Tegenwoordig zijn er meer manieren dan ooit waarop bedrijfs- of privacygevoelige data kunnen lekken. Imagoschade en verstoring van de bedrijfsvoering liggen daarbij op de loer. Policy’s voor data leakage prevention (dlp) kunnen veel ellende voorkomen, maar de implementatie daarvan vereist zorgvuldigheid en geduld.
Acer kwam onlangs weinig positief in het nieuws. De laptopfabrikant kon niet voorkomen dat door een data breach 35 miljoen creditcardgegevens op straat belandden. Een flinke deuk voor het imago van de Taiwanese fabrikant, en een zorgelijke situatie voor de betrokken klanten.
Helaas is bovengenoemd voorbeeld geen uitzondering. Regelmatig verschijnen in de media treurige verhalen over datalekken, waarbij privacygevoelige informatie op straat belandt. Specialistische dlp-oplossingen helpen met het voorkomen van dergelijke incidenten.
Weerstand of verstoring
Het klakkeloos naar binnen schuiven van dlp-oplossingen is echter vrijwel nooit een goed idee. Deze grijpen veelal diep in op de dagelijkse bedrijfsvoering. Daardoor kan bijvoorbeeld weerstand ontstaan bij medewerkers, of kunnen datastromen verstoord raken.
Een gefaseerde aanpak verdient de voorkeur. Start eenvoudig en met een enkele policy, zodat de gevolgen voor de bedrijfsvoering overzichtelijk blijven. Aan de hand daarvan kunt u deze regels eventueel bijschaven. Geeft een policy geen directe problemen voor de dagelijkse verkeersstromen, dan kunnen gebruikers gewaarschuwd worden. Bijvoorbeeld via notificaties in browsers bij onrechtmatige of gevaarlijke handelingen. Dat verhoogt het veiligheidsbewustzijn bij de medewerkers verder en vergoot de acceptatie van de oplossingen in de organisatie.
Stappenplan
Een gedegen, gefaseerd dlp-project doorloopt de volgende stappen:
1. Bepaal met de business het policygebied
Veel dlp-trajecten worden geïnitieerd vanuit de it-afdeling. Logisch, maar daarbij mag de business niet worden overgeslagen. Zij kunnen doorgaans beter inschatten welke aandachtsgebieden prioriteit verdienen. Bovendien is dlp een onderdeel van risicomanagement, en daar heeft de boardroom meer zicht op dan it. Zij kunnen beter inschatten wat de bedrijfsgevolgen zijn van datalekken of maatregelen die bijvoorbeeld medewerkers strikte beperkingen opleggen.
2. Borg de policy in de gehele organisatie
Een policy moet vervolgens tot diep in de organisatie worden geborgd. Niet alleen de it-afdeling, maar de gehele organisatie moet ervan op de hoogte zijn en hier achter staan. Daarbij hoort ook het aanwijzen van verantwoordelijken.
3. Test en speel
Staan alle neuzen dezelfde kant op, dan is het tijd de policy grondig te testen. Kijk wat er gebeurt, waar er eventueel verbeteringen of aanpassingen nodig zijn. Dat alles in een testomgeving, niet in de bedrijfskritische systemen. Zodat eventuele problemen niet de dagelijkse bedrijfsvoering verstoren.
4. Activatie dlp-policy in ‘monitoringmodus’
Werkt de policy vooralsnog zonder problemen, dan kunt u die loslaten op de productieomgeving. Echter nog wel in de monitoringstand: voor eindgebruikers zijn de maatregelen en de effecten ervan nog onzichtbaar. In deze fase wordt duidelijk welke effecten de policy heeft op daadwerkelijke verkeersstromen.
5. Impactanalyse en evaluatie
Vervolgens is het maken van een gedegen analyse aan de beurt. In een van tevoren vastgesteld tijdsraam kunt u hier bepalen of er bijvoorbeeld veranderingen zijn opgetreden in datastromen, of anderzijds opvallende zaken zijn waargenomen. Ook belangrijk is een analyse van waar en op welke manier de policy de business heeft geraakt. Betrek daar wederom de gehele boardroom bij.
6. Notificaties richting medewerkers activeren
Is een policy naar wens, dan kunt u voorzichtig starten met het betrekken van de overige medewerkers. Dat kan het beste door het activeren van ‘opvoedkundige’ meldingen, bijvoorbeeld bij acties die tegen de nieuwe regels indruisen. Daaraan zijn nog geen acties gekoppeld, maar sturen de betrokken medewerker al wel in de goede richting. Dat verhoogt bij hen het bewustzijn en laat ze alvast wennen aan de nieuwe regels. Dit is een belangrijke fase, want zonder steun vanuit de organisatie is het dlp-traject gedoemd te mislukken.
7. De policy daadwerkelijk van kracht maken
Werkt de policy naar behoren, zijn medewerkers ermee vertrouwd en handelen ze ernaar, dan kan de policy daadwerkelijk van kracht worden.
Neem de tijd
Neem voor bovenstaande stappen vooral de tijd. Overhaaste spoed werkt in dit geval averechts. Volgende policy’s laten zich bovendien zeer waarschijnlijk sneller implementeren, omdat u al profiteert van de ervaring en kennis opgedaan met de uitrol van eerdere policy’s.
Bart Verhaar, productmanager bij Motiv
