Datamanagement belangrijke randvoorwaarde voor effectieve cybersecurity

18 september 2018 Consultancy.nl

Bestuurders en risk executives kunnen hun cybersecurity effectiviteit verhogen door meer focus te leggen op hun data management, stellen adviseurs van Grant Thornton.

Cybersecurity wordt de komende jaren een steeds belangrijker agendapunt voor bestuurders. Niet zonder reden, want met de almaar verdergaande digitalisering van de samenleving nemen zowel de kans als de omvang van de mogelijke schade ten gevolge van cybercriminaliteit steeds verder toe. Volgens cijfers van de Cyber Security Raad (CSR) bedroeg de gerapporteerde economische schade door cybercriminaliteit nog geen twee jaar terug zo’n €10 miljard
. De werkelijke hoogte van de schade ligt echter veel hoger doordat veel incidenten onvermeld blijven. Volgens een eerder onderzoek van Grant Thornton lagen de wereldwijde kosten van cyberdiefstal in 2016 bijvoorbeeld op zo’n €280 miljard.

Catastrofale gevolgen

Een hack of ernstig datalek kan catastrofale gevolgen hebben voor organisaties, die niet enkel en alleen in cijfers en euro’s zijn uit te drukken. Als gevoelige informatie gestolen wordt, niet meer betrouwbaar of niet meer beschikbaar is, kan dit leiden tot reputatieschade, verstoring van de bedrijfsvoering en klantenverloop. Vandaar dat informatiebeveiligingsrisico's tot op directieniveau hoog op de agenda van organisaties zouden moeten staan, aldus de onderzoekers. Naast alle geleden schade kan een datalek of -hack ook leiden tot torenhoge boetes, die organisaties bij het niet-naleven van de dit jaar ingevoerde, nieuwe GDPR / AVG wetgeving* mogelijk uitgedeeld kunnen krijgen, boetes die voor bedrijven kunnen oplopen tot €20 miljoen of 4% van de totale (wereldwijde) jaaromzet.

Een hack of ernstig datalek kan catastrofale gevolgen hebben voor organisaties, die niet enkel en alleen in cijfers en euro’s is uit te drukken

Als gevolg van alle ontwikkelingen van deze tijd hebben informatiebeveiliging en privacy de laatste jaren al veel meer aandacht gekregen binnen organisaties. Maar niet alle aandacht is voldoende, constateren ook de onderzoekers. Terwijl veel aandacht rondom cybersecurity uitgaat naar specifieke verdediging van digitale systemen / ‘cyber borders’, zoals het gangbare three lines of defence’ model, wijzen de experts van Grant Thornton in hun whitepaper – ‘Wat is de waarde van uw data’ – juist op het belang van datamanagement en de aandacht die het zou moeten krijgen.

Effectief datamanagement cruciaal

De auteurs pleiten voor effectief datamanagement, waarbij in principe iedereen binnen de organisatie het belang van data erkent, en begrijpt wat de implicaties van hun handelingen zijn voor het bedrijfsrisico. Voortbouwend op dat bewustzijn, kunnen Risk- en IT-afdelingen gezamenlijk zorgen voor een beter ontwikkelde benadering van informatierisicobeheersing. Dat de focus op datamanagement zo cruciaal is, blijkt wel uit een ander wereldwijd onderzoek van Grant Thornton – gehouden onder 2.900 organisaties. Daaruit komt naar voren dat veel organisaties geen duidelijk beeld hebben van de data die zij bezitten en verwerken, van het belang van deze data voor de organisaties en van privacywetgeving waaraan ze moeten voldoen. Minder dan twee derde van organisaties (65%) neemt stappen om de data die ze bezitten volledig te doorgronden, en iets meer dan de helft (56%) stelt een risicoprofiel voor hun data vast.

