Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op...

18
2016 INTERNATIONAAL Stand van zaken Informatiebeveiliging

Transcript of Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op...

Page 1: Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op het werk 9 De uitdaging van de toekomst: de mobiele werknemer 11 Vraag het aan

2016 INTERNATIONAAL

Stand van zakenInformatiebeveiliging

Page 2: Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op het werk 9 De uitdaging van de toekomst: de mobiele werknemer 11 Vraag het aan

Inhoudsopgave2 Inleiding

4 Analyse van de situatie

6 Security Tracker: infographic

7 Beste praktijken voor informatiebeveiliging op het werk

9 De uitdaging van de toekomst: de mobiele werknemer

11 Vraag het aan een expert

13 Bescherming van de privacy — lokale maatregelen in een internationale omgeving

16 Samenvatting

Page 3: Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op het werk 9 De uitdaging van de toekomst: de mobiele werknemer 11 Vraag het aan

INTERNATIONAAL SHRED-IT STAND VAN ZAKEN /2

Deze internationale editie over de stand van zaken in onze sector, opgesteld door Shred-it, is bedoeld om zowel grote als kleine ondernemingen nuttige informatie te verschaffen over de meest recente internationale ontwikkelingen op het vlak van technologie, handel en beleid die een invloed hebben op informatiebeveiliging.

Inleiding

Page 4: Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op het werk 9 De uitdaging van de toekomst: de mobiele werknemer 11 Vraag het aan

INTERNATIONAAL SHRED-IT STAND VAN ZAKEN /3

Dit verslag is gebaseerd op de gedetailleerde bevindingen van de jaarlijkse Shred-it Information Security Tracker, een diepgaand en doelgericht onderzoek dat in opdracht van Shred-it wordt uitgevoerd door Ipsos.

De Security Tracker levert inzichten op in het beleid en de procedures op het vlak van informatiebeveiliging bij eigenaars van kleine ondernemingen en hooggeplaatste leidinggevenden uit de hele wereld. Deze gegevens bieden een uniek, internationaal perspectief en geven een beter inzicht in de opkomende risico’s. Ze tonen ook aan hoe hoog de verschillende regio’s gegevensbescherming en informatiebeveiliging op de agenda zetten.

In de internationale editie voor 2016 over de stand van zaken in onze sector vindt u een aantal veelbesproken thema’s en nieuwe uitdagingen waarmee bedrijven worden geconfronteerd. Enkele voorbeelden:

Groeiend bewustzijn over het thema: over de hele wereld leggen overheden steeds strengere maatregelen op als het gaat over informatiebeveiliging. Hoewel leidinggevenden en ondernemers steeds beter op de hoogte zijn van de regelgeving over het bewaren en vernietigen van vertrouwelijke informatie, blijft er in sommige landen verwarring bestaan over de wettelijke eisen en is er behoefte aan duidelijker advies door de overheid zodat ondernemingen weten wat van hen wordt verwacht.

De flexibele werkplek: de bedrijfscultuur is over de hele wereld aan het veranderen. De werkplek wordt steeds flexibeler met alsmaar meer mobiele werknemers of telewerkers waardoor de risico’s op het vlak van informatiebeveiliging alleen nog maar zullen toenemen. Het succes van een strategie voor informatiebeveiliging zal meer afhangen van de manier waarop een onderneming omgaat met de tools van de moderne, mobiele en internationale werknemer — zoals USB’s, laptops en mobiele apparaten.

Blijven leren: werknemers opleiden zodat ze vertrouwd raken met het beleid en de procedures voor informatiebeveiliging kan het risico op menselijke fouten beperken en ervoor zorgen dat informatiebeveiliging een prioriteit blijft. Regelmatig bijscholen en een ambassadeursprogramma opstarten kan de doeltreffendheid van de opleidingen verbeteren.

Hardwarebeheer: sterke protocollen en een gedetailleerd beleid voor het opslaan van oude hardware zijn essentieel in het informatieveiligheidsbeheer van een onderneming. Uit het internationale onderzoek blijkt dat veel grote ondernemingen verder kijken dan opslag en vaker oude apparatuur en toestellen vernietigen. Grote ondernemingen maken daarbij handig gebruik van de expertise van externe partners om op regelmatige basis hardware te laten vernietigen.

Naast de thema’s en nieuwe uitdagingen die hierboven worden vermeld, blijkt uit de studie ook dat het risico op financiële verliezen als gevolg van een datalek goed wordt ingeschat door beide ondervraagde groepen. Deze bevinding wordt ondersteund door de resultaten van de recente “2016 Cost of Data Breach Study” door IBM en Ponemon waaruit blijkt dat de gemiddelde totale kostprijs van een datalek sinds 2013 met 29% is gestegen1.

Ook het belang van immateriële aspecten, zoals het vertrouwen van de klant en de reputatie en duurzaamheid van het bedrijf, wordt goed ingeschat. Vertrouwen en reputatie zijn universeel en worden beschouwd als de meest waardevolle bedrijfsactiva die dan ook op gepaste wijze moeten worden beschermd.

