Organisaties leven en sterven volgens hun gegevensbeveiligingsprotocollen - en met een gemiddelde inbreuk die maar liefst $3,86 miljoen kost, kunnen de gevolgen van ondermaatse beveiligingspraktijken catastrofaal zijn.
Maar bedrijven moeten niet alleen rekening houden met de financiële gevolgen Reputatieschade kan net zo ingrijpend zijn, zo niet ingrijpender. Dus wat is de oplossing? In de eerste plaats een andere aanpak, die ervoor zorgt dat gegevensbeveiliging de basis vormt van alle digitale processen. Dit is vooral cruciaal als je samenwerkt met een leverancier van digitale zelfbedieningssoftware voor incasso.
Elke vorm van bedrijfssoftware kan een organisatie transformeren en helpen productiever, nauwkeuriger en waardevoller voor klanten te worden. Bij het implementeren van nieuwe bedrijfssoftware is er echter één belangrijke vraag die op de lippen van uw organisatie moet liggen: is het veilig?
Laten we eens kijken naar de 7 vragen over gegevensbeveiliging die je moet stellen aan alle potentiële leveranciers van bedrijfssoftware, in het bijzonder leveranciers van digitale zelfbedieningssoftware voor incasso.
Waarom is gegevensbeveiliging zo belangrijk?
Geen bedrijf of organisatie is te groot om te lijden onder een datalek. 68% van de bedrijfsleiders is zelfs bezorgd dat hun risico's op cyberbeveiliging toenemen.
Het Europees Parlement was het onderwerp van een datalek in mei 2020 en de Europese Centrale Bank onderging hetzelfde lot in augustus 2019. Een paar jaar eerder, in 2016, werden naar schatting 39 miljoen Europeanen getroffen door het enorme datalek bij Yahoo.
Het hoeft geen betoog dat dit soort inbreuken uw organisatie onherstelbare schade kunnen toebrengen. Om te beginnen zijn er de kosten van het lek zelf ( gestolen persoonlijke gegevens kosten naar schatting zo'n $150 per stuk). Vervolgens krijgen bedrijven te maken met de daaruit voortvloeiende reputatieschade. Uit onderzoek blijkt dat bedrijven kunnen verwachten dat ze ongeveer de helft van hun klanten verliezen als gevolg van een beveiligingsinbreuk. Als deze gestolen gegevens bijzonder gevoelig van aard zijn, zal dit cijfer waarschijnlijk alleen maar toenemen.
Wat is de rol van bedrijfssoftware hierin? Nou, uw organisatie heeft waarschijnlijk haar eigen nauw verweven interne beveiligingsprotocollen. Die zijn zeker niet onfeilbaar, maar u hebt er tenminste controle over. Wanneer er echter bedrijfssoftware in de mix wordt opgenomen, moet u uw kostbare gegevens plotseling toevertrouwen aan een andere leverancier die zijn eigen beveiligingspraktijken (en risico's) heeft.
Zoals McKinsey stelt: "Toepassingen die in de cloud draaien en gegevens die daar zijn opgeslagen, worden niet beschermd door een traditionele bedrijfsbeveiligingsomtrek van firewalls en dergelijke. Als gevolg daarvan wordt beveiliging in wezen afhankelijk van encryptie en het beheer van de sleutels die toegang geven tot versleutelde gegevens."
Organisaties moeten de beveiligingspraktijken van een leverancier van bedrijfssoftware grondig onderzoeken voordat ze de tool in hun eigen organisatie implementeren. Dit is van fundamenteel belang om ervoor te zorgen dat ze in de toekomst zo weinig mogelijk risico lopen.
7 vragen over gegevensbeveiliging die je aan leveranciers van bedrijfssoftware moet stellen
1. Hoe ziet het protocol voor gegevensbeveiliging eruit?
Dit is misschien wel de meest voor de hand liggende vraag. Protocollen voor gegevensbeveiliging, gedefinieerd als "de software en gedragsregels die bepalen hoe werknemers omgaan met en toegang hebben tot gegevens", bieden duidelijke richtlijnen die laten zien hoe een organisatie omgaat met gegevensbeveiliging. Dit kunnen zaken zijn als SSL-certificaten, virtuele privénetwerken (VPN's), multifactorauthenticatie (MFA) en meer.
