Into data security: het ‘wat’, ‘waarom’ en ‘hoe’

De verschuiving van fysieke ordners naar digitale databases heeft de nodige gevolgen. Tegenwoordig geldt: ‘Zonder data geen bedrijfsvoering.’ Om maar een voorbeeld te noemen: zorgexperts gebruiken data om hele behandelplannen voor patiënten op te stellen. En cruciaal intellectueel eigendom (zoals prototype-informatie of recepten) is gedigitaliseerd. Met deze toenemende afhankelijkheid van data komt het risico op verlies, diefstal of manipulatie van data steeds dichterbij. De kans op een datalek neemt toe en ook cybercriminelen zien in data nieuwe verdienmodellen ontstaan. Veel organisaties zijn namelijk bereid om grote bedragen te betalen voor het terugkrijgen van gestolen data. En als data om andere redenen niet beschikbaar is, zorgt dat vaak voor een desastreuze stagnatie of stillegging van belangrijke processen. Daarnaast worden compliancerichtlijnen steeds strenger: er hangen je fikse boetes boven het hoofd als je niet goed met je data omgaat.  

Data is het hart van de gemiddelde hedendaagse organisatie. En daarom hoor je nu vanuit allerlei hoeken het woord ‘datasecurity’ vallen — kort gezegd, het operationeel waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van data. In deze blogpost bespreken we de essentie ervan! 

‘Threat protection’ en data security: databescherming binnen én buiten de deur 

De meeste organisaties zijn druk bezig met het dichttimmeren van hun virtuele deuren: ze beschermen hun netwerken, systemen en informatie tegen cyberaanvallen van buitenaf. Door medewerkers bewust te maken van hun rol in de verdedigingslinie, maar ook door mogelijke cyberincidenten (waarmee kwaadwillenden zich toegang kunnen verschaffen tot data) 24/7 te monitoren en detecteren én erop te reageren. Dit heet threat protection. Het is natuurlijk heel verstandig om hier veel aan te doen, maar vaak is er daardoor wel sprake van een ondergeschoven kindje: het beschermen van de data zelf. 

Je wilt het ‘bouwwerk’ ook van binnenuit beveiligen. En dat is wat we ‘data security’ noemen. Die term verwijst naar het beschermen van data ongeacht de bron of het type bedreiging. Zo voorkom je datalekken, waarbij data ongeoorloofd wordt ingezien of zelfs naar buiten ‘sijpelt’ — hetzij (per ongeluk) via een medewerker, hetzij via een cybercrimineel die door je threat-protection-muur heen breekt en data meeneemt. 

Compliance: 4 manieren om je data te beschermen 

Data security is niet langer een nice-to-have. Vandaag de dag kun je gerust van een must spreken. Je dient aan verschillende (internationale) regels te voldoen, zoals PCI DSS, HIPAA, NEN7510 en de AVG. Deze vereisen dat je specifieke maatregelen treft om gegevens te beschermen. Doe je dit niet, dan kun je te maken krijgen met boetes en juridische problemen. 

De vraag is: hóe bescherm je je data nu precies? Zonder volledig te zijn, bespreken wij hieronder vier manieren waarop je dit kan doen. 

1. Zorg dat je toegang tot data op orde is 

Wie heeft toegang nodig tot welke data? En voor hoe lang? Met identity and access management regel je dat medewerkers alleen bij díe data kunnen die zij echt nodig hebben voor het doen van hun werk — gedurende een periode waarin dat strikt noodzakelijk is. Zo beperk je de risico’s. Een voorbeeld: een medewerker van de facilitaire dienst in een ziekenhuis hoef je doorgaans geen toegang te geven tot een patiëntendossier. Mocht het gebruikersaccount onverhoopt gehackt worden, dan heeft de hacker deze gevoelige informatie niet direct in handen. 

2. Codeer data en maak back-ups 

Mocht een hacker je data bemachtigen, dan is het natuurlijk handig om een zeer recente off-site back-up te hebben. Daarnaast wil je data voorzien van een goede encryptie. Daarmee werp je een extra barrière op: de hacker zal eerst moeten investeren in het ‘ontcijferen’ van de gestolen data. Hackers zijn immers niet per definitie goede ‘codebrekers’. 

