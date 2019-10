Het gaat te vaak over 'hoe' en niet over het 'waarom'.

Volgens het Data Breach Investigations Report 2018 van Verizon komt 28% van de datalekken op het conto van werknemers of andere direct betrokkenen. Dit is overigens een gemiddelde; in sommige sectoren ligt dat percentage veel hoger. De zorgsector spant de kroon: uit het onderzoek blijkt dat dit zelfs de enige sector is waarin de zogeheten insider breaches, de dreigingen van binnenuit, met 56% de dreigingen van buitenaf overstijgen.

We weten dat menselijke fouten voor een groot deel debet zijn aan deze beangstigende percentages. Maar hoe kan het toch dat dergelijke kostbare fouten blijven voorkomen? Wat zien bedrijfsleiders over het hoofd? Zijn CIO's en CISO's zo gefocust op externe cyberdreigingen dat ze geen oog hebben voor de mogelijk rampzalige fouten of zelfs kwaadwillende acties die binnenshuis gebeuren?

De kloof tussen medewerkers en IT-leiders

De Insider Data Breach survey 2019, een onderzoek van Egress onder IT-leiders en medewerkers naar de toedracht achter interne datalekken, brengt een enorm verschil tussen IT-leiders en medewerkers aan het licht. Illustratief voor dit verschil is het grote gebrek aan vertrouwen van leidinggevenden tegenover hun werknemers.

Zo is 79% van de IT-leiders bijvoorbeeld van mening dat werknemers in de afgelopen 12 maanden per ongeluk gevoelige bedrijfsgegevens gecompromitteerd hebben, terwijl 92% van de werknemers meent niet per ongeluk het bedrijfsbeleid te hebben geschonden toen ze de desbetreffende informatie deelden. Bovendien denkt 61% van de IT-leiders dat werknemers de afgelopen 12 maanden bewust de veiligheid van gevoelige bedrijfsgegevens in gevaar hebben gebracht, terwijl 91% van de werknemers ontkent opzettelijk de regels overtreden te hebben.

Deze discrepantie, gecombineerd met de snelle groei van ongestructureerde gegevens en de vele manieren waarop werknemers gegevens kunnen delen, kan de data security van een organisatie volledig doen ontsporen.

Haastige spoed

Gevraagd naar de drie belangrijkste oorzaken van interne datalekken, noemen IT-leiders 'haast' en 'fouten' als eerste oorzaak (60%), gevolgd door gebrek aan bewustzijn rond het thema (44%) en gebrek aan training over de security tools van het bedrijf (36%).

Van de werknemers, dus degenen die per ongeluk gegevens hadden gedeeld, was bijna de helft (48%) van mening dat het lek ontstaan was door haast, maar 30% weet het aan werken onder hoge druk. Bovendien gaf 29% aan dat het lek was ontstaan door vermoeidheid.

De fout die door werknemers het meest genoemd werd, was het per ongeluk verzenden van gegevens naar de verkeerde persoon (45%). Verder gaf 27% aan in phishing e-mails te zijn getrapt. Zorgwekkender is overigens dat meer dan een derde van de werknemers (35%) zich eenvoudigweg niet bewust was van het feit dat informatie niet mocht worden gedeeld, hetgeen aantoont dat effectieve voorlichting van werknemers over hun verantwoordelijkheden op het gebied van gegevensbescherming een dringende noodzaak is.

Ook opvallend: 55% van de werknemers die tegen het bedrijfsbeleid in opzettelijk gegevens hadden gedeeld, zei dat hun organisatie hen niet de tools had gegeven om gevoelige informatie veilig te delen. Dit betekent dus dat IT-leiders weliswaar lage verwachtingen lijken te hebben van hun werknemers op het gebied van dataveiligheid, maar dat ze er ook niet in slagen om de tools en training aan te bieden waarmee datalekken te voorkomen zijn.

Verschillen overbruggen

Hoe kunnen organisaties het verschil van inzicht tussen werkgever en werknemer op het gebied van gegevensbeveiliging overbruggen? Door middel van een combinatie van technologie, werkplekcultuur en training.

En daarbij geldt natuurlijk niet dat de IT-afdeling 'roekeloos werknemersgedrag' moet tegengaan door de toegang tot data van werknemers aan banden te leggen. Dit kan immers een negatief effect hebben op de productiviteit van medewerkers. Bovendien is het niet ondenkbaar dat eventuele beperkingen worden omzeild als de gebruiker merkt dat ze zijn werk belemmeren.

Organisaties kunnen veel beter beveiligingsoplossingen implementeren waarmee werknemers eenvoudig kunnen werken. Waarbij ze over de juiste technologie beschikken om hun werk te doen, zonder dat ze hun toevlucht hoeven te nemen tot oplossingen die niet geautoriseerd zijn door de organisatie, zoals platforms voor het delen van bestanden. Medewerkers moeten kunnen vertrouwen op de bestaande beveiligingsoplossingen; die moeten fungeren als een vangnet, en meteen 'aanslaan' wanneer iemand op het punt staat om per ongeluk een datalek te veroorzaken.

Ook moeten werknemers goed geïnstrueerd worden over het eigendom van data. 29% denkt dat ze zelf - als individu - eigenaar zijn van bedrijfsgegevens, en 60% denkt dat hun werkgever niet het exclusieve eigendomsrecht van de data heeft. Het is dus van essentieel belang om het bedrijfsbeleid inzake data goed helder te maken, evenals de wettelijke bepalingen zoals de AVG.

Maar het aanpakken van de oorzaken van een datalek is net zo belangrijk. Het management moet net zo goed maatregelen nemen om de werkdruk te verlichten of vermoeidheid aan te pakken, waardoor een groot aantal fouten voorkomen kan worden. Bovendien is het belangrijk dat er een open cultuur heerst, waarin werknemers hun fouten niet proberen te verbloemen. Ook moeten CISO's goed blijven communiceren met de rest van de C-suite, en zorgen dat het risico op interne datalekken begrijpelijk is voor iedereen in de organisatie, en niet alleen voor techneuten.

'De werknemer' mag natuurlijk nooit de basis vormen voor data security, maar het ligt voor de hand dat een goed geïnformeerde en uitgeruste werknemer die zich op zijn plek voelt het risico op een datalek verkleint. Als dan ook nog de juiste security tools ingezet worden, zijn alle mogelijke gaten zo goed mogelijk gedicht.