Met bestaande wetgeving zoals de AVG en opkomende nieuwe regelgeving is het voor organisaties belangrijker dan ooit om serieus na te denken over de privacy en beveiliging van gegevens. Overtreed je de privacywetgeving, dan is de Autoriteit Persoonsgegevens (AP) bevoegd om sancties op te leggen. Huidige werkwijzen, technologieën en oplossingen moeten daarom geschikt zijn om gevoelige data te beschermen. Niet alleen tegen dreigingen van nu, maar ook tegen uitdagingen die de toekomst in petto heeft. Om dat te realiseren, is een beveiligingsaanpak noodzakelijk waarbij data centraal worden gesteld.
Het uitgangspunt hierbij is om data te beschermen in plaats van enkel de endpoints, netwerken of toepassingen waartussen data zich bewegen. Zo kun je jouw gegevens opslaan en gebruiken waar je wilt, zonder dat er extra risico’s ontstaan. Om een succesvolle datacentrische beveiligingsaanpak te realiseren, zijn volgens mij drie stappen noodzakelijk.
Ontdek en classificeer data
Een risicoanalyse helpt it-afdelingen namelijk om de gevoeligheid van gegevens te begrijpen en vervolgens op basis van risiconiveau te rangschikken. Bovendien helpt dit organisaties bij het voldoen aan de wet- en regelgeving omtrent privacy en bescherming van gegevens, zoals de AVG.
Bescherm gevoelige data
In het algemeen geldt dat hoe lager in de stack versleuteling wordt toegepast, hoe eenvoudiger en minder ingrijpend de implementatie zal zijn. Echter, een lager niveau betekent ook dat er minder aantallen én soorten dreigingen aangepakt worden door de betreffende versleuteling. Doorgaans kunnen organisaties door gebruik te maken van versleuteling hoger in de stack, ook hogere beveiligingsniveaus realiseren en dreigingen beperken.
Gecentraliseerd beheer van encryptiesleutels
Wil je als organisatie zeker zijn dat je (gevoelige) data goed beschermd zijn? Dan is het de hoogste tijd om data centraal te stellen in je security-beleid. Hiervoor moet je eerst weten waar data zich bevinden en welke risico’s deze lopen. Pas dan kun je concrete stappen ondernemen in de beveiliging ervan.
Steven Maas, sales director encryptie Benelux bij Thales
Het vinden en classificeren van data is een goed idee maar in de meest ideale situatie is de zorg voor data aan de afdeling IT uitbesteed die geen weet heeft van de vertrouwelijkheid van de informatie die in de data zit. De eerste vraag aan een sales director encryptie is dan ook wie doet en bepaalt wat. Hoewel deze vraag eigenlijk al beantwoord is als we kijken naar de uitspraak van het Europese Hof aangaande het data rentmeesterschap blijft de business namelijk nog opmerkelijk vaak haar verantwoordelijkheden hierin ontlopen. Want met het uitbesteden van de zorg voor data is stilzwijgend ook de verantwoordelijkheid overgedragen, tenminste dat denkt de business.
Een ander misplaatst denken van de business is dat alles gratis is want data of sleutels beheren is lood om oud ijzer als we kijken naar de kosten. Het sleutelbeheer uitbesteden aan cybercriminelen die vervolgens geld vragen voor de toegang tot data is dan eigenlijk ook best wel een mooi verdienmodel. Uiteraard geldt hetzelfde voor het uitbesteden van het sleutelbeheer aan de cloud provider want terug naar wie doet en bepaalt wat gaat dus om het vinden en classificeren van data welke waarde heeft voor de organisatie. De sales director van Thales heeft een punt maar maakt deze uiteindelijk niet als het om de controle gaat.