Om er zeker van te zijn dat hun informatiebeveiligingsbeleid up-to-date is, moeten leidinggevenden en ondernemers een bredere kijk hebben op de risico’s en gevolgen van datalekken. De internationale editie 2016 van Shred-it over de stand van zaken in onze sector is een goed startpunt.

Inleiding

1 2016 Ponemon Cost of a Data Breach Study, pagina 1

Page 5: Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op het werk 9 De uitdaging van de toekomst: de mobiele werknemer 11 Vraag het aan

Analyse van de situatie

INTERNATIONAAL

INTERNATIONAAL SHRED-IT STAND VAN ZAKEN /4

Bedrijfsleiders over de hele wereld zien het groeiende belang in van databeveiliging in hun onderneming. Grenzen vervagen en werknemers worden steeds mobieler. Het is nu aan de bedrijven om de kennis over het probleem om te zetten in daden en hun werknemers de juiste opleidingen en middelen te geven om vertrouwelijke informatie te beveiligen.

Gevolgen van datalekkenHoe ernstig nemen bedrijven de dreiging van datalekken? Hoewel bedrijven lijken te beseffen dat datalekken een reële dreiging vormen, zijn vele ondernemingen er nog van overtuigd dat het verlies van vertrouwelijke gegevens geen significante impact zal hebben op hun activiteiten. Volgens de Shred-it 2016 Security Tracker is maar iets meer dan de helft (52%) van de internationale respondenten van mening dat gestolen gegevens een significante impact zouden hebben op de werking van het bedrijf. Nog verrassender:

slechts een kwart (24%) van de ondervraagden die van mening waren dat een datalek negatieve gevolgen zou hebben, gaf aan dat de grootste schade zou worden toegebracht aan de geloofwaardigheid of de reputatie van het bedrijf, gevolgd door juridische en financiële gevolgen op respectievelijk de tweede en derde plaats. Uit de “2016 Cost of Data Breach Study” van Ponemon is echter gebleken dat schade aan de reputatie van een bedrijf al snel kan uitmonden in financiële schade2. Na een datalek moet het management de nodige stappen zetten om het vertrouwen van de klanten te herstellen en zo de financiële impact van het verlies minimaliseren.

Oorzaak van datalekkenBedrijven over de hele wereld worden zich ervan bewust dat werknemers door hun handelingen vertrouwelijke informatie in gevaar kunnen brengen. Uit ons onderzoek blijkt dat volgens 45% van de respondenten wereldwijd menselijke fouten of onopzettelijk verlies door een werknemer of iemand binnen het bedrijf de meest waarschijnlijke oorzaak is van een datalek.

Ondanks dit besef voeren de meeste van die bedrijven nog steeds geen protocollen in om werknemers te helpen bij het beveiligen van klanten- of bedrijfsgegevens. Bijna de

2 2016 Ponemon Cost of a Data Breach Study, pagina 1

Page 6: Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op het werk 9 De uitdaging van de toekomst: de mobiele werknemer 11 Vraag het aan

INTERNATIONAAL SHRED-IT STAND VAN ZAKEN /5

helft (40%) van de internationale bedrijfsleiders heeft geen richtlijnen voor werknemers over de opslag en vernietiging van vertrouwelijke informatie wanneer ze op locatie of thuis werken.

Dit gebrek aan bescherming is nog verontrustender als u weet dat volgens de Ponemon-studie de meeste datalekken (48% in het onderzoek van dit jaar) nog steeds te wijten zijn aan criminele en kwaadwillige aanvallen en dat een kwart (25%) het gevolg was van menselijke fouten3.

Door er niet voor te zorgen dat werknemers het veiligheidsbeleid begrijpen en respecteren, brengen bedrijven hun werking en reputatie in gevaar door waardevolle informatie over klanten, werknemers en het bedrijf zelf bloot te stellen aan zowel interne risico’s zoals menselijke fouten als externe risico’s zoals kwaadwillige aanvallen of hackers.

Maar bedrijven onderzoeken niet alleen de risico’s van vandaag, ze kijken ook naar de toekomst. Nu werknemers steeds mobieler worden en alsmaar afhankelijker worden van hun verbinding op afstand, is het geen verrassing dat 35% van de internationale respondenten vermoedt dat de belangrijkste veiligheidsdreiging voor hun bedrijf binnen vijf tot tien jaar uit de onlinewereld zal komen,

gevolgd door een gebrek aan kennis over interne regels of menselijke fouten als gevolg van onvoldoende kennis (16%) en cloud computing (14%). Ondernemingen moeten niet alleen rekening houden met de opkomende informatiebeveiligingsrisico’s door de veranderende werkomgeving, maar ze moeten hun beleid en procedures mee laten evolueren om deze mogelijke oorzaken van datalekken aan te pakken.

