Data leakage protection (DLP) hype of bittere noodzaak?

De laatste tijd wordt de wereld steeds vaker opgeschrikt door berichten in de media van bedrijven of instanties die waardevolle of persoonlijke data zijn verloren. In veel gevallen gaat het om het onbewust lekken of kwijtraken van data, maar soms ook om het bewust meenemen of lekken van bedrijfskritische gegevens. Neem nou de fout bij Planet afgelopen week, waar een medewerker per ongeluk het volledige klantenbestand naar een verkeerde webruimte stuurde. Bijna lagen alle klantgegevens van Planet op straat, met alle gevolgen van dien. En dat alles door één simpele administratieve fout.

Volgens de analisten gaat het in 70 tot 80 procent van de gevallen om het onbewust lekken van data. Denk hierbij aan het per ongeluk kwijtraken van een USB-stick met daarop gevoelige informatie of het mailen van een belangrijk document aan de verkeerde ontvanger. In de overige 20 tot 30 procent draait het om het bewust lekken of kwijtraken van data – vaak door ontevreden (ex-)werknemers. De afgelopen jaren hebben de meeste bedrijven zich voornamelijk bezig gehouden met het buiten het netwerk houden van de ‘bad guys’. Nu de kasteelmuren hoog genoeg zijn, zien we dat bedrijven eindelijk hun aandacht verschuiven naar het verder beveiligen van het interne netwerk. En dat is nodig ook.

Meer dan 250 miljard Amerikaanse dollars per jaar. Dat zijn volgens analisten de niet geringe kosten voor het kwijtraken van bedrijfkritische data in Amerika. Het beveiligen van bedrijfkritische data is dus zeker een item waar bedrijven aandacht aan moeten besteden. Niet alleen vanwege de kosten die gepaard gaan met een datalek, maar ook vanwege het voldoen aan regelgeving (Sox, HIPAA). Bovendien eisen investeerders en klanten dat bedrijfkritische data en persoonsgegevens op de best mogelijke manier zijn beschermd. Beveiliging komt hierdoor direct hoog op de agenda van de CEO te staan.

De huidige DLP-oplossingen richten zich vooral op het tegengaan van ‘onbewuste datalekken’. Denk hierbij aan policies die het niet toestaan om een beveiligd document op te slaan op een USB-stick, het voorkomen dat belangrijke data per (web)mail verstuurd wordt of het automatisch versleutelen van data wanneer deze gekopieerd wordt naar een USB-stick of CD-ROM. De nieuwe DLP-oplossingen stellen ook alles in het werk om het bewust lekken van gegevens te voorkomen.

Een adequate DLP-oplossing is dus bittere noodzaak. Niet voor niets hebben inmiddels
alle grote security-leveranciers (Trend Micro, Check Point, Symantec, etc) een DLP-oplossing in hun portfolio of hebben ze aangegeven hier op korte termijn mee op de markt te komen. Voor hun eigen bestwil dienen organisaties ook zo snel mogelijk een dergelijke beveiligingsoplossing aan te schaffen. Hoe eerder organisaties data leakage actief tegengaan, hoe beter.