´Cybercrime minder bedreigend dan eigen medewerkers´

Twintig procent van de bedrijven zien diefstal door hun eigen medewerkers als de grootste bedreiging van hun informatieveiligheid. Dat blijkt uit Europees onderzoek door informatiemanager Iron Mountain. De risico´s ´van binnenuit´ zijn groter dan door IT-uitval, cybercrime en natuurrampen, volgens de ondervraagde managers. Onderzoek waarin het Nederlandse Korps Landelijke PolitieDiensten (KLPD) samenwerkte met Verizon en de Amerikaanse geheime dienst, bekrachtigt deze bevindingen.

Het onderzoek dat Iron Mountain liet uitvoeren ⁽¹⁾, wekt de suggestie dat er maar weinig vertrouwen is in medewerkers en in de eigen controlemechanismen.

En dat geringe vertrouwen is terecht. Netwerkleverancier Verizon publiceerde vorige maand onderzoek ⁽²⁾ waaruit blijkt dat ingewijden betrokken zijn bij 17 procent van de gevallen waarbij de informatieveiligheid wordt geschonden. Daarmee is diefstal door eigen medewerkers groter dan inbreuk op de informatieveiligheid door externe factoren. En daarmee komt diefstal van intellectuele eigendommen door ingewijden driemaal vaker voor dan door externen.

”Mensen zijn vaak de zwakste schakel in de keten van de informatieveiligheid”, zegt Jeroen Strik, directeur van Iron Mountain Benelux. ”Informatie is de zuurstof van de onderneming en verdient daarom krachtige controlemechanismen die diefstal voorkomen, of het risico daarop op zijn minst minimaliseren. Die mechanismen beschermen medewerkers tegen zichzelf, beschermen de onderneming, de klanten en de goede naam van de onderneming.”

Jeroen Strik adviseert vier praktische stappen om het risico op diefstal door medewerkers te marginaliseren:

1. Weet wat je hebt. Inventariseer en waardeer belangrijke bedrijfsinformatie – van oprichtingsstukken en juridische documenten, tot intellectuele eigendommen, financiële gegevens, omzetverwachtingen, productontwikkelingsplannen, klantgegevens en personeelsdossiers.
2. Implementeer bedrijfsprocessen die de mogelijkheid tot diefstal reduceren – hoe belangrijker en gevoeliger de informatie, des te strikter de controlemechanismen. Dit vereist een inventarisering van wanneer, waar en hoe mensen in contact komen met de informatie zoals die door het bedrijf circuleert. En dit helpt de kwetsbare plekken te bepalen, waar de toegankelijkheid moet worden beperkt. Maak voor de informatiebeveiliging gebruik van de juiste technologieën en beveiligde in- en externe opslag. En voer een helder beleid in geval van schending.
3. De HR-protocollen moeten de informatieveiligheid dienen. Antecedentenonderzoek, signaleren van gedragsveranderingen, en een formeel geregeld vertrek, minimaliseren de kans op diefstal. Medewerkers die de onderneming verlaten, hebben vaker bedrijfsinformatie met zich meegenomen, met name wanneer ze naar de concurrent of onder vervelende omstandigheden vertrekken.
4. Zorg voor een degelijk beleid dat bestand is tegen veranderingen in de bedrijfsvoering zoals fusies en overnamen, en dat tegemoet komt aan de toenemende eisen in de wet- en regelgeving.

¹⁾ Iron Mountain – Document Management Study, Coleman Parkes, oktober 2011
²⁾ 2011 Data Breach Investigation Report – Verizon RISK team in samenwerking met de US Secret Service en de National High Tech Crime Unit van het Nederlandse Korps Landelijke PolitieDiensten (KLPD)