Als bedrijf heb je met een heleboel data te maken die goed beveiligd moeten worden. Het is niet de bedoeling dat gegevens, van bijvoorbeeld klanten, overal terecht kunnen komen. Dit is ook wettelijk bepaald en wordt door de nieuwe GDPR privacy-wet nog meer aangescherpt. Het is dus uiterst belangrijk dat je zorgvuldig omgaat met alle data. Nou is dat tegenwoordig niet altijd even makkelijk. Door de automatisering en digitalisering kunnen gegevens namelijk veel makkelijker en sneller op de verkeerde plekken terecht komen.

Dit betekent dat je er als bedrijf extra voor moet zorgen dat je alles zo inricht dat dit niet kan gebeuren. Ten eerste moet je er voor zorgen dat de techniek zijn werk goed doet. Een tweede component is gedrag. Een groot percentage van het goed omgaan met data zit hem in de manier waarop werknemers daar mee omgaan. Maar hierover de volgende keer meer. We richten ons nu eerst op de techniek.

Een goede risicobeheersing bereik je aan de hand van de volgende punten:

Laat de techniek voor je werken. Als dit zodanig wordt ingericht moet het bijdragen aan een betere bescherming van data. Zorg er voor dat risico’s op voorhand onder controle worden gehouden. Bijvoorbeeld door te bepalen wie waar wel of niet bij kan komen. Voorkomen is beter dan genezen.

Veel bedrijven werken samen. Wat heel gunstig is, maar ook extra risico’s met zich meebrengt. Gelukkig kan je met programma’s als Microsoft Teams en Office 365 groups in Office 365 deze risico’s beheersen door mensen alleen toegang te geven tot bepaalde gegevens. Azure AD beheert gebruikersidentiteiten en -toegang, ook voor partners en klanten. Een tool als Planner maakt samenwerken overzichtelijk en eenvoudig. Ook voor de track and trace van data.

Wat je zeker niet moet vergeten, is het zorgen voor goede back-ups. Zo voorkom je het kwijtraken van data. Bewaar deze op meerdere plaatsen en zorg voor versleuteling en versiebeheer. Uiteraard is het van groot belang dat de systemen goed beveiligd zijn met een goede firewall en virusscan. Deze moeten ook goed onderhouden worden.

Een duidelijke structuur en scheiding van groepen is soms noodzakelijk. Een ICT-medewerker hoeft niet bij dezelfde gegevens te kunnen als een HR-manager. Nog een tandje hoger kan met IRM (Information Rights Management). Hiermee classificeer je wat er met de data mag gebeuren en leg je automatisch beperkingen op tijdens het gebruik van deze data.

Beheer de rechten van de medewerkers. Voor sommige data geldt dat deze niet door alle medewerkers ingezien of bewerkt mogen worden. Soms kun je daar flexibeler mee omgaan. Maar dat ligt ook aan de volwassenheid van de organisatie. Dat heeft met gedrag te maken. In hoeverre moet je alles controleren en kan je uitgaan van het goede van de mens, en dus jouw medewerkers?

Hier gaan we volgende keer dieper op in. Techniek is belangrijk, maar het grootste onderdeel van risicobeheersing heeft toch te maken met gedrag. Wil je daar meer over weten? Lees volgende keer verder!