Met bestaande wetgeving zoals de AVG en opkomende nieuwe regelgeving is het voor organisaties belangrijker dan ooit om serieus na te denken over de privacy en beveiliging van gegevens. Overtreed je de privacywetgeving, dan is de Autoriteit Persoonsgegevens (AP) bevoegd om sancties op te leggen. Huidige werkwijzen, technologieën en oplossingen moeten daarom geschikt zijn om gevoelige data te beschermen. Niet alleen tegen dreigingen van nu, maar ook tegen uitdagingen die de toekomst in petto heeft. Om dat te realiseren, is een beveiligingsaanpak noodzakelijk waarbij data centraal worden gesteld.
Het uitgangspunt hierbij is om data te beschermen in plaats van enkel de endpoints, netwerken of toepassingen waartussen data zich bewegen. Zo kun je jouw gegevens opslaan en gebruiken waar je wilt, zonder dat er extra risico’s ontstaan. Om een succesvolle datacentrische beveiligingsaanpak te realiseren, zijn volgens mij drie stappen noodzakelijk.
Ontdek en classificeer data
"Eerst ontdekken waar data zich bevinden"
Een goede beveiliging vraagt om voorbereiding. Het ontdekken, identificeren en classificeren van gevoelige data vormen daarom een belangrijke eerste stap. Allereerst moet je ontdekken waar data zich bevinden. Vervolgens classificeer je deze gegevens (dat wil zeggen identificeren en groeperen) op basis van specifieke patronen en algoritmen. Hierdoor kun je gegronde beslissingen nemen over het beveiligen en delen van gegevens, maar ook over onderwerpen als digitale transformatie of cloudmigratie. Wanneer je vervolgens ook nog een risicoanalyse doet, weet je zeker dat je de meest solide en holistische securitybasis hebt.
Een risicoanalyse helpt it-afdelingen namelijk om de gevoeligheid van gegevens te begrijpen en vervolgens op basis van risiconiveau te rangschikken. Bovendien helpt dit organisaties bij het voldoen aan de wet- en regelgeving omtrent privacy en bescherming van gegevens, zoals de AVG.
Een risicoanalyse helpt it-afdelingen namelijk om de gevoeligheid van gegevens te begrijpen en vervolgens op basis van risiconiveau te rangschikken. Bovendien helpt dit organisaties bij het voldoen aan de wet- en regelgeving omtrent privacy en bescherming van gegevens, zoals de AVG.
Bescherm gevoelige data
Stap één maakt inzichtelijk welke risico’s specifieke datasets vormen voor jouw organisatie. Op basis daarvan bepaal je vervolgens welke gegevens (extra) toegangscontroles en beveiligingsmechanismen nodig hebben, zoals file level-encryptie en tokenisatie met dynamische gegevensafscherming. Dit betekent dat je data beschermt door ze moeilijker toegankelijk te maken voor onbevoegde gebruikers en ze onleesbaar en onbruikbaar te maken als deze toch uitlekken of gestolen worden. Je hebt verschillende opties voor het kiezen van de juiste versleutelingsoplossing. Zo worden versleutelingstypes uitgesplitst naar de plek waar ze zich bevinden in de technologie stack: de schijf, het bestandssysteem, de database en de applicatie.
In het algemeen geldt dat hoe lager in de stack versleuteling wordt toegepast, hoe eenvoudiger en minder ingrijpend de implementatie zal zijn. Echter, een lager niveau betekent ook dat er minder aantallen én soorten dreigingen aangepakt worden door de betreffende versleuteling. Doorgaans kunnen organisaties door gebruik te maken van versleuteling hoger in de stack, ook hogere beveiligingsniveaus realiseren en dreigingen beperken.
In het algemeen geldt dat hoe lager in de stack versleuteling wordt toegepast, hoe eenvoudiger en minder ingrijpend de implementatie zal zijn. Echter, een lager niveau betekent ook dat er minder aantallen én soorten dreigingen aangepakt worden door de betreffende versleuteling. Doorgaans kunnen organisaties door gebruik te maken van versleuteling hoger in de stack, ook hogere beveiligingsniveaus realiseren en dreigingen beperken.
Gecentraliseerd beheer van encryptiesleutels
"Veiligheid van cryptografische processen is afhankelijk van de sleutels die worden gebruikt om gegevens te beschermen"
De veiligheid van cryptografische processen is afhankelijk van de sleutels die worden gebruikt om gegevens te beschermen. Als gegevens met hun bijbehorende sleutels worden gestolen, zijn ze vanzelfsprekend niet meer beveiligd. Cybercriminelen ontcijferen de data en lezen deze in platte tekst. Daarom is het van belang om de cryptografische sleutels zelf ook te beveiligen, te beheren en te controleren. Goed encryptiesleutelbeheer houdt in dat de volledige levenscyclus van cryptografische sleutels wordt beheerd en beschermd tegen verlies of misbruik. Door de toename van encryptie-oplossingen, is het aan te raden om het beheer hiervan te centraliseren. Zo ben je er zeker van dat alle encryptiebeveiliging in de organisatie op hetzelfde niveau plaatsvindt en overal hetzelfde beleid wordt toegepast.
Wil je als organisatie zeker zijn dat je (gevoelige) data goed beschermd zijn? Dan is het de hoogste tijd om data centraal te stellen in je security-beleid. Hiervoor moet je eerst weten waar data zich bevinden en welke risico’s deze lopen. Pas dan kun je concrete stappen ondernemen in de beveiliging ervan.
Steven Maas, sales director encryptie Benelux bij Thales
Reacties
Het vinden en classificeren van data is een goed idee maar in de meest ideale situatie is de zorg voor data aan de afdeling IT uitbesteed die geen weet heeft van de vertrouwelijkheid van de informatie die in de data zit. De eerste vraag aan een sales director encryptie is dan ook wie doet en bepaalt wat. Hoewel deze vraag eigenlijk al beantwoord is als we kijken naar de uitspraak van het Europese Hof aangaande het data rentmeesterschap blijft de business namelijk nog opmerkelijk vaak haar verantwoordelijkheden hierin ontlopen. Want met het uitbesteden van de zorg voor data is stilzwijgend ook de verantwoordelijkheid overgedragen, tenminste dat denkt de business.
Een ander misplaatst denken van de business is dat alles gratis is want data of sleutels beheren is lood om oud ijzer als we kijken naar de kosten. Het sleutelbeheer uitbesteden aan cybercriminelen die vervolgens geld vragen voor de toegang tot data is dan eigenlijk ook best wel een mooi verdienmodel. Uiteraard geldt hetzelfde voor het uitbesteden van het sleutelbeheer aan de cloud provider want terug naar wie doet en bepaalt wat gaat dus om het vinden en classificeren van data welke waarde heeft voor de organisatie. De sales director van Thales heeft een punt maar maakt deze uiteindelijk niet als het om de controle gaat.