Beschermen gevoelige data geen prioriteit in Nederland
Een grote meerderheid van de Nederlandse organisaties heeft geen beleid voor het beschermen van gevoelige data. Uit onderzoek blijkt dat slechts 34 procent een oplossing voor het beschermen van gegevens geïmplementeerd heeft, waarbij men geen onderscheid maakt tussen het beveiligen van het netwerk, opgeslagen data, virussoftware en firewalls.
Het beveiligen van gevoelige data is voor veel Nederlandse bedrijven geen directe prioriteit. Uit het onderzoek blijkt verder dat slechts 10% van de ondervraagden op korte termijn denkt aan een oplossing voor dataprotectie. 23% vindt een dergelijke oplossing geen must. Waar bestendigheid tegen rampen en virussen voor 43 procent van de ondervraagden de reden is om data te beveiligen, is bescherming van privacy en tegen diefstal voor slechts 6 procent aanleiding tot het implementeren van een security-oplossing.
Hierdoor rijst de vraag hoe vaak gevoelige data al gelekt is zonder dat klanten of burgers hiervan weten. In de Verenigde Staten is het volgens de wet verplicht dataverlies aan de getroffen klanten bekend te maken. In Nederland is dergelijke regelgeving (nog) niet van kracht.
"Bedrijven moeten zich afvragen hoeveel zin firewalls hebben als de opgeslagen data niet beveiligd is. Ze doen de deuren op slot, maar laten de ramen open. Op deze manier lopen bedrijven onnodige risico’s op het gebied van security" zegt Henk Jan Spanjaard van Decru.
open."
wordt bedoelt: "Ze doen de deuren op slot, maar het geld
ligt op tafel".
zo'n "computernerd" medewerker die alles op USB-stick zet en vervolgens
zijn USB-stick op straat gooit of in de auto laat liggen. Het is allemaal heel
leuk en aardig om je data te gaan beschermen d.m.v firewall, virusscan
maar dat het is alleen zonde van je tijd want de medewerkers gooien de
data toch wel op straat.
(dus vergeef me als ik tegen het zere been schop):
De 1e prioriteit van een commercieel bedrijf is doorgaans winst maken
c.q. extra macht verkrijgen. Dat zijn 2 goede vriendjes.
Daarnaast kijkt een gemiddeld bedrijf slechts een kwartaal of een jaar
vooruit.
Zaken als risk management wordt als een papieren onderdeel gezien om
de iso certificering te behouden en zie je in de praktijk dat er altijd
concessies worden gedaan. Ook al staat er in de businessplannen een
visie van 3 jaar of zo...
Ook in MS sessies (niet speciaal MS maar die haal ik slechts als
voorbeeld aan) zie je dat er een financiele afweging wordt gemaakt in het
riskmanagement proces.
1 verkeerde keuze en 1 security issue op het juiste moment met wat media
circus (die gek is op negatief nieuws) er omheen en je hangt gigantisch.
Het blijft mensenwerk en een "simpele" vraag wat is "secuur" is voor velen
een afweging van vele belangen.
Als v.b. er zijn vele bedrijven waar security een onderdeel is van de
totaalprijs .... In mijn optiek moet dit losgetrokken worden.
Een goede stap zou zijn dat... naar mijn mening ook vanuit de overheid
verplicht gesteld moeten worden dat er bij met name grote bedrijven altijd
een securitymanager en security officer functie is.
En niet iets dat je er even bij doet.
Niettemin is het een utopie om te denken dat je ooit 100% secure zal
zijn...het is alleen lullig als die gevoelige data waarover in de media gerept
wordt onder 1% valt....
Maar nietttemin valt er heel wat te verbeteren. Zelfs daar waar een security
beleid is zal er voor gewaakt moeten worden dat deze ook nageleefd
wordt... maar ja kostenaspect...he
lastig lastig...dus het verandert in streven naar en in balans met de rest. Ik
weet het ook niet meer. In de praktijk vecht je tegen managers die akelig
eng hun donald duck budgetje bewaken..omdat ze er aan het einde van
het jaar op afgerekend worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
