ICT maakt een steeds belangrijker onderdeel uit van de bedrijfsvoering van elke organisatie. Zowel op technisch als operationeel vlak. ICT security is daarbij onmisbaar. Uit onderzoek blijkt bijvoorbeeld dat inbreuken op de beveiliging voor 70 tot 85% afkomstig zijn uit de eigen omgeving, oftewel naar mensen te herleiden zijn. Dat hoeft niet opzettelijk te zijn. Vaak ligt de oorzaak bij onnadenkendheid of onwetendheid, zoals het oneigenlijk gebruik van systemen. Maar ook het verliezen van een laptop, USB-sticks met foute software, phishing en ransomware zijn bekende voorbeelden. Een belangrijke oorzaak is het niet hebben van de laatste security patches. De overige 15 tot 30% van de inbreuken komt van buitenaf, bijvoorbeeld van het internet.
Helaas zijn deze onderwerpen aan de orde van de dag: een medisch onderzoeker die gegevens van honderden patiënten onversleuteld naar een harde schijf kopieert die vervolgens wordt gestolen; een hacker die gegevens van honderden cliënten steelt die slechts waren beveiligd door een heel simpel wachtwoord; universiteiten die per abuis antwoorden van tentamens online verspreiden. Daarbij staat onze data steeds meer in de cloud. Gasten, medewerkers, patiënten, leerlingen etc. gebruiken vanaf elke gewenste locatie applicaties waardoor traditionele systeembeveiliging niet langer volstaat. Wij verwachten dan ook dat ‘IT beveiliging’ en ‘bescherming van persoonsgegevens’ binnen een paar jaar bijna synoniem zijn. Onder invloed van technische ontwikkelingen zoals geavanceerde malware en beveiligingen, verschuift de focus van systeembeveiliging naar databescherming.
Verwachtingen rondom de GDPR
Op 1 januari 2016 is de meldplicht datalekken, zoals opgenomen in de Wet bescherming persoonsgegevens, in het leven geroepen. Vanaf medio 2018 zal deze wet vervangen worden door de General Data Protection Regulation (GDPR), wat voor veel organisaties nog meer inspanning met zich meebrengt. Deze wet verplicht organisaties namelijk om aantoonbaar voldoende maatregelen ter beveiliging te treffen én om er melding van te maken zodra er sprake is van een datalek van persoonsgegevens. Organisaties riskeren een boete als ze dit niet doen, die onder de GDPR aanzienlijk hoger kan worden. De Autoriteit Persoonsgegevens kijkt dit jaar in het bijzonder naar de invoering van deze nieuwe EU-wetgeving, naleving van formele wettelijke bepalingen én beveiliging tegen onbevoegde inzage of doorgifte van persoonsgegevens.
Hoe zit dat nu voor mijn organisatie?
Passende maatregelen treffen. Wat houdt dat in? Dat begint bij het stellen van een aantal belangrijke vragen passend bij je bedrijfsvoering. Hoe groot is de impact van stilstaande processen door downtime bijvoorbeeld? Werk je veel met persoonsgegevens? Wat als je belangrijke bedrijfsgegevens verliest of slachtoffer wordt van cybercrime? Wie is verantwoordelijk, aansprakelijk en welke security maatregelen kun je treffen? Het is belangrijk dat je als organisatie je security aanpast op basis van je core business. Ongeacht de exacte data waarmee je werkt moet om aan de GDPR te voldoen elke organisatie altijd ‘auditeerbaar’ zijn en moet er voor zorgen dat juiste maatregelen worden getroffen. Ook als je niet dagelijks met persoonsgegevens te maken hebt geldt dat je je zaken op orde moet hebben.
Gedegen stappenplan om klaar te zijn voor de toekomst
Maar hoe kun je je organisatie nu verdedigen en welke architectuur past daar het beste bij? Volledig ‘compliant’ zijn kan je nogal wat hoofdpijn bezorgen. Hoe ben je er als organisatie zeker van dat je de juiste keuzes maakt én daadwerkelijk ‘in control’ bent als het gaat om de beveiliging van je systemen en data? Het inregelen van security is niet van de ene op de andere dag klaar. Hier gaat een proces aan vooraf, waarbij in kaart wordt gebracht voor welke uitdagingen de organisatie staat en welke risico’s de organisatie loopt. Dit is niet meer alleen een IT aangelegenheid, maar vooral ook een keuze die de business maakt. Tenslotte ligt hier het belang van een goede beveiliging.
Security Planning Process: het securityniveau optimaliseren en op hoog niveau houden
Axians helpt je organisatie bij het maken van deze keuzes. Met het Security Planning Process kunnen wij inzichtelijk maken hoe de security van jouw organisatie er momenteel voorstaat en hoe deze verbeterd kan worden, totdat je voldoet aan alle eisen en wensen. Door drie fasen te doorlopen, Scan, Plan en Run, maken we samen van je beveiliging een Security by Design-oplossing die beheersbaar is en actueel gehouden kan worden dankzij het Security Management proces.
Lees hier hoe de provincie Zuid-Holland met Axians als Security Management Partner een beveiligingsmap heeft opgesteld waarbij een brug wordt geslagen tussen de netwerk- en infrastructuur beveiliging, van strategisch tot operationeel niveau.
Meten van de effectiviteit en anticiperen op de actuele status van je beveiliging
De maatregelen die je op ICT-technisch vlak neemt leveren vervolgens een schat aan informatie en inzicht op in de actuele status van de beveiliging, weerbaarheid en effectiviteit van je organisatie. Door ‘Security Information and Event Management’ (SIEM) in te zetten krijg je inzicht in de security incidenten in je infrastructuur en breid je deze uit naar een passend securityniveau. Vermoedelijke incidenten kunnen onderzocht worden en indien nodig uitgezet worden als actie ter voorkoming van mogelijke breaches. Heeft je organisatie zelf weinig kennis op het gebied van analyse en interpretatie van deze informatie, dan kan het Axians Security Operations Center (SOC) uitkomst bieden.
ICT-Security op hoog niveau? Zó ben je in 2018 volledig in control!
Jurist en Security Consultant Mr. Ad Schaafsma neemt je mee in de wereld van Security omtrent datalekken en gegevensbescherming. Wat moet je precies regelen, welke tools helpen je daar bij en hoe blijf je ook in de toekomst in control?
