Organisaties weten vaak niet welke data ze bewaren en hoe ze die beveiligen. Dit leidt tot onacceptabele risico's.

Velen weten niet hoeveel data ze in huis hebben of waar dit precies opgeslagen staat. Ze weten eigenlijk niet eens wat de reden is waarom ze dit allemaal verzamelen en bewaren. 

Vuilnishoop

Veel organisaties werken volgens de ‘vuilnishoopmethode’. Dat betekent: alles bewaren en opslaan (eventueel in de cloud), zonder er verder bij na te denken. Onder invloed van de wensen uit de business neemt de hoeveelheid data toe. Er is sprake van organische groei. Ook al omdat data-opslag tegenwoordig spotgoedkoop is. Het resultaat is een databerg waar niemand nog zicht op heeft.

Auteur Björn Roskott is Senior Manager IT Advisory bij Grant Thornton 
Lees ook: Probeer eens een cyberincident
Lees ook de whitepaper 'Wat is de waarde van uw data?'

Het is de hoogste tijd om dit te veranderen. Niet alleen omdat de Algemene Verordening Gegevensbescherming per 25 mei volgend jaar gehandhaafd wordt, ook omdat deze manier van werken tot enorme risico’s leidt. En dat leidt tot situaties die in het kader van risicomanagement onacceptabel zijn. Zo staan de belangrijkste data, de kroonjuwelen, vaak op verschillende plekken, soms zelfs onbeschermd. Maar men is zich hier niet bewust van. Inzicht is nodig in welke data waar staan en welke gegevens cruciaal zijn en dus betere bescherming nodig hebben.   

Business weet meer

De manier om dit te bereiken, is door de verantwoordelijkheid voor de kwaliteit van data en de bescherming daar te leggen waar die hoort: bij de business. Nu is de afdeling IT vaak de verantwoordelijke voor cybersecurity en dus data beveiliging. Maar zij weten vaak niet hoe de business werkt of wat de kroonjuwelen zijn. Hun focus ligt daarom op bescherming van alle data – dus ook de onbelangrijke – met alle onnodige kosten van dien. Alleen een salesmedewerker weet welke data voor sales cruciaal zijn, een financial weet dit voor de financiële data en een zorgspecialist voor data die in de zorg gebruikt worden. Door de business verantwoordelijk te maken, komen het beveiligingsvraagstuk en de kwaliteit van data bij elkaar. 

Benoem hiertoe data-eigenaren op management- en organisatieniveau. Dat komt de kwaliteit en de omvang van de data ten goede. Stel vervolgens vast welke data cruciaal zijn en absoluut beschermd moeten worden. En denk daarna  pas na over de maatregelen. De data-eigenaar hoeft niet overal verstand van te hebben, wel is hij of zij verantwoordelijk voor de het organiseren van het beheer en beveiliging ervan. 

Belangrijke rol financial

Binnen dit proces is een belangrijke rol weggelegd voor de business controller of financieel manager. Het verantwoordelijk maken van de business is niet een verandering die van de ene op de andere dag gebeurt. Juist een financial heeft kennis van risico’s en beheersing en is nauw betrokken bij IT. Met zijn ervaring in compliance en control, kan hij een coachende of zelfs coördinerende rol spelen bij het organiseren van goede data governance en het implementeren daarvan.

Zorg dat bij elk project waar u over rapporteert richting management, dat data- en databeveiligingsrisico’s thema van gesprek zijn. Wees er alert op dat data-eigenaren ook echt aanspreekpunten zijn op dit gebied en zich verantwoordelijk voelen. En benadruk niet enkel de risico’s, maar ook de positieve kanten van dit verhaal.
  
Want het mooie is: dit soort maatregelen leidt niet alleen tot betere beveiliging, maar ook tot meer efficiency en kostenbesparing. Werken met data-eigenaren kan helpen bedrijfsprocessen te optimaliseren en te vereenvoudigen. Klantgegevens die op één in plaats van op drie plekken opgeslagen zijn, voorkomen inconsistenties en doublures. Daarnaast kan kwalitatief goede en actuele data meer inzicht geven in klanten of de markt. Dit soort argumenten maakt het niet lastig om voor dit thema de aandacht te krijgen die het verdient.