Vanaf 25 mei 2018 gaat een nieuwe regelgeving rond data protectie van kracht (GDPR). Daar heeft u vast en zeker al uitvoerig over gehoord en gelezen. Wat het precies inhoudt, kan u lezen op de website van de Europese Commissie. Maar weet u eigenlijk wat u moet doen om in orde te zijn met deze nieuwe regelgeving? Bent u zeker dat u geen torenhoge boetes riskeert? Met deze tips en ideeën kunt u aan de slag.
ALLES ONDER CONTROLE?
Weet u exact wie er toegang heeft tot uw gegevens? Hebt u nog controle wanneer een medewerker een bijlage verstuurt per e-mail? Gegevens zijn nog moeilijker af te schermen wanneer iedereen mag werken op eigen toestellen en via de cloud. U moet dus uw IT zo organiseren dat uw gebruikers op een efficiënte en flexibele maar toch veilige manier kunnen werken. Tegelijk voorziet u dat u snel kunt ingrijpen wanneer er toch iets fout gaat.
GEVOELIGE DATA CLASSIFICEREN
Voor u ‘gevoelige informatie’ kunt afschermen, moet u in staat zijn om de juiste gegevens als zodanig te klasseren. Ooit kon dat misschien door een bepaalde map voor gevoelige informatie te reserveren en te beveiligen, maar wat wanneer een gebruiker die informatie toch naar een andere locatie kopieert, doormailt, of gebruikt op zijn smartphone of thuis-pc?
MEDEWERKERS OPVOEDEN
Meer dan ooit is de eindgebruiker de zwakke plek in uw beveiligingsstrategie. Dat kan te kwader trouw zijn, maar meestal gaat het simpelweg om onvoorzichtig gedrag. Heel belangrijk is dan ook om interne richtlijnen voor datagebruik op te stellen en daar voortdurend bij uw medewerkers op te hameren. Dat is nog niet voldoende. U kunt bijvoorbeeld instellen dat op een pc die geen eigendom is van uw organisatie, gevoelige informatie alleen kan worden bekeken maar niet gedownload, gekopieerd of doorgestuurd. Daarnaast kunt u met technologie voor ‘behavioral analytics’ vreemd gedrag van de eindgebruiker automatisch opsporen. Het kan dan bijvoorbeeld gaan om een medewerker die allerlei belangrijke bedrijfsinformatie kopieert naar zijn eigen pc, maar evengoed spoort u er een hack mee op wanneer plots wordt ingelogd vanuit een onbekende locatie of met een onbekend toestel.
OPGELET VOOR SHADOW IT
De oplossing is zeker niet om dan maar de klok terug te draaien en alles angstvallig af te sluiten. Niets toelaten heeft geen zin: niet alleen mist u dan de vele voordelen van de cloud en van flexibel werken – hogere productiviteit, tevreden werknemers, minder hardware te onderhouden, betere klantenservice, … – maar bovendien zullen medewerkers zelf op zoek gaan naar omwegen om toch flexibel toegang te krijgen tot bedrijfsinformatie. Daardoor ontstaat ‘shadow IT’ die volledig buiten het zichtveld van uw IT-beheerder valt. Net wat u níet wilt, dus.
BEVEILIGING OP APPLICATIENIVEAU
Wat doet u dan wanneer medewerkers ook een eigen mobiel toestel – een iPad bijvoorbeeld – willen gebruiken om ’s avonds of op verplaatsing het werk op te volgen? Ons advies is om de beveiliging niet op het niveau van het toestel te voorzien maar wel op applicatieniveau. Een gebruiker die met een niet gekend toestel een toepassing wil openen waarin – gevoelige – bedrijfsinformatie zit, moet dan eerst een pincode invoeren. Dat is ook voor de gebruiker zelf beter: die wil liever niet dat de IT-afdeling zijn privétoestel kan beheren of afschermen met een pincode. Naast de beveiliging met een pincode kunt u ook bepaalde mogelijkheden blokkeren op privétoestellen, zoals bestanden kopiëren of downloaden.
Lees in onze volgende blog hoe u onze tips omzet in de praktijk