Embed Size (px)
Citation preview
Continuïteit in IT
VOOR EEN DOORDACHT DATASECURITYPLAN
5 BASISPRINCIPES VOOR DATA SECURITY EN DATA PRIVACY
SPS WhitePaper
2
Inhoud03 : Inleiding
05 : Data Security en Data Privacy
07 : Aanpakken van Data Security en Data Privacy
09 : Inventariseer
11 : Reduceer
13 : Bescherm
15 : Verscherp
17 : Wees voorbereid
19 : Conclusie
Continuïteit in IT
3
InleidingData Security en Data Privacy vragen beleid en maatregelen gebaseerd op bedrijfspolicy, complian-ce-regels en wet- en regelgeving.
Data zijn belangrijke assets die beveiligd moeten worden. Een eenduidig beleid is een belangrijk mid-del om de security en privacy van data te verbete-ren. Voor het uitvoeren van het beleid zijn IT-midde-len nodig voor het beschermen van gegevens tegen verlies, diefstal en misbruik, maar in alle gevallen gaat het om de combinatie van de inzet van mensen, processen en technologie.
Een goed datasecurityplan helpt organisaties vol-doen aan de wettelijke verplichtingen bij het bezit-ten van gevoelige gegevens. Het is daarbij belangrijk om te kiezen voor een geaccepteerde en veelge-bruikte aanpak die, onafhankelijk van welke com-pliance-eis of regelgeving, een goede aanzet geeft voor het verbeteren van de Data Security en Data Privacy.
Dit whitepaper geeft een korte beschrijving van de kenmerken van Data Security en Data Privacy en bevat 5 basisprincipes voor een doordachte imple-mentatie van het datasecurityplan.
4
5 basisprincipes voor een doordachte implementatie van het datasecurityplan
Continuïteit in IT
5
Met Data Security wordt gewoonlijk de ver-trouwelijkheid, beschikbaarheid en integriteit van de gegevens bedoeld. Datasecuritymaatre-gelen zorgen ervoor dat onbevoegde personen geen toegang hebben tot gegevens, dat de ge-gevens accuraat en betrouwbaar zijn en dat zij beschikbaar zijn wanneer personen met geau-toriseerde toegang deze nodig hebben.
Met Data Privacy wordt het juiste gebruik van de gegevens bedoeld. Zo mogen organisaties de verstrekte gegevens alleen voor de overeenge-komen doeleinden gebruiken en het aan derden verstrekken van toevertrouwde gegevens is niet toegestaan zonder voorafgaande toestem-ming.
Data Security en Data Privacy worden vaak in een adem genoemd. Niet verwonderlijk want zij zijn aan elkaar gerelateerd. Toch is het ook be-langrijk de verschillen goed te begrijpen vooral bij de implementatie van oplossingen.
Data Security en Data Privacy zijn aan elkaar gerelateerd.
Data Security en Data Privacy
Datasecurityplan
Wees voorbereid
Inventariseren
ReducerenBeschermen
Verscherpen
6
5 Basisprincipes
Continuïteit in IT
7
Ken de wet of maatregelVeel wordt er gezegd en geschreven over de wet- en regelgeving voor het verwerken van persoonsgegevens, over de beveiliging ervan en over de rechtszaken en boetes die u staan te wachten als uw organisatie ‘niet eraan voldoet’. Maar waaraan dan precies is een belangrijke eerste vraag waarop een antwoord moet ko-men. Denk dan niet alleen aan de eisen voor het beschermen van data, maar ook aan de bewaar-tijden en het vernietigen van gegevens. Liefst nog voor u in oplossingen denkt en met tech-nisch specialisten alle mogelijke maatregelen bespreekt. Laat u hierover goed informeren en eventueel begeleiden.
Datasecurityplan Stel een datasecurityplan op met o.a. daarin as-pecten zoals het vasthouden en beveiligen van benodigde data en het vernietigen van data die niet langer nodig zijn. Een goed plan, gecomple-menteerd met technische middelen, helpt orga-nisaties te voldoen aan de wettelijke verplich-tingen bij het bezitten van gevoelige gegevens.