Het gebrek aan een duidelijke focus op datamanagement kan leiden tot onnodige risico’s en kosten, zo stellen de experts. Bijvoorbeeld als organisaties bescherming gaan aanbrengen, waar dat niet nodig is. Als organisaties niet weten wat voor data zij in hun bezit hebben of hoe belangrijk deze data zijn, verspillen ze dan tijd en geld aan het beschermen van informatie met weinig waarde, terwijl hun meest essentiële informatie volledig blootgesteld is? “Ja”, zegt Björn Roskott, Partner IT Advisory bij Grant Thornton in Nederland: “Veel organisaties beginnen aan de oplossingskant. Als ik maar genoeg firewalls neerzet, beveiligingspoortjes opstel en een slotgracht rond mijn pand graaf, is mijn informatie veilig.”

De experts leggen uit hoe het Pareto-principe – lees: '80-20 regel' – van toepassing is op informatierisico’s. Zo draagt slechts 20% van de data van een organisatie 80% van het risico. Tom Faulkner, hoofd ICT-productie bij CMC Markets hanteert een nog extremere benadering van deze verdeling. “Er is een zeer dunne toplaag van data, misschien maar 5% van het totaal, die zeer nauwkeurig moet zijn en zo goed mogelijk beschermd moet worden, omdat deze data onmisbaar zijn”, stelt hij. “Dan hebben we nog een grote hoeveelheid die accuraat moet zijn en voldoende bescherming nodig heeft”, voegt hij toe om te besluiten: “Er is een bekend gezegde: ‘Alles beschermen is niet beschermen’. Het is vrijwel onmogelijk om alle systemen af te schermen van hackers. Waarom niet focussen op die kleine hoeveelheid data waarvan bescherming van essentieel belang is?”

“Als een potentieel risico leidt tot een ton schade, heeft het geen zin om maatregelen te nemen die een half miljoen euro kosten. Doe die investering die maximaal je risico’s beperken.”
Björn Roskott, Partner IT Advisory Grant Thornton

Om bestuurders en risk professionals te helpen datamanagement beter in te richten binnen hun organisatie, hebben de adviseurs van Grant Thornton een stappenplan opgesteld:

Stap 1: Zorg voor duidelijk eigenaarschap
Allereerst moet binnen organisaties eigenaarschap getoond worden – systeembreed en dataspecifiek. “Informatiebeveiliging moet een organisatiebrede, consequent toegepaste risicobeheersingskwestie zijn”, schrijven de experts van Grant Thornton in het rapport. Ze leggen uit hoe organisaties een eigenaar op management niveau – vaak de Chief Revenue Officer, de Chief Financial Officer of meer specifiek de Chief Information Security Officer – moeten aanwijzen en ook een eigenaar op operationeel niveau moet benoemen. Een van de voordelen van het toewijzen van eigenaarschap is dat data-eigenaren zich meer verantwoordelijk voelen en het vergroot de efficiency binnen een organisatie. Roskott: “Door een data-eigenaar aan te stellen voor alle klantdata zorgt je voor een eenduidig kantbeeld binnen alle divisies van je organisatie. Nu kom ik wel eens tegen dat verschillende divisies dezelfde klant benaderen. Door een data-eigenaar aan te stellen zorg je ervoor dat alle divisies dezelfde klantinformatie hebben en voorkom je doublures en inconsistentie.”

Stap 2: Neem informatierisicobeheer standaard op
Verder moet informatierisicobeheer binnen de organisaties standaard worden opgenomen. Het aanstellen van een eigenaar van informatierisico-beheersing op managementniveau maakt het ook makkelijker om te garanderen dat effectieve data-categorisatie of -beoordeling al bij aanvang in projecten wordt verwerkt en duidelijk is aan welke privacy verplichtingen (bijvoorbeeld het uitvoeren van een data protection impact assessment) moet worden voldaan. “Beveiliging en privacy moeten standaard zijn,” zegt Nick Oldham, databeveiliging en privacy advocaat bij het internationale advocatenkantoor King & Spalding. “Beveiliging en privacy zijn een laag die organisaties pas aan het eind van een nieuw initiatief toevoegen. Dit zorgt later voor problemen.”

