Bedrijfsmanagers: vijf manieren waarop u de gegevensbeveiliging kunt verbeteren
Verwante koppelingen
|
Veel bedrijfsmanagers zien beveiliging als iets voor de IT-afdeling, waarbij ze uit het oog verliezen dat de 'I' van IT staat voor 'informatie'. Van jaarcijfers tot verkoopstatistieken tot productontwerpen: informatie is essentieel voor uw bedrijf. Als onbevoegden inzage krijgen in uw gegevens, zijn de gevolgen daarvan niet alleen voor de IT-afdeling. Leidinggevenden op het gebied van financiën, verkoop, marketing en bedrijfsvoering kunnen de vijf stappen hieronder ondernemen om de kwetsbaarheid van het bedrijf voor ernstige risico's te verminderen.
Samenvatting:
| • | Investeer in beveiligingstraining voor werknemers en geautomatiseerde hulpmiddelen voor gegevensbescherming om te stimuleren dat de beveiligingsregels in acht worden genomen. |
| • | Gebruik codering en technologieën voor netwerktoegangsbeheer om te voorkomen dat mobiele medewerkers gevoelige gegevens en bedrijfstoepassingen blootstellen aan risico's. |
| • | Controleer of oudere toepassingen voor boekhouding en bedrijfsvoering wel voldoen aan de beveiligingsnormen van uw bedrijf. |
|
Er zijn zeker ook bedrijfsmanagers die wel degelijk het belang van beveiliging inzien. Maar zij investeren slechts in één systeem of reglement in de hoop dat dit afdoende is. "Helaas bestaat er geen toverspreuk," zegt Mounil Patel, onderzoeksdirecteur van de afdeling informatiebeveiliging en -services van de analistenfirma Aberdeen Group Inc. in Boston. "Aan beveiliging moet continu worden gewerkt door middel van een meerlaagse en strategische benadering."
Maar schrik niet van dit advies, het is zeker niet ondoenlijk. Aan de hand van de onderstaande vijf tips van beveiligingsexperts kunnen managers op het gebied van financiën, verkoop, marketing en bedrijfsvoering het bewustzijn van veiligheidsvereisten integreren in hun dagelijkse bezigheden:
1. Ga de samenwerking aan met uw beveiligingsexperts
Leidinggevenden en de IT-medewerkers die voor beveiliging zorgen hebben andere en vaak ook tegenstrijdige prioriteiten. Managers zijn er doorgaans bijvoorbeeld op gericht om processen sneller en efficiënter te laten verlopen. Bij beveiliging gaat het er echter om om processen veiliger te maken, maar daardoor kunnen ze trager worden. Daarom zien managers het IT-personeel soms meer als tegenstander dan als partner op het gebied van beveiliging. Hetzelfde geldt voor marketingmanagers. Uit een onderzoek onder Amerikaanse bedrijven dat in september werd uitgevoerd door het informatiebeheeronderzoeksbureau Ponemon Institute LLC uit Elk Rapids, Michigan, bleek dat 56 procent van deze groep nog nooit had overlegd met het interne gegevensprivacyteam van het bedrijf.
Het is gevaarlijk om niets te doen aan dit soort spanningen. Als u de managers van uw onderneming stimuleert om de IT-professionals om advies te vragen op afdelingsvergaderingen en projectbesprekingen, kan een beter evenwicht tussen efficiency en veiligheid worden bereikt. De IT-beveiligingsadviseurs kunnen dan wijzen op mogelijke risico's en een oplossing voorstellen voordat zich werkelijk een probleem voordoet.
2. Stel een streng reglement voor gegevensbeveiliging op en verzorg trainingen voor uw medewerkers
Op grond van wetgeving zoals de Amerikaanse. Electronic Communications Privacy Act en de richtlijn voor bescherming van persoonsgegevens van de Europese Unie zijn organisaties verplicht om vertrouwelijke informatie over hun werknemers en klanten te beschermen. Bedrijven die zich niet aan de voorschriften houden, riskeren zware boetes en terugloop van de aandeelwaarde (om nog niet te spreken van de kwalijke publiciteit). De eindverantwoordelijkheid voor het afdwingen van deze gegevensbeschermingsvoorschriften ligt bij de meeste organisaties bij de financieel directeur, maar elke manager die personeel onder zich heeft dat wettelijk beschermde gegevens opslaat (bijvoorbeeld HR- en verkoopmanagers) heeft in dit opzicht een rol te vervullen.
Volgens Khalid Kark, een hoofdanalist van Forrester Research Inc. in Cambridge, Massachusetts, wordt 50 tot 70 procent van de gegevenslekken in de gemiddelde organisatie veroorzaakt door werknemers. Kark raadt de volgende stappen aan om dit cijfer bij uw bedrijf omlaag te brengen:
| • | Stel uitvoerige reglementen op voor beveiliging en privacy, waarin onder meer beschreven staat wat geoorloofd en ongeoorloofd gebruik van gevoelige informatie is en hoe veilig kan worden omgesprongen met privégegevens. |
| • | Leid werknemers op in de toepassing van beide reglementen en in veilig computergebruik. Wereldwijd biedt slechts 36 procent van de ondernemingen haar werknemers een opleiding beveiligingsbewustzijn, aldus een onderzoek naar informatiebeveiliging uit 2006 van CIO en PricewaterhouseCoopers LLC. |
| • | Zie actief toe op naleving van de reglementen. Werknemers hebben behoefte aan zichtbare aanwijzingen dat het management de beveiliging serieus neemt en overtredingen bestraft: bij een ernstige overtreding moet zelfs aan de mogelijkheid van ontslag worden gedacht. |
Voor verkoopmedewerkers is een gedetailleerde opleiding in de gegevensbescherming van uw bedrijf in het bijzonder van belang, want zij worden vaak door bezorgde klanten benaderd met vragen over dit onderwerp. Uw verkoopmedewerkers moeten zelfverzekerd kunnen antwoorden op elementaire vragen over privacy, aldus Richard Feingold, hoofdconsultant beveiliging bij het consultancybedrijf voor management en technologie SiloSmashers Inc. uit Fairfax, Virginia. Verder moeten zij weten wie zij in uw IT-organisatie kunnen benaderen met complexere vragen over de beveiligingstechnologieën en -regels van uw bedrijf.
