Tusen miljarder dollar – notan för dataläckage

Att dataläckage är ett gigantiskt problem råder det ingen tvekan om. Media bjuder på en konstant ström av exempel på företag och organisationer som blir av med känslig information.

I vissa fall handlar det om stöld, i andra fall handlar det om oaktsamhet eller misstag. Effekten är densamma. Företaget blir misskrediterat, varumärket och konsumenternas förtroende skadas och det hela kan till och med få rättsliga följder.

Statistiken påtalar problemets akuta karaktär, i en färsk rapport från McAfee uppskattar genomsnittsföretaget att de har förlorat 4.6 miljoner dollar i immateriell egendom under 2008. Den totala globala förlusten beräknas till smått otroliga en biljon dollar (tusen miljarder).

Exempel på specifika hot som nämns i samband med den ekonomiska krisen är medarbetare som fått lämna organisationen eller som har ont om pengar till följd av den vikande konjunkturen och som då stjäl värdefull information.

Att värdefull information i allt större utsträckning går förlorad och hamnar i fel händer är allvarligt men överraskar mig inte. Idag finns känslig data i allt från USB-minnen och bärbara hårddiskar till bärbara datorer och olika typer av mobiltelefoner.

Dessutom kopplas allt fler av dessa enheter upp till företagens nätverk. Därifrån kan användare ladda ner känslig information till sina enheter.

Lösningen är en blandning av processer, metoder och teknik. På McAfee är vi övertygade om att den tekniska biten av lösningen handlar om att ta ett helhetsgrepp om IT-säkerheten och utarbeta en strategi där samtliga tekniska lösningar är kopplade till en centralt administrerad plattform.

En komplett säkerhetsplattform måste i realtid kunna identifiera enheter som försöker ansluta till nätverket samt analysera och identifiera sårbarheter och intrångsförsök.

Den måste också vara policybaserad, vilket innebär att tekniken kan känna av när olika delar av IT-systemet inte lever upp till de regelverk som gäller för verksamheten. Det kan gälla allt från SOX-lagstiftning till policys kring vem som får plocka ut vilken information från systemet och när.

I nästa steg måste systemet agera på de problem eller incidenter som inträffar. McAfees plattform kan föreslå åtgärder till systemadministratörer för att komma till rätta med olika problem.

De förslag systemet gör kan ta hänsyn till definierade verksamhetspolicys, lagar och andra krav. I nästa steg kan plattformen åtgärda problemet oavsett om det gäller en sårbarhet som måste patchas, ett intrångsförsök som ska avstyras eller neka åtkomst till känslig information till en icke-behörig användare eller enhet.

Slutligen måste en revision/uppföljning av IT-säkerheten göras med jämna mellanrum. En sådan revision kan genomföras automatiskt av plattformen och syftar till att säkerställa att verksamheten efterlever de krav som ställs på IT-säkerheten.

Det är också en möjlighet till att förbättra och optimera sitt IT säkerhetsarbete. En annan lika viktig del är de mänskliga processerna kring informationshantering.

Dessa processer måste vara utformade på ett sätt som gör att känslig data hanteras på ett säkert sätt men som samtidigt är tillräckligt flexibla så att medarbetare kan använda relevant data i den operativa verksamheten. Två viktiga komponenter i dessa processer är medarbetarutbildning och tydliga och lättförståliga policys.

Moderna organisationer som kopplar ovan beskrivna teknikstrategi till smarta processer minskar risken för att bli en del av den dystra dataläckagestatistiken och kan därmed skydda sig mot den typ av ”bad will” som kan skada både varumärket och resultat.

Genom att arbeta på detta sätt med IT-säkerheten så möjliggör företag och organisationer också ett mer dynamisk arbetssätt där de kan öka tillgängligheten av IT-tjänster, information och intellektuell egendom för rätt medarbetare på ett säkert sätt, oavsett plats. Det bidrar positivt till både produktiviteten och verksamhetsmålen.