RSA: werknemers vormen groot risico op lekken

Uit onderzoek van RSA, de beveiligingsdivisie van het bedrijf EMC, blijkt dat het risico op dataverlies dankzij het werk van goedbedoelende medewerkers, partners, consultants en leveranciers, net zo groot is als het gevaar van diefstal door kwaadwillende personen. De onderzoekers ondervroegenmedewerkers en leidinggevenden in het Amerikaanse bedrijfsleven.

Meestal is er geen kwade opzet in het spel wanneer medewerkers beveiligingsregels overtreden. Toch kan het onbedoeld lekken van gevoelige informatie grote schade aanrichten aan organisaties en klanten, stelt RSA.

Bedrijven en overheidsinstellingen lopen ook het risico op dataverlies doordat medewerkers bewust om beveiligingsmaatregelen heen werken of onjuiste beveiligingsprotocollen volgen. Dit kan grote schade toebrengen aan gevoelige informatie, zoals klantgegevens, Burgerservicenummers, creditcarddata en financile gegevens.

Bestanden naar huis mailen
Soms moeten medewerkers wel om een beveiligingsmaatregel heen werken om hun werk naar behoren te kunnen doen, zo blijkt uit het onderzoek. Wanneer ze geen toegang op afstand hebben, mailen ze bijvoorbeeld vaak bestanden naar hun priv-e-mailadres. Dit is in de meeste bedrijven niet geoorloofd. Uit het onderzoek blijkt dat:
* 35 procent van de respondenten weleens de neiging heeft gehad om bedrijfsprocedures te omzeilen om zo hun werk goed te kunnen doen;
* 63 procent van de respondenten documenten naar hun priv-e-mailadres stuurt om er thuis verder aan te werken.
Verder toont het onderzoek aan dat 87 procent van de respondenten die buiten kantoor werken, mail checkt via een VPN-verbinding of via webmail, 56 procent bekijkt werkmail af en toe via een WiFi-hotspot en 52 procent checkt werkmail wel eens vanaf een openbare computer.

Maatregelen
Om echt veilig op afstand in te loggen, zijn volgens de RSA alleen het gebruik van een loginnaam en wachtwoord niet voldoende.
Organisaties vergroten hun flexibiliteit met beveiliging voor VPN en webmail op basis van two factor-authenticatie. Daarnaast minimaliseert een bedrijf met een centraal informatiebeleid het risico op dataverlies via mobiele apparatuur.

Bedrijven kunnen risico's op dataverlies aanzienlijk verkleinen door protocollen aan te passen aan de eisen die de werkvloer stelt. Wanneer dit soort protocollen eenmaal is ingesteld, is het zaak om deze streng te monitoren. De informatie die hieruit voortkomt, is te gebruiken om het protocol aan te passen. Zo worden risico's geminimaliseerd en wordt de productiviteit gemaximaliseerd.

"Organisaties moeten goed nagaan wie welke data nodig heeft en hoe gevoelig die informatie is. Zo kunnen ze vervolgens de juiste beveiligingsmaatregelen nemen", zegt Radboud Beumer, Area Vice-President Benelux, Nordics and Eastern Europe van RSA. "Goed beschermde informatie geeft medewerkers en bedrijven zekerheid, waardoor ze beter presteren. Dit geldt voor elk land ter wereld, dus ook voor Nederland."

Laptops
Het onderzoek wijst eveneens uit dat medewerkers informatie meenemen om productiever te zijn.
* 65 procent van de respondenten loopt weleens het kantoorpand uit met een laptop, USB-stick of smartphone met daarop gevoelige informatie.
* Acht procent van de respondenten heeft ooit een laptop, USB-stick of smartphone verloren, waarop informatie van de werkgever stond.

Mobiliteit
Terwijl mobiliteit een bedrijf flexibel maakt, brengt het risico's met zich mee als data niet goed beveiligd is. Organisaties kunnen datarisico's indammen door zo min mogelijk gebruik te maken van gevoelige, persoonlijke data. Daarnaast helpt het om informatie overal te beschermen: wanneer het in gebruik is op persoonlijke eindpunten, in bedrijfssystemen of databases, of onderweg via elk denkbaar netwerk. Organisaties kunnen ook baat hebben bij automatische controle- en uitvoeracties. Zo is op basis van datagevoeligheid te beslissen wat er met een bestand mag gebeuren.