3. Zet geautomatiseerde hulpmiddelen voor gegevensbescherming in
Zelfs goed opgeleide en verstandige werknemers kunnen fouten maken, dus vul uw educatieve beleid aan met geautomatiseerde technologieën ter bescherming van privacy en beveiliging. Bedrijven die gebruikmaken van gegevensbeschermingssystemen ervaren 13 procent minder beveiligingsvoorvallen en zwakke plekken, hetgeen gepaard gaat met een daling van 17,5 van de IT-arbeidskosten, volgens een wereldwijd onderzoek uit 2006 van de Aberdeen Group.
Begin bij het begin. Firewallproducten (zoals Microsoft Internet Security and Acceleration Server) houden indringers weg uit databases met vertrouwelijke gegevens en voorkomen dat mensen privégegevens in bijlagen weergeven of opslaan wanneer ze een publiek toegankelijke computer gebruiken. E-mailbeveiligingsproducten (zoals Forefront Security for Exchange) kunnen uitgaande berichten blokkeren die vertrouwelijke tekst of bestanden bevatten en bieden tevens bescherming tegen schadelijke virussen en andere aanvallen.
Vervolgens gaat u nadenken over de inzet van meer gespecialiseerde technologieën. Hulpprogramma's ter preventie van informatielekkage (ook hulpprogramma's ter preventie van gegevensverlies genoemd) controleren bijvoorbeeld de berichten bestanden die over het netwerk worden verplaatst en voorkomen dat werknemers ongewenst vertrouwelijke gegevens kunnen verspreiden. Technologieën voor rechtenbeheer (zoals Windows Rights Management Services voor Windows Server 2003) voorkomen dat werknemers gevoelige bestanden kunnen kopiëren of afdrukken.
4. Waak voor mobiele beveiligingsrisico's
Mobiele medewerkers, zoals verkopers, staan bloot aan diverse beveiligingsrisico's. Afgelopen jaar is bijvoorbeeld 81 procent van alle organisaties ten minste één laptop met gevoelige informatie kwijtgeraakt, aldus een onderzoek uit augustus 2006 van het Ponemon Institute. Om te voorkomen dat vertrouwelijke gegevens in verkeerde handen vallen, kunt u uw verkopers verplichten om versleutelingsprogramma's op hun draagbare apparaten te installeren, zoals de BitLocker-technologie van Windows Vista.
Gebruik verder systemen om de toegang tot het netwerk te beheren (network access control; NAC) om te voorkomen dat internetcriminelen met een gestolen laptop verbinding kunnen maken met de bedrijfstoepassingen van uw onderneming. Met behulp van NAC-technologieën (zoals het platform Network Access Protection dat Microsoft inbouwt in Windows Vista en Windows Server 'Longhorn') kunt u specifieke groepen werknemers de toegang ontzeggen wanneer de omstandigheden onveilig zijn. U kunt bijvoorbeeld verkopers de toegang tot het boekhoudsysteem ontzeggen wanneer ze niet op kantoor zijn. Of u kunt, als uw bedrijf geen vestigingen in Azië heeft, alle externe verbindingen vanaf locaties in Azië blokkeren.
5. Evalueer uw oude toepassingen
Vanwege de toegenomen zorg om diefstal, hackers en gegevensverlies is een nieuwe generatie bedrijfstoepassingen ontwikkeld die beter beveiligd is. Maar veel leidinggevenden op het gebied van financiën en bedrijfsvoering maken nog altijd gebruik van oudere systemen die soms niet krachtig genoeg zijn beveiligd tegen onbevoegde inzage, bewerking en verspreiding van vertrouwelijke gegevens. "Het is verstandig om de beveiligingsfuncties van die systemen na te lopen en te controleren of ze wel voldoen aan uw interne voorschriften," merkt Kark op. Als u systemen hebt die deze controle niet doorstaan, kunt u de IT-afdeling vragen om deze met zelf geschreven programmacode bij te werken of de beveiliging ervan te verbeteren met producten van derden.
Bovenal is het van belang om beveiliging niet te zien als een kwestie die u eens en voor altijd oplost, om er dan nooit maar aan te hoeven denken. "Zo komen mensen in de problemen," tekent Patel aan. "Risicobeheer is een doorlopend proces. Je kunt niet een mooi pakket aanschaffen en dan zeggen: 'De komende vijf jaar zitten we wel weer goed.'"
 | Rich Freeman is een in Seattle gevestigde freelance-auteur, gespecialiseerd in het bedrijfsleven en technologie. Hij heeft meer dan 14 jaar ervaring op het gebied van strategische marketing en communicatie in de IT-branche. |