Meest gestolen documenttypeWanneer bedrijven nadenken over de verschillende manieren waarop een datalek tot stand kan komen, wordt de dreiging opeens een stuk reëler. Wanneer wordt gevraagd naar de impact van verschillende documenttypes, moet een meerderheid (71%) van de bevraagde ondernemingen wereldwijd toegeven dat gestolen documenten of gegevens de stabiliteit van hun bedrijf kunnen beïnvloeden. Informatie over klanten werd in elk land door de meeste bedrijven (40% wereldwijd) aangeduid als het grootste risico indien gestolen, met financiële gegevens op de tweede plaats (29% wereldwijd).

3 2016 Ponemon Cost of a Data Breach Study, pagina 2

Page 7: Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op het werk 9 De uitdaging van de toekomst: de mobiele werknemer 11 Vraag het aan

INTERNATIONAAL SHRED-IT STAND VAN ZAKEN /6

Security Tracker: infographic (INTERNATIONAAL)

HET BELANG VAN DATABE V EIL IGING

ZIEN BEDRIJFSLEIDERS WERELDWIJDEINDELIJK DE MOGELIJKE GEVOLGEN IN VAN DATALEKKEN

IN DE VOLGENDE 5-10 JAAR

BEDRIJVENMOET ENVOOR INFORMATIEVEILIGHEID

Surf naar shredit.nl voor meer informatie over het beveiligen van uw werkplek. Alle statistieken komen uit de Shred-it 2016 Information Security Tracker, uitgevoerd door Ipsos

WORDEN ALS GEGEVENS MAAR BEDRIJVEN VOORZIEN GEEN

INFORMATIEOM HUN WERKNEMERS TE HELPEN KLANTEN- & BEDRIJFS-

ACTIEPLANNEN OPSTELLEN

OPLEIDING OF MIDDELEN VERLOREN OF

52% 24% 14% 13%

zou een grote impact hebben op het bedrijf

35%ONLINE DREIGING

16%MENSELIJKE FOUTEN

14%CLOUD COMPUTING

schade aan geloofwaardigheiden reputatie

zou financiële schade veroorzaken

zou juridische gevolgen hebben

45%

40%

is van mening dat menselijke fouten of onopzettelijk verlies door een werknemer of iemand binnen het bedrijf de meest waarschijnlijke oorzaak is van een datalek

heeft geen richtlijnen voor werknemers over de opslag en vernietiging van vertrouwelijke informatie wanneer ze op locatie of thuis werken

om werknemers te helpen bij het beschermen van vertrouwelijke informatie.

zullen dit volgens bedrijven de grootste risico's zijn:

GESTOLEN:

Als gevolg van onvoldoende kennis

Page 8: Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op het werk 9 De uitdaging van de toekomst: de mobiele werknemer 11 Vraag het aan

INTERNATIONAAL SHRED-IT STAND VAN ZAKEN /7

Aanvallen op de informatieveiligheid vinden overal en elke dag (misschien zelfs elk uur) plaats. Tenzij ondernemingen de juiste maatregelen nemen om informatie over hun klanten, bedrijf en werknemers correct te beschermen, worden ze blootgesteld aan deze risico’s en zetten ze onbedoeld de deur open naar verlies van informatie, identiteitsdiefstal, veiligheidsinbreuken en zelfs criminele fraude.

Beste praktijken voor informatiebeveiliging op het werk

Page 9: Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op het werk 9 De uitdaging van de toekomst: de mobiele werknemer 11 Vraag het aan

INTERNATIONAAL SHRED-IT STAND VAN ZAKEN /8

De invoering van een beveiligingsplan om gegevens te beschermen is essentieel om de veiligheidsdreiging onder controle te houden. Het is een stap die grote en kleine bedrijven overal ter wereld zouden moeten zetten om het risico op een datalek te minimaliseren.Shred-it heeft tien beste praktijken voor informatiebeveiliging geïdentificeerd die grote en kleine bedrijven, ongeacht hun locatie en middelen, kunnen invoeren om hun klanten, hun reputatie en hun medewerkers te beschermen:

Geef het goede voorbeeld: als leidinggevenden laten zien hoe belangrijk informatiebeveiliging voor hen is, zijn werknemers meer geneigd om hun voorbeeld te volgen. Als het gedrag van de managers de veiligheidsmaatregelen en -procedures ondermijnt, zullen ook de werknemers het beleid niet ernstig nemen. Niemand staat boven de wet.

Leid werknemers op: werknemers moeten regelmatig worden opgeleid, zodat ze het informatieveiligheidsbeleid van het bedrijf begrijpen. Die opleidingen moeten gaan over online, elektronisch opgeslagen en fysieke informatie zodat ze weten hoe ze vertrouwelijke informatie moeten behandelen en vernietigen. Een goed opgeleid team is cruciaal om uw onderneming te beschermen tegen mogelijk schadelijke datalekken.

Bestrijd laksheid: De risico’s op het vlak van informatiebeveiliging veranderen en groeien mee met het bedrijf. Daarom is het belangrijk om de veiligheidsmaatregelen en -procedures regelmatig te evalueren zodat ze afgestemd blijven op de realiteit van de onderneming.

