Gegevensbescherming in kleine ondernemingen: prioriteit of "bijzaak"?

We horen vaak over het uitlekken van vertrouwelijke informatie door grote bedrijven en de maatregelen die zij nemen om de risico's van beveiligingsincidenten tot een minimum te beperken. Tegelijkertijd besteden de media echter nauwelijks aandacht aan informatiebeveiliging in kleine bedrijven.
Maken kleine bedrijven zich zorgen over het probleem van informatiebeveiliging? En zo ja, hoe pakken zij dit probleem aan? Wat is de rol van DLP-systemen (Data Loss Prevention) in de beveiligingscircuits van kleine bedrijven? Om deze vragen te beantwoorden, wenden wij ons tot deskundigen op het gebied van informatiebeveiliging en kleine bedrijven.
Alvorens in te gaan op het gebruik van software voor het monitoren van werknemers in kleine bedrijven is het belangrijk om na te gaan welke informatie zij precies willen beschermen. Business development manager van Greatment Inc. Stephen Lawson vertelt er in detail over:
"In ons IT-tijdperk is het probleem van de gegevensbescherming relevant voor vrijwel elke deelnemer aan een informatie-uitwisselingsproces. Dit geldt zeker voor grote en middelgrote ondernemingen en kleine bedrijven, individuele ondernemers en gewone mensen. De hoeksteen van beveiliging is een correct gedefinieerd en geclassificeerd object van bescherming. Dit kunnen gegevens zijn (bijvoorbeeld ontwikkelingsplannen van het bedrijf, financiële verslagen, beschrijving van gebruikte technologieën, uitvindingen), informatiesystemen (HR, CRM, ERP, BI, financiële en productiesystemen), bedrijfsprocessen (productietechnologie) en zelfs mensen (werknemers met unieke vaardigheden, hoofdrolspelers). Sommige beschermingsobjecten worden ook gedefinieerd op basis van wettelijke vereisten (bv. bankgeheim, persoonsgegevens). De keuze van beschermingsmethoden en -maatregelen hangt af van het inzicht in wat moet worden beschermd, tegen wie het moet worden beschermd, waar het moet worden beschermd en tot welke gevolgen een onjuiste bescherming kan leiden. De volledigheid en de kwaliteit van de simulatie van veiligheidsbedreigingen en de noodzakelijke maatregelen zullen bepalend zijn voor de hoogte van de kosten die het bedrijf op de lange termijn maakt. Ongeacht de omvang van de onderneming moet de bescherming tegen veiligheidsrisico's systematisch worden opgezet, d.w.z. er moet worden begonnen met de ontwikkeling van een reeks maatregelen die bescherming tegen bedreigingen mogelijk maken, afhankelijk van de mate van de negatieve gevolgen die eruit kunnen voortvloeien. Het is noodzakelijk om gegevensbescherming te implementeren en organisatorische processen te creëren die verantwoordelijkheid toewijzen aan bepaalde mensen in het bedrijf. In het geval van zeer kleine bedrijven praten we bijvoorbeeld over het opstellen van verschillende regels voor informatiebeveiliging, het installeren van antivirussoftware, het versleutelen van kritieke gegevens en het instrueren van het personeel over het werken met gevoelige informatie."
Ter bescherming van diverse gegevens kunnen bedrijven een DLP-systeem implementeren. De meningen van de deskundigen waren echter verdeeld over de vraag of het gebruik van DLP's voor kleine bedrijven al dan niet gerechtvaardigd is.
Bruce Sandoval
, Vooraanstaand analist, Symbolitics:
"Er is behoefte aan DLP-systemen in kleine bedrijven: de realiteit toont aan dat lekkage van vertrouwelijke gegevens kan plaatsvinden in een bedrijf van elke omvang. Bovendien is er een enorm aantal soorten gegevens. Handelsgeheimen, unieke ontwerpen, technologische specificaties - dergelijke informatie wordt meestal beschermd door grote en middelgrote bedrijven. Kleine bedrijven hebben vaak te maken met persoonlijke gegevens, bijvoorbeeld reisbureaus, verzekeringsmaatschappijen, advocatenkantoren - zij moeten zich zorgen maken over de veiligheid van verworven informatie.