Volgens Audacix"geven openbaar gepubliceerde beveiligingscontroles misschien geen harde gegevens over de effectiviteit van het beveiligingsbeleid, maar ze vertegenwoordigen wel een niveau van volwassenheid." Je wilt er zeker van zijn dat applicatiebeveiliging een ingebouwde overweging is in plaats van een bijkomstigheid. Je moet bevestigen dat gegevensbeveiliging de leidraad is bij alles wat ze doen.
Als een leverancier zijn beveiligingsprotocollen niet tot in detail kan uitleggen, dan toont dit waarschijnlijk aan dat gegevensbeveiliging voor hem niet erg belangrijk is.
2. Heeft u erkende normen voor gegevensbescherming behaald?
Er zijn verschillende standaarden voor gegevensbescherming die bepalen hoe organisaties omgaan met gegevensbeveiliging: Onder andere ISO 27001, SSAE16 en Safe Harbor. Het is goed mogelijk dat jouw organisatie zich aan een van deze standaarden houdt, maar het is nog belangrijker om na te gaan of je leveranciers ook volgens deze standaarden worden beschermd.
Waarom zijn ze zo belangrijk? Ze bieden bedrijven vooral een duidelijke blauwdruk die aangeeft hoe ze hun gegevens in de toekomst moeten beschermen. ISO 27701, een relatief recente internationale norm voor gegevensprivacy, is bijzonder opmerkelijk. Het is ontworpen met het GDPR-principe van privacy by design en by default in het achterhoofd, en voldoet dus volledig aan de moderne normen en verwachtingen op het gebied van gegevensbescherming.
3. Hoe beoordeelt u het beveiligingsbegrip van uw werknemers?
Naar schatting 90% van alle datalekken in het VK in 2019 werden veroorzaakt door een menselijke fout. Hoewel dit cijfer wereldwijd waarschijnlijk niet opgaat, zijn enkele van de schadelijkste datalekken van de afgelopen tijd te wijten aan een gewone menselijke fout.
Dit jaar nog kondigde het Hamburgse bureau voor gegevensbescherming aan dat het een diepgaand onderzoek zou instellen naar H&M. Er werd gemeld dat managers van de winkel in Neurenberg "gedetailleerde en systematische" persoonlijke gegevens (die grensden aan spionage) op een harde schijf hadden staan. Erger nog, deze gegevens werden vervolgens gedeeld met andere medewerkers die geen toegang hadden mogen hebben tot dergelijke informatie.
Werknemers zijn mensen, dus ze maken fouten. Je moet er echter voor zorgen dat als er menselijke fouten optreden binnen de organisatie van je softwareleverancier, deze fouten:
A) Zo zelden en klein mogelijk.
B) Het resultaat van een ongeluk in plaats van pure onwetendheid.
In een ideale wereld zal je voorgestelde leverancier uitleggen dat ze regelmatig trainingen geven over gegevensbescherming. Ze hebben een speciale functionaris voor gegevensbescherming en werknemers worden actief getest op hun kennis. Nog beter, het kan een onderdeel zijn van het inwerkproces voor alle nieuwe werknemers. Sommige leveranciers delen ook gedrukt materiaal uit voor toekomstig gebruik, hoewel dit niet zo gebruikelijk is.
4. Scheidt u klantgegevens van de hoofdinfrastructuur?
Als de hoofdinfrastructuur van uw leverancier wordt gehackt, wilt u weten of uw gegevens veilig zijn - het liefst in een cloud-gebaseerde omgeving. Dit kan single-tenant of multi-tenant zijn, waarbij single-tenant de veiligste keuze is. Belangrijker is echter dat u er zeker van bent dat zelfs als het bedrijf het doelwit is van een datalek, u er niet door wordt getroffen.
En als ze gescheiden worden bewaard, is het de moeite waard om ook te informeren naar hun interne toegangscontroles. Uit het 2019 Risk Report van Varonis blijkt dat in 53% van de onderzochte bedrijven elke afzonderlijke werknemer toegang heeft tot meer dan 1.000 gevoelige documenten. In totaal kan de gemiddelde werknemer toegang krijgen tot een enorme 17 miljoen records.
Cloud computing kan zeer veilig zijn, zolang de juiste toegangscontroles worden uitgevoerd en de klantgegevens gescheiden worden gehouden van de hoofdinfrastructuur.
