In drie stappen naar een doordacht databeleid

65% van de Nederlandse ondernemers wil geen zaken doen met een bedrijf dat getroffen is door een datalek, bleek vorig jaar uit de Information Risk Maturity Index van Iron Mountain en PwC. Toch voorspelt Trend Micro dat er in 2014 elke maand op grote schaal gegevens zullen lekken. Anno 2014 is zorgvuldig databeheer een absolute must voor iedere onderneming. In drie stappen naar het opzetten van een doordacht databeleid.

Stap 1. Verzamel geen onnodige data

Eind vorig jaar werd bekend dat hackers de contact- en creditcardgegevens buit hadden gemaakt van tientallen miljoenen klanten van het Amerikaanse warenhuis Target. De verontwaardiging was extra groot toen bleek dat ook de pincodes van de creditcards waren gestolen. Hoewel de pincodes versleuteld waren en Target in de veelgestelde vragen op haar website volhoudt dat de pincodes veilig zijn, zijn experts kritisch. Volgens hen was er absoluut geen reden voor het warenhuis om de pincodes te bewaren. In het recente artikel ‘Preventing the next data breach’ in The New York Times stellen de auteurs dan ook dat bedrijven goed moeten nadenken over welke data ze verzamelen en bewaren. “By keeping lots of sensitive information, they place themselves and their customers at considerable – and in some cases unnecessarily greater – risk than if they had deleted the data or never collected it.”

Stap 2. Investeer in datasecurity

Target kwam eind vorig jaar niet alleen onder vuur te liggen door het opslaan van de pincodes van creditcards, maar ook vanwege de eerdere weigering om betaalpassen te introduceren met een chip. In Nederland zijn alle betaalpassen met magneetstrip inmiddels vervangen door passen met een beter beveiligde chip, maar in Amerika is deze technologie lang nog niet overal ingevoerd. Volgens het artikel in The New York Times zouden Amerikaanse retailers, waaronder Target, lange tijd hebben geweigerd om kaarten met een chip in te voeren vanwege de benodigde investeringen in nieuwe apparatuur. Onlangs liet Target in een persbericht weten 5 miljoen dollar te investeren in een cybersecurity-samenwerking, waarschijnlijk een schijntje vergeleken met de ‘meaningfully weaker-than-expected sales’ sinds de bekendmaking van het creditcard-datalek.

Stap 3. Maak medewerkers én managers bewust van het belang

Meer dan de helft van de Nederlandse managers stelt dat medewerkers informatieveiligheid niet als probleem zien. Dit was vorig jaar een andere conclusie uit de Information Risk Maturity Index. Tegelijkertijd gaf meer dan de helft van de managers toe bezuinigingen belangrijker te vinden dan gegevensbescherming. De resultaten zijn extra opvallend. Zeker nu het aantal datalekken en de heftigheid ervan toeneemt, waardoor de privacy van klanten steeds vaker in het geding komt en het risico op identiteitsfraude toeneemt. In een brief aan de Tweede Kamer schreef minister Opstelten van Veiligheid en Justitie eind november dat er een flinke stap moet worden gemaakt om het bewustzijn te verhogen. “De menselijke component is en blijft juist bij cyber security de kritieke factor.”