Smartlockr Blog: E-mail- en databeveiliging

Wie is verantwoordelijk voor een datalek? Dit zegt deze opiniepeiling

Geschreven door Smartlockr | 10-3-21 16:20

Opiniepeilingen, wie houdt er niet van? Er zijn genoeg vraagstukken die ons dagelijks bezighouden. Maar niet altijd weten we ze gemakkelijk te beantwoorden. Dat geldt zeker als we kijken naar een breed veld zoals databeveiliging. Dan is het handig om rekening te houden met verschillende perspectieven. Enerzijds om interessante discussies op gang te brengen, anderzijds om meer te kunnen leren.

Daarom zijn we vorige week een opiniepeiling gestart op LinkedIn. Na de laatste cijfers van de Autoriteit Persoonsgegevens, bleek het aantal datalekken nog altijd hoog. Dat vonden wij  interessant genoeg om hier nog eens dieper op in te gaan. Want, wie is er nu eigenlijk verantwoordelijk voor een datalek? Deze vraag hebben we voorgelegd aan diverse professionals die werkzaam zijn in het veld van databeveiliging.

En wat blijkt?

De helft van de deelnemers koos de Chief Information Security Officer (CISO) / Data Protection Offcer (DPO):

Dat klinkt voor velen wellicht logisch. Een simpele zoekopdracht op het internet vertelt ons namelijk dat deze functies “ [..] verantwoordelijk zijn voor de afweging om iets wel of niet te doen en de consequenties hiervan.” (bron:Rijksoverheid). Dat zou dus in die zin betekenen dat als er een datalek is ontstaan, deze personen binnen de organisatie verantwoordelijk worden gehouden.

Toch lijkt dit vraagstuk ingewikkelder. Want moet er wel naar één of enkele personen worden gewezen, als er altijd meer mensen bij betrokken zijn?

Na de CISO en DPO vonden ook velen (33%) dat het management als eindverantwoordelijke kon worden aangewezen. Eén van de respondenten gaf hierbij aan: “Management is ultimately responsible for a data leak. SOX state that management is responsible for implementing controls (such as awareness) to mitigate risks (such as data leak) that could impact business operations and financial reporting.”

Hoewel velen een standpunt innemen waarbij één persoon of een select groepje verantwoordelijk is, denken velen ook anders.

Databeveiliging is de verantwoordelijkheid van ons allemaal

Misschien is het zo simpel nog niet. Iedereen binnen de organisatie maakt onderdeel uit van het geheel. Daarbij deel je naast successen, ook de dingen die minder goed gaan. “Iedereen draagt z’n steentje bij” – of dit nu positief of negatief is.

Een andere respondent ziet het ook op deze manier: “Everyone in the organization is responsible. It takes every single person to make sure they know the risks and that they know they are responsible for understanding the policies, standards and procedures related to their job. Security needs to be integrated into every task. A simple (ORM) Operational risk management process can be run through your head at every point in your workflow.

  1. If I click on this email, what are the outcomes. This is ORM.
  2. If I transfer this file to a USB drive, what could happen? This is ORM.
  3. If I open this inbound port on the firewall, what risk does it pose to the rest of the network? This is ORM.

All employees need to take a second and ask “What if?” before you do anything on your work computer or network. It only takes a few seconds, but could save so much in the end. To that end, I say, Security Awareness needs to be at the top of any corporations to do list. Lead from the top by showing them how important security is to the C suite and the rest of the organization will follow.”

Dus, zouden we naar één persoon moeten kijken als het aankomt op een verantwoordelijke bij een datalek?

 

Conclusie

Uit deze opiniepeiling blijkt dat de CISO en DPO naar voren werden geschoven als verantwoordelijken. Toch zijn er ook genoeg mensen die daar anders over denken. Het voorkomen van datalekken is iets wat we samen doen en wat we samen in eigen hand hebben.

In plaats van te kijken wíe er verantwoordelijk is, zou je moeten kijken hóe je kan voorkomen dat een datalek überhaupt ontstaat. Door klein te beginnen en je werknemers te trainen, ben je alweer een stapje dichterbij het beveiligen van je gegevens!