De kosten van slechte beveiliging

Vorige maand onthulde Sony het prijskaartje dat is gekoppeld aan het opruimen van de enorme beveiligingsinbreuk die persoonlijke informatie van meer dan 100 miljoen gebruikers van zijn PlayStation Network- en Qriocity-streaming-mediaservices blootlegde: minstens $ 171 miljoen. Het was de grootste inbreuk die een bedrijf ooit had meegemaakt, volgens Sony's voorzitter Sir Howard Stringer, en het duizelingwekkende bedrag zal verbeteringen op het gebied van beveiliging, klantencompensatie en onderzoeksdiensten dekken. Maar de volledige tol zal moeilijker te meten zijn, omdat het het verlies van klantenvertrouwen in het bedrijf omvat.





Bijhouden: De Enterprise Strategy Group, een adviesbureau, vroeg 308 IT-professionals in grote bedrijven welke factoren hun beslissingen motiveerden om de gegevensbeveiliging te verbeteren. Naleving van regelgeving stond bovenaan de lijst

De aflevering was een herinnering aan de belangen die betrokken zijn bij gegevensbeveiliging - en een indicator dat veel organisaties zichzelf niet goed genoeg beschermen. Als het gaat om al deze beveiligingsproblemen, geven bedrijven niet vooraf uit, maar moeten ze veel geld uitgeven aan de achterkant om dingen op te lossen, zegt Thomas Ristenpart, een computerbeveiligingsonderzoeker aan de Universiteit van Wisconsin, Madison.

Deze maand, Bedrijfsimpact richt zich op het beveiligen van gegevens tegen diefstal en verlies. We zullen de beveiligingstactieken onderzoeken die bedrijven zouden moeten gebruiken, de investeringen die ze zouden moeten doen en de vragen die ze zouden moeten stellen. We onderzoeken slimme praktijken voor mobiele apparaten, externe werknemers en cloudcomputing, en we krijgen inzichten van topdenkers in het veld.



De bedreigingen voor de beveiliging van informatie nemen deels toe omdat 's werelds opslagplaatsen van gegevens snel groeien naarmate de kosten van opslag kelderen en de beschikbaarheid van computers en netwerktoegang toeneemt. Naarmate deze grote hoeveelheid gegevens groeit, groeit ook de aantrekkelijkheid ervan voor criminelen en hackers.

Om zichzelf te beschermen, kunnen bedrijven toegangscontrole op vertrouwelijke gegevens opleggen, deze gegevens versleutelen en encryptiesleutels op de juiste manier beheren, gebruikersactiviteiten controleren en consultants inschakelen om ervoor te zorgen dat de beveiligingspraktijken up-to-date zijn. En aangezien de zwakke schakel in de beveiligingsketen vaak mensen zijn, is een van de belangrijkste dingen die bedrijven kunnen doen, gewoon werknemers trainen in basispraktijken voor gegevensbeveiliging. Het verhalenpakket van deze maand zal aantonen dat informatiebeveiliging niet alleen een zaak is waar de IT-afdeling zich zorgen over moet maken. Het moet zich overal in een bedrijf registreren, te beginnen op de hoogste niveaus, waar beslissingen over kapitaalinvesteringen worden genomen.

Grote zorgen: Hetzelfde onderzoek van de Enterprise Strategy Group vroeg dezelfde groep IT-medewerkers om zwakke plekken in hun netwerkbeveiliging te identificeren.



Een grote uitdaging werd weerspiegeld in een roadmap voor cyberbeveiligingsonderzoek uit 2009 (PDF) geproduceerd door het Amerikaanse ministerie van Binnenlandse Veiligheid. Het ontdekte onder meer dat, omdat informatietechnologieën en aanvalsmethoden zo snel evolueren, organisaties het moeilijk vinden om te bepalen of hun gegevens meer of minder veilig worden, of ze meer of minder veilig zijn dan die van andere organisaties, en of een bepaalde investeringsniveau loont. Het helpt niet dat veel organisaties fundamentele vragen over beveiliging beoordelen vanuit een financieel kortetermijnperspectief, ook al zijn kosten-batenanalyses moeilijk te maken omdat de kosten van het niet nemen van passende beveiligingsmaatregelen misschien al jaren niet duidelijk zijn. Beslissingen die voortvloeien uit dergelijke analyses zullen vaak nadelig zijn voor het maken van significante beveiligingsverbeteringen op de lange termijn, aldus het rapport.

Het compliceert de zaken nog meer dat wanneer zich datalekken voordoen, bedrijven niet altijd volledig op de hoogte zijn. (Sony heeft zes dagen nodig gehad om gebruikers te waarschuwen dat hun informatie openbaar was gemaakt.) Snellere reacties zouden slachtoffers of potentiële slachtoffers kunnen helpen, individuen of bedrijven waarvan de gegevens zijn vrijgegeven, stappen te ondernemen om de schade te beperken.

Mogelijke wijzigingen in overheidsregelgeving kunnen de regels over hoe dergelijke overtredingen worden gemeld en wat moet worden onthuld, aanscherpen. In de Verenigde Staten zijn momenteel 47 staatswetten van toepassing op de openbaarmaking van datalekken die persoonlijke informatie blootleggen, maar president Obama heeft onlangs voorgesteld dat één enkele federale wet het proces zou moeten regelen.



Dat zou nuttig zijn, zegt cryptoloog Bruce Schneier, hoofdtechnoloog van het wereldwijde telecommunicatiebedrijf BT, maar hoe nuttig hangt af van hoe grondig de wet blijkt te zijn. Wat nu duidelijk is, is dat de nasleep van datalekken soms duister is. We weten niet wie toegang had tot de gegevens, of het nu criminelen, kinderen of spionnen zijn, zegt Schneier. We kennen de kwetsbaarheid niet die de inbreuk heeft veroorzaakt. Soms weten we alleen zeker hoeveel de schade heeft gekost.

zich verstoppen