Niet alleen aan databeveiliging, ook aan verantwoorde vernietiging van data moet gedacht worden, waarmee datalekken voorkomen kunnen worden. Sunil Chand, Director Cybersecurity van Grant Thornton in Canada denkt dat vernietiging ingebouwd moet worden in alle afgesproken verwerkingsstandaarden voor data. “Het nut van je data wordt bepaald door zakelijke behoeften, wet- en regelgeving en of je je in een rechtszaak bevindt”, zegt Chand. “De beste en meest simpele benadering is het hebben van een datavernietigingsbeleid met een bijbehorende handleiding of geautomatiseerde controles om deze als standaard toe te passen. Tenzij je natuurlijk de informatie nog nodig hebt of in de toekomst nodig zult hebben.”

“Training speelt een essentiële rol in het bevorderen van het bewustzijn en de weerbaarheid bij medewerkers ten aanzien van cybersecurity en datamanagement.”

Stap 3: Meer ‘menselijke’ communicatie en training
Om ervoor te zorgen dat medewerkers de realiteit van privacy- en cyberrisico’s beter begrijpen, moeten risico’s vertaald worden naar de dagelijkse praktijk en moet technisch jargon vermeden worden. Eenvoudige menselijke interactie vormt daarbij de sleutel. Voor Ross Anderson van de University of Cambridge draait succesvolle communicatie om betere storytelling. “Organisaties moeten niet over data praten”, zegt hij: “Ze moeten praten over wat er mis kan gaan op menselijk niveau. Onze hersenen zijn geoptimaliseerd voor het vertellen van verhalen. Zodra je dus praat over datacategorieën haken mensen af.”

Naast een focus op heldere communicatie voor medewerkers en overige stakeholders binnen de organisatie speelt ook training een essentiële rol in het bevorderen van het bewustzijn en de weerbaarheid bij medewerkers. Roskott waarschuwt: “Vraag een willekeurige hacker wat het zwakste punt in een systeem is, en het antwoord is altijd de mensen. Daarom is het belangrijk te focussen op training. Er zijn echter grenzen aan wat met een training bereikt kan worden. Mijn advies is om niet op training alleen in te zetten. Bedenk ook welke technische oplossingen kunnen helpen om zoveel mogelijk risicofactoren weg te nemen. Dit kan bijvoorbeeld door controlesoftware te implementeren die het gedrag van gebruikers actief in de gaten houdt.”

De onderzoekers raden organisaties aan om behoeftes rondom data- privacy- en cyberrisico’s te benaderen vanuit een continue verbetering perspectief. Dat is alleen mogelijk als de organisatie beschikt over een duidelijk en betrouwbaar beeld van de data. De onderzoekers schrijven: “Data moeten bovenal als een essentieel bedrijfsmiddel worden gezien. Zonder up-to-date managementinformatie, overzicht van de laatste marktprijzen, correcte magazijnstanden en actuele transportinformatie komt de continuïteit van bedrijfsprocessen in gevaar, of mogelijk ook die van (keten)partners van de organisatie.”

Grant Thornton concludeert in hun onderzoek dat organisaties over de hele linie onvoldoende maatregelen nemen om de data die ze hebben te doorgronden en te beschermen. En zelfs als ze wel stappen ondernemen om hun databeheer te verbeteren, doen ze dit vaak met verouderde tools en op een manier die de niet-fysieke risico’s onvoldoende meet en beheerst. Daardoor kunnen organisaties de kosten vaak niet inschatten. Ze besluiten: “Uiteindelijk komt het erop neer dat organisaties moeten weten wat hun kroonjuwelen zijn (afhankelijk van hun sector, risicoprofiel en bedrijfsdoelstellingen) en specifieke organisatorische, juridische en technische maatregelen nemen. Dit is niet altijd even makkelijk en is een continu proces, maar het is een essentieel onderdeel van risicobeheer in ons digitale tijdperk.” 

* De General Data Protection Regulation (GDPR) is een nieuwe Europese wet op het gebied van privacy en databeveiliging. De Nederlandse versie van deze wet, de Algemene Verordening Gegevensbescherming (AVG), is op 25 mei 2018 in werking getreden en vervangt de Wet bescherming persoonsgegevens (Wbp). Een van de belangrijkste doelstellingen van de GDPR is, naast het wettelijk verplicht stellen van betere databeveiliging, het gelijkstellen van de privacywetgeving tussen verschillende EU-lidstaten.