Een data privacy-strategie is voor veel bedrijven een fundamenteel middel om de klantrelatie te ondersteunen en enorme boetes te voorkomen. Als je het als organisaties goed aanpakt, kan het zelfs een concurrentievoordeel zijn. Hoe implementeer en onderhoud je de juiste data privacy-strategie? Wij spraken erover met Tapan Kumar, Pre-Sales Engineer Data Security bij CyberRes, een bedrijfsonderdeel van Micro Focus.

Data privacy krijgt de afgelopen jaren steeds meer prioriteit binnen bedrijven. Waar het enkele jaren nog gezien werd als iets waar wel geld ingestopt moest worden, is de urgentie inmiddels veel hoger. Bescherm je data niet op iedere plek in je organisatie, dan is de kans groot dat je een van de inmiddels bekende voorbeelden van cybercrimeslachtoffers wordt.

Daar komt bij dat wetgeving voor het beschermen van data strenger is geworden. In Europa hebben we met de GDPR te maken. Multinationals moeten daarnaast aan lokale wetgeving voldoen. Een gebruiker uit Nederland moet anders behandeld worden dan iemand uit de Verenigde Staten. Grote bedrijven lopen dus eigenlijk tegen een grote chaos aan wat betreft te volgen wetgeving.

De toegenomen interesse van organisaties in het inrichten van data privacy is ook CyberRes niet ontgaan. CyberRes is een bedrijfsonderdeel van Micro Focus en heeft de afgelopen jaren flink geïnvesteerd in het uitbouwen van zijn Voltage-platform voor data privacy. Daarmee moet privacy nu zo compleet mogelijk worden geadresseerd, van discovery tot het krijgen van inzichten en het beschermen van gevoelige data. Je bedrijf krijgt inzichtelijk welke data het daadwerkelijk heeft, wat de risico’s zijn en hoe de data te beschermen.

Weet welke data je hebt

Volgens Kumar gaat het bij de eerste discovery stap vaak al mis. Hij komt regelmatig bedrijven tegen die niet precies weten welke data ze hebben. Het is echter cruciaal om te weten welke data je organisatie heeft, want je kan alleen overgaan tot bescherming wanneer je weet wat je hebt.

Kumar ziet bedrijven in de eerste fase van privacy vaak vragenlijsten naar bedrijfsafdelingen uitsturen. Daarin vragen ze welke datasoort de afdeling heeft en of de database bruikbaar is. Deze inventarisering geeft een grof idee over wat er in de organisatie gebeurt. “Wanneer ik met klanten praat die zich met bescherming bezighouden, maken ze zich zorgen over het versleutelen van alle Personally Identifiable Information data. Als ze de business vragen of ze enige PII-data hebben, antwoorden ze echter altijd dat dat niet zo is. Vervolgens gebruiken ze een discovery-tool en komen ze erachter dat 90 procent van de gegevens PII-data is”, aldus Kumar.

Hij ziet de meeste medewerkers dan ook een verkeerde inschatting maken over de gegevens binnen het bedrijf. Dit terwijl er genoeg tools op de markt zijn om een datalandschap te analyseren en echt te ontdekken wat aanwezig is.

Met de neus op de feiten drukken

Om organisaties een beter beeld te geven over waar ze met hun privacy-strategie staan, biedt CyberRes de optie een soort risicoscore te krijgen. Het houdt hierbij rekening met zaken waar niet iedereen binnen een organisatie direct aan denkt, zoals datastromingen of in hoeverre de data kritiek is. “We kijken er niet alleen vanuit een strikt privacy-perspectief naar, maar werpen er ook een data security-blik op. Dus wat als SharePoint of een specifieke gebruiker gecompromitteerd wordt? Wat is de financiële impact als het bedrijf ooit met een datalek krijgt te maken? We nemen zaken als boetes, reputatieschade en omzetverlies mee”, legt Kumar uit. Het resultaat is een schatting van miljoenen, uitgedrukt in percentages hoe waarschijnlijk de hoge schadesom is. Op die manier worden bedrijven met de neus op de feiten gedrukt.

De risico’s die een bedrijf loopt en de bijbehorende waarde brengt CyberRes in kaart met de financial risks calculator, gebaseerd op data van onderzoeksinstituut Ponemon Institute. De berekening wordt gemaakt op basis van informatie die een bedrijf aanlevert. Het gaat dan bijvoorbeeld over datastromen binnen een bedrijf, de mate van hoe kritiek de data is en of het om werknemers- of klantendata gaat. Al de informatie wordt ingevoerd in een algoritme, gemaakt door een derde partij die de afgelopen jaren veel datalekken onderzocht. Zo verzekert men zich ervan dat er niet met een CyberRes-pet op naar gekeken wordt, maar er een onafhankelijk oordeel volgt.

Strategie starten, opfrissen en onderhouden

Omarmt een bedrijf een moderne data privacy-strategie, dan hoort daar een hybride oplossing bij. Dit vanwege het feit dat organisaties steeds vaker op hybride omgevingen vertrouwen. Daardoor is data ook verspreid over verschillende cloudapplicaties en cloudomgevingen. Het maakt het nuttig om te weten waar de data is binnen de complexe omgevingen. Daar speelt CyberRes op in met een service-gebaseerde cloudoplossing, waarmee een bedrijf zeer snel kan beginnen met data discovery.

