Big data: cannot do without……. security

in Cybersecurity, Data & Analytics, 17.04.2013

De afgelopen twee jaar werd meer data geproduceerd dan in alle jaren daarvoor in de geschiedenis, zo viel onlangs te lezen in de media. Al is zo’n claim moeilijk te staven, er zit zeker een kern van waarheid in: de hoeveelheid data blijft exponentieel groeien. Minstens even belangrijk is dat organisaties die data ook steeds meer met elkaar gaan delen via tal van interfaces en apparaten.

Dat levert veel kansen op. Nu al zien we verschillende Big Data concepten toegepast worden waarin door de combinatie van data uit verschillende bronnen – en de analyse ervan – mogelijkheden ontstaan die tot voor kort ondenkbaar waren. Dat is prachtig, maar leidt ook tot nieuwe vraagstukken op het gebied van informatiebeveiliging. De risico’s staan elke dag in de krant en variëren van diefstal van persoonsgegevens tot aan aanvallen op systemen voor internetbankieren. Het is glashelder dat het privacy-aspect maatschappelijk belangrijker is dan ooit tevoren. En het wordt ook steeds duidelijker dat in een wereld vol Big Data toepassingen juist het ketendenken over beveiliging van informatie steeds wezenlijker wordt. Organisaties raken immers steeds meer aan elkaar verknoopt.

Goede informatiebeveiliging is dan ook een keiharde noodzaak om de kansen van Big Data – of breder: de om zich heen grijpende digitalisering – te pakken.

Nu is informatiebeveiliging voor velen een weerbarstig aandachtsgebied. Wetgevers wereldwijd worstelen bijvoorbeeld al jaren om te komen tot uniforme, consistente privacy en opkomende cybersecurity wet- en regelgeving, hetgeen tot op heden nog niet gelukt is. Voor Big Data adapts is dit natuurlijk geen goed nieuws. Immers het internet stopt niet bij de landsgrenzen en zonder internationale consistente wetgeving op dit vlak wordt het toch wel moeilijk om optimaal gebruik te maken van grensoverschrijdende en organisatieoverschrijdende big data initiatieven.

Ook voor organisaties blijft informatiebeveiliging evenzo een moeilijk thema. Dit heeft onder meer te maken met het feit dat organisaties teveel focus leggen op technologie in hun beveiligingsaanpak. Informatiebeveiliging wordt vaak gezien als de verantwoordelijkheid van een afdeling gespecialiseerde professionals die met hoogwaardige tools de strijd aangaan met malafide personen en/of criminele groepen. Dat doet echter geen recht aan de uitdaging en heeft bovendien het risico van schijnzekerheden. Want de rest van de organisatie beschouwt informatiebeveiliging dan niet als hun probleem als er incidenten optreden en de reflex is dan vaak om te investeren in verdere versterking van die afdeling. Dat is een heilloze weg.

De mens is en blijft vaak de zwakste schakel als het gaat om veiligheid en investeren in de allerbeste tools is dan ook alleen maar zinvol als mensen hun verantwoordelijkheden op dit punt begrijpen. Social engineering – waarbij hackers het vertrouwen winnen van medewerkers door slim sociaal gedrag en daardoor toegangsrechten weten te krijgen tot systemen – blijft een van de belangrijkste risico’s. En daar is met technologie weinig tegen te doen.

De echte uitdaging zit erin om informatiebeveiliging te integreren in alles wat je doet. Dat betekent bijvoorbeeld dat informatiebeveiliging een onderdeel is van het HR-beleid – met in sommige gevallen zelfs een koppeling met het beloningsbeleid. Het betekent ook dat informatiebeveiliging een centrale plaats moet krijgen bij de ontwikkeling van nieuwe IT-systemen en/of Big Data concepten en niet een sluitstuk van zo’n project mag zijn. En het betekent dat informatiebeveiliging vanuit een ketenbenadering moeten worden opgepakt. Informatiebeveiliging is dan ook geen afdeling. Het is een houding.

Kortom, werk aan de winkel!


1 Comment

  1. Jaap Francke

    Informatie beveiliging is een houding, helemaal mee eens.
    Ik denk dat technologieen als Multi-Factor Authenticatie en Identity Access Management het risico van social enginering kunnen mitigeren.

    Werk aan de winkel, zeker!

Leave a Reply

Your email address will not be published.