Voer een “Shred-it All”-beleid in: een “Shred-it All”-beleid neemt alle onzekerheid weg over de vertrouwelijkheid van documenten omdat simpelweg alle papieren documenten worden versnipperd voordat ze worden gerecycled of weggegooid. Deze eenvoudige stap is een van de eenvoudigste manieren om menselijke fouten te voorkomen, zoals het verkeerd omgaan met vertrouwelijke documenten en bestanden. Bovendien wordt al het versnipperde papier gerecycled, een extra voordeel voor het milieu dankzij een professionele veiligheidsmaatregel.

Voer een Clean Desk Policy in: een clean desk policy moedigt werknemers aan om hun bureau op te ruimen en documenten veilig op te bergen in een afgesloten kast of opslagruimte wanneer ze hun werkplek voor langere tijd verlaten of aan het eind van de werkdag. Het gaat dan onder

andere om documenten, bestanden, notities, visitekaartjes en verwijderbare digitale media zoals geheugensticks. Bureaus die onbeheerd en rommelig worden achtergelaten vormen een groter risico aangezien informatie op die manier makkelijk kan worden gestolen.

Stel een documentbeleid op: leg vast welke documenten u moet bijhouden en voor hoe lang. Vermeld op alle documenten die worden bewaard duidelijk wanneer ze moeten worden vernietigd en vergeet niet dat het bijhouden van sommige documenten gedurende een bepaalde periode soms wettelijk is verplicht. Als onderdeel van dit beleid moeten ondernemingen regelmatig opslagfaciliteiten opruimen en vermijden dat ongebruikte harde schijven zich opstapelen.

Beveilig gedeelde werkplekken: een gedeelde werkplek kan leiden tot meer productiviteit en innovatief denken. Vertrouwelijke informatie op whiteboards, notitieblokken of flipcharts kan echter ook een veiligheidsrisico vormen voor het bedrijf aangezien de informatie in gemeenschappelijke ruimtes zichtbaar is voor toevallige voorbijgangers. Gemeenschappelijke ruimtes moeten daarom worden opgeruimd na gebruik. Werknemers kunnen eventueel een foto nemen van het whiteboard of de flipchart en die opslaan op een beveiligde server voor toekomstig gebruik.

Versleutel alle elektronische apparaten: versleutel alle elektronische apparaten die worden gebruikt door werknemers, ongeacht of ze hun eigen apparaten gebruiken of die van het bedrijf. Wanneer elektronische apparaten verloren gaan of worden gestolen, zal de versleuteling ervoor zorgen dat de vertrouwelijke informatie op het apparaat beveiligd blijft en er geen nare gevolgen zijn voor het bedrijf.

Beveilig printers: moedig werknemers en leidinggevenden aan om documenten nooit onbeheerd achter te laten bij een gedeelde printer. Om de veiligheid rond printers te verbeteren, kunt u overwegen om wachtwoorden te gebruiken voor afdruktaken.

Beperk de toegang: Bepaal aan de hand van toelatingsniveaus wie toegang heeft tot bepaalde vertrouwelijke informatie. Alleen bevoegd personeel mag met vertrouwelijke informatie omgaan.

Naast deze tips moeten bedrijven er ook alles aan doen om op de hoogte te blijven van de meest recente wetgeving over informatiebeveiliging en alle regels die op hen van toepassing zijn. Ook moeten hun eigen veiligheidsmaatregelen en procedures in overeenstemming zijn met het beleid van de overheid. Als dat niet het geval is, kunnen ondernemingen aanzienlijke boetes opgelegd krijgen en geconfronteerd worden met nog heel wat andere nare gevolgen.

Beste praktijken voor informatiebeveiliging op het werk

Page 10: Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op het werk 9 De uitdaging van de toekomst: de mobiele werknemer 11 Vraag het aan

INTERNATIONAAL SHRED-IT STAND VAN ZAKEN /9

Met de globalisering van de bedrijfswereld is een nieuw soort werknemer ontstaan: de mobiele werknemer, het toonbeeld van de toekomstige beroepsbevolking. Uit recent onderzoek is zelfs gebleken dat de wereldwijde mobiele beroepsbevolking tegen 2020 naar schatting zal stijgen tot 1,75 miljard, goed voor 42% van de totale beroepsbevolking4.

De uitdaging van de toekomst: de mobiele werknemer

4 Strategy Analytics, 2015, Global Mobile Workforce Forcast, 2015-2020

Page 11: Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op het werk 9 De uitdaging van de toekomst: de mobiele werknemer 11 Vraag het aan

INTERNATIONAAL SHRED-IT STAND VAN ZAKEN /10

Behalve een grotere vijver met talent om uit te vissen, heeft een mobiele beroepsbevolking nog andere voordelen voor zowel werknemers als werkgevers, bijvoorbeeld meer flexibiliteit voor werknemers en minder overhead- en administratiekosten voor bedrijven.Technologie is de drijvende kracht achter de groeiende mobiliteit van werknemers wereldwijd. Zonder die technologie zou er van mobiliteit zelfs helemaal geen sprake zijn. Smartphones en tablets die steeds betaalbaarder worden en bedrijven die het BYOD-principe hanteren maken het makkelijker dan ooit voor werknemers om hun taken op afstand uit te voeren. Volgens de IDC (International Data Corporation) is mobiliteit intussen synoniem geworden met productiviteit, zowel op als naast de werkvloer. De massale opkomst van mobiele technologieën heeft dan ook een omgeving gecreëerd waarin werknemers verwachten dat ze die technologie op het werk kunnen inzetten5.

