Infoworld

"Als databeveiligers koppen lezen over het verlies van vertrouwelijke gegevens, gaan ze er al snel vanuit dat dit met de inzet van technologie voorkomen had kunnen worden. Maar het is geen technologisch probleem. Het is een informatieprobleem.

Instellingen weten dat het beschermen van de gegevens van hun klanten of werknemers van cruciaal belang is en dat het risico van onvoldoende bescherming een artikel in de krant is. Achter de publieke verontwaardiging over het verlies van creditcardinformatie, sofinummers en medische gegevens, schuilt echter het gevaar dat nog vertrouwelijkere informatie op straat komt te liggen.

Wisten de beveiligingsexperts van Apple wat de iPhone 2.0 was, en voor wie ze details over het apparaat verborgen moesten houden, voordat Steve Jobs de nieuwe multimediatelefoon introduceerde? Ik vermoed dat de beveiligers met de hoogste iPhone-verantwoordelijke zouden moeten praten om hier achter te komen, zo niet met Steve Jobs zelf. Als Pfizer een fenomenaal medicijn ontwikkelt, hoe voorkomen de informatiebeveiligers dan dat het recept uitlekt voordat het medicijn officieel is goedgekeurd?

Gerelateerde informatie

Vandaag de dag moet de afdeling informatiebeveiliging (IB) weten welke informatie precies beveiligd moet worden en tegen wie. Hoe bereikt IB dit? Databeveiligers kunnen om te beginnen samen met de belanghebbenden bepalen welke informatie 'gevoelig' is, en wie al in een vroeg stadium van ontwikkeling over deze gegevens moet beschikken. Dit is een zware taak, omdat de voornaamste drijfveer van zakelijke belanghebbenden is omzet te genereren – het beschermen van gegevens is van ondergeschikt belang.

Het integreren van informatiebeveiliging in het bedrijfsproces is een bittere noodzaak. Beveiligingsteams moeten de belangrijkste gegevens identificeren en begrijpen, en weten voor wie de informatie bestemd is om deze goed af te kunnen schermen. Dit betekent dat IB een nieuwe rol moet aannemen als partner van zakelijke beslissers. Historisch gezien ontbreekt het IB aan de benodigde capaciteiten om van gedachten te wisselen over gevoelige informatie en wie hier toegang toe mag hebben. Dataverliespreventie of DLP (Data Loss Prevention) oplossingen kunnen van pas komen, omdat deze alle informatie analyseren zodra die het bedrijfsnetwerk of een individueel werkstation verlaat, of wanneer het wordt opgeslagen op het netwerk.

Maar hoe kan IB bepalen welke informatie beschermd moet worden? Ik heb gemerkt dat onderstaand model een succesvolle richtlijn is:

1 Begin met het vaststellen van de belangrijkste projecten van het bedrijf.
2 Stel een definitie op van de inhoud van het project (door het automatisch of handmatig scannen van de gegevens).
3 Analyseer waar de communicatiestromen van het project naartoegaan (door data-in-motion analyse).
4. Breng in kaart welke afdelingen de informatie communiceren (door identiteitsgegevens optimaal te benutten).
5 Praat met bestuurders om vast te stellen of deze communicatie onderdeel uitmaakt van het bedrijfsbeleid.
6 Stel regels op om communicatie die buiten de norm valt op te sporen.

Als een organisatie niet in staat blijkt zijn 'normale bedrijfscommunicatie' met behulp van inhoudsanalyse in kaart te brengen, moeten databeveiligers de directie aansporen inhouds- en communicatieverbanden vast te leggen. Beveiligers moeten de bedrijfsvoering begrijpen en de communicatie handmatig in kaart kunnen brengen. Dit is een fikse uitdaging en informatiebeveiligers moeten optimaal gebruikmaken van hulpmiddelen die dit proces kunnen vergemakkelijken."

Faizel Lakhani is vice president of marketing bij Reconnex.