Cybercrime minder bedreigend dan eigen medewerkers

Advies van Iron Mountain

Twintig procent van de bedrijven zien diefstal door hun eigen personeel als grootste bedreiging van hun informatieveiligheid volgens Iron Mountain. De risico’s “van binnenin” zijn groter dan door IT-uitval, cybercrime en natuurrampen volgens de ondervraagde managers. Onderzoek door netwerkleverancier Verizon bekrachtigt deze bevindingen.

Het onderzoek dat Iron Mountain liet uitvoeren wekt de suggestie dat er maar weinig vertrouwen is in medewerkers en in de eigen controlemechanismes. En dat geringe vertrouwen is terecht.

Netwerkleverancier Verizon publiceerde onlangs onderzoek waaruit blijkt dat ingewijden betrokken zijn bij 17% van de gevallen waarbij de informatieveiligheid wordt geschonden.

Daarmee is diefstal door eigen medewerkers groter dan inbreuk op de informatieveiligheid door externe factoren. En daarmee komt diefstal van intellectuele eigendommen door ingewijden driemaal vaker voor dan door externen.

In de praktijk zijn mensen vaak de zwakste schakel in de keten van de informatieveiligheid.

Als zuurstof van de onderneming verdient informatie derhalve krachtige controlemechanismes die diefstal voorkomen, of het risico daarop op zijn minst minimaliseren.

Die mechanismes beschermen medewerkers tegen zichzelf, beschermen de onderneming, de klanten en de goede naam van de onderneming, zo luidt het.

Vier praktische stappen

Iron Mountain beveelt vier praktische stappen aan om het risico op diefstal door medewerkers te marginaliseren:

 1.  Weet wat je hebt.

Inventariseer en waardeer belangrijke bedrijfsinformatie - van oprichtingsstukken en juridische documenten, tot intellectuele eigendommen, financiële gegevens, omzetverwachtingen, productontwikkelingsplannen, klantgegevens en personeelsdossiers.

2.  Implementeer bedrijfsprocessen die de mogelijkheden tot diefstal reduceren.

Hoe belangrijker en gevoeliger de informatie, des te strikter de controlemechanismes. Dat vereist een inventarisering van wanneer, waar en hoe mensen in contact komen met de informatie zoals die door het bedrijf circuleert. En dat helpt de kwetsbare plekken te bepalen, waar de toegankelijkheid moet worden beperkt. Maak voor de informatiebeveiliging gebruik van de juiste technologieën en beveiligde in- en externe opslag. En voer een helder beleid in geval van schending.


3.  De HR-protocollen moeten de informatieveiligheid dienen.

Antecedentenonderzoek, signaleren van gedragsveranderingen en een formeel geregeld vertrek, minimaliseren de kans op diefstal. Medewerkers die de onderneming verlaten, hebben vaker bedrijfsinformatie met zich meegenomen, met name wanneer ze naar de concurrentie of onder vervelende omstandigheden vertrekken.

4.  Zorg voor een degelijk beleid dat bestand is tegen veranderingen in de bedrijfsvoering zoals fusies en overnames, en dat tegemoet komt aan de toenemende eisen in de wet- en regelgeving.