Toch zijn veel ondernemingen niet goed voorbereid op de beveiligingsuitdagingen die gepaard gaan met het beheer van een mobiel personeelsbestand. Uit de Shred-it 2016 Security Tracker blijkt dat maar liefst 40% van de bedrijven geen informatiebeveiligingsbeleid heeft dat rekening houdt met zowel externe als flexibele werkomgevingen en dat slechts 31% een beleid heeft waarin met beide rekening wordt gehouden. Dit toont aan dat een meerderheid van de bedrijven niet de nodige procedures en opleidingen aanreikt die werknemers nodig hebben om klanten- en bedrijfsinformatie te beveiligen in een mobiele omgeving.

Om de verhoogde risico’s van een mobiel personeelsbestand onder controle te houden, moeten bedrijven (ongeacht hun grootte) proactief opleidingen organiseren om veiligheid van informatie over werknemers, klanten en het bedrijf te garanderen en zo veiligheidslekken te vermijden.

Hieronder vindt u zes tips die ondernemingen met mobiele werknemers kunnen helpen bij het beveiligen van informatie.

1. Opleiding voor mobiele werknemers: het kan een hele uitdaging zijn voor een bedrijf om ervoor te zorgen dat mobiele werknemers op een veilige manier vertrouwelijke informatie vernietigen. Moedig het gebruik aan van de juiste procedures via specifieke opleidingen voor mobiele werknemers. Zorg ervoor dat oude mobiele apparaten correct worden afgedankt door samen te werken met een betrouwbare leverancier van documentvernietigingsdiensten en vraag werknemers om alle papieren documenten en digitale media binnen te brengen op het werk om te worden verwijderd en vernietigd.

2. Let op voor onbeveiligde verbindingen: gebruik nooit openbare wifinetwerken voor gevoelige bedrijfsinformatie. Het gebruik van gedeelde of openbare verbindingen in een business lounge of koffiebar kan leiden tot datalekken. Stippel een beleid uit dat werknemers aanmoedigt om tijdens het werk alleen verbinding te maken met vertrouwde netwerken.

3. Reis veilig: reizen voor het werk hoort er vandaag de dag bij en is voor sommigen zelfs routine geworden. Volgens cyberexperts kost het fraudeurs en hackers weinig moeite om de barcode op een instapkaart te lezen en toegang te krijgen tot de contactgegevens van een passagier en zijn of haar toekomstige reisplannen en “frequent flyer”-accounts. Denk als onderneming na over een beleid dat werknemers verplicht om instapkaarten, reisroutes en andere vluchtdocumenten te versnipperen. Ook het gebruik van houders die RFID-signalen blokkeren om kredietkaarten en persoonlijke documenten te beschermen, kan worden aangemoedigd.

4. Discretie verzekerd: Het “visueel hacken” van informatie op mobiele apparaten kan bijna overal gebeuren. Bied werknemers privacyschermen aan voor laptops, tablets en andere mobiele apparaten zodat vertrouwelijke informatie niet van het scherm kan worden afgelezen.

5. Bescherm uw apparaten: Laptops en mobiele apparaten moeten versleuteld zijn en met een wachtwoord beveiligd. Laat laptops en andere apparaten ook nooit onbeheerd achter in een publieke ruimte, een auto of een hotelkamer. Wanneer u informatie meeneemt van het werk, versleutel dan de bestanden.

6. Laksheid is de vijand: informatie beveiligen is een ernstige uitdaging die voortdurend evolueert. De risico’s zijn reëel en alomtegenwoordig. Bedrijven moeten er dan ook alles aan doen om laksheid tegen te gaan en een cultuur van verantwoordelijkheid te creëren op het werk.

De uitdaging van de toekomst: de mobiele werknemer

5 IDC, 2015, IDC Forecasts U.S. Mobile Worker Population to Surpass 105 Million by 2020

Page 12: Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op het werk 9 De uitdaging van de toekomst: de mobiele werknemer 11 Vraag het aan

Vraag het aan een expert

INTERNATIONAAL SHRED-IT STAND VAN ZAKEN /11

Andrew Lenardon, Global Director bij Shred-it International deelt zijn mening over het belang van een allesomvattend beleid voor informatieveiligheid en wat ondernemingen wereldwijd moeten doen om zich te beschermen.

Waarom moeten bedrijven zich zorgen maken over hun gewoontes op het vlak van informatieveiligheid?