Daarom is DLP niet alleen noodzakelijk in ondernemingen, maar in bedrijven van elke omvang. Natuurlijk is DLP-systeem vrij dure software. Voor kleinere bedrijven is dit een kritische factor, en zij zijn op zoek naar meer betaalbare oplossingen. Daarom ervaart de huidige markt een toename in populariteit van producten voor het monitoren van werknemers. Deze systemen helpen de discipline van het personeel te handhaven, vinden problemen in bedrijfsprocessen en lossen het probleem van DLP gedeeltelijk op. "
Ethan Cook
, Hoofd van de afdeling Informatiebeveiliging van professionele hosting provider Starrhost:
"Ideeën over informatiebeveiliging zijn altijd in trek, op elk niveau. Ondanks het feit dat het competente gebruik van DLP-oplossingen uiteindelijk leidt tot een vermindering van kosten en uitgaven, beperken kleine bedrijven beveiligingsmaatregelen liever tot het maken van organisatorische afspraken en werken ze daarmee tot het breekpunt."
Patrick Simmons
hoofd informatiebeveiliging bij Curso:
"In tegenstelling tot klassieke beveiligingsmaatregelen zoals firewalls, antivirussoftware en cryptografische bescherming, zijn DLP-oplossingen nog steeds in ontwikkeling en proberen zij de belangstelling van de consument op de markt te wekken. Daar zijn verschillende redenen voor. Ten eerste gaan de meeste van dit soort oplossingen gepaard met aanzienlijke uitgaven voor de aankoop (inclusief hardwarecomponent), voor de implementatie en voor het inhuren en opleiden van personeel dat het DLP-systeem bedient. Dit alles leidt er uiteindelijk toe dat DLP voor een bedrijf economisch niet haalbaar is. In de tweede plaats is er het gebrek aan publieke bekendheid met het bestaan en de mogelijkheden van DLP-systemen. Dit is in het bijzonder relevant voor kleine bedrijven, die vaak worden gekenmerkt door het ontbreken van speciale beveiligingsspecialisten, veelvuldig gebruik van persoonlijke apparaten door werknemers voor het oplossen van werkgerelateerde problemen, enz. Om mechanismen ter voorkoming van het uitlekken van vertrouwelijke gegevens te implementeren, kunnen kleine bedrijven gebruik maken van DLP als een dienst die door gespecialiseerde organisaties wordt geleverd."
Dennis Barnett
, Financieel directeur van Estation Inc:
"Kleine en middelgrote ondernemingen zijn vaak geïnteresseerd in DLP-oplossingen, maar begrijpen niet altijd de werkelijke kenmerken ervan en de voorwaarden die nodig zijn voor hun effectieve werking. De eisen die kleine bedrijven aan dergelijke software stellen, zijn meestal onrealistisch. Als je geen rekening houdt met uitzonderlijke gevallen waarin leidinggevenden bereid zijn bijna elke e-mail en andere doorgestuurde gegevens persoonlijk door te nemen, zijn kleine bedrijven geneigd te verwachten dat DLP-systemen de gewetenloosheid van werknemers "zelf" opsporen: gevallen van omkoping, overdracht van bedrijfsgegevens aan concurrenten, enzovoort. Maar geen enkel DLP-systeem heeft zijn eigen intelligentie en kan de waarde van de verzamelde informatie niet beoordelen. Alle controleparameters moeten worden ingevoerd door de gebruikers van het systeem (in de regel de economische veiligheidsdienst van het bedrijf). Het vereist ten minste een minimum aan technische deskundigheid, begrip van de bedrijfsprocessen van het bedrijf en de waarde van diverse gegevens, adequate risicobeoordeling, een zeker begrip van de psychologie van potentiële overtreders, voortdurende controle en aanpassing (met andere woorden, veel werkuren). DLP is slechts een hulpmiddel in de handen van beveiligingspersoneel. En zoals elk geavanceerd hulpmiddel stellen DLP-systemen bepaalde eisen aan het kwalificatieniveau van de persoon die het gebruikt. "
Gregory Sandoval
hoofd van de afdeling productontwikkeling van System Software:
"Kleine bedrijven maken niet vaak gebruik van een DLP-systeem, omdat deze bedrijven meestal niet over voldoende middelen beschikken. Bovendien kennen de mensen in kleine bedrijven elkaar meestal goed en zijn de relaties op het werk meestal vertrouwelijk. In het ontwikkelingsproces en met een toename van het personeelsverloop beginnen bedrijven na te denken over personeelsmonitoring en DLP-systemen. Dit gebeurt meestal wanneer een bedrijf groeit tot 200-300 pc's. Als gevolg daarvan overwegen potentiële kopers vooral een vereenvoudigd systeem, waarbij DLP slechts een toevoeging is in plaats van het fundament."
