Gert Lambers - 19 mrt 2018

U kon onlangs ons eerste deel lezen in de reeks 'Uw ICT optimaliseren voor GDPR', waarin we de focus legden op uw ICT-infrastructuur en de toestellen binnen uw organisatie. Vandaag deel 2, waarin we kijken naar uw data, de gebruikers en de volgende stappen die u moet ondernemen.

De boeken / Uw data

ICT optimaliseren voor GDPR

We zijn intussen aan het beeld van de bibliotheek gekomen. Uw data zelf dus. Niet meer de devices of de infrastructuur, maar de data zelf.

Inzicht en inventarisatie

Het klinkt een beetje triviaal. Maar alles begint met te weten welke data u heeft en waar die zich bevindt. Dat is ook de reden dat er binnen de GDPR zoveel aandacht wordt besteedt aan het dataregister.  U zou kunnen denken dat wanneer uw burcht en uw werkpaard voldoende beveiligd zijn, dat uw data dat dan automatisch ook zijn. Dat is jammer genoeg niet het geval. Informatie kan bijvoorbeeld heel gemakkelijk naar buiten gestuurd worden (mail of gewoon toegang delen). Op het moment dat dat gebeurt, intentioneel of niet, heeft u, zonder extra aanpassingen op uw ICT geen enkele controle meer over wat er met die data gebeurt. Wie heeft toegang tot welke data, op welk moment, van op welke plaats, om welke reden… Eigenlijk hoort u permanent het antwoord te kennen op die vragen.

U beschikt normaal gesproken over twee belangrijke vormen van data. Gestructureerde gegevens en ongestructureerde gegevens. We bekijken ze even afzonderlijk.

Gestructureerde gegevens

Gestructureerde gegevens zijn gegevens die zich typisch in een of ander database bevinden. Het betreft dus uw klantgegevens in uw boekhoudapplicatie of CRM-systeem. Maar ook uw medewerkersgegevens in de cloud applicatie van uw Sociaal Secretariaat vallen bijvoorbeeld onder deze categorie.

Belangrijk is vooral dat u weet waar welke gegevens zich bevinden en dat u in staat bent onder controle te houden wie toegang heeft tot die gegevens en wat er mee gebeurt. Ook hier geldt dus dat u best kan gaan voor encryptie aan de bron. Dat wil zeggen de datadragers waarop de database zich bevindt, maar liefst ook de database zelf. Indien uw gegevens in “de cloud” staan zal u hierover garanties moeten afdwingen bij uw leverancier.

Ongestructureerde gegevens

Bij gestructureerde gegevens is alles nog relatief makkelijk.  Die zitten in een systeem en daar kan je regels op gaan toepassen. Bij ongestructureerde gegevens is het al een pak moeilijker te weten waar ze zich precies bevinden en wie er toegang toe heeft en welke data er precies allemaal inzitten.

Ook hier zal dus een diepgaande inventarisatie moeten gebeuren. Maar gelukkig is de technologie zo ver dat het ook mogelijk is om ongestructureerde data labels mee te geven waarop gestructureerde acties (archivering, encryptie, verwijderen,…) kunnen worden toegepast.  Op een aantal vlakken zal de technologie dus zeker een helpende hand uitsteken. Indien u beschikt over een business versie van O365 bijvoorbeeld zal u wellicht al over veel van deze zaken beschikken. Het is dus nog een kwestie van ze te gaan gebruiken.

Concreet

Het in kaart brengen is dus één element. Maar wat kan je nu concreet gaan doen? Encryptie en correcte controle van toegang is alvast het eerste. Op gestructureerde gegevens zal dat meestal in overleg moeten gebeuren met de software partij die de data structureert. Op ongestructureerde data kan dit ook door gebruik te maken van labels op basis waarvan bepaalde zaken automatisch worden toegepast op de bestanden (in Office bijvoorbeeld) of de mails. Zo kunnen ze automatisch worden geëncrypteerd of kan er voor gezorgd worden dat ze niet leesbaar zijn buiten uw organisatie.

Een ander heel concreet element is ook het verwijderen van data die u niet meer nodig hebt. Dat kan zowel gebeuren op de gestructureerde (Aurelium verwijderde bijvoorbeeld bijna 20.000 contactgegevens) als op de ongestructureerde data.

