Slordig informatiebeleid troef in Cloud en op social media

Volgens Iron Mountain slingert vertrouwelijke informatie in de Cloud. Daarnaast zijn chats en tweets vaak ook officiële bedrijfscontent en dat heeft consequenties. Zo meldt het persbericht.

Reputatieschade
Uit onderzoek van AIIM en Iron Mountain blijkt dat één op de drie organisaties geen verantwoordelijke manager heeft voor het begeleiden en monitoren van:

• gedeelde cloud-informatie (33%);
• inhoud van chat-boodschappen (39%);
• mobiele WhatsApp en sms-communicatie (32%);
• communicatie via sociale media, zoals LinkedIn, Twitter en Facebook (28%).

Dit heeft grote risico´s zoals juridische consequenties, datadiefstal, datalekken en reputatieschade tot gevolg. Uit het onderzoek blijkt ook dat bijna één op de tien organisaties er zelfs nog niet in slaagt om breed ingeburgerde informatiesoorten en -stromen, zoals e-mail, klantgegevens en openbare websitecontent goed te reguleren.

Officiële communicatie
Nieuwe media zoals LinkedIn, Twitter en Facebook, worden inmiddels tot officiële communicatie gerekend. En informatie op hosting-locaties, of ´in de cloud´, vallen gewoon onder de zorgplicht van de eigenaar. Dat betekent dat al deze informatie net zoals communicatie op papier, via e-mail of in de gegevensbestanden moet worden beschermd, en onder de juridische verantwoordelijkheid valt. Aan een tweet kunnen rechten worden ontleend. En op WhatsApp-jes zit een bewaartermijn. Een klantdocument in DropBox, valt onder de bescherming van persoonsgegevens.

WeTransfer en Dropbox
De verspreiding van grote hoeveelheden veelsoortige informatie gebeurt vooral via nieuwe media, blijkt uit het onderzoek. Vorig jaar werden er per medewerker gemiddeld 121 e-mails per dag verstuurd en ontvangen. Daarnaast worden er door Europese bedrijven gemiddeld zo´n 37 verschillende document-verspreidingsdiensten en 125 samenwerkingsplatforms gebruikt. Zo gebruiken wereldwijd 25 miljoen maandelijkse gebruikers het Nederlandse WeTransfer. En gebruiken vier miljoen bedrijven Dropbox om informatie met anderen te delen.

Integraal beleid
Iron Mountain hamert op uitbreiding van het integrale informatieveiligheidsbeleid. ’Het integrale informatieveiligheidsbeleid moet net zo strikt worden toegepast op gegevens die via de nieuwste digitale kanalen worden verspreid, als op informatie die wordt verspreid via de gevestigde digitale en traditionele communicatiekanalen’, zegt Sue Trombley, Managing Director in Professional Services van Iron Mountain. ‘Voor bedrijven is het de uitdaging te bepalen welke van de vele en veelsoortige berichten of bestanden belangrijke informatie bevatten en welke bewaartermijnen hierop van toepassing zijn. Let wel: geen actie ondernemen is geen optie. De wetten en regels zijn van toepassing. Daarnaast lopen organisaties grote reputatierisico´s en staat waardevolle informatie bloot aan het risico op verlies en diefstal.’

7-punts controlelijst
Iron Mountain en AIIM bevelen in hun rapport een 7-punts controlelijst aan om te zorgen voor een gedegen integraal informatieveiligheidsbeleid en om risico´s op datadiefstal, dataverlies en reputatieschade te voorkomen.

1. Wijs informatieverantwoordelijken aan voor records- en informatiemanagement, zoals de ICT-, de juridische, de marketing- of de afdeling personeelszaken;
2. Categoriseer en prioriteer de informatie en richt het beleid op informatie met hoge prioriteit, gevoeligheden en vertrouwelijkheden;
3. Zorg voor monitorings-, bewaartermijnen- en verwijderingsbeleid – en voer dat nauwgezet;
4. Automatiseer het bewaar- en verwijderingsbeleid;
5. Implementeer een ECM / ERM-systeem (Enterprise Content Management/Enterprise Records Management) dat een einde maakt aan het informeel online delen van documenten;
6. Formuleer helder beleid en communiceer dit duidelijk en herhaaldelijk naar medewerkers;
7. Overweeg de zorg uit handen te geven en databeheer en -opslag uit te besteden.