Risicovermindering zou de hoeksteen van iedere GDPR-strategie moeten zijn

Ze hebben geen goed zicht op hoe hun besturingssystemen, applicaties en gebruikerstoegang up-to-date worden gehouden. Bovendien werken ze vaak nog in ouderwetse IT-silo’s, waardoor beveiliging altijd een toevoeging achteraf is, in plaats van dat het geïntegreerd wordt in de technologieën zelf. 

Voor een effectieve GDPR-strategie raad ik organisaties aan om het risiconiveau voor drie essentiële gebieden in kaart te brengen: technologie, mensen en processen.

Houd technologie up to date

In een ideale wereld heb je als organisatie de nieuwste technologie waarop de laatste patches zijn geïnstalleerd. Je hebt je bedrijfslocatie en de interne toegangspunten beveiligd, zonder dat de productiviteit van de gebruikers hierdoor gehinderd wordt. De technologie garandeert bovendien dat gebruikers geen bestanden of websites van onbekende herkomst kunnen openen. In deze veilige wereld worden risico’s klein gehouden met behulp van technologie. Veel organisaties gebruiken echter nog verouderde systemen, omdat die ‘nog goed genoeg’ zijn, of ze hebben geen nieuwe technologie geïmplementeerd omdat er simpelweg niet voldoende middelen voorhanden zijn. 

Patching en applicatiebeheer zou voor iedere organisatie bovenaan het todo-lijstje moeten prijken, om de organisatie te beschermen tegen aanvallen, het aanvalsoppervlak te verkleinen en om de aanvallen die er onverhoopt toch doorheenkomen het hoofd te kunnen bieden. 

Geef de mensen wat ze willen

Mensen volgen hun natuur en doen voortdurend dingen die niet volgens de regels zijn. Hoe vaak heb je zelf wel niet de snelheidslimiet overtreden om ergens sneller te komen? Je weet dat je gepakt kunt worden en je weet dat het tegen de regels is - maar toch doe je het soms. Het ligt in onze aard dat we doen wat we moeten doen om te komen waar we willen zijn. Dat geldt natuurlijk ook voor de werkplek: gebruikers willen productief zijn, verwachten dezelfde soepele gebruikservaring als bij hun eigen apparaten en willen hun behoeften onmiddellijk bevredigd zien. 

Door de opmars van malware en ransomware zagen veel organisaties zich echter genoodzaakt om de admin-rechten van gebruikers weg te nemen. Hoewel het op slot zetten van desktops het risico vermindert, zorgt het ook voor een aanzienlijk slechtere eindgebruikerservaring. 

Gebruikers die gehinderd worden door een slechte gebruikerservaring zijn aanzienlijk minder productief en doen bovendien veel vaker een beroep op de helpdesk. Of ze vinden een manier om IT te omzeilen, wat resulteert in zogenoemde schaduw-IT (buiten de IT-afdeling om) en alle bijkomende beveiligingsrisico’s.

Het is niet eenvoudig om de gebruikservaring te bieden die gebruikers verwachten, wanneer wordt gewerkt met servicedesk-tools en processen werkt die nog van voor het internet stammen. Tegelijkertijd verwacht de raad van bestuur dat de IT-afdeling nieuwe IT-diensten implementeert, die zaken als digitale transformatie ondersteunen. Het probleem is dat de IT-afdeling voortdurend bezig is met blussen van brandjes bij de ondersteuning van zwaar verouderde IT, wat vervolgens ook nog eens het vertrouwen van gebruikers in de IT-afdeling schade berokkent.

Selfservice en automatisering

Selfservice-oplossingen kunnen hier uitkomst bieden: zowel de IT-afdeling als de werknemers worden er beter van. Omdat standaardverzoeken automatisch kunnen worden uitgevoerd, hebben werknemers sneller wat ze nodig hebben en worden IT-medewerkers ontlast. Organisaties kunnen zelfs bepaalde taken delegeren aan line of businessmanagers, zoals het toekennen van toegang of het toevoegen van extra licenties. Enkel de IT-experts kunnen dergelijke, veilige taken volgens het beveiligingsbeleid maken en beheren. Zo kunnen medewerkers een hoop zelf regelen, maar geen schade aanrichten.