Kenneth Aguilar
, Marketing Manager van Security code LLC:
"De vraag naar DLP-systemen en andere middelen voor informatiebeveiliging in kleine bedrijven is vrij beperkt. Dit komt doordat de invoering van dergelijke systemen niet alleen investeringen vereist, maar ook een zeker begrip van informatiebeveiligingskwesties. Het management moet duidelijk begrijpen welke gegevens vertrouwelijk zijn, wie er toegang toe moet hebben en wie niet. Dit probleem gaat veel verder dan de verantwoordelijkheid en bevoegdheid van de IT-beheerder. Ondanks dat de beheerder meestal degene is die betrokken is bij informatiebeveiliging in kleine bedrijven. Kleine bedrijven worden ook gekenmerkt door flexibiliteit en een grote gevoeligheid voor de kosten. Daarom worden bijna nooit volledig functionele DLP-oplossingen ingevoerd. Maar als een bedrijf een multifunctioneel systeem voor werkplekbeveiliging aanschaft dat enkele DLP-functies bevat (meestal USB-controle), dan worden deze functies gebruikt."
Christopher Hughes
, Purposeidler Projectleider:
"Ons bedrijf is van mening dat het niet de gegevens zijn die gecontroleerd moeten worden (zoals bij klassieke systemen ter voorkoming van informatielekken), maar de werknemers die met deze gegevens werken. Traditionele controlesystemen hebben een aantal nadelen. Ten eerste zijn ze zwaar, complex en duur om te implementeren. Ze zijn dus absoluut niet toepasbaar voor kleine bedrijven. Ten tweede controleren klassieke DLP-systemen het werken met gegevens. Er wordt toezicht gehouden op specifieke bestanden (op bestandsnaam) of gegevens in de informatiesystemen van het bedrijf volgens een bepaald gegevenspatroon (bijvoorbeeld XXXX-XXXX-XXXX-XXXX voor creditcardnummers). Als u dus gewoon het formaat van de gegevens wijzigt, kan het DLP-systeem dit niet bijhouden. Als u bijvoorbeeld het nummer van de kredietkaarten verandert van XXXX-XXXX-XXXX-XXXX in AXXXX, BXXXX, CXXXX, DXXXX, zal het DLP-systeem dit niet belangrijk vinden en zal het de fout ingaan. Ten derde overbelast het constante toezicht op het gegevensgebruik de pc's van de werknemers en de middelen van het bedrijf. Als het DLP-systeem alle uitgaande gegevens controleert, zou elke storing leiden tot isolatie van het bedrijf."
Sommige deskundigen merken de vraag naar DLP-systemen bij kleine bedrijven op, terwijl anderen denken dat deze oplossingen in dit segment niet populair zijn. Laten we proberen na te gaan hoe groot de belangstelling voor DLP onder kleine bedrijven is in vergelijking met grote en middelgrote bedrijven.
George Soto
, Voorzitter van de jonge ondernemers club, CloudSolutions CEO:
"DLP-oplossingen zijn nuttig voor zowel grote als kleine bedrijven, maar alleen als een van de preventieve maatregelen tegen informatielekken. Dergelijke programma's zijn goed voor het vergroten van de IT-kennis van werknemers, omdat de essentie ervan bestaat uit het beoordelen van de risico's van informatielekken. Daartoe wordt de activiteit in de kanalen waarlangs gegevens kunnen worden gelekt, geanalyseerd: e-mail, instant messengers en rechtstreeks web. Op basis van de inhoud en de context (protocol, activiteit, type toepassing, enz.) genereert het programma verder een beveiligingsbeleid, op basis waarvan het berichten blokkeert, schendingen rapporteert, enz. Het is belangrijk te begrijpen dat DLP-oplossingen, in tegenstelling tot firewalls, de gegevensoverdracht niet volledig blokkeren, maar in plaats daarvan proberen de menselijke activiteit in het netwerk te analyseren, waardoor bedrijven een nog grotere kans hebben op het lekken van gegevens."
