Stelling: We moeten investeren in het krijgen van inzicht in data i.p.v. de beveiliging van data.
Als bedrijf is het je wettelijke plicht om er, binnen je macht, alles aan te doen om een inbraak of lek te voorkomen. Hoe doe ik dit dan en waar ligt dan de prioriteit? Op de beveiliging van data of het inzicht in data?
Veiligheid is de basis
Bij het zoeken naar de juiste oplossing om veilig te kunnen werken is het van groot belang een goed beeld te hebben van een IT-omgeving, de wensen vanuit de organisatie en de toekomstvisie. Als IT-specialist krijgen we nog vaak de vraag naar producten zoals bijvoorbeeld een VPN-verbinding of een NAS (Networked attachted storage). “Dit is alleen niet de vraag waar zo’n organisatie echt mee zit. De vraag achter een VPN-verbinding luidt vaak: hoe kunnen we op een verantwoorde en veilige manier op afstand bij onze kritische bedrijfsdata komen? Bij het stellen van deze vraag zijn er meer en vaak passendere oplossingen dan de VPN-verbinding waar om gevraagd werd.” vertelt Michaël.
SECURITY IS NIET ALLEEN EEN IT-OPLOSSING. HET IS EEN VISIE EN MANIER VAN WERKEN WAAR HET HELE BEDRIJF ACHTER MOET STAAN.
Veiligheid gaat verder dan enkel technische oplossingen en inzicht in het risico van data. Als het gaat over de technische beveiliging van een omgeving kan (bijna) alles. We kunnen de data en verbindingen helemaal dicht beveiligen. Er is alleen nog een andere factor die de veiligheid moet waarborgen, namelijk de mens. Als engineer kunnen wij een bestand op een superveilige manier opslaan maar als vervolgens het wachtwoord voor iedereen openbaar is heeft de technische beveiliging geen nut.
DE TECHNISCHE MOGELIJKHEDEN ZIJN ER MAAR MEDEWERKERS MOETEN WEL WETEN HOE JE ZE GEBRUIKT.
Kortom als het over het beveiligen van data gaat verdient de menselijke factor nog meer aandacht binnen organisaties. We zien dat bedrijven zich vooral toespitsen op het inregelen van technische oplossingen om inbreuken te voorkomen maar social engineering (zoals sms’jes en bankmails) is in opkomst als het gaat om inbraken in systemen en gegevens. Awareness creëren bij medewerkers is de investering dan ook meer dan waard. Hier kunnen trainingen en cursussen voor worden georganiseerd maar het beste advies blijft wat Michaël betreft: bij twijfel, vraag het na. Twijfels dienen met aandacht en goed behandeld te worden. Te snel oordelen over de zorgen van medewerkers is daarin niet raadzaam. Het verlagen van de drempel voor het navragen van hulp is belangrijk om het vertrouwen van medewerkers om ook daadwerkelijk na te vragen te winnen. Dat is een belangrijke rol voor de IT-expert.
Accounting: inzicht in datagebruik
“Als je aan kunt tonen dat je er alles aan hebt gedaan om je data zo veilig mogelijk om te slaan dan zit je goed.”
De basis beveiliging van uw data en systemen moet goed zijn, dat staat voor op. Naast aan kunnen tonen dat je alles hebt gedaan om de beveiliging op orde te hebben is het noodzakelijk om inzicht te hebben in wie, wat, wanneer raadpleegt. Alleen dan kan, wanneer er iets gebeurt, de schade door actie te ondernemen beperkt worden.
Inzicht versus veiligheid van data
Een keuze tussen inzicht of veiligheid is dus bijna onmogelijk. Ze gaan hand in hand. Als Michaël echt zou moeten kiezen zou hij, kijkend naar het IT-landschap van deze tijd, voor inzicht in datagebruik gaan. Het risico op securityinbraken en lekken kan niet weggenomen worden.
Het is dus zaak om de situatie te optimaliseren zodat de kans dat een inbraak zich voordoet zo klein mogelijk wordt en als de inbraak zich voordoet hier zo goed mogelijk op te kan worden geacteerd. Omdat systemen nooit 100% veilig zijn is het zeker zo belangrijk, misschien nog wel belangrijker om inzicht te hebben in wat de gebruiker doet (accounting) en medewerkers bewust te maken van de gevaren en hun rol op het gebied van security.
