Heeft uw DLP een identiteit?

“Je hebt wát verzonden?” Als het hoofd van de IT-beveiliging een dergelijke opmerking maakt, weet je dat er iets ernstigs aan de hand is. Feit is dat zeer gevoelige gegevens als productontwerpen, contracten, verkoopprognoses of persoonsgegevens maar al te gemakkelijk verdwijnen of lekken uit een organisatie. Daarbij maakt het niet uit of het gaat om een onbedoeld foutje van een medewerker of een bewuste inbreuk op de gegevensbeveiliging, ingegeven door het huidige klimaat van instabiliteit, verloop en ontslagen; de gevolgen zijn dezelfde.

Gegevensverlies berokkent onvermijdelijk ernstige schade aan de goede naam van een merk, waarbij het vertrouwen van de klanten en de goodwill die de organisatie met veel moeite heeft opgebouwd snel verloren gaan. Het kan ook hoge financiële sancties opleveren vanwege niet-naleving. Bovendien leidt het tot een verlies van concurrentievoordeel. Klanten zijn vaak geneigd hun relatie met een organisatie te verbreken wanneer zij melding krijgen van een inbreuk op de beveiliging van gegevens. Het weerhoudt potentiële klanten er zelfs van zaken te doen met de organisatie. Ook kunnen maanden of jaren aan bedrijfsonderzoek – belangrijke intellectueel eigendom – in handen van de concurrentie vallen.

Dit is beslist geen overdrijving. Veel organisaties hebben een hoge prijs betaald voor het ontbreken van een gecoördineerde strategie ter voorkoming van gegevensverlies. Een van de meest opvallende voorbeelden was het zoekraken van een paar cd’s die door de Britse belasting- en douanedienst HMRC (Her Majesty’s Revenue and Customs) op de post waren gedaan. Een werknemer brandde de uitgebreide persoonsgegevens van 25 miljoen Britten op twee cd’s en gooide deze in de brievenbus. De cd’s kwamen nooit aan op hun bestemming.

In november 2009 werden de gegevens van duizenden Britse klanten van T-Mobile door een werknemer gestolen en verkocht aan concurrenten. En Heartland Payment Systems, de Amerikaanse verwerker van creditcardtransacties, moet tot 60 miljoen dollar schadevergoeding betalen aan Visa en 3,6 miljoen dollar aan American Express, omdat er in 2008 inbreuk was gepleegd op de gegevens van 130 miljoen creditcardgebruikers. In dit geval ging het om een hacker van buiten de organisatie.

Weinig organisaties maken gebruik van DLP-technologie

Deze verontrustende gebeurtenissen vormen de achtergrond voor een onlangs in opdracht van CA Technologies uitgevoerd pan-Europees onderzoek naar de wijze waarop organisaties momenteel gevoelige gegevens beveiligen, en hun opstelling ten opzichte van het voorkomen van gegevensverlies.

Slechts 28% van de organisaties blijkt gebruik te maken van DLP-technologie om gevoelige gegevens te identificeren en te beschermen tegen verlies of misbruik. Toch verwachten veel organisaties dat de regelgeving rond de bescherming van gegevens de komende vijf jaar de grootste gevolgen voor hen zal hebben.

Uit het onderzoek blijkt dat veel IT-afdelingen worstelen met kwesties op het gebied van compliance, zoals de Payment Card Industry Data Security Standard (PCI DSS) en de ISO 27001-norm voor informatiebeveiliging. Verrassend genoeg weten ze ook niet hoe technologie daarbij zou kunnen helpen, en in veel gevallen kunnen ze het bedrijf niet overtuigen van de inherente risico’s om de vereiste investering te rechtvaardigen.

Het onderzoek geeft aan dat degenen die belast zijn met het beheer van de IT-beveiliging zich nog steeds met name grote zorgen maken over malware. Deze bedreiging van buitenaf wordt echter meestal aangepakt met beveiligingssystemen rondom en controle van inkomend verkeer. De overige grote bedreigingen die deelnemers noemden, hebben betrekking op de omgang met gegevens binnen de organisatie: internetgebruik, het beheer van gevoelige gegevens en de activiteit van zowel interne als externe gebruikers. Deze drie hangen met elkaar samen: de uitwisseling van gegevens tussen gebruikers, vaak via het internet, ligt ten grondslag aan veel bekende incidenten waarbij gegevens verloren zijn gegaan.

Integratie van identiteit met de preventie van gegevensverlies

Hoe kan een organisatie het zoekraken van gegevens en de daaruit voortvloeiende schade aan merk, reputatie en concurrentievermogen voorkomen?

Tot voor kort werden inspanningen op het gebied van beveiliging en compliance ondermijnd doordat er geen rekening werd gehouden met de identiteit van degenen die de informatie verwerken. Is bijvoorbeeld de identiteit van de afzender van een e-mail niet bekend, dan zal de organisatie een ‘one-size-fits-all’-beleid moeten voeren. Dat wil zeggen dat de beslissing om het verzenden of gebruiken van intellectueel eigendom, klantgegevens of andere gevoelige gegevens te blokkeren, voor alle werknemers moet gelden.

In werkelijkheid zijn personeelsbestanden gevarieerd, met rollen en rechten op vele niveaus. In organisaties die een generiek beleid toepassen, gaan gebruikers zich ergeren aan de toepassing van dat beleid. Maar al te vaak leidt zo’n ingreep in de bedrijfsprocessen tot lagere productiviteit.

De complexe aard van bedrijfscommunicatie vraagt om een gedifferentiëerde controle, niet om het toestaan of verhinderen van elke vorm van interactie. Een DLP-systeem kan voor elke gebruikssituatie van elke werknemer een andere interventie- en controlestrategie vereisen om de actuele bedrijfstaak optimaal te ondersteunen en mogelijk te maken.

In sommige gevallen mag intellectueel eigendom niet worden gedeeld met personen buiten de juridische afdeling. Een andere keer is het beter dat men een waarschuwing krijgt over het delen van informatie, zonder dat dit volledig wordt verhinderd. Er zijn ook situaties denkbaar waarin bestanden moeten worden gecodeerd, terwijl het belang van encryptie voor bepaalde gegevens aan de afzender wordt uitgelegd.

Daarom is het zo belangrijk dat DLP-leveranciers de instrumenten verschaffen om het modelleren van gebruikersrollen en gebruiksrechten binnen de organisatie te automatiseren. Een DLP-systeem moet geraffineerd genoeg zijn om te werken met een ruime opvatting van identiteiten, van aannemers tot leveranciers en van interne adviseurs tot managers. Zowel de communicatie binnen de organisatie als met mensen buiten de organisatie moet door een DLP-oplossing worden gecontroleerd.

Identiteitsgerichte DLP-oplossingen hebben de juiste context om nauwkeurig onderscheid te maken tussen een gesprek waaraan bijvoorbeeld de CEO deelneemt, of een ontevreden werknemer die net is ontslagen. Een identiteitsgericht DLP-systeem kan veel meer specifieke gebruikssituaties verwerken dan een conventioneel DLP-systeem en maakt het mogelijk een IT-organisatie slanker en effectiever te maken.

Tim Dunn is vice-president Solutions Sales bij CA Technologies