Nog vers in het geheugen, een wel bekend reisbureau werd gehackt waardoor 900.000 klantgegevens op straat lagen. Hoewel de productieomgeving zorgvuldig was getest, was de testomgeving ook gekoppeld aan het internet en minder goed beveiligd. Dit leidde er toe dat – enigszins verouderde – data wel op straat kwam te liggen. Data Risk Management moet zich richten op de DATA, zoals de nieuwe internationale standaard voor informatiebeveiliging ISO27001:2013 voorschrijft.

Scoping

Bedrijfsdata groeit exponentieel. Na 10-20 jaar van data opslag hebben bedrijven een enorme bak met data : Big Data is niet langer een “buzz word”, het is inmiddels een bedrijfsrisico. Bedrijven ontkomen er niet aan om een scope aan te brengen welke data ze specifiek willen beschermen. Door een reikwijdte in te stellen, kunnen we de omvang en complexiteit reduceren en data risk management activiteiten beter vormgeven. De scope richt zich in eerste instantie op grote gestructureerde databronnen gerelateerd aan Mission Critical Applications. Deze “datakroonjuwelen” hebben vaak een interface en/of worden gekopieerd naar andere afdelingen, business partners en/of locaties. Begrijpen waar de data heen vloeit en weer opgeslagen wordt, is van belang voor de beveiliging ervan. Vastleggen waar data fysiek opgeslagen is, is essentieel om het huidige beveiligingsniveau vast te stellen. Mat andere woorden: volg de data en doe een data risico analyse per databron.

“Follow the data”

Data Risk Management (DRM) moet uiteindelijke het management bewust maken welke risico's het bedrijf loopt met welke databronnen. Een “heatmap” met de meest belangrijke databronnen moet helpen om te bepalen in welke databronnen wel of niet genvesteerd moet worden als het gaat om informatiebeveiliging.

ISO27001 – informatiebeveiliging

DRM zal als essentieel onderdeel van ISO27001 zich verder ontwikkelen. Bedrijven moeten hun beveiligingsmaatregelen afstemmen op hun bedrijfsrisico's. Een bloemist om de hoek heeft namelijk andere risico's en dus niet dezelfde maatregelen als een bank. Bedrijven blijven continu zoeken naar een balans tussen informatiebeveiliging maatregelen en kosten. Bedrijven snappen heus wel dat ze blootstaan aan risico's want elke organisatie neemt risico's. Een organisatie is pas aansprakelijk als nalatigheid kan worden aangetoond en risico's nooit in kaart zijn gebracht. Data risico's moeten als geheel minimaal eenmaal per jaar beoordeeld worden door directie. Data Risk Management is de kunst om complexe materie te vereenvoudigen zodanig dat het management zinnige beslissingen kan nemen rondom de beveiliging van data.