De 5 basisprincipes Om tot een goed datasecurityplan te komen volgen we 5 belangrijke basisprincipes:• Inventariseer. Weet welke persoonsgege-
vens je hebt in bestanden en op systemen.• Reduceer. Bewaar alleen wat nodig is voor de
bedrijfsvoering.• Bescherm. Bescherm de gegevens die je hebt.• Verscherp. Bewaar niet langer dan nodig,
voer naar behoren af.• Wees voorbereid. Zorg voor een reactieplan
in geval van incidenten.
In de volgende hoofdstukken worden de basis-principes verder toegelicht.
Aanpakken van Data Security en Data Privacy
Een goed plan helpt om te voldoen aan de wettelijke verplichtingen.
8
Type project Gegevens Betrokken partijen
Verzamelen Gebruiken BeveiligingBewaren / Vernietigen
Het initiatief / project
De gegevens levenscyclus
Onderwerpen van de NOREA-PIA vragenlijst
Continuïteit in IT
9
Gegevens zijn alleen te beveiligen als je weet hoe zij door de organisatie stromen.
InventariseerEen effectieve gegevensbeveiliging start met het inventariseren welke gegevens uw orga-nisatie heeft en wie toegang tot die gegevens heeft. Een goed beeld van hoe data binnenko-men, door uw organisatie stromen, uw organi-satie verlaten en wie er (mogelijk) toegang toe heeft (gehad) is essentieel om zwakke plekken te ontdekken. Gegevens zijn alleen te beveiligen als je weet hoe zij door de organisatie stromen.
Inventariseer alle computers, laptops, mobiele apparaten,flashdrives,disks,kopieerapparatenen stel vast waar uw organisatie gevoelige data bewaard. Inventariseer ook alle gegevens die u heeft op type en locatie. Kasten en computers zijn een begin maar bedenk dat uw organisatie op vele andere manieren en kanalen gegevens ontvangt. Via websites, e-mail, van leveranciers, partners en andere partijen. Ook mobiele ap-paratuur als smartphones, tablets, usb storage etc. mag u niet vergeten. Traceer belangrijke gegevens door binnen uw organisatie in overleg te gaan met afdelingen als HR, IT, Marketing, Administratie.
Enkele belangrijke vragen bij het inventariseren zijn:• Van wie ontvangt uw organisatie (persoon-
lijke) gegevens?• Hoe ontvangt uw organisatie deze (persoon-
lijke) gegevens? • Waar worden de gegevens opgeslagen bij
ontvangst?• Wie heeft er toegang, of moet toegang kun-
nen hebben tot de gegevens?• Wat isdesoortofclassificatievangevoelig-
heid van de gegevens?
Bij persoonsgegevens wordt vaak een PIA (Pri-vacy Impact Assessment) gedaan om tot volle-dig inzicht te komen. U vindt een handreiking voor het uitvoeren van een PIA op de website van de beroepsorganisatie van IT-auditors (NO-REA).
10
AVGZakelijke behoefte?
Zakelijke noodzaak?
Toegang nodig?
_ _ _ _ _ _ _ _ _ _
_ _ _ _ _ _ _ _ _ _
√√√
Continuïteit in IT
11
Voor het bewaren van gegevens kan de volgen-de vuistregel worden gehanteerd:Als er geen legitieme zakelijke behoefte is aan (per-soonlijke) gegevens, verzamel of bewaar ze dan niet. Wanneer u een legitieme zakelijke noodzaak heeft, bewaar ze alleen zolang het nodig is.
Gebruik gegevens alleen waarvoor ze bedoeld zijn, bijvoorbeeld een burgerservicenummer (BSN) alleen voor de vereiste en wettige doel-einden zoals de rapportage aan de Belasting-dienst. Gebruik BSNs niet onnodig, bijvoor-beeld als werknemernummer of identificatievan een klant.
