Veel bedrijven zijn tegenwoordig volledig afhankelijk van de gegevens die zijn opgeslagen op hun netwerkservers, pc's, laptops, mobiele apparaten – of in de cloud. Een deel van deze gegevens bevat waarschijnlijk persoonlijke informatie en/of vertrouwelijke bedrijfsinformatie.
Hier bespreken we een aantal aandachtspunten bij het beoordelen van de beveiliging van uw computersystemen en hoe u het risico op gegevensverlies kunt minimaliseren. We hebben een bijbehorend factsheet met aanvullende aandachtspunten voor diegenen die hun gegevens in de cloud opslaan of gebruikmaken van een vorm van outsourcing.
Er zijn talloze spraakmakende incidenten geweest waarbij gegevens zijn gelekt en grote hoeveelheden persoonlijke informatie openbaar zijn geworden. Het gaat hierbij onder meer om medische dossiers, financiële gegevens en personeelsinformatie.
Een commerciële organisatie loopt bovendien het extra risico dat gegevens in handen van een concurrent vallen.
Uiteraard hebben de grote dataverliezen bij overheidsinstanties en bedrijven de krantenkoppen gehaald. Elk bedrijf, ongeacht de omvang, kan echter te maken krijgen met dataverlies als er geen verstandige voorzorgsmaatregelen worden genomen.
Volgens onderzoek in opdracht van het Department for Culture, Media and Sport (DCMS) heeft in 2021 zo'n 39% van de Britse bedrijven te maken gehad met een beveiligingslek of cyberaanval. Het rapport is te vinden op: https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2022 .
Audit het gebruik en de opslag van persoonsgegevens
Denk eens na over de mogelijk gevoelige en vertrouwelijke gegevens die uw bedrijf opslaat:
- Personeelsdossiers met geboortedatum, medische gegevens, salaris en bankrekeninggegevens, enz
- Klant- en leveranciersgegevens met bank-/creditcardgegevens, pincodes, wachtwoorden, transactiegegevens, contractinformatie, kortingen en prijzen
- financiële en prestatiegegevens en bedrijfsplannen
- Vertrouwelijke gegevens worden niet altijd op een veilige manier opgeslagen in een 'beveiligde' database. Medewerkers moeten vaak ad-hocrapporten maken en verspreiden (met behulp van spreadsheets en andere documenten) die meestal uittreksels zijn van informatie uit een database. Dit soort gegevensopvraging gaat vaak ten koste van de gegevensbeveiliging – de database zelf heeft immers vrijwel altijd toegangscontrole, maar deze ad-hocrapporten meestal niet
- Ontdek wat er met de gegevens gebeurt en welke maatregelen er zijn genomen om te voorkomen dat deze informatie per ongeluk of opzettelijk verloren gaat.
Risicoanalyse en risicoreductie
De cruciale vraag is: als al deze gegevens of een deel ervan verloren gaan, wie kan daar dan de dupe van worden en hoe?
Zodra die vraag beantwoord is, moeten er stappen worden ondernomen om het risico op gegevensverlies te beperken. Hier volgen enkele stappen die genomen moeten worden om het risico op gegevensverlies te verminderen:
- Voer regelmatig back-ups uit en bewaar de back-upgegevens veilig op een externe locatie
- Als risicovolle gegevens in de cloud worden opgeslagen, is het belangrijk te weten welke beveiligingsmechanismen er zijn en hoe u al deze gegevens indien nodig kunt terughalen
- Controleer het type informatie dat is opgeslagen op alle apparaten (inclusief laptops, mobiele telefoons, tablets, enz.) die buiten kantoor worden gebruikt. Als dergelijke informatie persoonlijke en/of vertrouwelijke gegevens bevat, probeer deze gegevens dan te minimaliseren of te anonimiseren. Zorg ervoor dat de meest geschikte niveaus van gegevensbeveiliging en gegevensversleuteling op deze gegevens worden toegepast
- Als het gebruik van mobiele apparaten in de bedrijfsfaciliteiten is toegestaan, zorg er dan voor dat er een actief Bring Your Own Device (BYOD)-beleid van kracht is. Implementeer bovendien passende beveiligingsmaatregelen om het type gegevens te beperken dat op dergelijke apparaten kan worden opgeslagen
- Zorg ervoor dat bedrijfswebsites die online betalingen verwerken, beschikken over de hoogst mogelijke beveiligingsstandaard, bijvoorbeeld door gebruik te maken van de nieuwste SSL-versies voor gegevensoverdracht. Als u het betalingsproces niet uitbesteedt aan een betalingsgateway en creditcardgegevens zelf opslaat, hetzij op schijf of in het geheugen van uw eigen servers, moet u voldoen aan de Payment Card Industry Data Security Standard (PCI DSS).
- Evalueer het gebruik/de beschikbaarheid van USB-sticks en andere beschrijfbare media, zoals optische schijven, binnen het bedrijf en overweeg de toegang tot deze apparaten te beperken tot alleen geautoriseerde gebruikers, door middel van passende beveiligingsinstellingen, gegevensversleuteling en fysieke controles
- Zorg ervoor dat de websites en netwerken van uw bedrijf worden getest op kwetsbaarheden voor aanvallen en overweeg om penetratietestbureaus in te huren om deze tests namens u uit te voeren
- Een procedure opstellen voor de omgang met gevoelige informatie en de veilige vernietiging ervan zodra de gegevens niet langer nodig zijn, moet ook de vernietiging van afdrukken omvatten
- Een procedure hebben waarmee alle persoonlijke/bedrijfsgegevens die op mobiele apparaten zijn opgeslagen, kunnen worden verwijderd of de toegang ertoe kan worden ingetrokken
- Train medewerkers op hun verantwoordelijkheden, de procedures van het bedrijf voor gegevensbeveiliging en wat ze moeten doen als er gegevens verloren gaan
- Train medewerkers om frauduleuze e-mails, ransomware, malware en andere potentiële bedreigingen te herkennen, evenals de procedures die daarbij gevolgd moeten worden.
Beveiligingsinbreuk
Naast risicobeperking is het ook verstandig om procedures te hebben voor het geval er een beveiligingslek optreedt. Deze procedures moeten zich richten op vier hoofdgebieden:
- een herstelplan en procedures voor schadebeperking
- Een evaluatieproces om de mogelijke negatieve gevolgen voor individuen te beoordelen, hoe ernstig of substantieel deze zijn en hoe waarschijnlijk het is dat ze zich opnieuw voordoen
- Meldingsprocedures – dit omvat niet alleen het informeren van de personen die getroffen zijn of mogelijk getroffen kunnen worden. Als het datalek leidt tot verlies van persoonsgegevens, moet de Information Commissioner (ICO) op de hoogte worden gesteld. Mogelijk moeten ook andere toezichthoudende instanties en derden, zoals de politie, banken en de media, worden geïnformeerd
- Na een datalek: zorg ervoor dat passende maatregelen worden genomen om een soortgelijk incident te voorkomen, werk de procedures bij en train of hertrain het personeel dienovereenkomstig.
Nuttige bron
Nationaal Centrum voor Cyberbeveiliging (VK) – www.ncsc.gov.uk/guidance .
De cyberdreiging voor Britse bedrijven – www.ncsc.gov.uk/cyberthreat .