AL: Zonder de gepaste protocollen om informatie, zowel documenten als hardware, te beveiligen, lopen bedrijven het risico om zichzelf en hun klanten dag na dag bloot te stellen aan ernstige datalekken. De gemiddelde kostprijs van een datalek ligt momenteel op 4 miljoen dollar om de schade te herstellen en de gemiddelde kostprijs voor elk verloren bestand bedraagt 158 dollar6. Als je hiermee rekening houdt, samen met de verstoring van de activiteiten die het gevolg kunnen zijn van een lek, kan één veiligheidsincident een grote impact hebben op de financiële gezondheid van een onderneming.

Maar geld is niet het enige probleem waar bedrijfsleiders zich zorgen over moeten maken. Immateriële aspecten

zoals het vertrouwen van de klant en de reputatie en duurzaamheid van het bedrijf kunnen door een datalek ernstig worden aangetast. Vertrouwen en reputatie behoren tot de meest waardevolle bezittingen van een onderneming. Wanneer die schade oplopen, is een bedrijf mogelijk niet meer in staat om een positieve relatie uit te bouwen met zijn partners.

Hoe kan een datalek de reputatie van een onderneming beïnvloeden?

AL: Het is heel eenvoudig, alles draait om vertrouwen. Ondernemingen over de hele wereld wisselen dagelijks klantengegevens uit en de klanten verwachten terecht dat hun persoonlijke informatie wordt beschermd. Een informatielek leidt dus ook tot een breuk in het vertrouwen en dat kan de reputatie van een onderneming zwaar beschadigen. Opleidingen en protocollen voor werknemers kunnen dit risico beperken, maar er bestaat geen tovermiddel. Bedrijven moeten altijd waakzaam blijven om hun reputatie te beschermen en het vertrouwen van de klant te bewaren.

6 2016 Ponemon Cost of a Data Breach Study, pagina 1

Page 13: Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op het werk 9 De uitdaging van de toekomst: de mobiele werknemer 11 Vraag het aan

INTERNATIONAAL SHRED-IT STAND VAN ZAKEN /12

Wat zijn de grootste hindernissen binnen een onderneming om informatieveiligheid aan te pakken?

AL: Er zijn twee hindernissen. Ten eerste: als het management zelf niet laat zien dat het hen menens is met de informatieveiligheid, zullen de werknemers het veiligheidsbeleid ook niet serieus nemen. Bedrijfsleiders moeten hun duit in het zakje doen om een veiligheidscultuur te scheppen die door alle werknemers wordt begrepen en ze moeten de juiste protocollen invoeren om vertrouwelijke informatie te beschermen. Ten tweede: persoonlijke verantwoordelijkheid. Alle werknemers moeten begrijpen dat hun acties het bedrijf en de klanten in gevaar kunnen brengen. Een eenvoudige handeling zoals het achteloos in de papiermand gooien van een document met informatie over een klant, kan schade en risico’s met zich meebrengen voor het bedrijf. Pas wanneer alle werknemers begrijpen hoe ze privacyrisico’s moeten identificeren en aanpakken, kunnen bedrijfsleiders op een doeltreffende manier hun klanten, hun reputatie en hun personeel beschermen.

Hoe pakken ondernemingen het best de uitdaging aan om hun informatie te beschermen?

AL: Zowel grote als kleine bedrijven moeten proactief optreden om de risico’s te verkleinen. Op het vlak van informatieveiligheid betekent dit het invoeren van protocollen voor het beheer van documenten en hardware waarin alles staat beschreven: van het verzamelen en bewaren van informatie tot de uiteindelijke vernietiging ervan.

Bedrijfsleiders moeten van regelmatige bijscholing en beleidsdoorlichtingen een prioriteit maken om de informatieveiligheid op het werk te garanderen. Bijscholingen en doorlichtingen verkleinen niet alleen het risico op datalekken door menselijke fouten of een gebrekkige kennis van de veiligheidspraktijken, maar ze helpen ook om werknemers aan het veiligheidsbeleid te herinneren. Pas wanneer alle werknemers begrijpen hoe ze privacyrisico’s moeten identificeren en aanpakken, kunnen bedrijfsleiders op een doeltreffende manier hun klanten, hun reputatie en hun personeel beschermen.

Om gegevens over werknemers, klanten en het bedrijf zelf te beschermen, moet dit beleid van toepassing zijn op vertrouwelijke gegevens binnen en buiten het kantoor. Informatie blijft kwetsbaar, zelfs in elektronische vorm. Doordat elektronische apparaten zoals smartphones, tablets en laptops nu zo alomtegenwoordig zijn, wordt het steeds moelijker om te voorkomen dat vertrouwelijke informatie het bedrijf verlaat.

Waarom moeten bedrijven zich zorgen maken over het stijgende aantal mobiele werknemers?

AL: Hoe mobieler — en internationaler — het personeel wordt, hoe groter het risico. Daarom moeten leidinggevenden en ondernemers met deze risico’s kunnen omgaan.

