“Je kunt nog zoveel technologie hebben, uiteindelijk blijft de menselijke factor bepalend of een bedrijf goed beveiligd is of niet.” Dat zijn de woorden van Jeremy van Doorn van VMware, die in een artikel hier op Dutch IT-channel betoogt dat het met de GDPR in aantocht niet alleen om technologie draait. Daar ben ik het roerend mee eens. Want ook ik zie in de praktijk dat datalekken vaak niet eens een technische oorzaak hebben, maar het gevolg zijn van een menselijke handeling. Toch denk ik dat Van Doorn in het artikel voorbij gaat aan een belangrijk aspect: mensen zullen altijd fouten blijven maken, hoeveel bewustwording je ook creëert en hoeveel tijd je ook in training steekt.
Bewustwording
Medewerkers opleiden en trainen levert een belangrijke bijdrage aan security. Op deze manier is immers bewustwording te creëren, aangezien niet iedereen doordrongen is van hun afhankelijkheid van data. Maar daarmee ondervang je niet kwaadwillend gedrag. Stel dat iemand ontslag krijgt en wraak wil nemen door bestanden te deleten. En stel dat diegene systeembeheerder is en ook toegang heeft tot de back-up en die kan wissen. Dan zijn de gevolgen niet te overzien.
Naast kwaadwillend gedrag zijn ook menselijke fouten niet te voorkomen – niet helemaal, althans. Wat is er naast training dan nog meer nodig? In mijn ogen is het essentieel dat het menselijke element – de onzekere factor – tot een minimum wordt beperkt. Met orchestration maken bedrijven al een goede stap in deze richting. Hierbij zijn data gemakkelijk naar de best mogelijke (cloud)locatie te verplaatsen. En dat kan automatisch, gedreven door policy’s, waardoor er nog maar weinig menselijk handelen aan te pas komt. Nog een stap verder is automation, waarbij menselijke interactie helemaal uit te sluiten is, of enkel nog voor het initiëren van een actie.
Hoe minder mensen, hoe minder fouten
Hoe minder menselijke handelingen er nodig zijn, des te minder er fout kan gaan. Daarnaast is het zaak dat bedrijven ten aanzien van back-ups de 3-2-1-regel toepassen: maak van je data drie back-ups, op twee verschillende media, op minimaal één andere locatie. Op deze manier heb je altijd een back-up beschikbaar. Zorg er daarbij voor dat je je back-upomgeving procedureel zo inricht dat iedereen binnen je organisatie altijd toegang heeft tot slechts één back-up. En bouw voor systeembeheerders een extra beveiliging voor de andere back-ups in, zodat hij of zij deze alleen kan benaderen met autorisatie van een collega.
Risicominimalisatie is dus essentieel voor security. Combineer dit met het vergroten van de bewustwording rondom data. Dan ben je als bedrijf pas écht goed op weg naar GDPR-compliancy.
Ronald Ooms, vicepresident North East EMEA bij Veeam