Zorg dat applicaties alleen toegang geven tot gegevens en functionaliteit die zij nodig heb-ben en dat (persoonlijke) gegevens niet onnodig worden verzameld en bewaard. Vergeet niet, alle gegevens die je te veel verzameld of be-waard moet je ook beschermen.
Beperk de reikwijdte van de toegang tot de ge-gevens. Volg het ‘principe van de minste privi-lege’. Dat betekent dat iedere werknemer alleen toegang en middelen zou moeten krijgen die no-dig zijn om zijn of haar werk uit te voeren. Ook het langer bewaren van data dan noodzakelijk verhoogt het risico van misbruik of schade.
Het advies is om zo vroeg mogelijk te starten met het bepalen en vastleggen van het reten-tiebeleid. Meer hierover in het hoofdstuk ‘Ver-scherp’.
Reduceer
Alle gegevens die je te veel verzameld of bewaard moet je ook beschermen.
12
Datasecurityplan
Eisen aan externen
Training &bewustzijn
Fysiekebeveiliging
Elektronischebeveiliging
Kerngebeiden datasecurityplan
Continuïteit in IT
13
Bescherm
Een datasecurityplan is zo goed als de mensen die zich eraan conformeren.
Het volgende belangrijke basisprincipe is het beveiligen van gegevens. Zorg dat het inventa-riseren goed is uitgevoerd en zonder reduceren loopt u onnodige risico’s en nemen de beveili-gingskosten toe.
De volgende kerngebieden zijn van belang bij het bepalen en opstellen van een datasecurity-plan.
Fysieke beveiligingVeel van het misbruik van gegevens ontstaat nog op de ouderwetse manier, namelijk door verlies, onachtzaamheid of diefstal van docu-menten. De beste manier van beveiligen is een gesloten kast, een afgeschermde ruimte en be-wuste medewerkers. Maar het gaat hier niet alleen om papier! Ook laptops, usb-disks en back-uptapes moeten beschermd worden. Een goed fysiek toegangsbeleid voor vertrekken, gebouwen of technische ruimtes kan de risico’s aanzienlijk verkleinen. Dus:• bewaar papieren documenten, gege-
vensmappen, tapes of andere opslag met ge-classificeerdeofidentificeerbaregegevensineen afgesloten ruimte of kast;
• beperk de toegang hiertoe tot de medewer-kers met een legitieme noodzaak;
• verlang van medewerkers dat zij deze fysieke gegevensdragers altijd goed opruimen en beschermen, ruimtes afsluiten en computers adequaatafloggenbijafwezigheid.Maakditalles onderdeel van een ‘clean desk policy’, en;
• als u ‘off site’ opslag gebruikt, beperk dan de toegang tot alleen geautoriseerde gebrui-kers.
Elektronische beveiligingDe veiligheid van gegevens is natuurlijk niet alleen de verantwoordelijkheid van de mede-werkers die met de gegevens werken. Steek voldoende tijd in het doorgronden van kwets-baarheden binnen het gegevensverwerkings-proces en de systemen. Laat u goed adviseren door deskundigen.
Digitale beveilig kan op vele domeinen. Daarom
zal het ook hier nodig zijn om alle gegevensver-werkende en opslagsystemen goed in kaart te hebben, waar deze systemen connectie mee hebben, wie er toegang heeft, hoe deze nu be-veiligd zijn, etc.
Verder valt te denken aan maatregelen als end-point security (beschermen en scannen van laptops etc.), authenticatie- en autorisatiemaat-regelen (policy’s, tokens, certificaten etc.), be-scherming van e-mail en webverkeer, encryptie, firewalls,wirelessenremoteaccesbeveiliging,beveiliging tegen kopiëren en het detecteren van zwakheden in de infrastructuur.
Training en bewustzijn van medewerkersEen datasecurityplan is zo goed als de mensen die zich eraan conformeren. Het is daarom be-langrijk te zorgen dat deze betrouwbaar en vaardig zijn. Denk dan aan een goed screening-beleid, awareness trainingen en stel eisen aan ingehuurd extern personeel.
