Interview Sophos: Security belangrijk voor compliancy GDPR, Shadow IT een grote bedreiging

Abonneer je gratis op Techzine!

We schrijven met enige regelmaat over GDPR (General Data Protection Regulation), ook wel bekend onder de Nederlandse afkorting AVG (Algemene Verordening Gegevensbescherming), de nieuwe regelgeving die draait om de privacy van burgers. Vanaf 25 mei 2018 moeten alle bedrijven voldoen aan de eisen die worden gesteld in die regelgeving. Sophos richt zich vanuit haar expertise met name op het security-aspect dat komt kijken bij het voorkomen van datalekken, eveneens een belangrijk onderdeel van GDPR. Wij spraken met Michael Heering, Product Marketing Manager bij Sophos over de impact van GDPR op de security van bedrijven.

We hebben al meerdere keren opgesomd wat volgens ons de belangrijkste punten zijn van het vuistdikke document dat de GDPR uiteenzet. Hieronder hebben we deze nogmaals op een rijtje gezet:

  1. Bedrijven moeten transparant zijn over hoe data wordt verzameld en verwerkt;
  2. Burgers moeten expliciet toestemming geven voor het verzamelen van de data;
  3. Burgers moeten zonder gedoe gegevens van de ene naar de andere dienstverlener over kunnen zetten, waarbij er geen data gedeeld hoeft te worden die niet relevant is;
  4. Burgers hebben het recht om vergeten te worden;
  5. Bedrijven krijgen een meldplicht voor datalekken.

Het grootste gedeelte van bovenstaande punten gaat om de privacy van burgers. Privacy is in de basis iets anders dan security. Security is met name belangrijk voor het vijfde punt hierboven, de meldplicht voor datalekken. Datalekken zijn te voorkomen door je security op orde te hebben. Op deze manier heeft security wel degelijk een grote impact op de privacy van burgers.

Michael Heering, Product Marketing Manager bij Sophos

Rol van Sophos

Sophos is van huis uit een security-bedrijf dat zowel software als hardware ontwikkelt. Het houdt zich dan ook uitsluitend bezig met het security-stuk van de compliancy met GDPR. Sophos is zo’n 2 jaar geleden al begonnen met het creëren van bewustwording rondom de databeveiliging binnen het bedrijfsleven. In Nederland was dit toen ook al zeer actueel, vanwege de meldplicht datalekken die wij hier al sinds 1 januari 2016 hebben.

In eerste instantie hamerde Sophos stevig op encryptie als middel tegen datalekken. Daar is men volgens Heering echter na verloop van tijd van afgestapt, omdat dit voor veel bedrijven een te ingrijpende operatie is. Daarmee is het nog steeds wel belangrijk overigens en is het ook de enige beschermingsmaatregel die bij naam en toenaam wordt aangehaald in de regels van GDPR.

Er kunnen echter vrij eenvoudig meerdere quick wins behaald worden, buitenom encryptie. Deze zorgen ervoor dat een bedrijf al voor 75 procent afgeschermd is op security-gebied. Bescherming tegen ransomware en exploits dekt bijvoorbeeld al 57 procent van de datalekken af volgens Heering, als je kijkt naar de wereldwijde oorzaken van datalekken in 2016. Verder zijn ook Mobile Device Management en device encryption relatief eenvoudig te implementeren. Veel meer dan het installeren van wat software is het niet.

De overige 25 procent van het security-stuk van GDPR bestaat voor een groot gedeelte uit encryptie. Wil je volledig compliant zijn met GDPR, dan zal je ook die stap moeten zetten als onderneming. Verder zijn het beveiligen van e-mail en het netwerk nog onderdeel van deze resterende 25 procent. Ook deze stappen zijn ingrijpender dan de drie waarmee je 75 procent afdekt.

Het grotere plaatje

Gevraagd naar zijn verwachtingen met betrekking tot de gevolgen van GDPR voor ondernemers, geeft Heering aan dat de bedrijfsvoering fundamenteel anders zal moeten. Je moet nu je onderneming opzetten vanuit het idee dat de klant centraal staat. Het gaat niet meer om wat jij allemaal met de vergaarde data wil en kan, maar wat je ermee mag.

Tot op zekere hoogte was het altijd al zo dat je vooraf moest aangeven aan mensen wat er met hun data mocht gebeuren, benadrukt Heering. Nu moet je dit als bedrijf echter ook in voor stervelingen begrijpelijke taal doen, anders loop je het risico beboet te worden.

Volgens Heering zal het met de gevolgen van GDPR voor de MKB’er in eerste instantie overigens wel loslopen. In eerste instantie zullen in ieder geval alleen de multinationals aangepakt worden door de EU. Dat geeft nu eenmaal een duidelijker signaal af.

Wat zijn appropriate measures?

Verder zal het op 25 mei ook niet meteen duidelijk zijn wat de zogeheten appropriate measures zijn die je genomen moet hebben om bijvoorbeeld datalekken tegen te gaan en te dichten. Dat is een rekbaar begrip. Als je je best hebt gedaan en je kunt dit laten zien, dan ben je volgens Heering al een heel stuk veiliger.

Dat laatste moet je natuurlijk nog wel even kunnen aantonen, anders ben je nog nergens. Heering wijst in dit opzicht op de security-software die Sophos levert. Daarmee kun je bepalen wie wat mag op de apparaten die erdoor beheerd worden. Misschien nog wel belangrijker is dat hier reporting-functionaliteit inzit. Je kunt achteraf dus bewijzen dat een apparaat voorzien was van encryptie en dat jij dus alles gedaan hebt dat binnen je mogelijkheden ligt om het te beveiligen.

De rol van Shadow IT bij GDPR

Heering ziet in Shadow IT een groot probleem voor bedrijven als het gaat om compliancy met GDPR. Zoals de meesten van jullie zullen weten, is Shadow IT het gedeelte van de IT van een bedrijf dat niet wordt gecontroleerd door een beheerder. Medewerkers gebruiken bijvoorbeeld een niet officieel goedgekeurd filesharing-programma, of pakken een creditcard en slingeren snel even een paar Hadoop-clusters aan in de cloud om een bepaalde workload snel te kunnen draaien. De rol van mobiele apparaten is in dit opzicht ook niet te onderschatten. Niet iedereen zal bijvoorbeeld de benodigde software op zijn telefoon (willen) installeren.

Dit soort acties gaat buitenom het officiële beleid van een organisatie. Dat maakt ze bijna automatisch niet compliant met GDPR. Je hebt immers geen idee waar de data heengaan en onderneemt ook officieel geen stappen om deze te beveiligen. Ook je afspraken nakomen met de personen wiens data op deze manier wordt behandeld, is niet te controleren.

Ga ermee aan de slag

Op het gebied van security in relatie tot GDPR zijn er dus nog zeker de nodige aandachtspunten voor ondernemers. De kans dat je als ondernemer in het MKB met een boete om de oren geslagen wordt na 25 mei mag dan zeer klein zijn, dit betekent niet dat je er helemaal niets aan moet doen. Zeker als je in het achterhoofd houdt dat 75 procent van je bescherming relatief eenvoudig te realiseren is. Het is daarnaast ook gewoon een goed idee om kritisch naar je eigen bedrijf te kijken, om te zien wat je kunt veranderen aan je beleid om compliant te worden met GDPR.