In Blogs, Informatiebeveiliging

Cybercriminaliteit en datalekken zijn een hot item. Er zijn regelmatig organisaties in het nieuws die het slachtoffer zijn geworden van een hack of waar door een misser van een medewerker gevoelige informatie op straat ligt. Je kunt rustig stellen dat er twee type organisaties zijn: zij die weten dat ze een datalek hebben, en zij die dit (nog) niet weten… Tot welke categorie behoort jouw organisatie..? Maar geen zorgen, er is een oplossing!

Eerlijk is eerlijk, informatiebeveiliging is niet altijd even eenvoudig. En dat het de besten kan overkomen, blijkt wel uit de rapportage van Zembla over een datalek bij Europol. Dit komt doordat informatiebeveiliging een drietrapsraket is en niet zoals zo vaak gedacht een ééntraps. Aan de ene kant moet je voor informatiebeheer kunnen beschikken over een gedegen en veilig technisch platform. Aan de andere kant heb je helder en duidelijk beleid nodig met procedures, rollen en verantwoordelijkheden gericht op het gebruik van dit platform en bijbehorende informatie. Last but not least, is het werkelijk bewustmaken van de medewerker die met bedrijfs- of privacygevoelige informatie werken.

Wetgeving datalekken

Op 1 januari van dit jaar is de meldplicht datalekken ingegaan. Dit houdt heel simpel gezegd in dat als er privacygevoelige informatie op straat komt liggen, je als organisatie verplicht bent om dit te melden bij de Autoriteit Persoonsgegevens op straffe van een fikse boete. In dit geval heeft de overheid dus mede voor ons bepaald dat bedrijven en overheidsorganen informatiebeveiliging zeer serieus moeten nemen.

datalekken_handelswijze_sloten

Azure Information Protection

De IT-industrie is jaren bezig geweest om apparaten en netwerken te beveiligen tegen datalekken. Maar in de huidige tijdgeest is dat niet meer voldoende. In het mobiele tijdperk waarin we ook steeds meer samenwerken met mensen buiten onze organisaties, is het beveiligen van informatiedragers en netwerken alleen niet meer genoeg. Je zult ook maatregelen moeten treffen om de informatie zelf te beveiligen, los van de drager of het netwerk. Microsoft doet met Azure Information Protection een duit in het zakje. Met deze cloud-gebaseerde oplossing kan een organisatie haar documenten en e-mails classificeren, labelen, beveiligen en volgen. Zelfs wanneer deze informatie fysiek de organisatie verlaat.

Laten we bovenstaande verduidelijken aan de hand van een concreet voorbeeld. Stel je eens een psychische hulpverleningsinstantie voor. En een e-mail voorzien van een elektronisch cliëntdossier die met een hulpverlener buiten de organisatie gedeeld moet worden. Ik denk dat we het erover eens zijn dat dit privacygevoelige informatie is. Met behulp van Azure Information Protection zou het delen van informatie als volgt veilig kunnen plaats vinden:

Stap 1: De informatie in de e-mail wordt geclassificeerd. Dit kan de gebruiker zelf handmatig doen of dit gebeurt automatisch op basis van patroonherkenning, bijvoorbeeld doordat er BSN-gegevens in de e-mail staan die herkend worden.

Sta 2: De informatie krijgt een label op basis van deze classificatie. Deze labels zijn zowel zichtbaar als onzichtbaar. Voorbeelden van labels zijn: Publiek, Intern, Vertrouwelijk en Geheim. De zichtbare labels maken de eindgebruikers duidelijk dat de e-mail gevoelige informatie bevat.

Stap 3: Op basis van de labels wordt er wel of niet overgegaan tot het beveiligen van de informatie in de e-mail en bijlagen. Zo wordt de informatie versleuteld en worden er beperkingen toegevoegd. Onder beperkingen vallen dingen als niet mogen printen, aanpassingen doen, niet doorsturen of uitsluitend kunnen antwoorden aan de zender.

Stap 4: Het monitoren van de verzonden e-mail, is het registreren van wie welke informatie waar gedeeld heeft. Op deze manier kan alles wat er met de informatie in de e-mail gebeurd is, herleid worden.

Stap 5: Actie ondernemen als blijkt dat er tijdens het monitoren van je gedeelde informatie zaken niet in de haak blijken te zijn. De sleutel tot de informatie kan weer ingetrokken worden en dit proces heeft tot gevolg dat er geen bruikbare sporen worden achtergelaten.

Informatiebeveiliging

Dat informatiebeveiliging een onderwerp is dat organisaties sowieso bezighoudt, blijkt uit dit recente onderzoek van Sharegate over SharePoint en Office 365 gebruik. Office 365 wordt steeds populairder en tegelijkertijd zijn organisaties terughoudend in het verplaatsen van hun on-premises SharePoint naar de cloud vanwege zorgen om de beveiliging van informatie in diezelfde cloud.

En dit terwijl informatie in de cloud juist veiliger is dan on-premises, is mijn overtuiging. Simpelweg omdat Microsoft meer middelen, kennis en schaalvoordeel heeft om de veiligheid, compliance (het voldoen aan beleid en regelgeving) en privacy te garanderen, dan de eigen IT-afdeling.

Bewustwording

Je kunt als organisatie nog zo je best doen om datalekken te voorkomen door alles dicht te timmeren, maar je medewerkers spelen hier een niet te onderschatten rol in. De informatieveiligheid zal pas verbeteren als er beleidsvorming komt gericht op bewustwording. Zodat eindgebruikers weten wat de risico’s zijn van het lekken van privacygevoelige informatie door eigen, ondoordacht handelen.

Want wie kent ze niet? De mensen die van hun laptop weglopen zonder deze te vergrendelen. Die collega met het wachtwoord op het toetsenbord geplakt. Of die andere collega die ’s avonds thuis nog wat wil doen en wat privacygevoelige documenten op een memorystick mee naar huis neemt.

Mavention helpt organisaties bij zowel het technisch aspect van informatiebeveiliging als de gebruikerskant in de vorm van bewustwording, training en adoptie. Wil je meer informatie over dit onderwerp, stuur mij dan een mail.

Vul je zoekopdracht in.