GlobalSign Blog

Soorten maatregelen en best practices voor gegevensbeveiliging

Soorten maatregelen en best practices voor gegevensbeveiliging

Nu steeds meer technologie wordt gebruikt en de wereld steeds digitaler wordt, zijn organisaties meer en meer persoonlijke gegevens gaan verzamelen. Voor een organisatie zijn de gegevens van hun consumenten een waardevol goed, omdat ze hen helpen hun klanten beter te begrijpen. Hoewel deze gegevens belangrijk zijn voor organisaties om inkomsten te genereren, hebben ze ook de verantwoordelijkheid om deze te beschermen tegen beveiligingsincidenten en gegevensinbreuken.

In dit artikel wordt uitgelegd wat gegevensbeveiliging is, waarom u die nodig heeft, wat de verschillende soorten maatregelen zijn en wat u kan helpen bij het kiezen van de juiste gegevensbeveiligingsmaatregel die relevant is voor de omstandigheden van de gegevensverwerking.

Wat is gegevensbeveiliging?

Gegevensbeveiliging heeft betrekking op de maatregelen, het beleid en de procedures die zijn ingevoerd om persoonlijke gegevens die binnen de organisatie zijn opgeslagen, te beveiligen en te beschermen tegen beveiligingsincidenten en gegevensinbreuken. Een beveiligingsincident kan het gevolg zijn van het falen van een technische of organisatorische maatregel die door uw bedrijf is genomen. Bijvoorbeeld een storing van de firewall, een fout in het rol- en toegangsconcept, een gebrekkige wachtwoordbeveiliging, gegevenslekken, toegang door malware of een inbreuk op interne veiligheidsvoorschriften. Een beveiligingsincident kan fysiek of technisch van aard zijn, of beide.

Een gegevensinbreuk daarentegen is een beveiligingsincident dat heeft geleid tot een toevallige of onwettige vernietiging, verlies, wijziging, openbaarmaking van of toegang tot persoonlijke gegevens. Het kan gaan om opzettelijk of onopzettelijk gegevensverlies en het kan de betrokkene aanzienlijke schade berokkenen, onder meer in de vorm van emotioneel leed.

Beveiligingsincidenten en gegevensinbreuken zijn vrijwel altijd vermijdbare gebeurtenissen en organisaties hebben daar in het verleden zware gevolgen van ondervonden. Enkele voorbeelden hiervan zijn:

  • In juni 2020 werd Wattpad, een website waar mensen hun eigen verhalen kunnen schrijven, getroffen door een datalek waarbij bijna 268 miljoen records werden blootgelegd. Bij de inbreuk werden persoonlijke gegevens zoals gebruikersnamen, IP-adressen en zelfs wachtwoorden die als bcrypt hashes waren opgeslagen, vrijgegeven.
  • In mei 2019 werd de Australische grafische ontwerptoepassing Canva het slachtoffer van een aanval waarbij 137 miljoen gebruikersaccounts werden gekraakt. Bij het datalek werden gebruikersnamen, wachtwoorden, e-mailadressen en zelfs woonplaatsen openbaar gemaakt.
  • Sina Weibo had begin 2020 te maken met een inbreuk waarbij 538 miljoen gebruikersaccounts werden gecompromitteerd. Bij deze inbreuk werden gebruikersnamen, nummers, locaties en zelfs echte namen openbaar gemaakt

Als het verleden een indicatie is, dan zijn gegevensinbreuken een reëel probleem en zullen organisaties alles moeten doen wat ze kunnen om de gevolgen van een gegevensinbreuk te beperken. Laten we eens kijken hoe u uw organisatie kunt beschermen tegen beveiligingsincidenten en gegevensinbreuken.

Waarom is gegevensbeveiliging nodig?