5. Werk je met andere derde partijen om je SaaS-oplossing te leveren? Zo ja (en als zij toegang hebben tot je gegevens), hoe zien hun beveiligingsprotocollen eruit?
Je leverancier kan zelf ongelooflijk veilig zijn. Dat gezegd hebbende, maakt het minder uit als ze meerdere partners hebben die wat lakser zijn in hun eigen protocollen. Het zal je verbazen hoe gebruikelijk het is voor SaaS-leveranciers om te vertrouwen op derde partijen. Uit onderzoek blijkt zelfs dat 60% van de SaaS-leveranciers derden gebruiken als hun primaire applicatiemethode.
Dit is op zichzelf niet noodzakelijkerwijs een reden tot bezorgdheid. Als je hoort dat een voorgestelde leverancier met verschillende derde partijen werkt, informeer dan naar hun beleid en normen voor gegevensbescherming.
Als ze geen details kunnen geven, de informatie vaag lijkt of het antwoord onder de maat lijkt te zijn, dan moet je zeker afzien van de aankoop van de oplossing van die specifieke leverancier.
6. Wat zijn jullie noodherstelplannen?
Een leverancier kan prachtige interne protocollen hebben, veel waarde hechten aan het opleiden van werknemers en ongelooflijk veiligheidsbewuste partners hebben. Maar als ze geen maatregelen hebben voor noodherstel, dan is dit misschien allemaal voor niets geweest.
Hoe streng hun beveiliging ook is, er bestaat altijd een kans dat je leveranciers te maken krijgen met een inbreuk. In dat geval moeten ze een ijzersterk plan hebben. Dit helpt niet alleen je gegevens te beschermen, maar betekent ook dat ze zo snel mogelijk weer aan de slag kunnen.
Natuurlijk is er geen standaardaanpak voor noodherstelplanning. Afhankelijk van de eigen IT-infrastructuur van de leverancier kunnen ze geo-redundante, cloudgebaseerde, virtualisatie- of netwerkrampenplannen hebben.
Door te bevestigen dat ze een plan hebben voor als het noodlot toeslaat, weet je dat zelfs de meest onverwachte inbreuken snel en naadloos worden afgehandeld.
7. Voert u routinetests uit voor herstel na calamiteiten?
Het spreekt voor zich dat een plan slechts zo goed is als de uitvoering ervan. Het is allemaal goed en wel om een plan te hebben, maar je moet er zeker van zijn dat je het op het juiste moment kunt uitvoeren. Je leverancier kan een fantastisch plan hebben. Maar als hun team verwoed aan het rondscharrelen is om te proberen hun rollen en verantwoordelijkheden te herinneren, dan zal het plan weinig waard zijn.
Routinetests bewijzen dat beveiliging een topprioriteit is. Ze zorgen ervoor dat iedereen weet wat er van hem of haar wordt verwacht als het zover is. Kortom, ze zorgen ervoor dat het plan zo soepel en pijnloos mogelijk verloopt.
Plannen is menselijk; testen is goddelijk.
Verdedig je gegevens koste wat het kost
Gegevens zijn de levensader van je organisatie en moeten dus koste wat het kost worden beschermd. Je kunt 5 gratis bronnen voor informatiebeveiliging en compliance gebruiken om mogelijke verbeterpunten binnen je eigen organisatie te identificeren. Onthoud: ga nooit over tot de aanschaf van een bedrijfssoftwareoplossing, meer specifiek een software voor collectiebeheer, zonder eerst de 7 bovenstaande vragen te stellen.
De beste leveranciers zullen graag de kans krijgen om deze vragen te beantwoorden en daarbij te laten zien dat ze aan hoge normen voor gegevensbeveiliging voldoen. Maar hoe zit het met leveranciers die aarzelen of ronduit weigeren te antwoorden? Als dit gebeurt, kan het verstandig zijn om andere leveranciers te zoeken om te voorkomen dat uw gegevens in gevaar komen. En vergeet niet: het zijn niet echt jouw gegevens. In plaats daarvan zijn het gevoelige financiële gegevens van je klanten. Vernietig het zuurverdiende vertrouwen dat ze in je hebben gesteld niet.
Als je meer wilt weten over wat onze CTO denkt over naleving, privacy en gegevensbeveiliging, bekijk dan deze pagina.
