‘Kennis is macht’ wordt vaak gezegd, maar nooit eerder was dat zo relevant voor bedrijven als nu. Kennis is een onderscheidende factor om dichterbij hun klanten, medewerkers en community’s te komen. Kennis is ook te gebruiken om de eigen bedrijfsprocessen te verbeteren. Wanneer organisaties deze kennis gebruiken, dan moeten ze hun data koesteren, zodat er echt waarde uit te halen is. Daarom neemt het belang van data sterk toe, en bedrijven die in staat zijn om het maximale uit de verzamelde data te halen, hebben een sterke positie. Maar er zijn nog steeds grote obstakels, niet in de laatste plaats op het gebied van compliance en veiligheid.
Met de toenemende waarde van data is ook het toezicht toegenomen op enerzijds hoe die data wordt vergaard, opgeslagen en gebruikt en anderzijds wie er waar en wanneer toegang toe heeft. Terwijl de kranten kopten over datalekken, in alle branches, over de hele wereld, en iedereen zich bewust werd van de negatieve impact die een datalek op een bedrijf en diens klanten kan hebben, zijn er nu nieuwe drijfveren voor organisaties om hun data veilig te houden. Ze houden het veilig, niet alleen omdat het waardevol is en het de toekomst van hun business vertegenwoordigt, maar ook vanwege privacyregelgeving en algemeen ethisch gebruik. De juiste data in de handen van de verkeerde person is zeer schadelijk en dat gaat dan veel verder dan imago of merk. Het koesteren van data betekent in de eerste plaats dat veilig houden. Data koesteren betekent dat ieder bedrijf ervoor zou moeten zorgen dat zijn processen, zijn training en zijn cultuur gefocust zijn op het herkennen en respecteren van de waarde van zijn data. Data zou duidelijk belegd moeten zijn, bijvoorbeeld in de vorm van een data protection officer (DPO) die samenwerkt met de chief information security officer (CISO).
Het zijn echter niet alleen de verantwoordelijke, toekomstgerichte organisaties die moeten bepalen wat het juiste niveau van data koesteren is. Overheden en wetgevers zetten in toenemende mate de standaard. De inwerkingtreding van de General Data Protection Regulation (GDPR) in mei 2018 is het meest recente voorbeeld van nieuwe wetgeving die bedrijven krijgen opgelegd ten aanzien van de wijze waarop ze data, met name klantdata, gebruiken. Aangezien het een EU-wet betreft, zal het voor ieder bedrijf dat zaken doet in de EU, voelbaar zijn.
Nu bedrijven die niet aan de GDPR voldoen een flinke financiële boete van tot wel vier procent van hun wereldwijde omzet te wachten staat, zou je misschien denken dat ze zich er allemaal van verzekerd hebben compliant te zijn. Maar volgens Gartners voorspellingen zal vijftig procent van de bedrijven de GDPR-deadline finaal missen.
Natuurlijk kan het voldoen aan de letter van een wet veel inspanning kosten. Toch moet het continu herzien, verfijnen en verbeteren van de bestaande compliance en beveiligingsmaatregelen ingeweven zijn in de processen van ieder bedrijf dat waardevolle data verwerkt. Er zou geen nieuwe wetgeving nodig moeten zijn om bedrijven zelf te laten beoordelen of ze voldoende doen om hun data te beschermen.
Hoe benaderen bedrijven de taak van data koesteren dan? De basis van de GDPR bestaat uit een duidelijke focus op assessment, preventie en detectie. Dit zijn nuttige, high-level uitgangspunten voor ieder bedrijf dat manieren zoekt om zijn data te beschermen en dat de data met respect en verantwoordelijkheid behandelt.
Assessment. Assessment is cruciaal. Veel bedrijven zijn maar mondjesmaat gegroeid, met bedrijfsonderdelen die geïsoleerd werken en die hun eigen applicaties en processen lanceren. Tegelijkertijd kunnen sommige medewerkers na verloop van tijd regels en beleid omzeilen omdat dat voor hen logisch lijkt, maar die de dataprotectie en compliance ondermijnen. Bedrijven moeten dus een juist en volledig beeld hebben van de problemen waar ze voor staan voordat ze die kunnen oplossen.
Preventie. Zodra bedrijven weten waar hun data staat en hoe het wordt gebruikt, moeten ze regels invoeren en sterke mechanismes bouwen om ongeautoriseerde acties te voorkomen. Dit betreft bewuste en onbewuste bedreigingen van zowel binnen als buiten de organisatie. De volgende stap is erop gericht te voorkomen dat mensen van buiten of mensen zonder de juiste autorisatie, gevoelige data kunnen gebruiken. Encryptie, tokens, data masking en anonimisering zijn goede manieren om dit te bereiken. Bedrijven doen er goed aan hun data te beoordelen om in te schatten welke parameters het beste bij de verschillende omstandigheden passen. Bijvoorbeeld, het anonimiseren van klantdata beïnvloedt slechts in weinige mate de bruikbaarheid van de data wanneer het wordt ingezet om salestrends te analyseren, maar vermindert de gevoeligheid van de data aanzienlijk.
Detecteren. Waakzaamheid is een belangrijk onderdeel van compliance en security. Automatisering kan een belangrijke rol spelen bij het identificeren van afwijkend gedrag en bij het implementeren van beschermingsmaatregelen, gebaseerd op vastgestelde bedreigingscriteria. Systemen moeten slimme beoordelingen kunnen doen over wie toegang verkrijgt tot informatie en waarom en wanneer dat plaatsvindt. Op basis van vooraf bepaalde regels moeten ze vervolgens acteren, bijvoorbeeld iemand de toegang weigeren nog voordat hij gevoelige data kan benaderen, verplaatsen of gebruiken.
Deadlines zoals voor de GDPR zorgen ervoor dat iedereen weer gefocust is en een geviel van urgentie heeft. Ze worden vaak als belastend ervaren, maar dat moet er niet toe leiden dat bedrijven dataprotectie uitstellen. Ze zouden hun data juist als iets kostbaars moeten beschouwen. En om te laten zien dat ze de ambitie hebben om te slagen in een datagedreven economie waar kennis absoluut macht is, zouden bedrijven genoeg van hun data moeten houden om die te willen beschermen; koste wat het kost. Dat doen ze het best door data te koesteren en beschermen.
Als ze dat doen en hun data koesteren, hebben ze de mogelijkheid om echt te onderzoeken wat de waarde van hun data is. Want compliance is het startpunt van digitaal succes, niet het eindpunt. In een datagedreven economie is compliance noodzakelijk, maar niet een differentiator. Het gaat om de wijze waarop bedrijven hun data gebruiken om tot waardevolle inzichten te komen, nieuwe businessmodellen te scheppen en diensten voor hun klanten op maat te maken. Dát is wat hen onderscheidt en wat ervoor zorgt dat ze nog meer van hun data gaan houden.
Klik hier voor meer blogs van IT-experts.
