De toename van het gebruik van zakelijke mobiele apparaten, aangewakkerd door Bring Your Own Device (BYOD) en technologische vooruitgang, betekent dat er veel meer manieren zijn waarop gegevens verloren kunnen gaan, hetzij door fouten van medewerkers of kwaadwillende diefstal en de verkoop van vertrouwelijke informatie..

Als gevolg hiervan is GRC (Governance, Risk and Compliance) een van de grootste problemen waarmee bedrijven op dit moment worden geconfronteerd. Helaas heeft het gemiddelde bedrijf dit niet gerealiseerd en het aan de rechterkant blijven van de wet kan een echt probleem zijn.

Volgens de Data Protection Act 1998, wanneer een bedrijf persoonlijke gegevens verliest, heeft het Information Commissioner's Office (ICO) de bevoegdheid om het tot £ 500.000 te boeten en zelfs in extreme gevallen personen naar de gevangenis te sturen.

Daarnaast heeft de wet strafbare feiten - 654 vervolgingen zijn in de afgelopen zes jaar alleen door het Openbaar Ministerie aangevat. Wat dit een nog groter probleem maakt, is dat persoonlijke gegevens een brede definitie hebben - namelijk alle informatie die kan worden gebruikt om een ​​persoon te identificeren.

Voor veel bedrijven kunnen hun huidige apparaatbeleid en -methoden, zoals BYOD of Corporated Owned Personally Enabled (COPE), niet langer omgaan met het huidige nalevingslandschap.

Een goed beleid en procedure moet bestaan ​​uit meer dan het vertellen van personeel hoe toegang te krijgen tot e-mails op hun persoonlijke apparaten, omdat dat de opgeslagen gegevens niet beschermt. Bedrijven moeten een holistische benadering in drie fasen volgen om ervoor te zorgen dat gegevens veilig worden bewaard, bestaande uit onderwijs, beleid en technologie.

Maar waar bestaan ​​al deze stappen uit, en hoe kunnen bedrijven ze implementeren zonder het gebruik van hun mobiele apparaat te beïnvloeden?

1. Implementeer een beleid

Bedrijven moeten beschikken over een duidelijk gegevens- en apparaatbeleid dat aan hun personeel wordt gecommuniceerd en dat actie ondernemen. Hierbinnen moet ook duidelijkheid zijn over hoe gegevens worden geclassificeerd en over verschillende protocollen voor gegevensclassificatie.

Deze mogen niet in een overdreven juridische of technische taal worden geschreven, maar op een toon die alle werknemers zullen begrijpen. Op die manier worden zowel het bedrijf als de medewerkers volledig op de hoogte gehouden van wat ze mogen doen met hun apparaten. Het hebben van een goed beleid zorgt ervoor dat het duidelijk is wanneer medewerkers dat beleid hebben overtreden.

2. Train en train werknemers

De menselijke factor is vaak de zwakste schakel in de gegevensbeveiliging van een bedrijf. Daarom is het zo belangrijk dat werknemers voldoende zijn opgeleid en opgeleid om beveiligingsfouten te voorkomen. Het is van vitaal belang dat u uw werknemers kunt laten zien wat de impact is van slechte gegevensbeveiliging op het hele bedrijf, zodat zij begrijpen waarom hun ondersteuning nodig is.

Het is echter niet zo eenvoudig als een stuk papier met een lijst met regels op de kantoormuur te spelden of een trainingspakket van internet te downloaden. Best practices voor gegevensbeveiliging moeten boeiend, relevant en afgestemd zijn op de banen die mensen aan het doen zijn.

3. Gebruik een technologie-oplossing

Ondanks het uitzetten van een samenhangend apparaatbeleid en het grondig opleiden van personeel, is er nog steeds een essentieel derde element. Medewerkers zullen de regels overtreden, zowel per ongeluk als doelbewust. Dit is waarom het zo belangrijk is om een ​​onderliggende technologische softwareoplossing te hebben die het bedrijf kan beschermen in het geval van een datalek.

Bedrijven moeten in staat zijn om voortdurend alle apparaten die op het werk gebruikt worden te volgen, te beheren en te beveiligen, evenals de gegevens die erop zijn opgeslagen. Het belangrijkste is dat de gebruikte technologie ook een bedrijf in staat zal stellen te bewijzen dat nalevingsprocessen goed worden afgedwongen en nageleefd.

In het licht van de ernstige problemen die datalekken kunnen veroorzaken, zoals reputatieverlies, een boete van de ICO en zelfs mogelijke strafrechtelijke gevolgen, kunnen bedrijven hun gegevensbeveiliging niet als vanzelfsprekend beschouwen. En met een dergelijke gecomprimeerde compliance-omgeving is het nu essentieel om een ​​driesporenaanpak te volgen om er zeker van te zijn dat alle bases zijn gedekt. Uw beleid moet duidelijk en toegankelijk zijn, de BYOD-training die u uw werknemers geeft, moet relevant zijn voor hen en de organisatie, en er moet goede gegevensbeschermingssoftware aanwezig zijn.

Mobiliteit kan talloze zakelijke voordelen hebben, maar het moet goed worden beheerd om risico's tegen te gaan en te voldoen aan regelgeving. En als er een overtreding zou plaatsvinden, kan de werkgever mogelijk aan sancties ontsnappen als hij kan bewijzen dat hij al het mogelijke heeft gedaan - beleid, training en technologie - om de schending te voorkomen.

  • Jonathan Armstrong is adviseur gegevensverordening voor Absolute Software en technologiejurist bij Cordery