Cloudcomputing, sociale netwerken en het sterk groeiende gebruik van mobiele apparaten verbinden alles en iedereen met elkaar. Bedrijfsgegevens blijven al lang niet meer alleen binnen de fysieke grenzen van het bedrijfsnetwerk. Ze zijn bijgevolg ook moeilijker te beveiligen. Tegelijk wordt de wetgeving op het vlak van databeveiliging een stuk strenger – denken we maar aan de nieuwe Europese General Data Protection Regulation (GDPR). Hoe gaat u met deze nieuwe realiteit als bedrijf om? Een goed beleid op het vlak van databeveiliging start met een stappenplan.
Stap 1: Zet databeveiliging (hoog) op de agenda
De allereerste stap is inzien dat beveiliging van gegevens vitaal is. Zo’n draagvlak creëren en hebben is nodig om de nodige resources intern vrij te maken en projecten op te starten. Vandaag zien we dat grotere bedrijven over het algemeen sterker bewust zijn van het belang van databeveiliging. Functies als Chief Security Officer (CSO), Chief Data Officer (CDO), Chief Privacy Officer (CPO) worden in het leven geroepen. Ze hebben als doel het beleid rond databeveiliging en -privacy op (punt) te stellen en te integreren binnen een algehele IT-beveiligingsbeleid. Nieuwe regelgeving, zoals de genoemde GDPR, is daarin uiteraard een drijvende factor. Maar ook het feit dat grote datalekken en bijhorende schadeclaims breed in de pers en op sociale media worden uitgesmeerd, beïnvloedt de agenda.
Bij kmo’s groeit de bewustwording trager, en is ze sowieso nog steeds veel te laag. Toch zijn ze vandaag evenveel of zelfs meer een doelwit van kwaadaardige aanvallen met dataverlies tot gevolg. Vaak hebben kmo’s een ‘vals’ gevoel van bescherming. Ze zijn ervan overtuigd dat technologie alleen – zoals een firewall of antivirus – hen wel zal beschermen. Het belang van goed beheer ervan zien ze niet altijd in. Tot het te laat is. Om een sluitende aanpak uit te werken, gaan kmo’s dan ook het best te rade bij een gespecialiseerde partner.
Stap 2: Analyseer de noden
De volgende stap is het in kaart brengen van de risico’s en noden op het vlak van databeveiliging. Die zijn voor elk bedrijf anders. Aan de hand van een zogenaamde ‘risk based’-analyse worden de belangrijkste kwetsbaarheden en behoeften naar boven gebracht. Wat zijn de belangrijkste processen, applicaties en gegevens? Wat is de impact van dataverlies? Stel dat je bedrijf veel met tablets werkt, dan vraagt de beveiliging daarvan extra aandacht. Een van de grote risico’s is en blijft overigens de eindgebruiker, wat maakt dat het uiteindelijke beleid sterk moet inzetten op het bewustmaken van die gebruiker.
Stap 3: Voer een geïntegreerd beleid
Op basis van de noden en risico’s wordt een geïntegreerd beleid opgesteld. Dat omvat niet enkel technologische keuzes, maar ook processen, beheer en verantwoordelijkheden. Databeveiliging belangt immers het hele bedrijf aan en is niet enkel de verantwoordelijkheid van de IT-afdeling. Het gaat ook niet om een eenmalig project of operatie, maar om een proces dat continu behartigd en opgevolgd dient te worden.
Een degelijke beveiliging van uw gegevens betekent overigens niet noodzakelijk een onoverkomelijke investering. Vele kmo’s kunnen wat dat betreft al enkele eenvoudige maar noodzakelijke beveiligingsmaatregelen doorvoeren, zoals bijvoorbeeld de juiste updates en patches voor hard- en software. Zowel kleine als grote bedrijven slaan steeds vaker data op in professionele datacenters of bij een cloud services provider. Die kan ook beheertaken uitvoeren op onder meer dataverkeer, back-ups en IT-beveiliging. Heel wat bedrijven hebben vandaag lang niet meer alle expertise en tools meer in huis om hun databeveiliging goed te configureren, te monitoren en te beheren.
De veiligheid van bedrijfsgegevens is vandaag een fundamentele voorwaarde voor bedrijfscontinuïteit en zelfs een noodzaak om als een betrouwbare zakenpartner of leverancier te worden beschouwd. Als je data gecompromitteerd of verloren raakt, berokkent dat niet alleen economische schade maar ook schade aan je reputatie en concurrentiepositie. Reden genoeg om erin te investeren…