5min

Datalekken komen regelmatig voor. Bij een datalek komen privacygevoelige persoonsgegevens ongewild bij ongeautoriseerde partijen terecht, of worden deze gewijzigd of verwijderd. De persoon waarvan de gegevens worden gelekt, kan hier behoorlijke schade van ondervinden. Organisaties moeten daarom de risico’s zoveel mogelijk beperken en zo schade voorkomen. Jeroen Bouma, Chief Information Security Officer van Fujitsu Nederland, bespreekt wat je als organisatie kunt doen om datalekken te voorkomen. 

Allereerst moet duidelijk zijn dat privacygevoelige informatie altijd een eigenaar heeft. Die eigenaar is het bedrijf dat de informatie verzamelt en opslaat. Binnen bedrijven verschilt het per afdeling wie voor welke data verantwoordelijk is. Datalekken zijn vrijwel altijd te herleiden naar de bron, oftewel de eigenaar van de informatie die te weinig maatregelen heeft genomen om zijn of haar gegevens te beschermen. Daarom is het belangrijk na te gaan of er binnen je organisatie personen zijn aangewezen die voor specifieke stukken informatie verantwoordelijk zijn. Verantwoordelijkheid voor informatie kun je als eigenaar van de data namelijk niet negeren of uitbesteden.

Lokaliseer en classificeer de data

Organisaties moeten naast het aanwijzen van een verantwoordelijke beginnen met hun data inventariseren. Waar bevindt jouw data zich? Op het netwerk, op een social media kanaal of ergens in de cloud? De volgende stap is classificeren. Dat doe je op meerdere manieren. Allereerst stel je vast hoe vertrouwelijk je data is. Hoe vertrouwelijker de informatie, des te beter je het moet beschermen. Daarna kijk je naar de integriteit van de informatie, oftewel hoe betrouwbaar de informatie moet zijn. Jouw rekeningnummer moet altijd kloppen in de salarisadministratie, terwijl een typefoutje op een website minder rampzalig is. Daarnaast bekijk je hoe beschikbaar de data moet zijn. Is dat de hele dag of alleen op het einde van de maand. En moet het ook offline beschikbaar zijn? Als laatste onderzoek je welke privacy gevoelige aspecten van toepassing zijn. Als je deze punten helder hebt, kies je de juiste bescherming aan de hand van je classificatieanalyse.

Zorg dat alleen bevoegden toegang hebben tot de data

Binnen de meeste organisaties hangt de toegankelijkheid tot data af van de functie van een medewerker. Het is belangrijk deze toegang actueel te houden. Vooral bij grote kantoren wisselen mensen intern vaak van baan. Het is belangrijk om als organisatie goed bij te houden wie op welk moment waar toegang heeft. Hiervoor stel je een autorisatiematrix op waarin je bijhoudt wie toegang heeft tot welke informatie. Er is tegenwoordig genoeg automatisering die dit bijhouden in zogenaamde access control lists. Om betrouwbaar personeel te werven kun je ervoor kiezen om medewerkers te screenen voor ze aangenomen worden. Het kan voor vertrouwensposities echt lonen om een zorgvuldige screening uit te voeren die verder gaat dan een Verklaring Omtrent Gedrag.

Leer van het gedrag van je organisatie

Ieder bedrijf is anders. Sommige bedrijven hebben een informele bedrijfscultuur maar werken wel met formele processen. Dan kan het nog wel eens lastig zijn om te weten waar data zich bevindt. Uit eigen ervaring weet ik dat een informele bedrijfscultuur veel invloed kan hebben op hoe makkelijk werknemers denken over het delen van informatie met derden. Zorg dat je een scherp beeld hebt waar jouw organisatie goed in is en waarin niet, in relatie tot databehandeling. Het is altijd goed om je medewerkers via een awareness traject bewust te maken van de specifieke risico’s die op jouw werkvloer spelen.

Monitor ongeautoriseerd gedrag

Op basis van inlogdata kunnen organisaties gemakkelijk eventuele risico’s signaleren. Wanneer je weet wie waar en wanneer toegang heeft tot welke data, kan je makkelijk afwijkend gedrag geautomatiseerd detecteren. Is er een medewerker die plots afwijkt van zijn in- en uitlogpatroon? Of probeert een medewerker toegang te krijgen tot data waar hij normaal gesproken niet bij hoeft? Dan zijn dit signalen waarop je meteen kunt acteren. Controleer bij de persoon in kwestie of het afwijkende gedrag klopt en vraag tijdig wat er aan de hand is. Dan kun je mogelijk serieuze risico’s snel de kop in drukken.

Zet in op intelligente oplossingen

Het is duidelijk dat data beschermd moet worden. Dit kan op veel verschillende manieren. Het begint met een firewall die jouw medewerkers beschermt tegen hackers op het internet. Waar minder vaak aan wordt gedacht, is segmenteren van het netwerk waarbij je de meest gevoelige informatie het beste beschermt. Zet auditlogging aan en stel dit veilig op een logserver, zodat je altijd kan terughalen wie wanneer en op welk systeem welke data benadert. Bovendien moet je ook zorgen voor offline back-up oplossingen. Dit is belangrijk omdat bij een ransomware aanval ook de online backups versleuteld kunnen worden. Dan heb je echt een probleem. Hierbij is het nuttig onderscheid te maken in statische data die nooit wijzigt en actieve data, die vaak wijzigt. Statische data hoef je minder vaak te backuppen, waardoor je je kunt focussen op de actieve data. Bij Fujitsu noemen we dit data driven transformation. Voer regelmatig herstelhandelingen door waarbij je goed nagaat of de informatie ook echt correct teruggezet is. Daarmee weet je dat je beveiliging altijd up-to-date is.

Werk met een calamiteitenplan

In het geval van een datalek moeten organisaties snel handelen. Daarom doen ze er goed aan om veiligheidsprocessen te automatiseren en te erkennen als een fundamenteel onderdeel van de bedrijfsvoering. Als organisatie wil je niet de dupe worden van een datalek. Gebeurt dat wel, dan is het alle hens aan dek. Vaak is de eerste stap het blokkeren van de toegang tot het internet. Dit betekent veel voor de bedrijfsvoering en dus is er een communicatieplan nodig om reputatieschade te beperken. Licht alle managers in, zorg ervoor dat alle stakeholders periodiek worden ingelicht. Bepaal na welke analyse de Autoriteit Persoonsgegevens wordt ingelicht. Draaiboeken en een calamiteitenplan kunnen ontzettend helpen om dit alles te stroomlijnen in alle hectiek. Test het eens en verbeter je draaiboek iedere keer een beetje. Dan weet je precies welke stappen je moet zetten wanneer je onverhoopt toch te maken krijgt met een datalek.

Dit is een ingezonden bijdrage van Fujitsu. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.