds grootste netwerken van onafhankelijke accountants- en adviesorganisaties met ruim 47.000 professionals in meer dan 130 landen. Vanuit negen Nederlandse vestigingen ondersteunen ruim 450 professionals onze klanten met raad en daad op het gebied van accountancy, belastingen en (financiële) adviesvraagstukken. We leveren expertise van wereldformaat, op een manier die naadloos bij de unieke situatie van iedere klant aansluit. Wij werken vanuit een solide basis met een flexibele en resultaatgedreven mentaliteit.