En denk ook eens na over een aantal relatief simpele ingrepen. Zo kan u bijvoorbeeld perfect de afspraak maken dat mails binnen uw organisatie altijd een onderwerp krijgen dat begint met “Intern - ….”. Als u erin slaagt van uw gebruikers dat te laten doen kan u op uw perimeter beveiliging (firewall of mailserver) er bijvoorbeeld voor zorgen dat mails die die combinatie in het onderwerp niet worden buitengestuurd. Zo zorgt u er ook al voor dat bepaalde interne informatie niet per ongeluk kan doorgestuurd worden naar externe contactpersonen.

De gebruiker / Uw identiteit

ICT optimaliseren voor GDPR

Als alle voorgaande elementen op punt staan, schiet er nog één zwakke schakel over. De gebruiker. We hebben intussen op alle niveau’s allerlei security geïmplementeerd, maar net zoals met u de sleutel hebt om de fysieke beveiliging van uw huis of kantoor te ontgrendelen heeft uw gebruiker de sleutel om uw data te ontgrendelen. En dat is ook nodig anders zou uw gebruiker met die data niet aan de slag kunnen uiteraard.

Een bijkomend probleem in dit verband is ook dat verhoogde security door uw gebruikers vaak ook aangevoeld wordt als een rem op de flexibilteit en de gebruiksvriendelijkheid van uw ICT Systemen. Maar dat mag geen reden zijn om de beveiliging ook tot op dit niveau door te trekken en op te voeren. Bovendien is de technologie intussen zo ver gevorderd dat een verhoogde beveiliging niet noodzakelijk nog wordt aangevoeld als een grote belemmering voor de gebruikers.

Wie is het?

Het is een legendarisch spelletje. Maar met uw bedrijfsdata speelt u liever geen spelletje. U wil (en in GDPR tijden moet) weten wie toegang heeft tot uw netwerk en uw data. Een accurate identiteitscontrole is dus cruciaal. Uw data zijn vaak van overal toegankelijk. U kan dus onmogelijk nog fysiek controleren wie er in uw burcht zit en dus toegang heeft tot uw data.

Paswoorden passé?

Klassiek wordt dit gecontroleerd met een login (combinatie van een gebruikersnaam en een paswoord). Dat paswoord is al voer geweest voor talloze blogs (ook op onze sites), voor wetenschappelijk onderzoek en vooral ook een bron van frustratie voor veel gebruikers (vooral in verband met de minimumvereisten en het verplicht wijzigen van paswoorden).

Gelukkig zijn er tegenwoordig toch wel evoluties die het niet meer noodzakelijk maken om (alleen) te vertrouwen op een combinatie van een gebruikersnaam en een paswoord (en dus van het correct omgaan van uw gebruikers met dat paswoord).

Het is het ideale moment om multifactor authenticatie te gaan gebruiken. Iets toe te voegen dus aan de combinatie gebruikersnaam en paswoord. Dat kan bijvoorbeeld een sms zijn die naar een gsm nummer wordt verstuurd, een appje op de smartphone waarop nog geklikt moet worden vooraleer je toegang krijgt of een biometrische controle (fingerprint, iris reader,…). Het is al lang geen science fiction meer en is technologie die betaalbaar beschikbaar is gekomen, ook voor kleinere bedrijven, net dankzij cloud technologie. Bovendien is het op dat moment minder noodzakelijk om uw paswoord om de drie maanden te wijzigen. Integendeel, grote bedrijven uit de technologie sector raden intussen aan om dat niet meer te doen, maar te werken met één (liefst nog wel een beetje lastig te raden) paswoord dat niet meer frequent vervangen hoeft te worden maar dat wordt aangevuld met een multifactor authenticatie element.

Login met centraal beheer

Probeer binnen uw omgeving er ook voor te zorgen dat u gebruikers toegang geeft tot alles wat ze nodig hebben met één account. Op basis van één (multifactor beveiligde) account dus. Dit heeft een aantal voordelen. Zowel voor u als beheerder en verantwoordelijke, maar ook voor uw gebruiker. Hij moet namelijk niet meer én de login voor de pc, én de login voor de crm applicatie, én de login voor de bestelsite van de leverancier,… onthouden (of onveilig opschrijven). Hij heeft altijd voldoende aan zijn gewone identiteit.

