GDPR en ICT: een interessante uitdaging

19/04/2018

GDPR, een term die iedereen ondertussen al heeft horen vallen. Met de General Data Protection Regulation die van kracht gaat op 25 mei is elke firma verplicht om rekening te houden met nieuwe privacyregels. U heeft wellicht al talloze artikels gelezen over wat de basisprincipes zijn. Maar wat heeft dit specifiek te betekenen voor uw IT omgeving?

 

In dit artikel bespreken we hoe u uw volledige IT omgeving beveiligd. Dit lijkt niet in directe zin over het gebruik van klantengegevens te gaan, maar dat heeft er wel degelijk invloed op. Als uw data beveiligd is, uw systemen up-to-date zijn, uw fysieke omgeving beschermd is, dan zijn de gegevens van uw klanten dat ook. Zo staan de gegevens waar u toegang tot kreeg door toestemming van uw klanten mooi en veilig opgebaard in uw netwerk. Een lek ervan zou immers tot grote problemen leiden, want die gegevens zijn onrechtvaardig verkregen. Een goede beveiliging van uw IT omgeving is dus een duidelijke win-winsituatie. Noodzakelijk voor uw reputatie en de privacy van uw klanten.

 

 

1. Bescherming van uw netwerk & applicaties

 

Schuilt uw netwerk achter een betrouwbare firewall? Een beveiligingsmethode die iedereen zou moeten opzetten maar door de GDPR nog zoveel belangrijker is geworden. Een datalek zorgt namelijk voor heel wat reputatieschade maar met de nieuwe wetgeving ook voor torenhoge boetes. Door gebruik te maken van VLAN’s (Virtual Local Area Networks) kan u virtuele onderverdelingen van het netwerk maken. Dit leidt niet enkel tot betere prestaties, maar zorgt er ook voor dat door de afsplitsing, gevoelige informatie in combinatie met de firewall enkel geraadpleegd kan worden door bevoegde personen.

 

2. Managen, monitoren en rapporteren van uw netwerk

 

Is uw netwerk up-to-date? Een constante opvolging van uw systeembeheer is noodzakelijk om te weten hoe performant het is. Vermijd dus veroudering en securitylekken door constant de gevraagde updates door te voeren. Want een verouderd systeem is kwetsbaarder. Met security patches worden beveiligingslekken in het systeem gedicht. Zoals ducttape op een leeglopende luchtmatras. Het zorgt ervoor dat hackers de zwakke plek niet verder kunnen uitbuiten. Laat uw systeem daarnaast ook monitoren door Veeam ONE. Deze interactieve tool zorgt voor proactieve monitoring, signalering en rapportage van mogelijke problemen in uw IT omgeving 24/7. Zo kan u tijdig optreden en downtime vermijden.

 

3. Is uw persoonlijke computer beveiligd?

 

Eerst en vooral is het een evidentie dat u een anti-virussoftware op uw computer installeert. Een eerste filter om spam, virussen en malware uit uw computer te houden. Stel daarnaast dat uw computer wordt gestolen. Zelfs met een paswoord kunnen kenners de harde schijf uitlezen en zo uw gegevens bemachtigen. Met encryptie kan dat voorkomen worden. Er wordt als het ware een slot op de gegevens gezet met een versleuteld algoritme. Enkel de eigenaar kan het decrypteren en de originele informatie terugkrijgen. De dief heeft dus een kluis zonder sleutel in handen. Daarnaast bestaat er ook zoiets als laptop- en USB sloten. Deze worden met een sleuteltje of cijfercombinatie op de toestellen geklikt en zorgen er zo voor dat ze niet meegenomen of in gebruik genomen kunnen worden.

 

4. Is uw tablet/smartphone beveiligd?

 

In een maatschappij waar ‘mobile’ tegenwoordig het eerste digitaal contactpunt is, is het vanzelfsprekend dat ook die toestellen niet zomaar met hun opgeslagen data te koop lopen. Uw toestel vraagt u af en toe om updates uit te voeren. Doe dat dan ook. Op die manier blijft de software performant, verouderde systemen zijn immers kwetsbaarder. Blokkeer de eerste toegang met een paswoord en maak ook een beveiligde map aan op uw toestel. Daar plaatst u de gevoelige gegevens nog eens achter slot en grendel. Kies hierbij een paswoord die verschilt van uw eerste. Uw mobiel toestel is daarnaast ook een tool voor tweestapsverificatie. Wilt u toegang tot uw Dropbox? Laat dan het programma eerst een code naar uw smartphone sturen die u moet gebruiken om in te loggen. Op die manier zijn twee verschillende contactpunten nodig geweest om aan de gegevens te komen.

 

5. Hoe sterk zijn uw paswoorden?

 

Het is natuurlijk verloren moeite om uw gegevens te beschermen met paswoorden als die gemakkelijk te kraken zijn. Enkele richtlijnen om sterke paswoorden te genereren.

 

Wat gebruikt u beter niet?

