Sancties Meldplicht Datalekken zijn sinds 1 januari 2016 van kracht
02-04-2016 | door: Witold Kepinski

Sancties Meldplicht Datalekken zijn sinds 1 januari 2016 van kracht

In Nederland hebben wij sinds 1 januari 2016 de Meldplicht Datalekken. Volgens Autoriteit Persoonsgegevens is tegen alle verwachtingen in, nog weinig gemeld. “Nu zijn er verschillende theorieën over waarom de meldingen zo beperkt zijn gebleven. De gedachtegang dat je met een dergelijke melding onder de radar komt van de Autoriteit Persoonsgegevens en je onderneming zich hierdoor kwetsbaar opstelt zou hier wellicht mee te maken hebben. Het is zeker niet omdat we de boel op orde hebben!” aldus Dennis Martina, Country Manager Netherlands Barracuda Networks. De leverancier organiseert binnenkort een webinar over Meldplicht Datalekken dat wordt geadresseerd door Barracuda Threat Prevention

Dutch IT-channel publiceerde eerder een interview met Dennis Martina over ‘Datalekpreventie: Barracuda legt focus bij security-awareness en eenvoud van IT’ waar de focus gelegd moest worden om effectief datalekpreventie toe te passen. Naar aanleiding van de vele positieve reacties legt Martina in het tweede deel van deze trilogie de focus op tips & tricks hoe je op een praktische wijze security-awareness en de maatregelen op een eenvoudige wijze realiseert binnen je organisatie. “Eerste zorgelijke vraag die wij aan ons zelf moeten stellen; weten wij nu überhaupt dat er een datalek zich heeft voorgedaan?!”, vraagt Martina zich af. “Immers wat je niet als een risico ervaart gaat men in de regel ook niet controleren of monitoren. Anders gezegd, van wat je niet monitort weet je vaak niet of er sprake is van een datalek laat staan om dit lek te rapporteren. De gevolgen van niet tijdig ingrijpen nemen in de digitale wereld met iedere seconde toe!”

Uit onderzoek is gebleken dat veel organisaties nog geen maatregelen hebben getroffen of zelfs nog niet zijn gestart, aldus Martina. “Dit heeft veelal te maken met budget, planning en in sommige gevallen zelfs overtuigd zijn dat zij voldoende maatregelen hebben getroffen. De uitspraak; wij zijn veilig genoeg en de kans dat er iets lekt is verwaarloosbaar klein. Bovendien hebben wij een informatiebeveiligingsbeleid dat voorkomt dat er een datalek zich kan voordoen.”

Misvatting

Een andere misvatting is de gekozen architectuur, aldus Martina. “Veel organisaties stellen: ‘wij maken gebruik van virtuele desktop architectuur en onze gebruikers werken vanuit een gesloten browser en kunnen zelfs hun USB-poort niet gebruiken’. De simpele vraag volgt dan; kunnen uw gebruikers mailen? Zo ja, wat ontbreekt nu aan een gebruiker om een document of zelfs een ZIP-bestand naar hun persoonlijke emailadres te sturen, om toch die informatie beschikbaar te hebben bij zakelijke gesprekken buiten de deur. Te weten dat 80 tot 90 procent van ons werk nog altijd zit in email en juist hier stappen wij overheen of durven te zeggen dat het de verantwoording van de gebruiker is. Dezelfde gebruiker die dus niet begrijpt wat überhaupt een datalek is en IT daarentegen niet weet wanneer een datalek heeft plaatsgevonden. Kortom, de vicieuze cirkel wordt alsmaar groter en dan is niet langer de vraag of er een datalek heeft plaatsgevonden maar wanneer zal ik een boete opgelegd krijgen van 820.000,00 euro door de Autoriteit Persoonsgegevens. Met een beetje pech belandt een dergelijk nieuwsbericht ook nog in de media.”

Kwetsbaarheid

Dit is slechts een simpele situatie die zich dagelijks voordoet en zo zijn er nog meer uitdagingen vervolgt Martina. “Het is van: ‘ja, wij maken het complexer dan het is en nee het is niet kostbaar of ingrijpend om je tegen de grootste datalekken te beschermen’. De security-oplossingen zijn vandaag de dag legio. Traditioneel hebben wij het idee dat je de beveiliging goed hebt ingeregeld als je de beste securityoplossing uit de Gartner Magic Quadrant hebt ingezet. Organisaties roepen vaak: ‘We hebben de beste netwerk firewall, beste firewall tegen application attacks, beste antivirus, beste anti-spam. Wij willen geen afhankelijkheid van één leverancier.’ Hoe zit het met integratie van al die merken, hoe zit het met centraal beheer, ben je in staat om het dataverkeer centraal te monitoren? Stel je eens voor dat een datalek zich heeft voorgedaan, hoe snel ben je in staat dat lek te vinden en de juiste maatregelen te treffen? Al deze componenten zijn silo’s die je per silo dus moet gaan onderzoeken en/of troubleshooten. Kortom, hoe complexer en hoe meer (gecertificeerde) IT-resources je nodig hebt, hoe meer kans er is op menselijk falen. Uiteindelijk kom je tot de ontdekking dat ondanks alle investeringen in de beste securityoplossingen hebben geleid tot een hogere beheerlast en een grotere kwetsbaarheid. Kortom, de kans op een datalek is recht evenredig aan de toename van de complexiteit. Dus hoe groter de complexiteit, des te groter de kans op een datalek. Hoewel complexiteit nagenoeg niet te kwantificeren is, mogen de security officers onder ons voor een groot deel concluderen, als Kans = Complexiteit dan is vanuit risicoanalyse; Risico = complexiteit x impact.”

Om deze complexiteit tegen te gaan biedt Barracuda Networks zijn Total Threat Protection oplossing besluit Martina. “Je bent zo sterk als je zwakste schakel, zeggen wij binnen Barracuda. Barracuda Total Threat Protection integreert best-of-breed security-componenten en biedt real-time bescherming tegen geavanceerde bedreigingen.”

 

Barracuda stelde een paar simpele tips & tricks samen om snel de grootste risico’s voor datalekken terug te dringen. Jean-Pierre Verheij, Security Architect bij Barracuda Networks, maakt via bijgevoegde illustratie inzichtelijk hoe gebruikers bewust kunnen worden gemaakt van een beveiligingsbeleid. Hierdoor zijn organisaties in staat om het risico op een datalek voor 90 procent terug te dringen, aldus Verheij. 

Stap 1: Maak eerst de inbound-, en outbound dataverkeer stromen binnen uw bestaande IT infrastructuur componenten inzichtelijk

Stap 2: Maak inzichtelijk welke van de resources dagelijks het meeste dataverkeer genereert

Stap 3: Bepaal welke data onder een datalek zou vallen indien deze oneigenlijk toegankelijk wordt

Stap 4: 95 procent van de datalekken ontstaat door een menselijke fout. Maak dus de gebruiker bewust van de beveiliging en het informatiebeveiligingsbeleid die hier wellicht ten grondslag aan ligt

Stap 5: Vereenvoudig je IT-netwerk en zorg dat je gehele keten inclusief je hybride netwerk infrastructuur centraal kan monitoren.

Geef u op voor de webinar van Barracuda. of klik op: http://tinyurl.com/BarracudaDutchIT 

publish2connect210 afbeelding

 

Door: Witold Kepinski

Terug naar nieuws overzicht
Security