Het voordeel voor u als beheerder is ook evident. Wanneer alle noodzakelijke toegang gegeven wordt via één account/identiteit kan die namelijk ook weer afgenomen worden via één account/identiteit. Al wie al eens een exit procedure heeft moeten uitvoeren om een gebruiker die uit dienst gaat ALLE rechten af te nemen op ALLE omgevingen waarin zich data bevinden die voor uw medewerkers noodzakelijk zijn om hun werk te kunnen doen, zullen weten ik bedoel.

Een gewaarschuwd man…

Zorg er ten slotte ook voor dat uw gebruikers, als laatste en zwakste (want menselijke) schakel van de beveiliging goed weten waar ze mee bezig zijn. Leg hen uit wat de risico’s zijn van bepaald bedrag. Als u minimumvereisten oplegt voor devices die mogen gebruikt worden, geef dan mee waarom dit belangrijk is.

Zorg er ook voor dat uw gebruikers de aangeboden tools en software correct weten te gebruiken. Vaak worden veiligheidsrisico’s niet bewust gecreëerd maar gewoon uit onwetendheid. En dan zijn alle aanpassingen en investeringen op het vlak van de beveiliging van uw burcht, werkpaard, en data gewoon nutteloos....

Je bent nooit klaar…

Om af te ronden hebben we dan ook nog een beetje slecht nieuws. Om naar een goed beveiligde infrastructuur te gaan, die ook GDPR compliant is, zal u dus op verschillende niveaus actie moeten ondernemen. Binnen uw onderneming onderscheiden wij 4 belangrijke domeinen die u in orde moet hebben en jammer genoeg ook moet houden! U bent er dus nooit mee klaar.

  • De centrale infrastructuur – uw burcht
    Wellicht het meest klassieke domein. Uw centrale infrastructuur voldoende beveiligen. Net zoals u dat doet met uw huis of kantoor moet ook op het vlak van uw ICT infrastructuur het hart en de basis in orde zijn. Of je nu volledig on-premise, volledig in de cloud of hybride werkt, zorg dat op dit front alles in orde is.
     
  • Uw toestellen – uw werkpaarden
    Zorg er vervolgens ook voor dat alle client devices voldoen aan de noodzakelijke veiligheidsvereisten. Encryptie waar het kan, correct werkende antimalware en veilige basisconfiguraties zijn een noodzaak. Leg die minimumvereisten ook gewoon technisch op. Met andere woorden vermijd dat toestellen die niet veilig zijn, op uw netwerk en aan uw gegevens kunnen.
     
  • De data – uw boeken
    Leg ook op het niveau van de data zelf voldoende beveiliging. Weet en hou onder controle wie op welk moment toegang (nodig) heeft tot welke data. Doe dit zowel voor de gestructureerde als voor de niet-gestructureerde data.
     
  • De gebruiker – uw identiteit
    Zorg er ten slotte ook voor dat u weet aan wie u de sleutels geeft om toegang te krijgen tot uw beveiligde omgeving. En vooral ook dat u er zeker van bent dat diegenen die die sleutels hebben heel goed weten hoe ze ermee moeten omgaan. Dat ze de risico’s en gevaren correct kunnen inschatten, dat ze in staat zijn om zaken te melden als het ergens fout gaat en dat ze zelf niet de zwakste schakel in uw beveiliging worden.
     
  • Installeer, controleer, update, gebruik correct, update, …. en begin opnieuw
    En dan het minder aangename nieuws…. U bent er nooit mee klaar. Als u alle bovenstaande in kaart hebt gebracht en geoptimaliseerd, is het zaak om dit permanent te monitoren, constant te upgraden en up-to-date te blijven en de zaken niet alleen onder controle te hebben maar de zaken ook onder controle te houden.

Organiseer u dus zodanig dat uw systemen, software, hardware en mensen regelmatig worden geüpdatet. Zodat ze niet alleen veilig zijn, maar dat ook blijven!

Klaar om dit in de praktijk te brengen?

Aurelium helpt KMO's bij het in kaart brengen van GDPR-risico's en stelt een actieplan op en voert het samen met u uit om GDPR-compliancy te bereiken voor uw bedrijf. Contacteer ons vrijblijvend voor een offerte en aanpak!

Uw ICT-infrastructuur optimaliseren voor GDPR? Contacteer ons voor een aanpak op maat.