Sinds mei 2018 is de Europese wetgeving van kracht. De General Data Protection Regulation (GDPR), ook wel de Algemene Verordening Gegevensbescherming (AVG) stelt meer eisen aan het verwerken van gegevens van personen. Iedereen moet erop kunnen vertrouwen dat zijn gegevens voldoende beveiligd worden. Samen met BonsenReuling zijn wij een unieke samenwerking aangegaan en hebben wij een Privacyscan ontwikkeld. Hiermee hebben we verschillende organisaties kunnen helpen met de eerste stappen richting de wetgeving.
De Privacyscan bundelt onze krachten en combineert de juridische aspecten met ICT-oplossingen. Om zo passende technische en organisatorische maatregelen te treffen voor het beveiligen van persoonsgegevens. Met onze beveiligingstechnieken krijgen bijvoorbeeld hackers minder kans om toegang te krijgen tot persoonsgegevens of wordt ervoor gezorgd dat uitsluitend de juiste gebruiker toegang krijgt tot zijn online werkplek.
De beveiligingstechnieken die wij bepalen zijn volledig afhankelijk van de organisatie en wijze waarop persoonsgegevens verwerkt worden (doel, type gegevens, systeem, bewaartermijn, gevoeligheid etc.) en in hoeverre de ICT-security al geregeld is. Door het toepassen van beveiligingstechnieken worden gegevens beter beschermd, dit kan bijvoorbeeld met een goede back-up plan, recoveryplan, test en restore backup, encryptie, extra beveiligingslaag, slimme firewalls, scheiden van netwerken, centraal beheren van accounts en frequente monitoring en registratie. Het is belangrijk dat documentatie op orde is. Jaarlijkse audit is nodig om te onderzoeken of de maatregelen nog actueel, effectief en doeltreffend zijn, GDPR/AVG-compliant worden is een continu proces.
Hieronder een greep uit verschillende technische maatregelen voor betere beveiliging:
1. Wachtwoordbeleid
In een wachtwoordbeleid staat het wachtwoord gebruik binnen een organisatie omschreven. Hierin kan vastgelegd worden dat een medewerker verschillende wachtwoorden voor verschillende systemen gebruikt, geen gebruik mag maken van de wachtwoord onthoud of blijf ingelogd functie. Dat er altijd gebruik gemaakt moet worden van een sterk wachtwoord en dat deze regelmatig gewisseld moet worden, dit laatste kan ook afgedwongen worden (wijzig wachtwoord na bijvoorbeeld 90 aantal dagen). Lees hier waar een sterk wachtwoordbeleid uit kan bestaan.
Ook kan het beleid bepalen of er gebruik gemaakt wordt van een tool om alle wachtwoorden te beheren, via een wachtwoordmanager. Wachtwoord managers worden steeds vaker gebruikt, het is een veilige opslag (soort kluis) voor alle wachtwoord.
2. Extra beveiligingslaag met 2FA
Inloggen gebeurt vaak met een gebruikersnaam en wachtwoord, dit is iets wat alleen u weet. Tweefactorauthenticatie voegt hier een extra beveiligingslaag aan toe, door iets wat u hebt of bent. Dit is vaak een soort token: USB-token, SMS-code, nummer-token. In het tweede geval kan het zijn vingerafdruk, irisscan of stem. Er wordt naast het wachtwoord om een extra verificatie gevraagd. Deze beveiligingslaag geeft extra zekerheid dat de persoon die inlogt ook echt degene is die toegang mag krijgen tot het account. Deze beveiligingsoplossing passen wij ook toe op onze Citrix online werkplekken of online werkplek.
3. Netwerkbeheer en beveiliging
Verouderde netwerkapparatuur zoals modems, switches, routers vergroten het risico op inbraken maar worden vaak vergeten. Zo kan een verouderde firewall een backdoor zijn voor kwaadwillende omdat deze vaak onvoldoende zijn beveiligd. Ook data dat verstuurd wordt via een netwerkverbinding of E-mail moet versleuteld worden door bijvoorbeeld encryptie.
Het scheiden van netwerken zorgt voor betere beveiliging. Als een gast inlogt op het bedrijfsnetwerk zit deze direct binnen het interne netwerk, waar dus geen firewall meer tussen zit. De laptop van de gast kan onbewust besmet zijn met een virus of spyware en hiermee het interne netwerk infiltreren. Om deze risico’s te beperken is het veiliger om een aparte gast WiFi verbinding op te stellen.
Monitoring van netwerkverkeer – ook van mobiele devices helpt om bedreigingen te detecteren en erop te reageren. Het beheren en beveiligen van mobiele gegevens kan met behulp van Microsoft Intune.
4. Beheren en beveiligen van mobiele apparatuur
Mobiele apparatuur zoals computers/laptops, smartphones, tablets of thin clients zijn nodig voor het uitvoeren van werkzaamheden. Het werken met mobiele apparatuur is niet zonder gevaar, een medewerker kan per ongeluk een virus of spyware binnen halen en hiermee het interne netwerk besmetten. Door het verliezen van een apparaat kunnen gegevens gestolen worden. Hieronder een aantal maatregelen die genomen kunnen worden:
- Bit Locker: Maak gebruik van de gratis encryptie tool van Windows, hiermee wordt de volledige schijf versleuteld en is data bij verlies of diefstal beschermt.
- Viruscanner (ESET): Om te voorkomen dat laptops geïnfecteerd raken met virussen, is nodig om deze te voorzien van een virusscanner (wij gebruiken ESET). Deze software draait op de achtergrond die elk bestand controleert dat geopend wordt en vergelijkt het met bekende virussen, wormen en andere vormen van malware. Ook controleert het programma op verdacht gedrag van programma's.
- Automatische scherm vergrendelen: Wanneer een medewerker niet achter zijn werkplek zit moet het scherm automatische na x aantal seconden automatische vergrendeld worden. Dit voorkomt dat ongeautoriseerde toegang krijgen tot bestanden.
- Zakelijke bestanden: Om de risico’s zo klein mogelijk te houden dienen bedrijfsgevoelige bestanden opgeslagen te worden binnen Citrix en niet op de lokale computer.
- Updates uitvoeren: Beperken van zwakheden door het uitvoeren van updates en patches binnen het besturingssysteem en applicaties. Een van de belangrijkste maatregelen om computers te beschermen tegen kwaadaardige software is het uitvoeren van de laatste updates. Hiermee worden gevaren zoals virussen, aanvallen of verminderd. Ook verbeteren updates van OS de prestaties waardoor bijvoorbeeld crashes worden verminderd.
Het in orde hebben van de beveiliging is al een goede stap.
Natuurlijk zijn er nog veel andere technische maar ook organisatorische maatregelen die genomen kunnen worden. Naast het uitvoeren van de privacyscan bieden wij, indien gewenst ook hulp bij het implementeren van de maatregelen in organisaties. Meer weten? Neem dan contact op via info@harbersict.nl.