Databeveiliging is ook dit jaar de grootste uitdaging op IT-gebied volgens het Claranet Research Rapport 2017-2018. Dat is niet geheel onverwacht; niet alleen was het ook de afgelopen jaren de koploper in het onderzoek, databeveiliging was de afgelopen maanden ook opvallend veel in het nieuws. Er is veel gesproken over de aanstaande introductie van de Algemene Verordening Gegevensbescherming (AVG) en ook de twee ransomware-aanvallen van het voorjaar zorgen ervoor dat databeveiliging hoog op de agenda van de IT-afdelingen staat. Opvallend is het feit dat er steeds meer oog is voor het feit dat het niet alleen meer een issue is waar de IT-afdeling op afgerekend moet worden, maar dat het menselijke aspect, het gebruik van de IT, een minstens net zo grote impact heeft op de beveiliging als de technische maatregelen.
Bewustwording
Ook in de uitgave “in 10 stappen voorbereid op de AVG” van de Autoriteit Persoonsgegevens gaat het voornamelijk over menselijk handelen; bewustwording, risico inschatting, maatregelen nemen, etc. Reden hiervoor is verklaarbaar; de beveiliging op technisch vlak is over het algemeen in orde. Door de inzet van firewalls, spamfilters en virusscanners wordt het overgrote deel van de bedreigingen een halt toegeroepen waardoor de internetcriminelen zijn overgestapt op andere zwakheden binnen een organisatie. De werknemer is daarin het eerstvolgende target voor de cybercriminelen en de methoden om deze zwakte uit te buiten zijn de afgelopen tijd steeds beter van kwaliteit geworden.
Slot op de voordeur
De vergelijking met je woonsituatie wordt voor databeveiliging altijd snel gemaakt: ‘je kunt nog zoveel geld besteden om de voordeur van het meest robuuste hang- en sluitwerk te voorzien, als je de achterdeur open laat staan, komt de huis-, tuin- en keukendief alsnog binnen’. En dat is in praktijk een hele valide vergelijking; je kan de mooiste technische oplossingen bedenken, maar als de medewerkers nog steeds onbekende bijlages van een e-mail openen zonder dat ze de afzender kennen, is het dweilen met de kraan openen. Niet voor niets wordt “bewust- wording” als stap 1 genoemd door de Autoriteit Persoonsgegevens.
Onbekende USB-stick
Je hoeft aan niemand uit te leggen dat het niet verstandig is om een onbekende USB-stick in je laptop te steken om te kijken wat er op staat. Toch zijn wij nog wel eens verrast over het gemak waarmee dit door medewerkers wordt gedaan als wij een dergelijke test samen met een security-specialist opzetten. En de directeur is daarbij net zo eenvoudig te verleiden als de receptioniste.
Begin bij jezelf!
Uiteindelijk begint databeveiliging altijd bij jezelf; denk goed na over waar en hoe je data opslaat en ga uit van het meest negatieve scenario waarbij je niemand kan vertrouwen. Welke stappen zou je dan extra nemen om de data veilig te houden zodat niemand kan meegluren?
