Tester vergeet risico onversleutelde klantgegevens

Bijna tweederde van de ict-bedrijven gebruikt bij het ontwikkelen en testen van applicaties privacygevoelige klantgegevens zonder die informatie te versleutelen. Zo ontstaat een beveiligingsrisico. Dat blijkt uit een onderzoek van Compuware en het Ponemon Institute.

Volgens de onderzoekers gaan bedrijven er vaak ten onrechte vanuit dat testdata immuun zijn voor beveiligingsrisico's omdat de tests plaatsvinden buiten de productieomgeving. De onderzoekers benadrukken dat testomgevingen in de regel vaak minder veilig zijn dan productieomgevingen. De klantgegevens die tijdens het testen worden gebruikt kunnen in handen komen van niet-geautoriseerde bronnen zoals consultants, partners of medewerkers van outsourcers.

Het beveiligingsrisico wordt vergroot doordat in veel gevallen (42 procent) het testen van applicaties wordt uitbesteed. De gegevens zijn dan niet langer in handen van het oorspronkelijke bedrijf. In zestig procent van de onderzochte bedrijven werden operationele gegevens (fraudegevoelige klantgegevens) gedeeld met het bedrijf dat het testen voor zijn rekening neemt.

Onduidelijk

In 7 procent van de ondervraagde bedrijven is niet duidelijk wie binnen die organisatie verantwoordelijk is voor het beveiligen van testdata. Een kwart van de ondervraagden is ervan overtuigd dat de R&D-afdeling (Research & Development) verantwoordelijk is en 21 procent van de respondenten geeft aan dat het bedrijfsonderdeel dat de ontwikkeling en tests betaalt, verantwoordelijk is.

Larry Ponemon, voorzitter en oprichter van het Ponemon Institute: "Veel bedrijven zien grote bestanden met klantgegevens als een eenvoudige en goedkope bron van data voor het testen van applicaties. Door het gebruik van privacygevoelige informatie ontstaat een groot beveiligingsrisico. Vooral als er derde partijen en offshore hulpmiddelen bij betrokken zijn, wordt het gevaarlijk. Dit onderzoek bewijst de noodzaak voor meer aandacht en verantwoordelijkheid over hoe gevoelige gegevens moeten worden gebruikt binnen organisaties. Het is belangrijk om de richtlijnen voor het gebruik van gegevens te evalueren om vast te stellen welke risico's de organisatie loopt. Daarnaast is het essentieel beveiligingsmaatregelen te implementeren om de veiligheid van die gegevens te garanderen."

Privacy