Ethan Cook
, Voorzitter van de jonge ondernemers club, CloudSolutions CEO:
"Alle bedrijven hebben belang bij de bescherming van informatie. De aanpak van de implementatie van DLP-oplossingen kan verschillen, maar 'verlies van informatie' staat in de 21e eeuw bijna gelijk aan 'verlies van geld', dus het is logisch om aan te nemen dat het idee om dat risico op verlies te minimaliseren in elk bedrijf bestaat, ongeacht de grootte ervan."
Patrick Simmons:
"De belangstelling van bedrijven voor DLP-systemen hangt niet alleen af van de omvang van hun IT-infrastructuur en de hoeveelheid verwerkte gegevens. Het hangt natuurlijk vooral af van het bestaan van informatie, waarvan het uitlekken schade kan veroorzaken, en van de aanwezigheid van actuele bedreigingen. De belangstelling voor DLP kan dus even groot zijn in grote als in kleine bedrijven. Maar grote bedrijven hebben meer mogelijkheden en capaciteiten om dergelijke systemen te gebruiken."
Keith Burton
hoofd van de afdeling informatiebeveiliging van "Expectronica" (I-Techio Inc.):
"Allereerst zijn bedrijven met voldoende financiële middelen, ongeacht de omvang, geïnteresseerd in DLP-systemen. Maar houd in gedachten dat DLP slechts een hulpmiddel is, en of het echt zal worden gebruikt voor de controle en preventie van lekken of slechts een "blauwdruk" zal blijven, hangt af van vele factoren: persoonlijke ambities van managers die verantwoordelijk zijn voor informatiebeveiliging, ervaring van het projectteam en duidelijke probleemdefinitie. Een goede uitvoering is cruciaal voor de doeltreffendheid van controle en preventie van lekken. Er zij op gewezen dat de reikwijdte van DLP-systemen zeer delicaat is, en dat de uitvoering van dergelijke projecten in veel bedrijven wordt vertraagd door bureaucratische en wettelijke technische problemen en een hoog reputatierisico."
Christopher Cole
, Commercieel Directeur van SenseBox:
"DLP-oplossingen worden vooral gebruikt door grote bedrijven. En deze systemen zijn aanvankelijk juist ontworpen om te voldoen aan de eisen van complexe bedrijfsmachines. Maar de behoefte aan gegevensbescherming is voor iedereen gelijk: van starters tot grote bedrijven. En wat hier van belang is, is niet de beslissing zelf over het niveau van de software die ondernemers gebruiken, maar de aanpak van de beveiliging.
DLP-systemen zijn oorspronkelijk voortgekomen uit wat we een paranoïde benadering van veiligheid zouden kunnen noemen: wanneer we proberen elke actie onmogelijk te maken of te voorkomen. Stel je bijvoorbeeld voor dat we bij de ingang van een winkelcentrum een bewaker met een hond, een tourniquet, een metaaldetector en een lichaamsfouillering voor iedere shopper neerzetten. Als softwareproduct is DLP zoiets. In beschaafde landen vertrouwen mensen op wetten, politie en rechtbanken. En het is niet nodig om hekken te bouwen - je kunt overal komen. Als iemand de wet durft te overtreden treedt het gebruikelijke verdedigingsmechanisme in werking: de politie komt en het rechtshandhavingssysteem zorgt voor de onvermijdelijkheid van straf.
Niemand weerhoudt u ervan de toegang tot vertrouwelijke informatie voor bepaalde werknemers te beperken in de vorm van een wet, een clausule in het arbeidscontract en zware sancties. Als deze sancties en straffen het voordeel van de potentiële diefstal van informatie overtreffen, zullen de meeste werknemers het idee van stelen opgeven."
