29 december 2016

Data lekken is een keuze

BlogData lekken is een keuze
Onlangs was er weer in het nieuws dat de persoonsgegevens van inwoners van een gemeente gelekt waren. Deze stonden op de laptop van een leverancier die gestolen werd, de harde schijf was niet encrypted. Wij zeggen dan verbaasd tegen elkaar ‘hoe kan het nu nog voorkomen dat persoonsgegevens of intellectual property van een organisatie op straat komt te liggen?!’

De technologie om data te beschermen is beschikbaar, maar veel bedrijven denken er gewoonweg niet overna. Er zijn organisaties die niet weten wat nu gevoelige data is en wat algemene data is. Er zijn zelfs organisaties die geen enkel plan hebben als er data lekt. Velen doen wel hun best. Zij slaan data op met een tag ‘openbaar’, ‘intern’ of ‘vertrouwelijk’, maar beseffen niet dat dit onvoldoende is. Wanneer deze documenten geprint worden, gemaild of gekopieerd naar een extern apparaat, ben je de controle over de data kwijt. Hoe moet het dan wel?

Toegang

Maak een plan: welke informatie mag gedeeld worden en welke informatie niet. Of, ‘als ik dit document deel, dan mag alleen die persoon het weten’, of ‘ik wil mijn data delen, maar ook weer terug kunnen trekken’. In dit laatste geval stel je in dat data niet meer geldig is en dan kan het bestand niet langer geopend worden. Op welke manier zou jij je data willen beveiligen?

Informatie classificatie en beveiliging

Technologie kan ervoor zorgen dat data niet gekopieerd kan worden naar bronnen die niet gecertificeerd zijn door het bedrijf, bijvoorbeeld een Dropbox of privé computer. Het probleem in de praktijk is echter dat sommige informatie gevoelig is en niet gedeeld mag worden, maar dat andere informatie minder kritisch is waardoor het beveiligingsniveau niet zo hoog hoeft te liggen.

Je kunt er dan voor kiezen om onderscheid te maken tussen verschillende data. Je zou persoonsgegevens en intellectual property, gevoelige informatie, dan apart kunnen classificeren. Dit kan op basis van inhoud. Er zijn algoritmes die de inhoud van een document kunnen herkennen en deze automatisch classificeren. Daar kun je vervolgacties aan koppelen, bijvoorbeeld dat het document niet met externen gedeeld mag worden of alleen met mensen wiens harde schijf beveiligd is met encryptie software en niet mag worden geprint of gekopieerd. Op deze manier wordt de data beschermd.

In de praktijk

Ik zie veel document management systemen bij klanten, vaak wordt met alle documenten op dezelfde manier omgegaan. Op basis van rechten wordt informatie gescheiden, maar tegenwoordig is het zo makkelijk om informatie te delen. Bijvoorbeeld door het te kopiëren naar een ander medium. Hoe lossen we dat dan op?
  1. Vaststellen wat de eisen en wensen van de organisatie zijn met betrekking tot het bewaren en beschermen van data.
  2. Inventarisatie van de manier waarop de organisatie huidige systemen, licenties en abonnementen van Microsoft gebruikt.
  3. Presentatie van het plan inclusief details voor een eerste implementatie.
  4. De technologische oplossing implementeren
We beginnen in de praktijk klein, met data die de klant geschikt vindt om een eerste ervaring mee op te doen. Na de evaluatie wordt er vaak uitgebreid, want geen enkele organisatie wil in het nieuws met het bericht dat haar data gelekt is.

Verder lezen