  • Geboortedata
  • Bijnamen
  • 1234
  • Namen van huisdieren

Enkele voorbeelden: 1987, Alfasolutions, Danny

 

Wat is wel goed?

  • Combinaties
  • Speciale tekens
  • Dialecten
  • Zinnen

Enkele voorbeelden: jr28^à}va, DitIsmijnPaswoord!$, KwillekikgènWWgeven

 

Daarnaast kan je ook een authenticatietool automatisch moeilijke paswoorden voor jou laten genereren en bijhouden.

 

Leg binnen uw bedrijf een password policy op. Dat houdt in dat om de paar maanden aan elke werknemer gevraagd wordt om al zijn/haar paswoorden aan te passen. Een belangrijke tip daarbij: gebruik niet overal dezelfde code!

 

Er zijn verschillende soorten toegangscodes. Je hebt de ‘standaard’ wachtwoorden met letters en cijfers, maar ondertussen bestaat er ook al vergrendeling door middel van fingerprints, Eid, token, gezichtsherkenning (Hello van Microsoft), …

 

6. Hoe veilig is uw fysieke omgeving

 

U kunt dan wel de data op uw computer encrypteren, een back-up nemen en sterke wachtwoorden genereren. Maar is het niet essentieel dat uw toestellen niet simpelweg voor de grabbel liggen? Sluit steeds uw kantoor af na de werkdag, beveilig uw toestellen met een laptopslot, en als laatste een heel erg belangrijke regel die vaak vergeten wordt: zet een slot en grendel op dat serverlokaal! Het is het pompend hart van uw firma dat 24/7 uw data beheert. Het verdient om met man en macht beschermd te worden.

 

7. Wordt uw data goed beheerd?

 

Zorg voor een frequent en betrouwbaar back-upsysteem. Mocht er eens iets fout lopen, dan ben je alvast niet al uw werk kwijt. De Veeam back-up software kan hierbij helpen. Laat de back-ups ook steeds controleren door een IT partner. Die monitoren de toepassing en kunnen een error snel opvolgen en herstellen.

 

Ken je de 3-2-1 backupregel al?

Bewaar minstens 3 kopies van je data, op 2 verschillende dragers, waarvan 1 kopie op een andere fysieke plaats.

 

8. Is uw WiFi netwerk veilig?

 

Dat u uw WiFi netwerk moet beveiligen met een paswoord is hopelijk ondertussen een evidentie. Maar zorg daarnaast ook voor een apart gastnetwerk met wachtwoord.  U kunt bezoekers natuurlijk het wachtwoord van het intern wifi-netwerk geven, maar dit is niet erg veilig. Waarschijnlijk hebt u binnen het netwerk onbeveiligde gedeelde bronnen, zoals mappen op pc's of een NAS. Handig, maar dergelijke bronnen zijn ook probleemloos bereikbaar voor gasten die op uw wifi-netwerk surfen. Uw bezoekers hebben wellicht geen snode plannen, maar door het afgeven van het wachtwoord van het wifi-netwerk verliest u er wel de controle over. De kans wordt groter dat het wachtwoord in handen valt van iemand die minder goede bedoelingen heeft. Het is voor de veiligheid van uw netwerk dus geen goed idee om het wachtwoord van uw eigen draadloze netwerk met andere mensen te delen.

 

9. Zijn uw afdrukken beveiligd?

 

In bedrijven gebruiken werknemers heel vaak eenzelfde centrale printer. Als een collega gevoelige informatie uitprint en slechts even erna het papier komt ophalen, hebben al heel wat mensen de kans gekregen om even een inkijkje te nemen. Niet enkel intern, maar ook bezoekers passeren soms langs printers en kunnen dan gerust enkele papieren meesmokkelen. Dit vermijdt u door bij het ophalen van de papieren zich eerst te identificeren met een badge of code. Met persoonlijke printers dichtbij de gebruiker kan dit deels omzeild worden. Maar ook hier is identificatie aangeraden, want hier is duidelijker wát er precies uitgeprint zou kunnen zijn.

 

10. Hoe beveiligd is uw cloudomgeving?

 

De Cloud is een fantastische tool en daardoor uitermate waardevol. Ook hier is het een absolute noodzaak om die te voorzien van sterke wachtwoorden en firewall. Heb je daarnaast ook gecheckt of je cloud provider GDPR compliant is? Het is immers verloren moeite om je data in de cloud te beschermen als je provider er doodleuk gebruik van maakt. Vraag hen er naar!

 

Nu we al deze inspanningen hebben gedaan, willen we uiteraard weten of we hiermee nu 100% GDPR compliant zijn. Het antwoord is neen. Het is momenteel nog praktisch onmogelijk om ervan uit te gaan dat hiermee alles op wieltjes loopt. De IT omgeving is immers constant in beweging en gevaren liggen steeds op de loer. Maar hiermee heb je als bedrijf de nodige inspanningen bewezen en dat is voorlopig voldoende.

 

Nog vragen omtrent GDPR? Blijf er niet mee zitten en contacteer ons op GDPR@alfasolutions.be