Het is uiterst pijnlijk voor een organisatie wanneer vertrouwelijke gegevens op straat komen te liggen. Dit kunnen gegevens zijn over werknemers, maar ook over klanten. Denk bijvoorbeeld aan naam, adres, telefoonnummer, e-mailadres en Burgerservicenummer. Vertrouwelijke informatie die binnen de organisatie veilig zou moeten zijn en blijven. Het lekken van deze gegevens is namelijk niet alleen vervelend voor de desbetreffende werknemers of klanten, ook loopt de organisatie het risico op een forse boete als gevolg van het overtreden van de Algemene verordening gegevensbescherming (AVG). Genoeg reden dus om scherpe maatregelen te nemen om een dergelijk datalek te voorkomen. Wij geven je drie maatregelen die jij hiervoor als organisatie kunt treffen.
Oorzaken datalek
Om te begrijpen welke maatregelen je kunt nemen om een datalek te voorkomen is het in eerste instantie belangrijk om te kijken naar de oorzaken die veelal ten grondslag liggen aan een datalek. Kijk hierbij bijvoorbeeld naar datalekken bij Twitter, de GGD, het OLVG en Microsoft. Over het algemeen zijn er twee oorzaken aan te wijzen van een datalek:
- Datalekken veroorzaakt doordat onbevoegden van buiten de organisatie toegang kregen tot gevoelige informatie. Vaak als gevolg van onvoldoende beveiligde systemen.
- Datalekken veroorzaakt doordat onbevoegden van binnen de organisatie toegang kregen tot gevoelige informatie. Vaak als gevolg van onvoldoende toegangsbeheer.
Veilige IT-systemen
Laten we beginnen bij de eerste veelvoorkomende oorzaak van datalekken; onbevoegden van buiten de organisatie die toegang krijgen tot gevoelige informatie binnen de organisatie. Cybercriminelen zijn continu op zoek naar kwetsbaarheden binnen IT-systemen. Zeker verouderde systemen bieden hen mogelijkheden om ongeautoriseerd binnen te dringen. Daarom is het belangrijk om software te updaten en jezelf ervan te verzekeren dat je als organisatie uitsluitend gebruik maakt van IT-systemen waar algemeen bekende kwetsbaarheden al uitgehaald zijn.
Bij de keuze voor een softwareleverancier of een softwareontwikkelaar zijn twee aspecten dus van groot belang om datalekken tegen te gaan. Ten eerste is het belangrijk dat je vertrouwen hebt in de softwareleverancier en de software die geleverd wordt. Jij bent namelijk uiteindelijk degene die primair verantwoordelijk is voor mogelijke datalekken. Ten tweede is het belangrijk dat de software regelmatig geüpdatet wordt. Denk niet dat je als organisatie eenmalig veilige software hoeft aan te schaffen en dat je dan de komende jaren wel goed zit. Hoe ouder de software, hoe meer kwetsbaarheden erin worden ontdekt. Het blijven vernieuwen van software is dus essentieel om zowel nu als in de toekomst gebruik te maken van veilige IT-systemen.
Goed en veilig toegangsbeheer
Hoewel je in eerste instantie misschien zou denken dat datalekken veroorzaakt worden omdat de organisatie gehackt wordt door een externe partij, komt het steeds vaker voor dat de oorzaak van datalekken binnen de organisatie zelf ligt – en lang niet altijd met kwade opzet. In toenemende mate worden datalekken veroorzaakt doordat werknemers toegang krijgen tot gevoelige informatie die zij voor hun werkzaamheden eigenlijk helemaal niet nodig hebben. En nu hoor ik je denken: maar waarom zou je hen dan die toegangsrechten geven als zij die niet nodig hebben? Vaak is dit simpelweg een kwestie van efficiëntie en gemak. Alle werknemers dezelfde toegangsrechten geven is nu eenmaal makkelijker dan per werknemer bekijken welke toegangsrechten hij of zij nodig heeft. Het gevaar is alleen dat dit ook wel eens fout kan gaan, met alle gevolgen van dien. Het is dus belangrijk om binnen jouw organisatie de juiste mensen toegang te geven tot de juiste informatie. En alvast ter geruststelling: dit hoeft helemaal niet veel tijd in beslag te nemen.
Met juiste Identity Governance & Administration (IGA) tooling is het namelijk mogelijk om toegangsrechten geautomatiseerd te verlenen, bewaken en beheren door deze te verbinden aan rollen. Daarnaast maakt IGA het mogelijk geautomatiseerd rechten van gebruikers in te trekken of te wijzigen – bijvoorbeeld wanneer een werknemer uit dienst treedt of van functie wisselt – en dit in alle relevante systemen door te voeren en vast te leggen. Dit is dus een uitstekende manier om het risico op inbreuken op informatiesystemen te reduceren en goed bij te houden wie op welk moment welke toegangsrechten heeft (en wanneer die gebruikt zijn).
Schakel een specialist in
Het is dus belangrijk als organisatie om gebruik te maken van veilige IT-systemen en om te zorgen voor goed en veilig toegangsbeheer. Dit is vaak echter makkelijker gezegd dan gedaan. Want wanneer zijn je IT-systemen “veilig genoeg” en wanneer is het toegangsbeheer binnen jouw organisatie “goed genoeg” geregeld? Dat is vaak lastig om te zeggen. Vaak denk je dat dit binnen jouw organisatie prima op orde is, totdat het een keer fout gaat. Dit betekent echter niet dat niemand jou kan vertellen waar de kwetsbaarheden zich bevinden binnen jouw IT-infrastructuur. Ethical hackers, of IT security consultants, zoeken voor organisaties naar beveiligingsproblemen in bijvoorbeeld IT-systemen, netwerken, applicaties en servers. Zij kijken waar jouw organisatie kwetsbaar is met als doel de veiligheid te optimaliseren. Weet jij niet zeker hoe jouw organisatie ervoor staat met betrekking tot veiligheid? Of wil je weten of externe specialisten hier hetzelfde over denken als jij? Dan is het verstandig een ethical hacker in te schakelen, die de staat van informatiebeveiliging binnen jouw organisatie onder veilige omstandigheden aan de tand voelt. En jou vertelt wat er mis kan gaan, voordat het mis gaat. Voorkomen is immers beter dan genezen.
Rick de Laat
Marketing medewerker