Ondanks steeds meer regelgeving met betrekking tot cybersecurity, blijft het aantal datalekken toenemen. Dat organisaties daarom stappen moeten ondernemen tegen datalekken is dan ook duidelijk. Maar hoe verkoop je dat in je organisatie? In deze blog deel ik de (financiële) gevolgen van een datalek en de maatregelen die je kunt nemen om te voorkomen dat je ook slachtoffer wordt.
Een financiële klap
Het dringt steeds meer tot boardrooms door dat investeren in security belangrijk is om datalekken te voorkomen. Bij een dergelijke investering wordt er eerst een kosten- en batenanalyse gemaakt. Wat levert een hogere beveiliging nu precies op? Tot nu toe was het vooral gissen. Weinig getroffen organisaties maken de kosten van een datalek openbaar, dus het is niet duidelijk wat de kosten zijn.
Inmiddels zijn er enkele studies die meer licht werpen op het kostenplaatje van een datalek. Het rapport Cost of a Data Breach van het Ponemon Institute schetst de gemiddelde kosten. Deze liggen wereldwijd rond de 3,62 miljoen dollar (dat is ongeveer 141 dollar per gelekt/gestolen record).
De gemiddelde kosten liggen wereldwijd rond 3,62 miljoen dollar.
Equifax is recent slachtoffer geworden van een datalek. Zij hebben ongeveer 242,7 miljoen dollar uitgegeven sinds de gegevens van bijna 148 miljoen klanten op straat terecht kwamen. Deze kosten zijn besteed aan het transformeren van de IT-infrastructuur en security, alsook aan onderzoekskosten, claims en het leveren van support aan klanten.
Equifax gaf in zeven maanden tijd bijna net zoveel uit als Target (252 miljoen dollar) in twee jaar na hun datalek in 2013. Ook de gegevens van Yahoo!-klanten zijn onlangs gelekt. Het gevolg: de vraagprijs werd met 350 miljoen dollar verlaagd voor de overname door Verizon.
De reputatie-impact
Naast de financiële gevolgen van een datalek, zijn er ook consequenties voor de reputatie van een organisatie. Consumenten kunnen bij een datalek gewoon overstappen naar een ander ‘veiliger’ merk. TalkTalk is hier een goed voorbeeld van, zij verloren na een datalek ongeveer 100.000 klanten.
Equifax, TalkTalk en Yahoo betaalden een hoge prijs voor het onvoldoende investeren in security. De kosten van een hack zijn voor iedere organisatie verschillend. Hoe kun je als organisatie voorkomen dat je het volgende slachtoffer bent?
Consumenten kunnen bij een datalek gewoon overstappen naar een ander ‘veiliger’ merk.
Beperking van de risico’s
Het antwoord op deze vraag is dat er anders gekeken moet worden naar security. De ‘hackers komen bij ons niet binnen’-benadering werkt niet meer. Te veel organisaties focussen op het voorkomen van indringers door onder andere firewalls te implementeren. Dit betekent dat een hacker die de firewall omzeilt, nagenoeg vrij spel heeft. Om je tegen dit risico te beschermen, kun je een oplossing zoals versleuteling implementeren. Als er dan een aanval plaatsvindt en een hacker zichzelf toegang verschaft, zijn de gegevens niet bruikbaar.
Focus daarom op het versleutelen van gegevens en het veilig omgaan en opslaan van encryptiesleutels. De sleutels kun je bijvoorbeeld opslaan in een virtuele appliance. Dat is een omgeving die steeds opnieuw opgebouwd wordt als de gebruiker deze nodig heeft. Dit zorgt ervoor dat de sleutels moeilijk te traceren zijn voor hackers en als ze al getraceerd worden, is het koppelen met versleutelde gegevens niet mogelijk.
Tot slot is het belangrijk om ervoor te zorgen dat enkel geautoriseerde gebruikers toegang krijgen. Hiervoor dien je gebruik te maken van een Access Management-oplossing in combinatie met two-factorauthenticatie. Jij bepaalt dan steeds wie waar toegang heeft.
Encryptie, sleutelbeheer en Access Management zijn de hoekstenen van je security-strategie en een zeer doeltreffende combinatie om jouw organisatie te beschermen tegen datalekken.
Dit is een ingezonden bijdrage van Dirk Geeraerts, data protection en identity specialist bij Gemalto. Via deze link vind je meer informatie over de security-oplossingen van het bedrijf.