Mobiele werknemers bewaren bedrijfsinformatie op laptops, USB’s, externe harde schijven of in de cloud en ze nemen hun werk mee wanneer ze het kantoor verlaten. Hoewel werknemers dankzij deze apparaten op locatie kunnen werken, betekent het ook dat een enorme hoeveelheid vertrouwelijke informatie met hen meegaat. Elk van deze technologieën kan makkelijk verloren raken, achtergelaten worden in een voertuig of gekraakt worden door hackers. Eén enkele achtergelaten of gestolen laptop kan aanzienlijke schade berokkenen aan eender welk bedrijf.

Bovendien raadplegen werknemers bedrijfsdocumenten en e-mails op computers en mobiele apparaten die geen eigendom zijn van het bedrijf. Daardoor hebben werkgevers minder rechtstreekse controle over de bedrijfsinformatie en dat kan aanleiding geven tot risico’s op het vlak van privacy, vertrouwelijkheid en veiligheid. Een werknemer die thuis aan zijn of haar eigen computer werkt, is mogelijk niet even stipt met het toepassen van veiligheidsupdates en patches als een werkgever. Hierdoor kunnen bedrijfssystemen worden aangevallen door malware of spyware.

Bedrijven moeten hun werknemers ook duidelijk maken dat ze vertrouwelijke informatie alleen maar mogen afdrukken of meenemen van het werk wanneer dat absoluut noodzakelijk is en richtlijnen geven over de juiste manier om die gegevens weer te vernietigen. Digitale informatie is niet het enige waardevolle dat het kantoor verlaat met een mobiele werknemer. Het personeel moet de juiste maatregelen treffen wanneer ze eender welke informatie meenemen van het werk.

Vraag het aan een expert

Page 14: Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op het werk 9 De uitdaging van de toekomst: de mobiele werknemer 11 Vraag het aan

INTERNATIONAAL SHRED-IT STAND VAN ZAKEN /13

Het gezegde dat de aanval de beste verdediging is, geldt ook wanneer het gaat om de bescherming van de privacy. Wetgevers over de hele wereld werken regelmatig de regels bij of voeren nieuwe beleidsmaatregelen in om hun burgers te beschermen en hun persoonlijke informatie privé te houden.

Bescherming van de privacy — lokale maatregelen in een internationale omgeving

Page 15: Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op het werk 9 De uitdaging van de toekomst: de mobiele werknemer 11 Vraag het aan

INTERNATIONAAL SHRED-IT STAND VAN ZAKEN /14

Het is een enorme uitdaging. Bijna elk overheidsdepartement of privébedrijf heeft informatie die op een veilige manier moet worden opgeslagen en moet worden vernietigd wanneer ze niet langer nodig is, zowel om privacy- als juridische redenen.

Volgens internationaal advocatenkantoor DLA Piper leven we in een periode met een nooit eerder geziene activiteit op het vlak van regelgeving voor gegevensbescherming. Het spreekt voor zich dat dit een grondige impact heeft op de manier waarop internationale ondernemingen moeten omgaan met het verzamelen en beheren van persoonlijke informatie7. Uit een onderzoek van het kantoor, getiteld

“Data Protection Laws of the World”, blijkt bovendien dat de invoering van nieuwe regelgeving in landen die vroeger geen wetten hadden inzake gegevensbescherming, in de toekomst voor nalevingsproblemen kan zorgen.

Bedrijven en organisaties over de hele wereld moeten zich bewust zijn van de privacywetgeving waaraan hun lokale activiteiten moeten voldoen. Hoewel gegevens over gezondheid en financiële gegevens het vaakst worden aangehaald als het gaat over privacywetgeving, doen heel wat privébedrijven toch een beroep op externe partners om hun kritieke functies te laten analyseren en eventuele risico’s te identificeren.

In het onderstaande overzicht vindt u de typische activiteiten binnen een bedrijf die onder privacymaatregelen van de overheid kunnen vallen:

Bescherming van de privacy — lokale maatregelen in een internationale omgeving

7 DLA Piper, 2016, Data Protection Laws of the World

AFDELING TE BESCHERMEN GEGEVENS RISICO’S

Human resources • Sollicitaties• Documenten over gezondheid &

veiligheid• Medische dossiers• Looninformatie• Prestatiebeoordelingen• Opleidingsinformatie en handboeken

Heel wat HR-documenten bevatten vertrouwelijke en persoonlijke informatie over huidige en potentiële werknemers.

Verkoop/marketing • Klantenlijsten en contracten• Financiële informatie• Aanvraagformulieren• Strategische plannen• Productmonsters• Lanceringsdata• Budgetten en voorspellingen

Sales-en-marketingmateriaal bevat vaak persoonlijke en vertrouwelijke informatie over potentiële en huidige klanten. Bovendien kan het bedrijfsstrategieën en andere intellectuele eigendommen bevatten die vertrouwelijk moeten blijven.

Boekhouding • Contracten• Facturen• Klantenlijsten• Interne verslagen• Loonafschriften• Informatie over leveranciers• Financiële aanvragen

Deze documenten bevatten doorgaans financiële informatie die ernstige schade kan veroorzaken wanneer ze in verkeerde handen valt.

