Verminder securityrisico's met slim datamanagement
Waar het inmiddels enige jaren terug is dat de AVG/GDPR werd ingevoerd, blijft het onderwerp van groot belang voor privacy- en risicomanagers. Dat werd afgelopen maanden nog maar eens duidelijk, na een reeks van schandalen, waarbij onder andere overheidsorganisaties uitermate slordig bleken te zijn omgesprongen met privacygevoelige data.
Voorbeelden van datalekken zijn er de laatste jaren legio. In de publieke sector bijvoorbeeld: in januari moest de GGD door het stof nadat RTL Nieuws had ontdekt dat criminelen met een hack de gegevens van miljoenen Nederlanders hadden buitgemaakt. En vorige maand was het de beurt aan DUO om het boetekleed aan te trekken, nadat de burgerservicenummers van zo’n 1.700 mensen waren uitgelekt.
Ook in de private sector zijn cybersecurity-uitwassen schering en inslag. Zo zorgde eerder een lek bij Ticketcounter ervoor dat tussen de 1,5 miljoen en 1,8 miljoen verschillende e-mailadressen van Nederlanders – die een dierentuin, pretpark, museum of soortgelijke attractie hadden bezocht – op straat kwamen te liggen.
Vincent Huissen is Senior Business Consultant en information management specialist bij BearingPoint. Hij volgt de trends in het IT-securitylandschap op de voet en ziet het niet als een verrassing dat er steeds meer datalekken plaatsvinden.
“Enerzijds verwerken organisaties steeds meer data, en dus lopen ze grotere risico’s. Anderzijds worden criminelen steeds slimmer en wordt hun buit almaar groter, waardoor hun drijfveer om te hacken alleen maar verder toeneemt.”
Better safe than sorry
Onder het mom van beter voorkomen dan genezen roept Huissen organisaties op om hun cybersecuritybeleid onder de loep te nemen. Daarnaast raadt hij bedrijven aan om grondig te kijken naar hun AVG/GDPR-compliance, een integraal onderdeel van datarisicomanagement in ons land en Europa.
Het in kaart brengen van de risico’s en de impact vormt een belangrijke en vroege stap in het proces. Omdat het vaak gaat om grote hoeveelheden data in tal van applicaties, is het raadzaam om prioriteiten te stellen.
“Begin met het beoordelen van de meest gevoelige data en risicovolle applicaties. Definieer vervolgens risicobeperkende maatregelen voor de belangrijkste gebieden en start onmiddellijk met de ‘quick wins’ – initiatieven die met minimale inspanning kunnen leiden tot onmiddellijke voordelen ten aanzien van de beveiliging.”
De volgende stap is volgens Huissen om de wijze waarop data management is ingericht te analyseren en te kijken hoe deze binnen de gehele cyclus verbeterd kan worden. “Begin bij de bron – de business. Zoals de salesafdeling, die alle verkoopdata bijhoudt, of de marketingafdeling, die profielen van alle klanten monitort.”
Daag de business uit
Securityexperts bevinden zich bij uitstek in de positie om de business uit te dagen op gebieden waar er sprake is van hoge datarisico’s. Een eenvoudig voorbeeld is bepalen welke data opgeslagen zou moeten worden. “Veelzeggend is dat uit internationaal onderzoek naar voren komt dat organisaties doorgaans maar een fractie van alle data die zij opslaan, ook daadwerkelijk analyseren”, geeft Huissen aan.
Een andere ‘quick win’ waar hij op wijst is dataretentie: “Bepaal de meest optimale bewaartermijnen voor data en richt deze als automatische verwijderfunctionaliteit in voor systemen, uiteraard conform de AVG-richtlijnen. Het resultaat is een compliant proces, waarbij ernstige compliance-risico’s worden vermeden."
Het derde en laatste advies dat Huissen geeft richt zich op de langere termijn: “Nadat de belangrijkste risico’s zijn beperkt, moeten organisaties eraan werken om ‘privacy by design’ te worden. Dit zorgt ervoor dat privacy en datamanagement zijn verankerd binnen alle projecten, processen en systemen, van begin tot eind.”
