Gevoelige bedrijfsinformatie laten lekken naar de pers is schering en inslag geworden. De daders blijken vaak (oud-)medewerkers die zich door hun werkgever miskend voelen en uit onvrede interne documenten in de openbaarheid gooien. Grote organisaties worden hierdoor ernstig in verlegenheid gebracht. Wat grote gevolgen kan hebben voor hun reputatie.
Iron Mountain heeft onderzoek laten doen naar de motieven voor datadiefstal of datawraak. Daaruit blijkt dat de belangrijkste factor die van een brave medewerker een datawreker kan maken, het gevoel is dat de medewerker oneerlijk behandeld is. Bijvoorbeeld doordat hij verantwoordelijk gehouden wordt voor iets wat hij niet heeft gedaan (21%), of dat hij vindt onbeschoft behandeld te zijn (19%) door collega´s of meerderen.
De meeste datawrekers nemen vervolgens revanche door de reputatie van de werkgever in diskrediet te brengen. Ongeveer een derde (27%) van de verongelijkte medewerkers ventileert onmiddellijk zijn ongenoegen in een verbolgen e-mail naar collega´s, gewoon vanaf het bedrijfsadres: boos@baas.nl, bijvoorbeeld. Een kwart (24%) van de zich miskend voelende medewerkers blaast stoom af in een bedrijfse-mail naar familie en vrienden en 15% stuurt gelijk ook enkele gevoelige documenten mee. Een vijfde (21%) geeft uiting aan zijn ongenoegen in de vorm van een cynisch Facebook- of Twitter-bericht.
Functie-afhankelijk
Kijken we beter naar de onderzoeksresultaten, dan blijkt dat marketingmedewerkers zich het meest wraakzuchtig tonen. 29 Procent zegt revanche te nemen als zij de schuld krijgen van iets waar ze niets aan hadden kunnen doen en ongeveer één op de vier (26%) zegt represailles te nemen als ze onvriendelijk behandeld worden. Verder valt op dat hoe hoger de functie, hoe beschaafder het gedrag: onder hoger management is slechts 15% genegen tot een vergeldingsactie bij onheuse bejegening of onaangename omgangsvormen (13%).
Wie een managementfunctie bekleedt, lijkt beter te kunnen omgaan met verantwoordelijkheden, maar het blijkt dat als iemand op dit niveau verbolgen raakt, hij in staat de allergevoeligste bedrijfsinformatie te lekken die het bedrijf in huis heeft. Daarmee vormt hij een maximaal risico op data-inbreuk en reputatieschade voor zijn werkgever.
In dit licht is het opmerkelijk dat andere vervelende gebeurtenissen op het werk veel minder vaak aanleiding zijn om de tot datawraak over te gaan: bij baanverlies is slechts 16% geneigd zich op zijn werkgever te wreken, en bij een slechte functioneringsgesprek is dit percentage slechts 7%.
Met andere woorden, als het gaat om het gedrag van medewerkers in het omgaan met informatie , wint het hart het van het verstand, en het persoonlijke van het professionele. Het hemd is nader dan de rok: een persoonlijke aantijging die als onheus beschouwd wordt, lokt datawraak uit.
Enkele jaren geleden ondervroeg het Ponemon Institute duizend mensen zonder baan, sommige omdat ze vrijwillig hun baan hadden opgezegd, anderen vanwege ontslag. Uit de resultaten bleek dat 61% van de ondervraagden die een hekel had aan hun voormalige werkgever gegevens had meegenomen , terwijl slechts 26% van de mensen die een goed gevoel over hun voormalige werkgever hadden, dit gedrag vertoonde.
Niet alle medewerkers hebben uiteraard toegang tot uiterst gevoelige en mediavriendelijke bedrijfsgegevens – toch is de bedrijfsinformatie waar kantoormedewerkers wél bij kunnen komen al gevoelig genoeg in andermans handen. Zo blijkt uit het Ponemon-onderzoek dat medewerkers een voorkeur hebben voor de informatie die zij ontvreemden. Populair zijn klantendatabases ( 45%), presentaties (39%), strategische plannen (13%), ondernemingsplannen(9%) en plannen voor producten- en diensten (7%). Wanneer deze informatie in de verkeerde handen valt, leidt dit tot aanzienlijke risico´s voor het bedrijf: het verliezen van concurrentievoordeel, schade aan merkreputatie en verlies van klantenloyaliteit.
Het is van groot belang dat werkgevers beseffen wat er op het spel staat en dat zij begrijpen wat er moet gebeuren om erger te voorkomen. Het punt is dat het bij informatiebeveiliging niet alleen gaat om interne bedrijfsrichtlijnen en processen, maar dat het ook gaat over mentaliteit en mores binnen de bedrijfscultuur.
Idealiter zou er een transparante, veilige bedrijfscultuur moeten bestaan waarin misnoegen onder medewerkers bespreekbaar is voordat het uit de hand loopt. Een eerlijke, open communicatie waarin aandacht is voor de prestaties van medewerkers en waarin zorgen over omgangsvormen, gedrag en prestaties serieus genomen worden, en omgebogen worden tot positieve acties.
Het gaat erom een bedrijfscultuur te realiseren waarin respect en vertrouwen voor elkaar hand in hand gaan met verantwoordelijk omgaan met waardevolle bedrijfsinformatie, of beter nog, álle informatie in de organisatie. Want zoals de CIA eerder dit jaar ondervond, ontstaat zo’n cultuur niet vanzelf of door interne richtlijnen uit te vaardigen. De inlichtingendienst meende dat een nieuw programma afdoende was om medewerkers zover te krijgen dat ze minder vaak gevoelige CIA-gegevens zouden lekken. Het memo hierover werd onmiddellijk doorgespeeld aan de Associated Press.
Wat wel helpt is goede communicatie, aandacht voor de medewerkers en het geven van het goede voorbeeld. Misschien dat dit helpt te voorkomen dat medewerkers zich verbolgen voelen en hun ongenoegen aan de grote klok hangen.
Jeroen Strik, commercieel directeur Iron Montain Benelux