Beveiligingseisen aan partners, extern personeel en service providersVaak worden gegevens buiten uw organisatie verwerkt en/of opgeslagen. Meer en vaker dan u denkt. Onderzoek het beveiligingsbeleid en -maatregelen van die derden en vergelijk deze met die van uzelf voordat bedrijfsonderdelen of activiteiten worden uitbesteedt. Denk aan payroll, webhosting, clouddiensten, IT-beheer. En vergeet niet dat uw website vrijwel zeker gebruik maakt van Google Analytics, YouTube, chat-functie, formulierafhandeling of een ande-re handige functie (plug-in) van een derde partij.
Vereis dat serviceproviders u onmiddellijk op de hoogte brengen wanneer zij een security-incident ervaren. Ook wanneer schijnbaar geen data is gecompromitteerd.
Vereis dat aannemers, zelfstandig personeel en serviceproviders bevestigen dat zij zich confor-meren aan alle wettelijke en eventueel
14
additionele compliance-eisen voor gegevens-beveiliging of bescherming van persoonsgege-vens. Bijna altijd is bij persoonsgegevens een verwerkersovereenkomst volgens de AVG met de derde partij noodzakelijk.
Continuïteit in IT
15
VerscherpNaast het niet onnodig verzamelen en bewaren van gegevens is het van belang de wel nood-zakeljke gegevens niet langer te bewaren dan nodig is.
Verwijderen van dataVeel regelgeving vereist het zorgvuldig afvoe-ren of vernietigen van data. Het afvoeren en verwijderen van data of datadragers zijn dan ook belangrijke onderdelen van gegevensbe-veiliging in het algemeen. Want wat onschuldig afval lijkt kan voor een kwaadwillende veel in-formatie bevatten.
Door bewust om te gaan met het verwijde-ren van gegevens(dragers) wordt de kans op misbruik of verlies aanzienlijk verkleind. Een retentiebeleid is een goed begin maar wat is ‘zorgvuldig afvoeren’? In veel gevallen wordt het verbranden, verpulveren of shredden van informatiedragers geadviseerd. Soms in com-binatie met ‘wipe’ programma’s of magnetische verminking. Het eenvoudig deleten van gege-vens op een digitale gegevensdrager door muis en toetsenbord is veelal niet afdoende.
Het afvoerbeleid moet onafhankelijk van de locatie worden gevolgd, ook als data vanaf een remote locatie (thuiswerkers) worden gebruikt.
RetentiebeleidVoor iedere branche en organisatie gelden an-dere regels en wetten voor de bewaartermij-nen. Er is dan ook geen standaard retentiebe-leid. Deze zal op de van toepassing zijnde regels moeten worden aangepast.
In het retentiebeleid is opgenomen welke ge-gevens worden bewaard, hoe deze beveiligd worden, hoe lang zij bewaard worden en hoe de gegevens veilig worden verwijderd. Belangrijke zaken bij het bepalen van retentiebeleid zijn:• Beveiligingseisen en privacyregels voor de
afvoer van documenten, informatiedragers en systemen.
• Hoe lang documenten en/of digitale informa-tie moeten worden bewaard.
• Overige wettelijke bepalingen.• Type document of gegevens. Denk hierbij
aan bijvoorbeeld boekhoudgegevens, mede-werkersgegevens, juridische documenten, broncode van software, etc.
De volgende stappen zijn belangrijk bij het op-stellen van een retentiebeleid:• Identificeerbronnenentypegegevens.• Beoordeel het bestaande beleid.• Inventariseer de externe (wet- en regelge-
ving) en interne juridische vereisten.• Deel het beleid met medewerkers en inge-
huurd personeel. • Voer een regelmatige review van het beleid
uit.• Laat het eventueel juridisch beoordelen of
anderzijds auditen.
Is uw organisatie verplicht een ‘register van verwerkingsactiviteiten’ op te stellen conform de AVG-richtlijnen, dan is met een geringe uit-breiding het retentiebeleid in het register op te nemen.
