In een interessant artikel van 22 september 2014 gaat Jon Neiditz in op de vraag waarom de privacy problematiek maar een tipje is van de problemen rondom ‘knowledge assets’. Dit artikel bracht bij mij nieuwe inzichten over security awareness.
Het artikel begint ermee dat momenteel in de VS privacy bovenaan de nog-te-regelen-lijstjes van bestuurders staat. Om vervolgens te stellen dat privacy eigenlijk maar het topje van de ijsberg is wat betreft de zorgen omtrent het beheer van informatie en risico’s.
Parallel aan de zorgen over privacy, is het voor de langere termijn een nog veel grotere uitdaging om de risico’s omtrent alle kennis (lees: assets) te beheren. Uit onderzoek blijkt namelijk dat een steeds groter gedeelte van de bedrijfsmiddelen bestaat uit kennis. Deze kennis ligt ondermeer vast in bestanden, databases en systemen. Denk hierbij aan de immer stijgende waarde van databases, intellectueel eigendom en bedrijfsgeheimen, en u begrijpt dat de risico’s met betrekking tot deze kennis goed in kaart gebracht moeten worden.
De marktwaarde van een organisatie wordt derhalve voor een steeds groter gedeelte bepaald door de kennis die binnen het bedrijf aanwezig is. Volgens het artikel omvat de waarde van de kennis gemiddeld ongeveer 45% van de waarde van alle bedrijfsmiddelen van een organisatie. Persoonsgegevens maken echter maar een beperkt gedeelte (ongeveer 10%) uit van deze marktwaarde en toch gaat in de VS daar nu de meeste aandacht naar uit. Met de komst van de nieuwe EU-privacywetgeving zal dit ook in de Europese Unie gaan gebeuren, is mijn verwachting. Deze ontwikkeling is natuurlijk prima en de bescherming van persoonsgegevens verdient serieuze aandacht. Duidelijk is echter wel dat kennis een steeds grotere factor is in de waardebepaling van organisaties. Beveiliging van ‘knowledge assets’ is dus niet alleen maar een kwestie van het voldoen aan compliance regels. Het is essentieel voor de bedrijfscontinuïteit.
In dit kader moet ik dan ook denken aan het begrip ‘security awareness’. Indien bestuurders en medewerkers van organisaties zich (beter) zouden beseffen hoe bepalend de waarde van data kan zijn (‘data value awareness’) en dat de bedrijfscontinuïteit in een steeds grotere mate daarvan afhankelijk is, lijkt mij een volwassen security awareness beleid niet meer dan vanzelfsprekend.