De discovery-tool houdt zoveel mogelijk rekening met verschillende soorten data. Gegevens die uit tekst komen liggen voor de hand, maar de tool kan ook overweg met mediabestanden. Het zet daarvoor optical character recognition in. Ook is er de mogelijkheid om te scannen op ROT-data, wat staat voor redundant, outdated en trivial. Dit soort data voegt mogelijk weinig tot niets meer toe, maar bevindt zich nog wel ergens in de infrastructuur en bevat mogelijk informatie die nog steeds gevoelig is. Uiteindelijk is Voltage zo gebouwd dat het overweg kan met meer dan 1.000 dataformaten. Dat is nodig om om te kunnen gaan met de manieren waarop applicaties en databases wegschrijven.

Bescherming biedt extra zekerheid

Naast het regelen en onderhouden van het discovery-gedeelte, gaat een privacy-strategie gepaard met het inrichten van het protection-deel. Het beschermen van data houdt in dat je zoveel mogelijk voorkomt dat hackpogingen slagen. Tegelijkertijd is er geen garantie dat aanvallen helemaal buiten de deur gehouden worden. Mocht er dus onverhoopt een hack plaatsvinden, dan moeten de hackers niets met de informatie kunnen.

Om dit mogelijk te maken, is er technologie die voorkomt dat data niet te koppelen is aan identiteit. Encryptie en tokenization zijn daar geschikt voor. Gegevens zijn zo versleuteld en de oorspronkelijke informatie is gekoppeld aan unieke symbolen. Voor de werknemer of relatie van een organisatie is het nog wel mogelijk om gegevens te lezen, maar voor de kwaadwillende zijn de gevoelige gegevens onbruikbaar en niet in te zien.

Daarnaast is voor privacy het opstellen en naleven van policies belangrijk. Hierbij kan je denken aan een regel die voorschrijft om alleen veilige diensten te gebruiken voor het delen van informatie. Maar ook welke persoon toegang heeft tot de data, wat hij of zij mag doen met de data en wat de bijbehorende risico’s zijn. Heb je dergelijke maatregelen en regels opgesteld, dan kan je ze ook koppelen aan aanverwante diensten en -frameworks. Denk aan het integreren van je data privacy-producten met identity and access management-technologie NetIQ.

Men gaat er bij data privacy dus vanuit dat een kwaadwillende wel in het bedrijfsnetwerk kan komen. Wanneer dat gebeurt, kan de cybercrimineel vanwege encryptie, tokenization en policy enforcement echter vrij weinig met de gevoelige informatie. Het maakt aanvallen een stuk minder aantrekkelijk. Uiteraard hebben we ook wat meer gekeken naar hoe CyberRes dat globaal wil realiseren. Onderstaande afbeelding geeft een beeld.

Data, identiteit en toegang

Deze afbeelding ziet er voor personen die niet bekend zijn met het Voltage-product wat complex uit. Veel zaken zijn echter te koppelen aan discovery, protection en analytics (voor inzichten in wat je hebt, de bijbehorende risico’s en waarop in te spelen), verzekert Kumar ons. Voor bovenstaande zaken zijn misschien losse producten noodzakelijk, maar het streven is wel om zoveel mogelijk privacy-kwesties vanuit één platform te regelen. Zeker wanneer je je bedenkt dat veel zaken uiteindelijk te herleiden zijn naar data, identiteit en toegang.

Zo zijn SecureData, SecureMail en SmartCipher diensten binnen het portfolio die zich heel erg richten op het versleutelen van de data. SecureData kan bijvoorbeeld gevoelige PII- of PCI (Payment Card Industry)-data beveiligen. SecureMail pakt zoals de naam doet vermoeden het veiligstellen van informatie op de mail aan. SmartCypher versleutelt meer de policies gekoppeld aan bestanden om overal bescherming te bieden. De Structured Data Manager en File Analyses Suite kunnen op hun beurt meer betekenen voor het vinden en classificeren van data, wat bij het discovery-deel past.

Security-winst en competitief voordeel

Privacy is, gezien de vele regeltjes en de eis van de klant om gegevens in vertrouwen af te kunnen staan, sowieso een noodzakelijke stap. Toch is nog niet iedere organisatie zich bewust van welke gegevens zij bezit. Als dat niet duidelijk is, dan kunnen er ook niet de juiste policies en encryptiestappen op toegepast worden. Bij een breach betekent het dat het bedrijf mogelijk stil komt te liggen, flinke reputatieschade oploopt en een forse boete kan verwachten vanuit de GDPR.

Alleen dat gegeven zou al een stimulans moeten zijn om eens je privacy-strategie tegen het licht te houden. Toch is privacy vandaag de dag meer dan alleen een security-vraagstuk. Een goede strategie betekent namelijk ook dat medewerkers met vertrouwen samen kunnen werken, iets wat gezien het toegenomen gebruik van digitale tools essentieel is. Daarnaast is data voortdurend beschermd, zelfs wanneer die zich verplaatst tussen cloudomgevingen. Vanuit de wil om steeds meer workloads naar de cloud te verplaatsen een tijdsbesparing.

Daarmee kunnen we concluderen dat een juiste data security-strategie de privacy van data binnen welke plek in de organisatie dan ook kan garanderen. Het maakt daarbij niet uit hoe oud de informatie is. Data security maakt het mogelijk voor een bedrijf om op zijn kernactiviteiten te focussen, bijvoorbeeld retail of banking. Zorgen over reputatie- en monetair verlies worden weggenomen.

Lees meer