Analyticsapplicaties extraheren businesswaarde uit de steeds grotere hoeveelheid data die organisaties bezitten. Steeds vaker gebeurt dat in de cloud. Maar de toegang die deze applicaties hebben tot die data zorgt ook voor securityrisico’s. Met deze tips kun je die risico’s verkleinen.
Data-analytics vindt op steeds grotere schaal plaats. De gegevens komen terecht in uiteenlopende systemen, zowel in de cloud als on-premises. De analyticstoepassingen zijn verbonden met die data pools, en zijn dus een soort ‘gateways’ tot die data. Daarmee vormen ze een interessante target voor hackers. Dat is link, want data kan via hen lekken naar concurrenten of belanden op de duistere hoeken van het dark web. Zo’n datalek zorgt niet zelden voor een fikse knauw in het bedrijfsimago.
AVG-compliance
De Europese privacywetgeving, de Algemene verordening gegevensbescherming (AVG), stelt ook de nodige eisen aan de security van analyticsomgevingen. Goede beveiliging is geen optie, maar een voorwaarde voor compliance.
Zowel de verwerkingsverantwoordelijke als de verwerker hebben daarbij hun eigen verantwoordelijkheden. Dat betekent in de praktijk dat zowel de organisatie als de cloudprovider van de data-analyticstoepassing de gegevens moet verwerken volgens de spelregels van de privacywetgeving. Non-compliance kan resulteren in forse boetes tot wel 20 miljoen euro of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag het hoogste uitvalt.
Genoeg redenen dus om de beveiliging van analyticsomgevingen serieus te nemen. Drie aandachtspunten zijn daarbij van belang:
1. Beveiliging van systemen
Een strikt beleid kan helpen met het waarborgen van de security van analyticsomgevingen. Het is verstandig een provider te kiezen die serieus werk heeft gemaakt van beveiligingsmaatregelen en dito procedures. Hanteert de provider bijvoorbeeld de DREAD-methodiek? Hiermee kunnen beveiligingsproblemen worden opgespoord. Het is ook een goed teken als de partij regelmatig externe audits en penetratietesten laat uitvoeren op basis van het Open Web Application Security Project (OWASP).
2. Toegang en autorisatie
Een minstens zo’n belangrijk aspect is hoe de toegang tot de applicatie (en de data) geregeld is. Uiteraard mogen alleen geautoriseerde medewerkers bij deze zaken. Daarnaast is het ook belangrijk dat zij niet minder, maar zeker niet meer rechten hebben dan noodzakelijk voor hun takenpakket. Het is belangrijk dat in de analyticsoplossing deze rechten per gebruiker nauwkeurig ingesteld kunnen worden.
3. Beveiliging van data
Ten slotte is de manier waarop de provider met databeveiliging omgaat erg belangrijk. Een aandachtspunt is bijvoorbeeld of het verkeer tussen databronnen en de applicatie versleuteld plaatsvindt. Ook de securityvoorzieningen in de applicatie zelf bepalen de uiteindelijke veiligheid van de gegevens.
Speel op safe
Voldoende aandacht voor de security van data-analytics is een must. Wie verzekerd wil zijn van een adequaat beveiligde analyticsoplossing, speelt beter op safe. Kies voor oplossingen van bewezen en vertrouwde providers, zoals Amazon Web Services, Hitachi, Oracle of Microsoft. Zij hebben de budgetten en voorzieningen om het gros van de aanvallen af te slaan.