Uit onderzoek blijkt dat bijna de helft van SharePoint-gebruikers gevoelige of vertrouwelijke documenten kopieert naar niet beveiligde hard-drives, usb-sticks, of deze zelfs naar een externe mailt. (bron)
Nu kunnen we natuurlijk hele discussies voeren over Sharepoint en hoe veilig we Sharepoint wel of juist niet kunnen maken. Dan komen we al snel op vragen als: wie mag vanuit welke rol bij welke informatie en op welk moment dan? Hoe gaan we ons autorisatiemanagement inrichten en hoe vaak gaan we de rechten van gebruikers controleren.
Allemaal hartstikke belangrijke vragen waarop we nog belangrijkere antwoorden zullen moeten vinden. Maar daarmee zijn we er nog niet. Nee, hier blijkt maar weer eens uit dat we echt niet kunnen zonder een integrale aanpak op basis van risicomanagement.
We moeten dus uitgaan van die risico’s. En natuurlijk kunnen we dan technische risico’s voor Sharepoint benoemen. De kans en de impact van een ongeautoriseerde toegang tot het systeem. Uiteraard moeten we daar maatregelen tegen nemen. Maar hoe zit het nu met die geautoriseerde toegang?
Hoe voorkomen we nu dat medewerkers die geautoriseerd zijn er met onze gegevens vandoor gaan (bewust of onbewust). Het risico is dus naast ongeautoriseerde toegang juist ook de risico’s die je loopt met de informatie. Daar gaat het om. Dus wat is de kans en de impact als onze informatie bijvoorbeeld verloren gaat omdat die bij iemand lokaal op zijn laptop staat?
Maar ook hier kunnen we nog niet stoppen. Die informatie is ondersteunend aan onze bedrijfsprocessen. Daar verdienen we immers ons geld mee. We moeten dus kijken welke informatie van belang is voor de bedrijfsprocessen. We moeten nagaan wat de kans en impact voor het stil vallen van die processen is als gevolg van het verloren gaan van informatie.
Als die informatie echt zo belangrijk is voor de ondersteuning van onze bedrijfsprocessen dan moeten we er dus voor zorgen dat die informatie niet zomaar verloren kan gaan. En als we vervolgens besluiten om die informatie via Sharepoint te delen dan moeten we ook nagaan hoe we ongeautoriseerde toegang gaan voorkomen.
Van een bottom-up benadering naar een top-down benadering dus en in dit geval gebruikten we Sharepoint even als voorbeeld, maar er is meer dan Sharepoint, er is meer dan informatie, er is meer dan bedrijfsprocessen. We komen toch weer terug op de continuïteit van onze organisatie. En alles dat bijdraagt aan die continuïteit moeten we serieus nemen.