Dennis Barnett:
"Naar mijn mening zijn grote bedrijven meer geïnteresseerd in het gebruik van DLP-oplossingen, hebben ze een beter begrip van waar zo'n systeem nuttig voor kan zijn en beschikken ze over voldoende middelen voor het effectieve gebruik van DLP-systemen. Onlangs zijn er oplossingen op de markt gekomen die gebruik maken van de wetenschappelijke vooruitgang op het gebied van kunstmatige intelligentie, machine learning en big data-analyse om het werk van beveiligingsprofessionals te vergemakkelijken en hun kwalificatie-eisen te verlagen. De tijd zal leren hoe deze oplossingen zullen bijdragen tot een bredere verspreiding van DLP-systemen onder kleine en middelgrote ondernemingen."
Billy Herrera:
"Middelgrote en grote bedrijven (vooral als het om de financiële sector gaat) zijn vaker geïnteresseerd in het gebruik van DLP-systemen. Voor een groeiend bedrijf wordt het steeds moeilijker om transacties en privacy van werknemers te controleren. En in deze situatie kunt u gemakkelijk een informatielek missen of dat een werknemer (die om de een of andere reden zijn of haar loyaliteit heeft verloren) van plan is uw bedrijf te schaden. Helaas kan geen enkel systeem rechtstreekse aanvallen op bedrijfsgegevens volledig voorkomen, maar het kan het proces wel aanzienlijk bemoeilijken, waardoor lekken minder winstgevend en riskanter worden voor de dader."
Thomas Hicks
Hoofd Informatiebeveiliging bij KRAKE:
"Alle marktdeelnemers (grote ondernemingen en het MKB-segment) zijn geïnteresseerd in DLP-systemen omdat de risico's van informatielekken in alle ondernemingen aanwezig zijn. Tegelijkertijd kunnen de gevolgen van datalekken voor het MKB veel verwoestender zijn dan voor grote ondernemingen. Voor de eerstgenoemde kan een lek gemakkelijk leiden tot het verlies van een belangrijk concurrentievoordeel en, bijgevolg, tot sluiting van het bedrijf. In het geval van grote ondernemingen gaat het meestal om reputatieschade en financiële verliezen."
Kenneth Aguilar:
"De belangstelling voor het gebruik van niet alleen DLP-systemen, maar ook andere informatiebeveiligingsoplossingen hangt af van de omvang van het bedrijf, maar meer nog van de mate van volwassenheid ervan. Hoe meer een bedrijf zich bewust is van de waarde van zijn gegevens (voor zichzelf en voor zijn concurrenten), hoe bewuster het de informatiebeveiligingsstrategie met betrekking tot gegevensbescherming implementeert. De lijst van noodzakelijke maatregelen bestaat in dit geval niet alleen uit de invoering van informatiebeveiligingsmiddelen, maar ook uit de hervorming van bedrijfsprocessen om het risico van opzettelijke lekken of onopzettelijk verlies van gegevens te beperken.
En pas wanneer de bedrijfsprocessen, waarin het DLP-systeem zal worden geïnstalleerd, zijn gedefinieerd, begint de implementatie ervan te worden beïnvloed door de omvang van het bedrijf. Het is duidelijk dat een groot bedrijf meer geld kan uitgeven aan een dergelijk project, maar de technische vereisten zullen ook hoger zijn."
De meningen van deskundigen zijn opnieuw verdeeld. Enerzijds menen sommigen dat er geen verband bestaat tussen de omvang van een bedrijf en de mate van belangstelling voor het gebruik van DLP, anderzijds menen sommige deskundigen dat dergelijke systemen het meest in trek zijn bij grote bedrijven. In beide gevallen zijn de deskundigen het er echter over eens dat er kleine bedrijven zijn die informatiebeveiliging als een van hun prioriteiten zien en dus kunnen worden beschouwd als potentiële gebruikers van DLP-systemen. Welke eisen stellen kleine bedrijven dan aan dergelijke systemen?
Bruce Sandoval:
"Grote klanten kiezen meestal voor een "slimme" en dure DLP-oplossing. Kleine bedrijven zijn meestal bereid met deze systemen te werken in de "handmatige" modus, zonder de mogelijkheid van automatisering, als deze oplossing veel betaalbaarder is. Daarom worden in het midden- en kleinbedrijf alle incidenten achteraf onderzocht."
