Datalekken, 10 maatregelen voor de privacybewuste CISO

Datalekken, 10 maatregelen voor de privacybewuste CISO

Nederlandse organisaties zijn sinds januari 2016 verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens, en indien van toepassing, ook aan de geraakte betrokkenen. Bij datalekken is er sprake van toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Datalekken komen elk jaar meer en meer voor, en kunnen veroorzaakt worden door technische redenen, of doordat er misbruik is gemaakt van het vertrouwen van specifieke medewerkers, doordat kennis van functies, bedrijfscultuur of jargon gebruikt is.

Contact

Gerelateerde content

In november 2016 vond een groot datalek plaats bij Europol. Ruim 700 pagina’s van terrorisme- onderzoeksrapportages waren ontdekt door de Nederlandse televisieshow Zembla. De data was zonder toestemming mee naar huis genomen door een medewerker en op een persoonlijke netwerkschijf die verbinding had met het internet gezet. Europol had maatregelen ingericht om een datalek te voorkomen, maar waren deze van voldoende niveau? In deze blog noemen we 10 maatregelen die iedere privacy-bewuste CISO minimaal zou moeten nemen.

  1. Verbeter de security en privacy awareness van eindgebruikers
    Door een security en privacy minded cultuur te creëren en praktische training aan te bieden, zal het aantal incidenten waarbij data gelekt wordt door medewerkers verminderen; zijn medewerkers beter in staat om te reageren op social engineering aanvallen als phishing of frauduleuze telefoongesprekken en ervan bewust zijn dat gevoelige documenten met zorg behandeld dienen te worden. Denk hierbij aan bijvoorbeeld het kopiëren van paspoorten voor HR, of het (onversleuteld) versturen van gevoelige gegevens via e-mail.
  2. Identificeer gevoelige bedrijfsdata
    Een organisatie en diens medewerkers dienen te weten welke data tot hun kroonjuwelen behoort en die daardoor bij een datalek de hoogste impact zou hebben. Data Loss Prevention (DLP) tools die een focus hebben op content kunnen helpen bij de identificatie van gevoelige data, het te classificeren, en aan te pakken.
  3. Monitor op ongewenst medewerkersgedrag
    Het geautomatiseerd detecteren van mogelijk ongewenste gebruikershandelingen op systemen met gevoelige data (met hun medeweten en goedkeuring) en het implementeren van DLP oplossingen kan bijdragen aan het vroegtijdig herkennen van datalekken. Denk hierbij aan het vroegtijdig herkennen van patronen zoals het downloaden van bedrijfsdata en deze vervolgens verspreiden via e-mail of kopiëren naar een draagbare mediaopslag.
  4. Versleutel gevoelig data
    Gestolen laptops en USB sticks vertegenwoordigen een hoog percentage van de datalekken. Door (gevoelige) data (zowel opgeslagen als op het netwerk) te versleutelen, in combinatie met een sterk wachtwoordbeleid en de mogelijkheid om op afstand hardware te wissen, wordt de kans voor buitenstaanders om toegang te krijgen aanzienlijk kleiner.
  5. Monitor datatoegang en netwerkverkeer
    Door het monitoren van toegang tot privacygevoelige data en versturen van deze data over het netwerk kan een datalek tijdig(er) worden opgemerkt. Denk hierbij aan het controleren van in- en uitgaand verkeer op spam en malware. Met DLP tools kunnen diensten als instant messaging en het delen van bestanden via peer-to-peeroplossingen en FTP-verkeer worden gemonitord. Waar DLP tools kijken naar netwerkverkeer kunnen zogenaamde Data Activity Monitoring (DAM)-oplossingen database-activiteiten monitoren en meldingen geven indien pogingen tot het verkrijgen van ongeautoriseerde toegang de vertrouwelijke gegevens ondernomen worden.
  6. Filter en limiteer internet en web verkeer
    Iemand die persoonsgegevens wil ontvreemden kan een webmail account gebruiken, of data uploaden naar een web-based filesharing site. Wij adviseren de toegang van medewerkers tot risicovolle websites (zoals WeTransfer of Dropbox) of persoonlijke e-mail sites te beperken.
  7. Beveilig apparatuur van eindgebruikers
    Ruim 90% van de aanvallen vinden ([on]bedoeld) plaats vanaf het werkstation van een eindgebruiker. Het beveiligen van deze systemen is daarmee essentieel in het tegengaan van datalekken. Denk hierbij aan encryptie, het op afstand kunnen wissen, beperken van gebruikersrechten, implementeren van applicatie whitelisting en regelmatig patchen van het besturingssysteem, applicaties, browser plugins en Java.
  8. Vermijd schaduw-IT
    Uw afdelingen gebruiken mogelijk cloud gebaseerde oplossingen zonder dat uw IT-afdeling hiervan op de hoogte is (de zogenaamde “schaduw-IT”). Deze diensten zorgen voor een hoog risico op datalekken, omdat er geen controle is over informatie die gedeeld wordt. Wij adviseren om regelmatig een “Internet Presence” scan uit te voeren om inzicht te krijgen in de door uw organisatie gebruikte online (cloud)diensten.
  9. Implementeer een datalek response procedure
    Het hebben van een responseplan zorgt ervoor dat uw organisatie snel kan reageren op datalekken en daarmee mogelijk de potentiële schade kan beperken. Dit plan dient onder andere te beschrijven welke personeelsleden of derde partijen geïnformeerd moeten worden wanneer er vermoeden is van een datalek.
  10. Implementeer en test fysieke beveiligingsmaatregelen
    Het risico van ongeautoriseerde fysieke toegang wordt veelal onderschat. Het is aanbevolen niet alleen locaties waar gevoelige informatie te vinden is strikt te monitoren en de toegangsrechten van medewerkers te beperken, maar ook social engineering assessments in te zetten om de effectiviteit van deze maatregelen te toetsen in de praktijk.

Met bovenstaande stappen heeft u de belangrijkste maatregelen getroffen om de kans op een datalek in uw organisatie te verkleinen. In het vervolg op deze blog leest u binnenkort welke stappen u kunt ondernemen na het ontdekken van een datalek.

Cyber blogs

Cyber blogs

Onze visie op diverse cyber challenges leest u in deze blogs.

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig

Nieuwe digitale platform van KPMG

KPMG International heeft een state of the art digitaal platform ontwikkeld dat uw digitale ervaring verbetert en het vinden van nieuwe en relevante content optimaliseert.

 
Lees meer