Winkelmand

Geen producten in de winkelwagen.

Leiderschap

Verplicht melden van datalek is wassen neus

Door: Morteza Esteki
Geschreven door:
 Morteza Esteki
24 juli 2012 24-07-2012 4 minuten

Een datalek kanniet meer onder het tapijt worden geveegd. Sinds 5 juni zijn bedrijven wettelijk verplicht een lek te melden. Podiumauteur Morteza Esteki betwijfelt echter of deze maatregel het probleem daadwerkelijk oplost.

De nieuwe wetgeving riekt naar symboolpolitiek. Het College Bescherming Persoonsgegevens heeft namelijk niet de wettelijke bevoegdheden, laat staan de mankracht om grote datalekken aan te pakken. Weinig relevant bovendien, deze wetgeving. Datalekken moeten juist bij de bron kunnen worden aangepakt: een stevige IT-infrastructuur. Want beveiliging van informatie is de afgelopen jaren een ondergeschoven kindje. Net als bij verzekeringen, wordt gedacht dat er voor niets betaald wordt, zolang er geen grote ramp is. Dus waarom zou een organisatie investeren in goede informatiebeveiliging?

Impact van datalek

De afgelopen weken en maanden is gebleken dat het investeren in een goede informatiebeveiliging wel degelijk belangrijk is. Het ondergeschoven kindje is ineens the talk of the town geworden. Dat is niet vreemd als je je realiseert wat de impact van een datalek is. Ter illustratie een greep uit een aantal informatielekken waarvan de honden geen brood lusten:

  • April 2012: medische en persoonlijke gegevens van meer dan 300.000 werknemers zijn door een lek in de software van de verzuimapplicatie Hummanet maandenlang toegankelijk geweest voor onbevoegden;
  • Mei 2012: de gemeente Leeuwarden lekt persoonlijke gegevens van 7.000 jongeren over hun alcohol- en drugsgebruik. Een van de jongeren die meedeed aan een enquête, ontdekte dat als hij een cijfer in zijn login veranderde, hij een mogelijk al ingevulde enquête van iemand anders kon inzien;
  • Mei 2012: RTL Nieuws heeft toegang gekregen tot de database achter de online schappen van Perry Sport. Met een simpele handeling werden 95.776 online klantgegevens inzichtelijk;
  • Juni 2012: een bestand met bijna 6,5 miljoen hashcodes is online gedumpt. Het gaat om wachtwoorden van evenzoveel LinkedIn-gebruikers.
  • Derde maandag van september: de laatste, in mijn beleving wat minder erg, maar wel leuk omdat hij inmiddels jaarlijks terugkeert: het uitlekken van de miljoenennota. Behalve journalisten lijkt er eigenlijk niemand door gechoqueerd

Achteraf wijzend vingertje

Wat mij zorgen baart is de snelheid waarmee het ene na het andere lek elkaar opvolgt. Uit de voorbeelden blijkt dat informatiebeveiliging zeker van belang is. Dat realiseert de overheid zich ook. Zoals hierboven beschreven, is het sinds 5 juni verplicht om een datalek te melden. Frappant is dat in alle media direct opduikt dat het College Bescherming Persoonsgegevens niet eens de wettelijke bevoegdheden en de mankracht heeft om de grote datalekken aan te pakken. De verplichting om een datalek wettelijk te melden zet wat mij betreft trouwens te weinig zoden aan de dijk. Datalekken moeten bij de bron worden aangepakt. Kortom: kijk naar je IT-infrastructuur en zorg dat dat op orde is. Achteraf een wijzend vingertje lost het echte probleem nog niet op.

Kenmerken beveiliging

Laten we met dat in het achterhoofd het mantra van beveiliging eens doorlopen. Beveiliging gaat over:

  • Vertrouwelijkheid: hoe zorg ik ervoor dat iemand alleen maar bij de data kan waar hij ook werkelijk bij mag. Dus: hoe zorg ik er vandaag voor dat het journaille nog niet bij de miljoenennota kan;
  • Integriteit: is dat wat ik laat zien ook een juiste weergave van de werkelijkheid;
  •  Beschikbaarheid: hoe zorg ik ervoor dat de data ook werkelijk beschikbaar is voor de gebruiker.

