In de afgelopen jaren is data de nieuwe olie genoemd vanwege het vermogen om welvaart te creëren. Maar alleen een paar gelukkigen merken dat ze op een grote oliebron zitten. In tegenstelling tot elk bedrijf dat een schat aan data produceert.
Chief executives en besturen zoeken bedrijfsdata af naar goudklompjes die de omzet zullen verhogen, of het nu gaat om het vinden van een opwindende route naar de markt, verhuizen naar een aangrenzend gebied of het nemen van kosten uit hun activiteiten. Ontwikkelingen in kunstmatige intelligentie en machine learning bieden steeds effectievere manieren om data te analyseren. Hierdoor racen bedrijven tegen de klok om hun concurrenten voor te blijven en een concurrentievoordeel te behalen.
Maar data moet met zorg worden behandeld.
Met recordboetes die zijn opgelegd aan bedrijven in Europa en de VS voor het verkeerd hanteren van gegevens, is het duidelijk geworden dat er enorme kosten aan data verbonden kunnen zijn. Gegevens zijn vatbaar voor cyberdiefstal en kunnen, tenzij zorgvuldig beheerd, leiden tot inbreuken op de privacywetgeving.
De meeste bedrijven verzamelen zoveel mogelijk gegevens. Chief information officers (CIO's) en chief technology officers (CTO's) staan onder druk om datagedreven innovaties te ontketenen en daardoor is de kans op een datalek of cyberaanval waarschijnlijk groter. De chief information security officer (CISO) kan voelen als een belemmering voor bedrijfsontwikkeling door altijd te wijzen op de risico's van de nieuwste suggestie en verliest daardoor haar en slaap.
Het gebruik van persoonlijk identificeerbare informatie van klanten kan onderdeel zijn van een data innovatie. Van het richten op bestaande klanten met producten die zijn afgestemd op hun behoeften tot het verzenden van marketingmateriaal, een CISO zou zich zorgen maken over de vraag of dit voldoet aan strenge privacyregels zoals GDPR.
Een innovatie kan inhouden dat de bedrijfsgegevens worden overlapt met gegevens van een afzonderlijke organisatie. De controle over de gegevens gaat uit de handen van het bedrijf en is afhankelijk van een andere organisatie.
Naarmate de hoeveelheid data die een bedrijf verzamelt stijgt, stijgt ook de druk om de verwerking en opslag van die gegevens uit te besteden aan een datacenter van derden - de cloud. Door gevoelige gegevens in de cloud op te slaan, wordt de controle van het bedrijf minder en bestaat de mogelijkheid dat deze worden onderschept, beschadigd of misbruikt.
Tegelijkertijd zet elke toename in dataverzameling en -verwerking het cybersecurity-team verder onder druk. Meer gegevens en meer netwerkactiviteit verhogen het aantal beveiligingsrisico's dat moet worden geanalyseerd. Om dat te doen, zijn extra middelen en rekenkracht nodig, wat betekent dat je cloudservices moet gebruiken.
De CIO en CISO bevinden zich opgesloten in een vreemde dans, elk duwend tegen en wegtrekkend van elkaar. De cybersecurity-operatie moet steeds meer gegevens analyseren en correleren en vereist toenemende opslag- en verwerkingscapaciteit omdat deze reageert op waarschuwingen en bedreigingen. De CISO vraagt de CIO om meer datacapaciteit. Maar de CIO wordt door het bestuur onder druk gezet om eventuele reservecapaciteit te gebruiken om innovaties te ontwikkelen met het gebruik van data die nieuwe inkomstenstromen opleveren.
Een klassiek voorbeeld van de bestuursproblemen waarmee datagestuurde innovatie te maken heeft, is de verkeersmappingdienst Waze. Deze mobiele app heeft een revolutie teweeggebracht in de navigatie op de weg, waarbij gegevens zijn verzameld die niemand anders heeft overwogen om geld mee te verdienen en er iets waardevols van te maken. Waze gebruikt de gegevens van smartphones die bestuurders meenemen in hun auto om de telemetrie te analyseren en te leren hoe snel de auto rijdt en in welke richting. Hierdoor kan Waze verkeersstromen in kaart brengen en bestuurders wegleiden van files, zodat ze de snelste routes naar hun bestemming kunnen vinden.
