5 manieren om data te lekken
Gepubliceerd: Dinsdag 11 augustus 2009
Auteur: Bill Brenner
Een bedrijf kan de allerbeste beveiligingsproducten aanschaffen voor Data Loss Prevention (DLP), maar als werknemers zich niet bewust worden van het onderwerp, dan zal dat nooit een waterdicht systeem opleveren. Natuurlijk, technologie vormt een kritiek onderdeel van een DLP-programma, maar beveiligingsexperts stellen dat het veiligheidsbewustzijn van gebruikers van even groot belang is.
In dit verhaal de vijf meest voorkomende manieren waarop werknemers gevoelige data lekken.
"DLP is in de eerste plaats een proces. De bijbehorende technologie heeft alleen maar de functie om dat proces in gang te zetten", zo stelt Rick Lawhorn, beveiligingsmanager in Richmond. Het proces bestaat volgens hem uit meer onderdelen dan alleen technologie: "Ook het opleiden van mensen en het aanleren van verantwoordelijkheidsgevoel hoort daarbij, net als HR-beleid, records management en het volgen van regelgeving." Op basis van de feedback van verschillende beveiligingsexperts heb ik een lijst samengesteld met vijf veel voorkomende manieren waarop medewerkers gevoelige data kwijtraken, soms opzettelijk, andere keren door onwetendheid. Ik zal daarbij per punt uitleggen hoe men lekkage kan voorkomen met een DLP-programma en de juiste personeelsinstructies.
1. Vrachtladingen e-mail
De IT-wereld is tegenwoordig in staat om een groot deel van alle spam- en kwaadaardige mailberichten tegen te houden, maar werknemers laten andersom continu allerlei gevoelige informatie naar buiten lekken. Soms gebeurt dat simpelweg doordat ze op het verkeerde moment de 'verzenden'-knop indrukken, bijvoorbeeld nadat ze klantendata of informatie over intellectuele eigendom in een mail hebben gecopy-paste, zonder na te denken over de lijst met geadresseerden. Meestal zijn dergelijke mails bestemd voor collega's binnen de eigen organisatie, maar zonder erbij na te denken kan een gebruiker bijvoorbeeld externe adressen in de CC-lijst laten staan.
Overigens zijn e-mailfilters niet in staat om iedere poging tot phishing te blokkeren. URL's die naar kwaadaardige sites verwijzen komen er nog steeds doorheen. Het enige dat nodig is om een of meer pc's te infecteren met malware die gevoelige data opspoort, is dat één enkele medewerker een keer op zo'n url klikt. En dat is volgens experts als Lawhorn precies het punt waarbij bedrijfsregels en bewustzijnstrainingen het verschil kunnen maken. Ieder bedrijf zou beleid moeten ontwikkelen ten aanzien van het type content dat werknemers al dan niet mogen versturen, waarbij bijvoorbeeld regels worden opgesteld over de omgang met medische gegevens, creditcardgegevens van klanten of informatie over intellectuele eigendom.
De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.