IT • Harde schijven• Geheugensticks• Cd’s• Zipdrives• Informatie over de netwerkconfiguratie

Digitale gegevens kunnen miljoenen individuele dossiers bevatten en kunnen een onderneming grote schade berokkenen wanneer ze verloren gaan of gestolen worden. Elektronische dossiers kunnen ook veel eenvoudiger worden gekopieerd of verspreid dan papieren documenten.

Page 16: Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op het werk 9 De uitdaging van de toekomst: de mobiele werknemer 11 Vraag het aan

INTERNATIONAAL SHRED-IT STAND VAN ZAKEN /15

Bescherming van de privacy — lokale maatregelen in een internationale omgeving

AFDELING TE BESCHERMEN GEGEVENS RISICO’S

Inkoop • Bedrijfsdossiers• Aankooporders van leveranciers• Leveranciergegevens• Specificatiebladen van leveranciers• Kredietkaartinformatie• Financiële aanvragen

Net als de boekhouding werkt de inkoopafdeling met financiële gegevens en dossiers van het bedrijf en van de leveranciers.

Onderzoek & ontwikkeling

• Beoordelingen• Testresultaten van producten• Formules• Productplannen• Informatie over nieuwe producten• Verslagen• Specificatietekeningen• Prototypes

Deze afdeling gaat intensief om met concurrentiegevoelige informatie die een ernstige impact kan hebben op het concurrentievermogen van het bedrijf.

Management • Budgetten• Correspondentie• Klantenlijsten• Juridische contracten• Voorspellingen• Strategische plannen

Het management werkt doorgaans met erg vertrouwelijke en gevoelige gegevens.

Beste praktijkenZodra ondernemingen op de hoogte zijn van hun lokale, juridische verplichtingen en een uitgebreide risicobeoordeling hebben uitgevoerd, hebben ze de keuze uit een aantal beste praktijken, zoals:

• Gedetailleerde beleidsmaatregelen en procedures vastleggen over hoe de onderneming vertrouwelijke informatie verzamelt, beheert, bewaart en vernietigt.

• Een uitgebreid opleidingsprogramma over risico’s en procedures ontwikkelen zodat de medewerkers begrijpen welke rol ze spelen in de bescherming van vertrouwelijke informatie.

• Alle elektronische apparaten beveiligen, zowel tijdens als na hun gebruik.

• Regelmatig doorlichtingen uitvoeren om de doeltreffendheid en naleving van maatregelen te controleren en procedures en protocollen regelmatig bijwerken.

Page 17: Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op het werk 9 De uitdaging van de toekomst: de mobiele werknemer 11 Vraag het aan

Samenvatting

INTERNATIONAAL SHRED-IT STAND VAN ZAKEN /16

Shred-it is een betrouwbare leverancier van nuttige informatie over de internationale ontwikkelingen op het vlak van technologie, handel en beleid die een invloed hebben op informatiebeveiliging. Zoals vermeld in de internationale editie voor 2016 over de stand van zaken in onze sector, heeft de mobiele technologie voor fundamentele wijzigingen gezorgd op het werk. Zowel grote als kleine bedrijven moeten nu rekening houden met heel wat nieuwe uitdagingen door de verhoogde flexibiliteit en mobiliteit van werknemers en de internationaler wordende beroepsbevolking.

In het verslag worden een aantal van deze nieuwe uitdagingen belicht en worden oplossingen aangereikt op basis van de beste praktijken uit onze sector. Enkele van de belangrijkste lessen die bedrijfsleiders hieruit kunnen trekken, zijn het continu opleiden van werknemers om ze vertrouwd te maken met de beleidsmaatregelen en procedures op het vlak van informatiebeveiliging, het ontwikkelen van maatregelen en procedures om de moderne hulpmiddelen van telewerkers te beheren en het inpassen van gepaste praktijken voor hardwarebeheer in de algemene bedrijfsstrategie voor informatiebeveiliging.

Als het gaat om het beveiligen van informatie, moet elk bedrijf strijd leveren tegen laksheid. Om ervoor te zorgen dat hun informatiebeveiligingsbeleid gelijke trend houdt met de recente ontwikkelingen, moeten leidinggevenden en bedrijfsleiders met een breed vizier blijven kijken naar de risico’s en gevolgen van datalekken en hun strategieën regelmatig bijwerken.

Ontdek hoe Shred-it de informatiebeveiliging in uw onderneming kan verbeteren. Surf naar onze website shredit.com en selecteer uw regio.

Page 18: Stand van zaken · 6 Security Tracker: infographic 7 Beste praktijken voor informatiebeveiliging op het werk 9 De uitdaging van de toekomst: de mobiele werknemer 11 Vraag het aan

INTERNATIONAAL SHRED-IT STAND VAN ZAKEN /17

Blijf online op de hoogte van Shred-it:

facebook.com/shredit

linkedin.com/company/shred-it

@Shredit