Je kan begrijpen hoe de perspectieven van de CIO botsen met die van de CISO. De technologieleider vindt het belangrijk om gegevens van de telefoons van bestuurders te verzamelen om deze te verzamelen en verkeerspatronen te begrijpen. Maar voor de CISO is dit een beveiligingsnachtmerrie. Het ophalen van gegevens van telefoons van individuen om naar verkeersstromen te kijken is een mogelijke inbreuk op de privacy. De CISO wil weten op welk punt de persoonlijk identificeerbare informatie van de bestuurder - waar hij reist en hoe laat - openbare gegevens worden wanneer deze worden geaggregeerd. De CISO moet erop staan dat de gegevens anoniem zijn - de app kan niet zeggen dat iemand op een bepaald moment door een bepaalde straat rijdt.
Ondertussen roept de Waze-app een groot aantal beveiligingsproblemen op. Als je software op de telefoons van mensen plaatst, moet je ervoor zorgen dat niemand deze kan hacken. Wanneer de gegevens worden teruggestuurd naar de centrale server, moeten deze worden gecodeerd en beveiligd, zodat niemand deze halverwege kan hacken en niemand deze verkeerd kan interpreteren of misleiden.
Deze problemen lijken te zijn opgelost, hoewel er meldingen zijn geweest van inbreuken op de beveiliging met de app. In 2014 hebben studenten de app gehackt en een niet-bestaande file opgeroepen. Waze, eigendom van Google, beloofde het probleem te onderzoeken. In een andere hack in 2016 beweerde een onderzoeker een kwetsbaarheid te hebben gevonden waardoor hackers de bewegingen van gebruikers kunnen bespioneren. Waze betwistte dit en zei dat het stappen zou ondernemen om de kans dat dit zou gebeuren te verwijderen.
De spanning tussen CIO en CISO is kenmerkend voor de verschuiving die we in de hele economie zien. Vóór Waze verzamelden satellietnavigatiesystemen gegevens met behulp van hun eigen infrastructuur. Het ging allemaal om het eigendom van interne data die was ontleend aan monolithische infrastructuur. Nu is er een verschuiving geweest naar openbare gegevens waar geen grote kapitaalinvestering nodig is, maar eenvoudigweg om smartphonegegevens van mensen op een creatieve manier te gebruiken. De manier waarop gegevens vrij worden geüpload, gedownload, van bedrijf naar bedrijf worden doorgegeven en op meerdere manieren worden gesneden, heeft een hele nieuwe reeks beveiligings- en privacy-uitdagingen gecreëerd.
De raden van bestuur moeten rekening houden met de uitdagingen waarmee de CISO wordt geconfronteerd wanneer zij overwegen hoe zij hun data kunnen gebruiken om nieuwe routes naar de markt te vinden of te innoveren.
Om de organisatie adequaat te beveiligen, moet de CISO een rigoureuze audit uitvoeren van alle gegevens die door de organisatie stromen, zowel intern als extern. De audit moet uitzoeken waar alle gegevens zijn opgeslagen, wie er toegang toe heeft en wat ze ermee doen. Dit is een enorme taak omdat veel organisaties moeite hebben om een inventaris van fysieke activa te maken, laat staan vloeibare en verplaatsbare bronnen zoals data.
Nadat een volledige gegevensaudit is voltooid, is de volgende uitdaging om te beslissen wie toegang moet hebben tot welke stukjes van de data en hoe dat moet worden gecontroleerd en afgedwongen. Dit is een worsteling wanneer de hoeveelheid gegevens constant toeneemt en op verschillende manieren wordt gebruikt.
Een oplossing is het creëren van een zero-trust netwerk. Dit veronderstelt dat niemand die de gegevens van de organisatie gebruikt, echt vertrouwd kan worden om deze veilig te houden. De toegang van iedereen is dus beperkt tot de activiteiten waarmee ze zich bezighouden. Financieel personeel heeft bijvoorbeeld alleen toegang tot financiële gegevens.
De CISO moet ook beste vrienden worden met de CIO en zeggen: "Kijk, als je naar iets nieuws gaat kijken, moet je me dat vertellen zodat ik parallel aan de implicaties voor de veiligheid kan denken."
Als de CISO niet vanaf de eerste dag betrokken is bij de weg naar innovatie, zullen ze altijd achter blijven. Een innovatie kan worden geïntroduceerd voordat de CISO volledig rekening heeft gehouden met het gebruik van gegevens voor de audit. Anders is er grote kans op een conflict met de CIO en met het bestuur van de onderneming.
Net als olie kan data grote welvaart brengen. Maar bedrijven moeten niet vergeten dat data ook het potentieel kan hebben om schade aan te richten. Ze moeten de CISO in staat stellen gegevens veilig te houden en voortdurend innovaties stimuleren.
Door: Greg Day (foto), Vice President en Chief Security Officer voor Europa, Midden-Oosten en Afrika bij Palo Alto Networks