Managers moeten cybersecurity smartphones en tablets hoger op de agenda zetten
29 januari 2015 -
‘Ik heb andere prioriteiten’. Dat is het meest gehoorde antwoord van directeuren van kleine en middelgrote organisaties als hen wordt gevraagd hoe het staat met de databeveiliging op smartphones en tablets van hun medewerkers.
Statistieken
Maas: "Omdat we nog steeds de nasleep van de crisis voelen is deze reactie heel begrijpelijk. Bedrijven investeren liever in zaken die hogere prioriteit hebben. Het is meestal de ervaren IT-manager – vaak werkzaam bij een groter bedrijf – die meer kan vertellen over hoe slecht het is gesteld met cybersecurity binnen het MKB. Dit kan voor grote problemen zorgen. Volgens onderzoek van Symantec werd in 2012 31 procent van de organisaties met minder dan 250 medewerkers aangevallen door hackers (drie keer vaker dan in 2011). Malware op mobiele telefoons is met 58 procent toegenomen en 32 procent van deze aanvallen is opgezet om data zoals emailadressen en telefoonnummers te verzamelen. Deze statistieken lijken misschien onrealistisch voor veel ondernemers, maar het is wel de realiteit. Cyberaanvallen kunnen ondernemers een kostenpost opleveren tot wel honderdduizenden euro’s."
Toegang
Maas: "Prioriteiten kunnen snel verschuiven en de beveiliging van mobiele data is de afgelopen tijd hoger op de agenda komen te staan. Veel bedrijven en instanties stellen momenteel strengere eisen aan (online) dienstverleners. Ze moeten de ‘Trojaanse paard’-situatie, waarbij een kleinere organisatie wordt ingezet om informatie te verkrijgen van zijn grotere klanten, vermijden. Mobiele platforms zijn één van de makkelijkste toegangspunten voor hackers. Het duurt vaak maar enkele minuten om binnen te dringen op een mobiel apparaat en dan heeft de hacker vaak toegang tot het volledige informatiesysteem van een organisatie. Denk hierbij aan privé en zakelijke data (e-mails, documenten, etcetera), maar ook aan wachtwoorden van servers die vaak onbeveiligd op de gebruikersterminal staan."
Drie strategieën
Maas: "Er zijn drie mogelijke strategieën voor het MKB om hiermee om te gaan. De eerste heeft betrekking op de ‘interne’ beveiligingsfunctionaliteiten van het mobiele device (handmatig invoeren van wachtwoorden en encryptie van het apparaat als deze functie beschikbaar is) en het op de hoogte stellen van medewerkers over deze mogelijkheden. Dit is eenvoudig te bewerkstelligen en wordt in veel organisaties ingezet. Naast het feit dat mobiele devices ten prooi kunnen vallen aan malware, virussen en spyware is het ook lastig om klanten tevreden te stellen. De tweede strategie is om een Mobile Data Management (MDM)-oplossing te implementeren. Dit is een iets gecompliceerdere oplossing, omdat het de basisfunctionaliteiten van het mobiele apparaat – denk aan wachtwoorden en het verwijderen van data op afstand – openstelt voor de gebruiker. Bijkomend probleem is dat het dan nog steeds slechts enkele minuten kost om het wachtwoord te achterhalen. Daarnaast roept deze oplossing vragen op voor wat betreft de beveiliging van persoonlijke data, omdat bedrijven dan toegang hebben tot alle data op het mobiele device, zoals foto’s, contactpersonen en documenten."
Afgesloten 'container'
Maas: "Er is nog een derde strategie die MKB-managers helpt om te gaan met databeveiliging op mobiele devices van medewerkers: het beveiligen van zakelijke data in een afgesloten ‘container’ op het mobiele apparaat, eventueel met behulp van de reeds aanwezige single sign-on functionaliteiten. Op die manier zijn e-mails, kalenders, documenten, contacten en intra- en internet browsen allemaal beveiligd en kunnen de apparaten centraal worden beheerd. Medewerkers kunnen dan kiezen op welk apparaat ze willen werken en niet-zakelijke apps – zoals Facebook en Twitter – veilig gebruiken. Ook privé-data wordt beveiligd en opgeslagen voor het geval er op afstand iets wordt verwijderd.
Ook MKB’ers zijn zich er steeds meer van bewust dat onbeveiligde data op mobiele apparaten grote risico’s voor de organisatie met zich meebrengen. Het is van belang dat ze hier strategisch mee omgaan. Grote investeringen in infrastructuren zijn hiervoor niet noodzakelijk. Als het in de toekomst op de beveiliging van mobiele data aankomt zal de reactie ‘ik heb andere prioriteiten’ snel tot het verleden horen."
Tijden veranderen. IT verandert, wetgeving verandert. Maar veranderen organisaties op tijd mee?
In de dagelijkse praktijk zie ik dat bij veel organisaties de veiligheid van gevoelige vertrouwelijke data vaak te wensen overlaat. Wat veel organisaties, met name in de zorg, zich op dit moment nog niet beseffen is dat dit extra vervelende consequenties gaat hebben.
Die consequenties kunnen lijden tot ernstige financiële schade en worst-case faillissement. Directies die het onderwerp cyber nog niet op de agenda hebben staan, doen er zeker verstandig aan professioneel advies in te winnen en bewuster om te gaan met Risk Management.
