Omslag naar datagedreven beveiligingscultuur in het AVG-tijdperk
9 mei 2018 -
Op 25 mei treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. In de kern helpt de AVG mensen om inzicht in hun gegevens te krijgen en bedrijven moeten zich houden aan strengere privacy- en beveiligingsnormen voor datagebruik.
Dit biedt volgens Mark Crosbie, head Trust & Privacy bij Dropbox, een uitgelezen kans voor bedrijven om de omslag naar een datagedreven beveiligingscultuur te maken.
Een groot deel van de nieuwe regelgeving gaat over de technische aspecten en de nieuwe meldingsplicht om binnen 72 uur aangifte te doen van een datalek."Maar het is minstens zo belangrijk om naar het grotere plaatje te kijken, hoe de AVG gegevensbescherming en veiligheid in kaart brengt en verandert," stelt Crosbie.
Verschuiving naar datagedreven aanpak
De nieuwe verordening draait om het principe privacy by design dat organisaties al bij het ontwikkelen van systemen en producten privacy- en gegevensbescherming moeten inbouwen. Beveiliging werkt van oudsher systeemgestuurd met de focus op tools zoals firewalls, inbraakdetectiesystemen en antivirusdiensten om servers te beschermen.
Hoewel deze aanpak uiteraard belangrijk blijft versnelt de nieuwe regelgeving de verschuiving naar een andere aanpak. Crosbie: "Dit begint met bewustwording oftewel het begrijpen van de volledige levenscyclus van gebruikersgegevens: waar, hoe en wanneer u persoonlijke informatie van uw klanten opslaat en verwerkt, hoe het tussen de verschillende partijen stroomt en uiteindelijk hoe u ervoor kunt zorgen dat data worden vernietigd wanneer ze niet meer nodig zijn."
Grondbeginselen
Uit een recente studie van Verizon bleek dat 25 procent van de gegevensinbreuken direct te wijten was aan een interne factor, grotendeels als gevolg van nalatigheid. Daarnaast bleek dat 80 procent van de schending van gegevens als gevolg van hacking gebeurde door gestolen of zwakke wachtwoorden. Het stappenplan voor een datagedreven beveiligingscultuur verschilt per bedrijf, maar volgens Crosbie zijn er een aantal grondbeginselen:
Maak gebruik van telemetrie voor het bijhouden van gegevensstromen:
Organisaties kunnen hun gegevensstromen bewaken, bijhouden en controleren met behulp van telemetrie op een manier die voldoet aan de AVG-normen. Dit moet ook worden uitgebreid naar leveranciers om ervoor te zorgen dat de gehele levenscyclus van data wordt gemonitord.
Managen van machtigingen:
Een organisatie moet weten wie toegang heeft tot gegevens die ze opslaan en verwerken. De machtigingen beperken tot alleen degene in een organisatie die bepaalde gegevens nodig heeft om een dienst uit te voeren is essentieel.
Vertrouwen opbouwen is een constante dialoog:
De AVG verplicht ‘transparante’ communicatie voorafgaand aan elke verwerking van gegevens en vereist ook dat organisaties alleen met leveranciers samenwerken die kunnen zorgen voor passende gegevensbeschermingsmaatregelen.
Regelmatig dataleksimulaties met management houden:
Organisaties moeten de hernieuwde focus op datalekken en rapportagetijdlijnen in de AVG gebruiken als motivatie om een end-to-end-oefening uit te voeren die een grootschalige datalek simuleert. Dit moet ten minste jaarlijks gebeuren, waarbij telkens twee á drie belangrijke gebieden voor verbetering worden gedetecteerd.
Let op stroomopwaartse en stroomafwaartse partners:
Een datalek bij een partner of leverancier kan snel een doemscenario voor een organisatie opleveren. Het is belangrijk om te begrijpen hoe toegang tot gegevensopslag en het netwerk bij partners is georganiseerd. Neem daarbij aan dat gegevens al zijn geschonden, zodat een defensiestrategie geldt met het principe ‘de aanvaller is al binnen’.
Wereldwijde impact
Hoewel de nieuwe regelgeving gericht is op de bescherming van de persoonsgegevens van mensen die in de EU wonen, zal het een wereldwijde impact hebben, voorspelt Crosbie, omdat het de manier verandert waarop internationaal opererende bedrijven omgaan met gegevens en privacy op verschillende markten. Crosbie: "In een tijd waarin gegevens steeds belangrijker worden voor onze moderne levens, biedt het nieuwe AVG-kader een waardevolle mogelijkheid voor collectief onderwijs over wat er met onze gegevens gebeurt. Maar ook waar het wordt opgeslagen, waar het naartoe gaat en belangrijker nog hoe het veilig te houden in elke fase. Dit betekent niet alleen datagedreven beveiliging maar ook beveiliging die wordt gedreven door inzet op lange termijn om het vertrouwen te verdienen van mensen en gebruikers.''