Goed beheerde informatie is een kostbaar bedrijfsmiddel. Informatie wordt steeds meer waard en is hierdoor steeds kwetsbaarder. Het aantal datalekken, cyberbedreigingen en fraudes stijgt. Deze bedreigingen in combinatie met menselijke fouten creëren zwakke punten in een snel veranderend en complex informatielandschap en zetten de reputatie van organisaties op het spel. Daarnaast zorgt de voor organisaties niet altijd heldere wet- en regelgeving ervoor dat bedrijven worstelen met de noodzaak om informatie te beheren en te archieven. Als gevolg hiervan worden bedrijven geconfronteerd met informatierisico´s die groter zijn dan ooit.
Recent onderzoek van Iron Mountain in samenwerking met PwC laat een aantal belangrijke verschillen zien in de manier waarop jonge organisaties (die twee tot vijf jaar bestaan) en volwassen bedrijven (die al decennialang opereren) omgaan met informatierisico´s. Zij zouden in dit opzicht van elkaar kunnen leren.
Tien adviezen over informatie-risico´s voor jonge en volwassen organisaties:
1. Het hebben van een plan is even belangrijk als het klaren van de klus.
Iets minder dan de helft (49 procent) van de jonge bedrijven beter is in andere dingen dan strategische planning. Volwassen bedrijven lijken te hebben geleerd dat weten waarom je iets doet net zo belangrijk is als wát je doet. Meer dan de helft (56 procent) van de volwassen bedrijven bewaakt zijn informatie dan ook met een informatiebeheerplan in tegenstelling tot slecht 14 procent van de jonge bedrijven.
2. Wees voorzichtig in het vertrouwen van werknemers met informatie.
Jonge bedrijven zijn goedgeloviger als het gaat om het vertrouwen van medewerkers met informatie. Slechts 18 procent gelooft dat medewerkers een bedreiging vormen voor de informatiebeveiliging en slechts de helft hanteert voor medewerkers informatie-gedragscodes. Daarentegen ziet 42 procent van de volwassen bedrijven medewerkers als een potentiële bedreiging. Als voorzichtigheid leidt tot codes, richtlijnen en trainingen om medewerkers te helpen bij het begrijpen van de risico´s en informatie beter te beschermen, dan moet voorzichtigheid worden aangemoedigd en toegejuicht.
3. Dingen kunnen fout gaan, een goede voorbereiding loont.
Bijna drie keer zoveel volwassen bedrijven beschikt over een informatie-herstelplan (66 procent) in tegenstelling tot 27 procent van de jonge bedrijven. Zonder zo´n plan zou een ramp een stevig beschadigd bedrijf achterlaten dat kwetsbaar is voor datalekken of andere soorten beschadigingen van informatie. Herstel is dan bijna onmogelijk.
4. Controleer wat werkt.
Uit onderzoek blijkt dat volwassen bedrijven twee keer zo vaak geneigd zijn effecten van de maatregelen die zij nemen te meten. Als jonge bedrijven dit achterwege laten, leidt dit tot verspilling van geld, faciliteiten of andere hulpmiddelen die informatierisico´s niet verkleinen.
5. Laat informatierisico´s ook doordringen tot de directie.
De helft van de jonge organisaties zegt dat de directie informatiebeveiliging niet beschouwt als een groot probleem, terwijl de directie van een volwassen organisatie informatiebeveiliging ziet als een belangrijk aandachtspunt. Ondersteuning en begrip van zowel management als directie is van cruciaal belang bij het serieus nemen van informatierisico´s en het toepassen van een geducht informatiebeheerplan.
6. Het beperken van informatierisico´s moet een zorg zijn van elke medewerker.
Meer dan de helft (52 procent) van de jonge bedrijven geeft aan dat zijn medewerkers gegevensbescherming niet als een groot probleem zien. Deze bedrijven vertrouwen hun medewerkers, terwijl deze medewerkers gegevensbescherming niet als ´must´ beschouwen. Dit in tegenstelling tot de volwassen bedrijven, waar twee derde van de ondervraagde medewerkers gegevensbescherming belangrijk vinden.
Interessante aandachtspunten voor zowel jonge als volwassen organisaties:
7. Accepteer het huidige en complexe informatie-landschap.
Jonge bedrijven voelen zich comfortabeler in het omgaan met gestructureerde en ongestructureerde informatie op digitale of fysieke dragers dan volwassen bedrijven (55 procent tegenover 38 procent van de volwassen organisaties). Het nieuwe informatielandschap is de nieuwe realiteit; er is geen weg terug.
8. Maak de grens helder tussen persoonlijk en zakelijk gebruik van sociale media.
De grens tussen het persoonlijk en zakelijk gebruik van sociale media is nog steeds in beweging en kan een nachtmerrie zijn voor onoplettende bedrijven. De onduidelijkheid over het gebruik van sociale media kan op verschillende manier in beeld gebracht worden. Uit onderzoek blijkt bijvoorbeeld dat meer dan de helft (59 procent) van de jonge bedrijven monitort op het social media gebruik van hun medewerkers, dit in tegenstelling tot 36 procent van de volwassen bedrijven. Daarnaast besteden jonge bedrijven veel aandacht aan zichtbaarheid en aanwezigheid op Facebook (73 procent), terwijl volwassen bedrijven twee keer zo vaak activiteiten op LinkedIn monitoren (67 procent). Als het gaat om het werven van nieuwe medewerkers ontstaat er een ander plaatje, een derde (31 procent) van de volwassen bedrijven zoekt kandidaten via Facebook, in tegenstelling tot slecht 10 procent van de jonge bedrijven. Zij werven nieuwe medewerkers via LinkedIn (82 procent), terwijl 46 procent van de volwassen bedrijven dit medium met hetzelfde doel gebruikt. Desondanks blijft het onduidelijk waar de grens tussen persoonlijk en zakelijk gebruik getrokken wordt.
9. Bewaak de reputatie van het bedrijf.
Alle bedrijven zijn het erover eens dat de impact van een data-inbreuk klantloyaliteit (58 procent van zowel jonge als volwassen bedrijven) en de reputatie van het merk (52 procent voor beide groepen) kunnen aantasten. Maar toch zijn volwassen bedrijven bijna twee keer zo vaak bezorgd over de kans op financiële en juridische consequenties.
10. Het voorkomen van risico´s kost geld.
Slechts drie procent van de jonge bedrijven is het ermee eens dat het snijden in de kosten voor de onderneming belangrijker is dan het verminderen van risico´s, in vergelijking met 28 procent van de volwassen bedrijven. Misschien is dit omdat tweederde van de volwassen bedrijven gelooft dat het risico van een data-inbreuk hoog is, in vergelijking met een derde van de jonge bedrijven. Volwassen bedrijven voelen zich overweldigd door het groeiende risico op een data-inbreuk en het meedogenloze tempo waarin het informatielandschap verandert.
Informatie-risico´s gaan iedereen aan: want behalve dat organisaties gegevens van medewerkers, leveranciers en intellectuele eigendommen opslaan en bewaren, bewaren ze ook informatie over klanten die hun producten of diensten gebruiken. Ook deze informatie verdient het goed te worden beschermd. Als het gaat om de praktijk en het beheren van informatierisico´s kunnen jonge en volwassen organisaties heel wat van elkaar leren.
Jeroen Strik, commercieel directeur Iron Montain Benelux.