3. Ken je data en zorg voor een goede classificatie 

Welke data bestaat er binnen je bedrijf? Op welke plekken staat deze informatie opgeslagen? En heb je je data correct geclassificeerd? Dit laatste doe je doorgaans op basis van de BIV-classificatie, waarmee je data de volgende labels kunt toekennen: 

• ‘Publiek’ (bijvoorbeeld informatie op je website); 

• ‘Intern’ (informatie die gevoelig is, maar die je met intern met best veel mensen deelt); 

• ‘Vertrouwelijk’ (denk aan klantgegevens of cv’s waarop persoonsgegevens staan); 

• ‘Hoog vertrouwelijk’ of ‘geheim’ (onder andere informatie rondom aandeelhouders, intellectueel eigendom en financiële gegevens). 

4. Omarm data masking 

Data vermommen met een ‘masker’? Dat klinkt misschien een beetje vreemd, maar het bestaat. Data masking is een techniek waarmee je gevoelige informatie in een database beschermt door deze te vervangen door niet-herleidbare, fictieve of ‘gemaskeerde’ gegevens. Het doel: de privacy van data waarborgen, vooral in niet-productieomgevingen (zoals ontwikkel-, test- en trainingsomgevingen) waar echte gegevens geen noodzaak zijn. Als hackers dergelijke gegevens bemachtigen, hebben zij daar niet veel aan. De écht gevoelige informatie hebben ze dan namelijk niet in handen. 

Compliance-fundament leggen… en dan? 

Hoe implementeer je dit soort maatregelen op een gestroomlijnde manier? Goede data security start met een solide beleid: een data security policy waarin je alles vastlegt. Denk aan het ‘wie’, ‘wanneer’, ‘hoe lang’ en ‘waarom’. Maar ook aan de data-encryptie-methode, de datacategorieën en je aanpak omtrent dataretentie, datalekken en (data) security awareness. 

Daarop volgt het operationaliseren van deze onderdelen. Dat doe je onder andere door de hierboven beschreven maatregelen te implementeren. Een andere maatregel die dan om de hoek komt kijken is data loss prevention. Hiermee bedoelen we de ‘hekken’ die je neerzet zodat medewerkers data niet makkelijk kunnen delen. Je stelt bijvoorbeeld in dat een medewerker niet (of niet zomaar) een document met het label ‘vertrouwelijk’ kan delen. Of dat je een signaal krijgt bij ongewoon gedrag (een voorbeeld: een medewerker die over twee weken uit dienst gaat, downloadt plotseling een enorme hoeveelheid aan data). 

Heb je deze zaken allemaal ingesteld, dan is het tijd om naar het beheer te kijken. Hoe houd je je beleid up-to-date? Hoe volg je afwijkingen van je beleid op? Soms blijkt het nodig om een gevaar de kop in te drukken of risico’s te mitigeren. Maar het komt ook voor dat je je beleid enigszins moet aanpassen. Stel, HR deelt regelmatig cv’s met andere afdelingen en het systeem vraagt HR-medewerkers telkens: ‘Weet je zeker dat je dit document wilt delen?’ Zo’n reminder kan vermoeiend worden en de efficiëntie belemmeren. Omdat het om een betrouwbare handeling gaat, kun je je beleid in dit geval optimaliseren. 

Maar voordat je conclusies trekt, moet je de meldingen die voortkomen uit je data-securitymaatregelen éérst interpreteren en analyseren. Dat vergt tijd en een flinke dosis expertise. Wortell neemt deze veelomvattende taak van je over via Managed Detection and Response. Vanuit deze dienst verzorgen wij ook threat protection. Kortom, we helpen je 24/7 met het afweren van externe aanvallen én met het mitigeren van interne risico’s. Zo bouw je een ijzersterk ‘data-security-fort’ waarmee je de hedendaagse gevaren minimaliseert! 

‘Managed data security’, graag! Maar waar begin je? 

Managed data security (MDS) betekent dat je data security bouwt en configureert, maar ook dat je opvolging geeft aan afwijkingen op je beleid. Kortom, het omvat monitoren, visualiseren, detecteren, analyseren en optimaliseren. De vraag is: waar begin je? 

Een goed startpunt is vaak een assessment om je data en risico’s te identificeren. Heb je daar hulp bij nodig? Volg een data-security-workshop of neem contact op met Wortell.