Informatiebeveiliging is een hot item. Door het nieuws rondom datalekken en de aankomende Europese verordening GDPR kan het je niet ontgaan zijn. Iedere organisatie zal zijn beleid onder de loep moeten nemen en beoordelen: voldoen wij aan de GDPR? Wat moeten we aanpakken om er wel aan te voldoen? Welke gegevens bewaren wij eigenlijk? En dit geldt niet alleen voor grote bedrijven, de GDPR geldt ook voor het MKB. En volgens de cijfers was halverwege 2017, 60% van het MKB daar nog niet van op de hoogte.
Persoonlijk verwacht ik van een bedrijf of organisatie natuurlijk dat deze te allen tijde haar informatiebeveiliging netjes op orde heeft. Gelukkig hebben de meeste organisaties in ieder geval verscheidene vormen van informatiebeveiliging, echter lezen we toch met enige regelmaat dat een organisatie een incident heeft gehad. Soms blijft het bij een melding van een (verholpen) kwetsbaarheid, maar vaak zijn er ook daadwerkelijk gegevens in handen van derden gekomen middels een datalek. Zo hoorden we over het datalek bij de Belastingdienst waar gegevens per e-mail zijn verstuurd. En een standaardwachtwoord bij een leverancier van Ticketscript waardoor gegevens van 100.000 klanten inzichtelijk waren. De kleinere datalek echter, zoals een verkeerd geadresseerd mailtje, hoor je zelden, terwijl dat toch ook zeker voorkomt en minstens zo kwalijk is. Voor meer info, de breach level index geeft inzicht in de grootste datalekken wereldwijd met een focus op persoonsgegevens.
Consequenties van een datalek
Grofweg kan je onderscheid maken tussen drie typen datalekken, een datalek welke optreedt doordat kwaadwillenden misbruik maken van een kwetsbaarheid in (jouw) software, een datalek welke optreedt doordat kwaadwillenden misbruik maken van onzorgvuldige eindgebruikers (zwak wachtwoord, phishing mail, verouderde beveiligingsupdates). Of een datalek doordat gebruikers onzorgvuldig omgaan met gegevens, denk aan een emailblunder, een verloren usb-stick of documenten abusievelijk delen met onbevoegden. Vooral de laatste twee typen zijn te wijten aan onzorgvuldigheid of onwetendheid van medewerkers of bedrijven en zijn typen waar je als bedrijf zeker iets aan kan doen.
Ben je uiteindelijk toch onderwerp van een datalek, dan kunnen de gevolgen groot zijn. Reputatieschade, een onderbreking van de bedrijfsvoering, financiële schade zoals boetes en claims, om nog maar niet te denken aan de schade die een klant als gedupeerde lijdt. Wanneer het om boetes gaat, moet er echt grove schuld zijn wil de Autoriteit Persoonsgegevens een boete opleggen en dat is het afgelopen jaar niet gebeurd. Of dat met intrede van de GDPR ook zo blijft zal nog duidelijk moeten worden. Tot slot zal je met een goed plan moeten komen om te voorkomen dat een datalek in de toekomst nogmaals optreedt en zal daar ook enige (politieke) druk op je organisatie bij komen. Een vooruitzicht dat je graag voor wil zijn.
Wat betekent de GDPR voor de burger en voor een organisatie
In mei 2018 gaat de vernieuwde verordening vanuit Europees niveau van kracht genaamd GDPR. De GDPR focust zich voornamelijk op vier elementen:
- Betere en sterkere rechten voor burgers
- Meer verantwoordelijkheden voor bedrijven
- Sterkere bevoegdheden voor toezichthouders
- Betere samenwerking in Europa
De GDPR geeft de burger recht om een organisatie te vragen wat de organisatie van hem weet en mag vervolgens vragen deze informatie te verbeteren of te verwijderen. Vervolgens ben je als organisatie verantwoordelijk voor de data. Als er bijvoorbeeld een datalek optreedt, ben je verplicht deze te melden. Nu heeft de GDPR alleen betrekking op data rondom persoonsgegevens, informatiebeveiliging gaat verder dan alleen persoonsgegevens. Een organisatie wil ook intellectueel eigendom en andere bedrijfsgegevens beschermen en voorkomen dat aangeboden diensten beschikbaar blijven ondanks een bijvoorbeeld aanval van buitenaf. Hoewel deze typen informatie en bescherming niet binnen de verordening van de GDPR vallen, zal je ook daar maatregelen voor moeten treffen.
Informatiebeveiliging binnen Azure en Office 365
Kort gezegd beslaat informatiebeveiliging de volgende aspecten:
- Informatiebeleid met daarbinnen aandacht voor privacy en ICT gebruiksbeleid
- Opslag van van (privacy)gevoelige- en bedrijfsinformatie
- Bewustzijn van de mogelijkheden en de genomen maatregelen voor gegevensbescherming
- Bewustzijn en gebruik van de maatregelen bij medewerkers
- Een (geoefend) incident response plan
Als partner van Microsoft werkt Mavention met de diensten die Microsoft beschikbaar stelt, zoals data loss prevention policies, Azure Information Protection, Advanced threat protection, etcetera. Sommige van deze diensten kan je ‘gewoon’ aanzetten en monitoren. Anderen moeten afgestemd worden op jouw organisatie. Daaromheen biedt Mavention haar dienstverlening aan, te beginnen met een quick scan en een inspiratiesessie wanneer het informatiebeveiliging betreft. Daarnaast begeleiden onze business consultants je graag bij bijvoorbeeld de invoering van een informatiebeleid, strategie en adoptie hiervan.
Over bovenstaande onderwerpen besteden we meer aandacht in komende blogs. Dit is een eerste blog in een reeks van blogs over informatiebeveiliging. In toekomstige blogs verdiepen we ons o.a. in de mogelijkheden van Office 365, beleid rondom informatiebeveiliging, bewustzijn en adoptie van een informatiebeveiligingsbeleid en welke mogelijkheden Azure en Azure information protection biedt.
Wil je meer informatie over de mogelijkheden, neem dan contact met ons op.
The post Informatiebeveiliging en GDPR: een introductie appeared first on Mavention.