Stel de retentie-eisen ook aan derde partijen die namens uw organisatie data opslaan of verwerken. Of ga na of het retentiebeleid van een derde aan uw eisen voldoet. Denk hierbij bijvoorbeeld aan service providers die back-up- en storagediensten verlenen.
Het eenvoudig deleten is veelal niet voldoende.
16
Toets regelmatig de effectiviteit van uw beleid en maatregelen.
Continuïteit in IT
17
Wees voorbereidHet formuleren en nemen van maatregelen voor het beveiligen van gegevens is natuurlijk een belangrijke stap om datalekken en misbruik te voorkomen. Eigenlijk is het een continu pro-ces dat veel tijd kost. Daarnaast bestaat er al-tijd het risico dat er toch iets mis gaat.
Hoewel er nog de nodige discussies en inter-pretaties zijn over de verplichtingen van een organisatie bij verlies of diefstal van gegevens, staat de plicht dat per ommegaande te melden aan autoriteiten, klanten en/of individuen wel vast. Hoewel de schaamte of angst mogelijk domineert, is het uitermate belangrijk om der-gelijke partijen te informeren omdat dat nog steeds bijdraagt bij het voorkomen van schade en impact. Immers, gestolen credentials of bankgegevens kunnen niet misbruikt worden als er snel gehandeld wordt en bankrekeningen of accounts worden geblokkeerd. Een aantal maatregelen kan een organisatie al voorberei-den zodat de handelingssnelheid wordt ver-hoogd.
Zorg voor een reactieplan voor security-inci-denten en wijs één of meer senior-medewer-kers aan om dit plan te coördineren. In het plan zijn stappen als communicatie en middelen, beschermende maatregelen en onderzoek op-genomen. Zorg dat communicatietemplates voorhanden zijn zowel voor de content als ge-adresseerden. Denk vooraf na over dergelijke zaken zodat de organisatie op het moment zelf maximale focus heeft op de uitvoering van de maatregelen, en niet op het verzinnen ervan.
Daarnaast is het zaak om voortdurend de im-pact van diefstal te reduceren door regelmatig de effectiviteit van uw beleid en maatregelen te toetsen en u regelmatig te laten informeren over ontwikkelingen op het gebied van risico’s, beveiliging, normeringen en wetgeving.
Bereid maatregelen voor zodat de handelingsnelheid wordt verhoogd.
18
Datasecurityplan
Wees voorbereid
Inventariseren
ReducerenBeschermen
Verscherpen
5 Basisprincipes
Continuïteit in IT
19
ConclusieDe 5 basisprincipes zijn: inventariseer, redu-ceer, bescherm, verscherp en wees voorbereid.
Weet welke gegevens je hebt, waar ze vandaan komen, waar ze worden opgeslagen, waarvoor ze in welk proces worden gebruikt, wie ze ge-bruikt, etc. Het ligt allemaal zo voor de hand dat u met deze vragen moet beginnen. Hoe kunt u anders bepalen hoe en waar u de veiligheid en privacy van gegevens moet beschermen. Toch wordt er vaak snel naar oplossingen gegrepen zonder een grondige inventarisatie. Klinkt wel logisch omdat het beschermen van data enorm belangrijk is, maar het blijft niet verstandig.
De vuistregel voor het reduceren was ‘als er geen legitieme zakelijke behoefte is aan (per-soonlijke) gegevens, verzamel of bewaar ze dan niet. Wanneer u een legitieme zakelijke noodzaak heeft, bewaar ze alleen zolang het nodig is’. Reduceer zoveel mogelijk onnodig verzamelde, dubbele of niet meer gebruikte ge-gevens. Immers wat je niet hebt hoef je niet te beschermen en verkleint de risico’s.
Door een goed uitgevoerde inventarisatie en reductie weet u het wat, waarom en waar van de gegevens. Laat u gepast adviseren over be-schermende maatregelen en dat advies kunt u dan ook inhoudelijk goed beoordelen. Speel zelf een actieve rol en hou de regie. Denk niet alleen aan elektronische beveiligingsmiddelen, maar ook aan fysieke maatregelen. Maak uw medewerkers bewust van het belang en wat zij zelf kunnen en moeten doen. Zorg dat derden die voor en met u werken afdoende maatrege-len hebben genomen. Kijk daarbij niet alleen naar de grote partijen, maar ook naar de inge-huurde zzp-er.