Ook het automatiseren van het toegangsbeheer kan helpen om het risico te verminderen. Eén van de meest belangrijke onderdelen van access management, is het onmiddellijk intrekken van rechten nadat een werknemer uit dienst treedt. Dat klinkt logisch, maar bij veel organisaties is er geen gemakkelijk, geautomatiseerd proces om met onmiddellijke ingang toegang te ontzeggen tot alle applicaties, databases en communicatie. De toegang tot al deze diensten en middelen moeten vaak één voor één worden ingetrokken. Daardoor blijven toegangsrechten vaak dagen en soms nog weken geldig, waardoor ex-werknemers met kwaad in de zin gevoelige informatie kunnen meenemen. 

Het is mede hierom van het grootste belang dat alle systemen voor identity en access management- geïntegreerd zijn, inclusief de HR-database. Alleen dan kan je er zeker van zijn dat alle toegangsrechten tijdig en volledig worden ingetrokken.

Veel organisaties hebben bovendien een beperkte set van parameters om toegangsbeheer toe te passen. Om daadwerkelijk veilige toegang te bewerkstellingen moet er meer afhangen van de context van de gebruiker. Bijvoorbeeld door toegangsregels in te stellen op basis van locatie (geofencing). Zo zou een dokter bijvoorbeeld binnen het ziekenhuis bepaalde medische gegevens kunnen inzien via een tablet, maar wordt deze toegang automatisch ontzegd buiten de muren van het ziekenhuis.

De processen

Er zijn enorm veel processen die geïmplementeerd moeten worden om aan de eisen van de GDPR te voldoen en de risico’s te verminderen. Hoe beheren gebruikers bijvoorbeeld hun bestanden? Welke bestanden zijn versleuteld en welke bestanden bevatten persoonlijke informatie? Staat er data opgeslagen op locaties waar het niet zou moeten staan? Er zijn in veel organisaties ongetwijfeld gebruikers die gegevens opslaan op onveilige locaties, buiten het netwerk, simpelweg omdat het op die manier makkelijker toegankelijk is. Indien processen niet heel duidelijk geformuleerd zijn of nageleefd worden, kan dat tot een verhoogd risico leiden.

Een volledige GDPR-strategie

Een volledige GDPR-strategie zou zich altijd rekenschap af moeten leggen over het risico in deze drie hoofdgebieden. Je moet ervoor zorgen dat je mensen hun werk kunnen doen zonder dat IT ze hierbij in de weg staat, maar je moet wel de processen en regels afdwingen die passen bij de context van de gebruiker: wie zijn ze, waar zijn ze, op welk apparaat werken ze, et cetera. Vervolgens moet er bepaald worden of de handeling die ze willen uitvoeren past binnen de regels. Wanneer je het beheer vergaand en op de juiste manier automatiseert, zal dat resulteren in een productieve én veilige werkomgeving.

De grootste uitdaging aangaande GDPR, is het verminderen van het risico dat mensen en processen met zich meebrengen, zonder dat daardoor de productiviteit in gevaar komt. Zorg daarom dat je processen sterk en compleet genoeg zijn om aan de eisen te voldoen, maar flexibel genoeg om mensen ongestoord hun werk te laten doen. Met selfservice, contextbewuste technologie en automatisering van de regels rondom de processen, kun je technologie inzetten om de grenzen te stellen (toegestane bestandslocaties, automatische versleuteling, het voorkomen van schadelijke applicaties door whitelisting, et cetera) en de infrastructuur en data te beschermen tegen kwetsbaarheden. Het National Cyber Security Centre stelt zelfs dat het tijdig patchen van applicaties en besturingssystemen, applicatiebeheer, apparaatbeheer en het op de juiste manier beheren van toegangsrechten, tot wel 85 procent van de indringers tegen kan houden.