Ethan Cook:
"Als je de voor de hand liggende kwestie van de softwareprijs, die in dit segment van informatiebeveiliging het belangrijkst is, buiten beschouwing laat en je richt op de functionaliteit, dan moet je de voorkeur geven aan meer "omnivore" beveiligingssoftware. Het gebeurt vaak dat kleine bedrijven het zich niet kunnen veroorloven elementen van het informatiesysteem te verenigen en het bouwen op letterlijk wat voorhanden is. Het gevolg van een dergelijke aanpak is natuurlijk de diversiteit van de apparatuur die in het IT-systeem wordt gebruikt."
Patrick Simmons:
"De lijst van eisen die bedrijven stellen aan DLP-systemen is voornamelijk gebaseerd op de specifieke kenmerken van de IT-infrastructuur van het bedrijf, waaronder de gebruikte methoden van informatieoverdracht en het volume daarvan. Zo kan de consument bepalen welke kanalen voor gegevensoverdracht door het DLP-systeem zullen worden gecontroleerd. De populairste controlefuncties zijn het toezicht op e-mails, verwisselbare schijven, URL's, instant messengers en afdrukken. Voor veel bedrijven is ook de opstelling van rapporten over het DLP-systeem vaak belangrijk, omdat dit het belangrijkste instrument is om de doeltreffendheid van het ingevoerde DLP-systeem aan leidinggevenden aan te tonen."
Keith Burton:
"Vertegenwoordigers van grote bedrijven proberen meestal specifieke doelstellingen te bereiken met behulp van DLP: een dergelijk systeem wordt waarschijnlijk geïntegreerd in een reeds gevestigd IT-landschap met een grote
hoeveelheid andere componenten en oplossingen voor informatiebeveiliging. Het MKB-segment daarentegen wil DLP-oplossingen zien als een soort "multitools" die verschillende problemen in verband met informatiebeveiliging oplossen. Een andere belangrijke eis is het gemak van de implementatie en het minimaal benodigde ondersteunende personeel."
Gregory Sandoval:
"De belangrijkste eis van kleinere bedrijven is de minimale prijs. Het ontwikkelen van DLP-systemen kan echter vrij tijdrovend zijn en vereist voortdurende updates."
Billy Herrera:
"Kleine bedrijven proberen een goedkope oplossing te kopen met een uiterst eenvoudige implementatie die de functionaliteit van meerdere oplossingen combineert. Ze richten zich op antivirusoplossingen, verkeers- en productiviteitscontrolesystemen voor werknemers, die vaak vereenvoudigde DLP-functies bevatten. In kleine bedrijven is informatiebescherming vaak niet opgenomen in de bedrijfskosten."
Thomas Hicks:
"Tot de belangrijkste eisen die kleine bedrijven aan DLP-oplossingen stellen, behoren betaalbaarheid, eenvoudige implementatie en ondersteuning, alsmede naleving van wettelijke voorschriften. Vanuit het oogpunt van functies verwachten kleine bedrijven van DLP-systemen dat zij in staat zijn om afdrukken en e-mailcorrespondentie van gebruikers te controleren (zowel binnen het bedrijfsnetwerk als met behulp van internetpostdiensten zoals gmail.com of mail.ru), de overdracht van bestanden naar externe schijven of diensten voor het delen van bestanden te blokkeren en het gebruik van sociale netwerken en instant messengers door werknemers te analyseren."
Kenneth Aguilar:
"Kleine bedrijven hebben zeer beperkte middelen. Dit geldt voor het budget voor informatiebeveiliging en voor het aantal gespecialiseerde medewerkers. In de regel nemen kleine bedrijven één of twee IT-specialisten in dienst die alle problemen in verband met IT en informatiebeveiliging in verschillende mate oplossen."
In dit verband waren de deskundigen het vrijwel unaniem eens. De belangrijkste factoren bij de keuze van informatiebeveiligingssoftware voor kleine bedrijven zijn de kosten en het gemak van de implementatie. Dit is te wijten aan het feit dat kleine bedrijven in vergelijking met grote bedrijven over beperkte financiële en personele middelen beschikken. Het gevolg van deze situatie is het verlangen naar goedkope multifunctionele software die gemakkelijk door één of twee leden van de IT-afdeling in de bedrijfsinfrastructuur kan worden geïmplementeerd.
Op de markt van vandaag zijn er echter enkele behoorlijk functionele programma's die uw bedrijf kunnen helpen bij de bescherming van informatie. En sommige zijn zelfs gratis beschikbaar.