Redactie - 08 april 2017

Bescherming data begint met classificatie

Organisaties zien met zorg de invoering van de Europese General Data Protect Regulation tegemoet. Deze richtlijn moet de privacy beschermen, maar de kwestie voert verder dan bescherming van persoonsgegevens. “Het gaat erom dat je de waarde van jouw data weet. Dan kun je niet alleen voldoen aan GDPR, maar bovenal een zinvol plan voor opslag en bescherming van gegevens opstellen”, zegt Victor Meerloo, business consultant bij i3 groep.

Meerloo begint zijn betoog met te zeggen dat het bij discussies over opslag van gegevens niet zo heel lang geleden eigenlijk alleen maar ging over de Total Cost of Ownership. “Het moest zo kostenefficiënt mogelijk. Maar de prijzen van storage zijn enorm gedaald, dus dat is vrijwel geen onderwerp van belang meer. Tegelijkertijd beschikken organisaties tegenwoordig over enorme hoeveelheden gegevens; gestructureerde en (veel meer) ongestructureerde. Dan zie je dat de vragen van onze klanten veranderen. Het gaat niet meer over de prijs; het gaat er nu veel meer om dat ze grip op hun data willen krijgen. Ze dreigen erin te verzuipen.”

Ook de maatschappij is in beweging. Er is meer aandacht voor de bescherming van persoonsgegevens, getuige de Europese richtlijn (GDPR; actief per 25 mei 2018) en de Nederlandse Algemene Verordening Gegevensbescherming. “De boetes op datalekken en het niet kunnen aantonen dat je er alles aan hebt gedaan om het lekken te voorkomen, kunnen aardig oplopen. Men gaat ervan uit dat de Autoriteit Persoonsgegevens (AP) nog geen boetes heeft uitgedeeld voor slordige omgang met persoonsgegevens, maar KPN is wel beboet voor 364.000 euro omdat het zijn systemen niet voldoende had beveiligd en een hack in 2012 mogelijk bleek. Die boete is dan wel opgelegd door de Autoriteit Consument en Markt; maar tegenwoordig zou hij ook uitgeschreven kunnen zijn door de AP”, zegt Meerloo.

Diefstal bedrijfsgeheimen

Privacy is een belangrijk component bij het opstellen van een IT-beveiligingsplan, maar Meerloo maakt duidelijk dat er meer speelt. “Wat te denken van intellectueel eigendom? Het is bekend dat vanuit China of Rusland gepoogd wordt blauwdrukken van producten te stelen uit Nederlandse datacentra. Of de dreiging dat Russische hackers zich bemoeien met onze parlementaire verkiezingen.”

Hij vertelt dat het in de gesprekken met klanten – behalve om bescherming van data - nu veel meer gaat over de vindbaarheid van data in verband met de bedrijfscontinuïteit, over de kwaliteit van data, en over compliancy; het voldoen aan de geldende wet- en regelgeving. Dat speelt vooral in de gezondheidszorg (HIPAA) en de financiële wereld (Payment Card Industry Data Security Standard; PCI DSS).

Bovendien speelt mee, aldus Meerloo, dat organisaties zo veel data hebben dat ze onmogelijk een back-up window kunnen creëren, laat staan dat ze de gegevens weer op tijd moeten terughalen in geval van rampspoed. Dat kan dan dagen duren; veel te lang om een redding te zijn voor de organisatie.

Gedrag

Je kunt de systemen dicht timmeren - hoewel dat steeds meer creativiteit vergt in het cloud-tijdperk – het gedrag van mensen is voor ongeveer de helft verantwoordelijk voor datadiefstal/lekkage. “Het komt heel vaak voor – ook in de gezondheidszorg die extra privacygevoelig is – dat mensen gevoelige informatie in een e-mail stoppen of zomaar een bestand bijvoegen. Dat moet niet kunnen. Wij hebben scholing beschikbaar voor dit gedragsaspect.”

Hij zegt dat de gedragscomponent een belangrijk onderdeel is van de dienst die i3 groep aanbiedt om data te beschermen. “Wij gebruiken daarvoor het data security & control framework van Forrester. Dit raamwerk bevat drie onderdelen. Het begint met ‘define’: ontdekken welke data binnen een organisatie leven (en ook daarbuiten als van clouddiensten gebruik wordt gemaakt) en ze vervolgens classificeren. Daarna volgt de fase ‘dissect’: dat gaat om data-intelligentie, het extraheren van informatie over die data; en vervolgens data-analyse, het real-time analyseren van gegevens. De derde stap is ‘defend’. Daarbij gaat het om toegangscontrole tot data, inspectie van patronen in het gebruik van de gegevens door medewerkers, het vernietigen van gegevens als de organisatie ze niet langer meer nodig heeft. En ten slotte het nutteloos maken van data door versleuteling. Als iemand dan onverhoopt toch de hand weet te leggen op die gegevens, dan heeft hij er niets aan. Het zijn alleen maar enen en nullen.”

Veel gesprekken

Om te achterhalen wat de waarde is van data die een organisatie bezit, zijn volgens Meerloo veel gesprekken nodig met medewerkers van de business. “Zij weten tenslotte hoe belangrijk die data zijn. Zij weten ook hoe lang ze bewaard moeten blijven, hoe vaak ze worden geraadpleegd. Maar het gaat niet alleen om de waarde van de data, ook om de context: welke applicatie heeft ze nodig, wie mogen de applicatie gebruiken, en op welke tijdstippen bijvoorbeeld.”

Hoewel de aandacht vooral op digitale gegevens is gericht, geeft Meerloo aan dat ook papieren documenten aan de beveiligingsrichtlijnen moeten voldoen. “Dat wordt vaak vergeten. Maar ook daarvoor moet een plan worden gemaakt.”

Wat ook vaak wordt vergeten, is het weggooien van data. “Organisaties hebben de neiging alles te bewaren, zeker nu storage niet zo duur is. Maar vergeten dat het toch wel geld kost om data op te slaan en te bewaren die geen waarde hebben voor de organisatie. Want je gaat ze ook back-uppen. Dus eerst classificatie; dan weet je wat je waar moet bewaren. Maar vervolgens is het lastig om data weg te gooien, want ze zitten ook in de back-up. Dus als je die terughaalt, heb je die data meteen weer. En wat te denken van een datalek van data die eigenlijk al weggegooid hadden moeten zijn. Ook daar hebben wij aandacht voor.”

Toestemming

Als je eenmaal weet welke gegevens nodig zijn voor de bedrijfsvoering, weet je ook aan wie je toestemming moet vragen om de data te bewaren. “En vervolgens moet je er dus heel voorzichtig mee omgaan. Ook als je bijvoorbeeld in een ziekenhuis met een tablet de patiënten langs gaat. Dat is efficiënt, maar is het ook veilig. Daar moet je gebruiksregels én de juiste technologie voor inrichten.”

Meerloo onderstreept het nog eens: “Het is niet alleen een kwestie van privacy. Het gaat om een integrale aanpak van bescherming van gegevens. Ook om de continuïteit van de bedrijfsvoering veilig te stellen.”

Door: Teus Molenaar

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024