Best wel triest: de grootste geheimen gaan door hún handen, maar de directie zelf is de zwakste schakel in de keten van de informatie-veiligheid. Bij Iron Mountain hebben we er in mei dit jaar onderzoek naar laten doen door Opinion Matters: CxO´s en Managing Directors (MD´s) van middelgrote bedrijven zijn de grootste overtreders van hun eigen informatie-protocollen. Die vinden ze zélf ook te ingewikkeld… Terug naar de werkvloer zou ik zeggen. En de hoogste tijd om het beleid en de processen aan te passen en om te bouwen naar een verantwoorde informatiecultuur.
Het onderzoek is in april en mei 2016 uitgevoerd door Opinion Matters in opdracht van Iron Mountain onder 4.600 medewerkers in bedrijven met tussen de 250 en 3000 mensen in dienst (VS: tot 5000 mensen), in België, Nederland, Duitsland, Frankrijk, Spanje, het Verenigd Koninkrijk, Canada en de VS. Respondenten zijn werkzaam in de productie-industrie, techniek, bank- en verzekeringswezen, advocatuur, farmacie en energiesector, met functies bij als personeelszaken, juridische zaken, IT, directie, inkoop, verkoop, marketing, interne dienst en secretariaat, maar altijd verantwoordelijk voor informatiebeheer.
Reputatie en toekomstige groei staan op het spel
Informatieprotocollen mogen geen papieren tijger zijn en daarom hebben we het onderzoek gedaan. De reputatie en toekomstige groei staan op het spel; en de nieuwste, strikte Europese GDPR wet- en regelgeving kent onverbiddelijke, loodzware sancties.
Soms zijn de onderzoeksresultaten bijna lachwekkend, maar operationele medewerkers kennen de directiegeheimen meestal het eerst:
Meer dan de helft (57%) van de ondervraagde CxO´s en MD´s laat wel eens bedrijfsgevoelige of vertrouwelijke informatie op de printer slingeren.
Nog een bevinding. Voor Donald Trump is het al maanden prijsschieten op Hillary Clinton. Maar ook ónze hoogste bazen mogen hun persoonlijke e‑mailadressen niet gebruiken voor vertrouwelijkheden. Het gebeurt bijna standaard:
De helft (49%) van de CxO´s en MD´s gebruikt zijn persoonlijke e-mailadres wél om gevoelige bedrijfsinformatie te versturen.
Wel eens op een terrasje zitten mailen? ´Beschikbaar openbaar wifi-netwerk: Restaurant ´Het Gesprek van de Dag´. Een verleidelijke optie voor een ´goede´ verbinding. Je zou denken dat de baas een onbeperkte 4G-bundel ter beschikking heeft, maar:
40 Procent van de directieleden stelt vertrouwelijkheden bloot aan onveilige wifi-verbindingen
Informatieveiligheid zit gewoonweg niet in de directiecultuur. ´De vijand, dat zijn de anderen´, wat voor anderen geldt, dat geldt niet voor ons:
43 Procent van de directie ´vernietigt´ documenten in de gewone prullenbak
Ja, ook ik moet veel vliegen. Even afkloppen:
39 Procent van de directieleden uit het onderzoek heeft wel eens bedrijfsinformatie verloren in een openbare gelegenheid, zoals restaurant en taxi, of op het toilet van Schiphol of Zaventem.
Heilige of Zondaar?
Niemand in de pikorde is heilig, wijst het onderzoek uit, maar wij directieleden van het middenbedrijf zijn de grootste zondaars tegen het informatieveiligheidsbeleid. Daarmee geven we het verkeerde voorbeeld en schaadt de directie het vertrouwen van de onderneming; van bedrijven en mensen van wie het bedrijf informatie beheert; en van de maatschappij en zijn burgers als geheel.
Verantwoordelijk voor infotmatieveiligheid
De directie is verantwoordelijk voor de informatieveiligheid: voor het opstellen en bewaken van informatiebeheerprocessen die de gegevensintegriteit beschermen én die voldoen aan de wet- en regelgeving, maar:
een op de vijf (21%) CxO´s en MD´s in het Iron Mountain-onderzoek vindt de informatiebeheerprocessen te complex en overweegt ze aan te passen
nog eens een op de zeven (14%) volgt het informatieveiligheidsbeleid niet omdat het te ingewikkeld is, terwijl zes procent (6%) zich helemaal niet bewust is dat dergelijk beleid van kracht is.
Lagere echelons
Op de schaal van heilige tot zondaar, komen de interne dienst (facility managers) en het secretariaat (office managers) ruim op een bedenkelijke tweede plaats. Meer dan de helft (56%) van hen neemt gevoelige en vertrouwelijke informatie mee naar buiten het kantoor of bedrijf. De helft (48%) heeft dergelijke informatie wel eens aan een verkeerde ontvanger gestuurd.
Aan de ander kant van de schaal, bevindt zich de administratie, die het betrekkelijk goed doet, maar nog steeds wanbeheer pleegt. Bijna een derde (29%) kent de blunder met de vertrouwelijkheden op de printer. Een vijfde (21%) geeft toe wel eens gegevens zoek te hebben gemaakt, of aan het verkeerde adres te hebben gestuurd. Vijftien procent (15%) geeft toe bedrijfsdocumenten te hebben verloren in een openbare ruimte.
Leidinggevende omzeilt protocollen
De leiding van middelgrote bedrijven neemt zelf waarschijnlijk meer risico´s dan enig andere medewerker, en heeft de neiging om strikte protocollen te omzeilen. Dat is zorgelijk, ook omdat de boetes op het niet-naleven van de verplichtingen sinds de GDPR heel hoog zijn geworden.
Maar er is ook een hoger doel om het goed te willen doen: de reputatie en het vertrouwen van klanten en partners staan op het spel, en daarmee het bedrijfsresultaat. De grote belangen en behoorlijk bestuur, of governance, maken het noodzakelijk om het informatiebeleid en de ‑beheerprocessen op orde te brengen en goed gedrag te stimuleren. Dit onderzoek toont de noodzaak aan om het informatiebeleid en de processen aan te pakken en laat zien dat een cultuurverandering vereist is – en die begint zoals altijd aan de top.
Jeroen Strik, directeur Iron Mountain Nederland en België, schreef dit blog.
> Lees ook Twynstra Gudde: Nog veel bedrijven kwetsbaar bij crisis