Organisatie willen zich volledig en optimaal beveiligen. Waarom laten ze dan een groot deel van de securityrisico ongemoeid?
Organisaties worden continue geconfronteerd met bedreigingen van buitenaf. Hackers, malware, cryptoware, dagelijks hoor en lees je erover. Daarom aarzelt geen onderneming meer om zich te wapenen en een groot deel van het it-budget te besteden aan cybersecurity. Zeker ook met de komst van additionele wetgeving en normeringen wil elk bedrijf zichzelf zo goed mogelijk beschermen tegen datalekken en andere risico’s. Altijd wordt – terecht – de noodzaak van cybersecurity benadrukt.
Maar als het doel is de organisatie volledig en optimaal te beveiligen, waarom laten veel organisaties dan nog een groot deel van de securityrisico’s links liggen? Alle aandacht voor security ten spijt, bedrijven beveiligen vaak maar de helft van het daadwerkelijke risico.
Naar schatting wordt namelijk de helft van beveiligingsincidenten en datalekken niet veroorzaakt door bedreigingen van buitenaf, maar door interne factoren. Meer precies: door menselijk handelen, door fouten van de eigen medewerkers. In de meerderheid van de gevallen handelt de medewerker onbewust, en ligt onzorgvuldigheid of onoplettendheid ten grondslag aan een incident. Dit heet de insider threat.
Reëel risico
Volg de media en je komt legio voorbeelden tegen waarin menselijke fouten of onzorgvuldigheden de oorzaak zijn van een data-lek. De klantgegevens die argeloos op een usb-stick terechtkwamen, bestanden die niet langer centraal, maar op laptops rondzwierven, de bestanden die per ongeluk naar de printer in een andere vestiging werden gestuurd, et cetera.
Vraag aan een organisatie of ze ooit een ‘incidentje’ hebben gehad door toedoen, bewust of onbewust, van medewerkers en het antwoord is steevast ‘ja’.
Stiekem weten we allemaal wel hoe cruciaal de menselijke factor is. We hebben hier zelfs een aantal cliché-uitspraken voor: waar men werkt, maakt men fouten, of de mens blijft de zwakste schakel.
Toch zie ik in mijn dagelijks werk dat het overgrote deel van de bedrijven waar ik kom nog vrijwel niets heeft ingericht om deze insider threats te signaleren. Er is vaak dan ook geen enkel zicht op waar en hoe het misgaat.
Bedrijven lopen dus een groot risico op securityincidenten of datalekken te wijten aan insider threats. En dan is er nog de Wet meldplicht datalekken. Deze wet verplicht bedrijven om een data-lek te melden, inclusief oorzaak, omvang en ernst. Maar hoe ga je dat voor elkaar krijgen zonder enige vorm van detectie?
Een bedrijf dat zich louter focust op cybersecurity, zonder ook de gevaren van insider threats mee te wegen, zal kwetsbaar blijven en in de toekomst tegen problemen blijven aanlopen.