Buiten kantooruren

Met de opkomst van het nieuwe werken en de Bring Your Own Device trend, is er vooral een uitdaging bijgekomen op het gebied van vertrouwelijkheid en beschikbaarheid. We willen de gebruiker de kans geven om op elke plek en wanneer dan ook, met elk apparaat te kunnen werken. Maar hoe doe je dat dan veilig?

IT’ers zijn gewend aan het feit dat ze na kantooruren de tijd hebben om onderhoud te plegen. Nu blijkt ineens dat mensen ook ’s avonds en soms (in mijn geval vaak) ’s ochtends vroeg werken. Maar wanneer hebben IT’ers dan tijd om toch onderhoud te doen? Dan blijkt de noodzaak tot een juiste strategie voor het ondersteunen van ‘any time’.

Content of context

Als de medewerkers ook met elk device, en vanaf elke plek mogen werken, benadrukt dit nog eens temeer de noodzaak voor een andere aanpak van IT. Want ‘elke plek’ zou geregeld kunnen worden met een laptop die door de interne IT-organisatie wordt ondersteund. Maar ‘elk device’ dat uitsluitend wordt ondersteund als het een bedrijfslaptop is, dat is natuurlijk schijnvrijheid. Daarnaast blijkt uit de praktijk dat bedrijven, maar ook de overheid toch genoodzaakt zijn regels te formuleren. Op sommige plekken willen we gewoon niet dat de gebruiker bij bepaalde data kan. Kortom, de context van de gebruiker bepaalt de content.

Dagelijks de nieuwsbrief van Management & Leiderschap ontvangen?



Door je in te schrijven ga je akkoord met de algemene en privacyvoorwaarden.

Je kunt stellen dat content koning is, maar context het koninkrijk. Natuurlijk moet een gebruiker de juiste applicaties, met de juiste data, de juiste randapparatuur en de juiste settings krijgen, maar bedrijfsregels geven soms aan dat niet alles mag. It’s all about the application, de applicatie is het centrale punt in de content, op basis van de applicatie krijgt de gebruiker toegang tot data, de juiste randapparatuur en de juiste settings. Dus ja, content is koning, maar wel gebaseerd op de bedrijfsregels. Wie is de gebruiker? Waar is hij? Van welk device komt hij? En hoe laat is het? Dus context is inderdaad het koninkrijk.

Beveiligingsaanpak

Zorg dat de informatie wordt beveiligd, maar dus niet zoals nu nog vaak gedaan wordt, waarbij mensen buiten worden gehouden. Dit voldoet niet meer in de huidige maatschappij. Want eigen medewerkers zullen vaak niet direct in het kantoor op door IT gecontroleerde apparaten werken. Organisaties moeten dan ook snel op zoek gaan naar een beveiligingsaanpak waarin zowel applicatie als de gebruiker een belangrijke rol spelen.

Eerdere bijdrage:

Over de auteur:
Dit podiumartikel is geschreven door Morteza Esteki, Benelux Sales Director RES Software.

Over het podium:
Ook uw visie geven op ontwikkelingen binnen uw vakgebied? Plaats een artikel op MT Podium. Log in op mt.nl/profiel en voeg onder 'activiteiten' uw artikel toe. Interessante bijdragen worden meegenomen in de nieuwsbrief en op home geplaatst. MT Magazine publiceert bovendien periodiek 'Het beste van MT Podium.'


 

podium
Dit artikel is geschreven door
 
Morteza Esteki

Ook interessant

Ontdek Meer
jumbo ceo opvolgers ton van veen

Wie volgt Ton van Veen op bij Jumbo? Dit zijn 6 kandidaten

Mathijs de Boer - BVO - leidinggeven aan leren

Leidinggeven aan leren: ‘Met een lerende organisatie blijf je relevant in de toekomst’

ton van veen jumbo vertrek ceo

Hij redde Jumbo, nu vertrekt Ton van Veen als ceo: ‘Zonder hem had ik het somber ingezien’

arthur mensch mistral ai

Arthur Mensch (ceo Mistral AI) kiest bewust zijn eigen pad in gevecht met AI-reuzen uit de VS en China