Verscherp de technische en operationele maat-regelen in de richting van beleid en regelgeving. Zo ontstaat er geen overbodig risico bij het ver-werken van de gegevens die nog essentieel zijn. Bijvoorbeeld omdat gegevens verkeerd, of te laat worden afgevoerd of te breed toegankelijk zijn. Stel het retentiebeleid op, implementeer
de maatregelen en controleer de uitvoering ervan.
Er bestaat altijd het risico dat er toch iets mis gaat. Wet- en regelgeving is aangescherpt, mel-den is verplicht en moet snel. Wanneer er toch iets fout gaat, is er niet veel tijd. Wees voorbe-reid!
Toets periodiek, maar liever voortdurend, de effectiviteit van uw beleid en maatregelen. Laat u regelmatig informeren over ontwikkelingen op het gebied van risico’s, beveiliging, norme-ringen en wetgeving.
Voorkom dat securitymaatregelen leiden tot ineffectieve oplossingen. De 5 basisprincipes helpen u daarbij. Werk met onafhankelijke specialisten die het proces van begin tot eind begeleiden en ook een uitvoerende rol kunnen vervullen. Zo worden er keuzes gemaakt die daadwerkelijk waarde toevoegen.
SPS helpt organisaties een ‘oase van rust’ te creëren in de snel veranderende digitale wereld, een doorslaggevende factor voor succes. Hiervoor is grip krijgen op IT noodzakelijk. SPS biedt managed services waarmee die grip wordt gerealiseerd. De SPS Managed Services bevatten dienstverlening voor de inrichting, monitoring en beheer van IT-security. SPS heeft een duidelijke focus sinds de oprichting in 1994. Het primaire streven is om organisaties effectief en efficiënt controle te geven over de IT. De basis voor security en compliance is ‘in control’ zijn.
Continuïteit in ITSPS is leverancier en ontwikkelaar van de Gensys™ Business en IT Service Management oplossing en aanbieder van de op Gensys gebaseerde Managed Services, Security Services en Cloud Services. Als innovatieve IT-organisatie met beheerexpertise bij honderden gerenommeerde klanten is SPS één van de belangrijkste spelers in de markt. SPS heeft als doel om voor haar klanten een ‘oase van rust’ te creëren in de snel veranderende digitale wereld. SPS zorgt dat organisaties optimaal ‘in control’ zijn van de IT, waardoor ruimte ontstaat voor innovatie.
GensysGensys heeft alles voor IT-beheer met een business focus. Gensys is de multi-tenant beheersoftware voor service providers en IT-afdelingen. Beheer on premises en cloud IT als één IT-omgeving vanaf een enkele console. Met Gensys is de IT-infrastructuur continu beschikbaar, is volledig inzichtinengripopdeITmogelijk,wordendeIT-beheerprocessenefficiëntuitgevoerd en zijn de kosten voor het IT-beheer structureel lager.
ServicesSPS Managed Services zorgt 24 / 7 voor continuïteit en optimale prestaties van IT-services, waar de onderliggende IT-infrastructuur zich ook bevindt; in de cloud, on-premises of een combinatie ervan. SPS Security Services zorgt dat de IT veilig wordt en veilig blijft door implementatie van vereiste security- en privacy-maatregelen en door monitoring en beheer van de maatregelen.SPS Cloud Services zorgt dat inrichting en operatie van IT in de cloud succesvol zijn door de inzet van cloudexperts en tooling voor onderzoek, ontwerp, migratie en operatie. De kennis en ervaring van SPS komen het meest tot zijn recht bij complexe, vaak hybride, omgevingen.
SPS Continuïteit in ITBuitenomweg 172811 BM Reeuwijk
Telefoon +31(0)182 302 [email protected] | www.gensys.nl