Organisaties moeten om diverse redenen gegevensbeveiliging implementeren:

  • Beschermt informatie: Het belangrijkste doel van gegevensbeveiliging is de bescherming van persoonlijke gegevens. Gevoelige persoonlijke gegevens, zoals gezondheidsinformatie, kunnen een tastbare negatieve invloed hebben op de betrokkene zodra deze worden gehackt en verdienen daarom extra bescherming.
  • Verbetert de reputatie: Organisaties die bekendstaan om de bescherming van hun gegevens en doeltreffende beveiligingsmaatregelen hebben, kunnen vertrouwen wekken bij al hun belanghebbenden, inclusief klanten. De meeste bedrijven willen zich op de wereldmarkt profileren als sociaal verantwoordelijke bedrijven, zodat ze investeerders en andere zakenpartners kunnen aantrekken. Daarom is de reputatie van een bedrijf van cruciaal belang voor succes op de lange termijn. Doeltreffende gegevensbeveiliging helpt organisaties om het vertrouwen van de consument te winnen en een goede reputatie op te bouwen op de wereldmarkt.
  • Bespaart op kosten: Een organisatie kan veel besparen op de kosten die voortvloeien uit een datalek als in een vroeg stadium doeltreffende beveiligingsmaatregelen worden geïmplementeerd.
  • Helpt te voldoen aan de compliance-normen: Tegenwoordig moeten bedrijven ervoor zorgen dat ze hun gegevens beschermen om te blijven voldoen aan nationale en wereldwijde regelgeving, zoals de GDPR (General Data Protection Regulation) van de EU.

Soorten gegevensbeveiligingsmaatregelen

Er zijn een aantal manieren waarop een organisatie gegevensbeveiliging kan afdwingen:

  1. Gegevensencryptie: Software voor gegevensencryptie verhoogt de veiligheid van gegevens door een algoritme te gebruiken dat de gegevens onleesbaar maakt en dat alleen kan worden gedecodeerd met een sleutel of de juiste machtigingen. Als de gegevens toch worden gekraakt, zullen ze onbruikbaar worden voor wie er toegang toe krijgt.
  2. Gegevens maskeren: Gegevensmaskeringssoftware verbergt gegevens door letters en cijfers te verbergen met proxy-tekens. Dit is een andere versleutelingsmethode die gegevens onbruikbaar maakt voor wie de gegevens probeert te kraken.
  3. Gegevens wissen Er zijn momenten waarop gegevens niet langer nodig zijn en uit alle systemen moeten worden gewist. Dit kan een goede manier zijn om aansprakelijkheid weg te nemen. Gegevens die niet bestaan, kunnen niet worden gestolen.
  4. Veerkracht van gegevens: Het maken van back-ups en kopieën van gegevens is een goede manier om het risico van onopzettelijk gegevensverlies of -vernietiging te beperken. Alle organisaties moeten een back-up hebben voor hun gegevensopslag.

Organisaties beschikken gewoonlijk over een combinatie van de bovengenoemde gegevensbeveiligingsmaatregelen om de best mogelijke gegevensbeveiliging te realiseren.

Best practices voor het implementeren van gegevensbeveiligingsmaatregelen

Om u te helpen bij het kiezen van een passende beveiligingsmaatregel die op uw omstandigheden is afgestemd, hebben we een reeks best practices opgesteld die u zeker in acht dient te nemen.

Begrijp de aard van de gegevens die moeten worden beschermd

Verschillende gegevenscategorieën kunnen een verschillende gevoeligheidsgraad hebben. Hoe gevoeliger de gegevens zijn, des te groter is het risico dat een betrokkene schade berokkend wordt. Zelfs een inbreuk op een kleine hoeveelheid zeer gevoelige persoonlijke gegevens kan ernstige gevolgen hebben voor een persoon. Daarom moet een organisatie bij de implementatie van een beveiligingsmaatregel rekening houden met de gevoeligheid en de precieze aard van de persoonlijke gegevens die beschermd moeten worden.

Spoor alle voorzienbare dreigingen op

Een grotere waarschijnlijkheid of grotere impact van bedreigingen betekent dat organisaties strengere en geavanceerdere maatregelen moeten nemen, vooral bij de verwerking van gevoelige persoonlijke gegevens. Omgekeerd kunnen voor minder gevoelige persoonlijke gegevens minder of minder geavanceerde maatregelen nodig zijn. Beveiligingsrisico's kunnen intern en extern zijn.

Interne bedreigingen, d.w.z. bedreigingen die van binnen de organisatie komen, omvatten:

  • Social engineering: Wanneer iemand van binnen de organisatie wordt misleid tot het lekken van privé-informatie van het bedrijf.
  • Shadow IT: Het gebruik van niet-geautoriseerde websites en toepassingen door werknemers.
  • Gegevens delen buiten het bedrijf: Het delen van vertrouwelijke gegevens buiten het bedrijf kan schadelijk zijn voor de gegevensbeveiliging.
  • Gebruik van niet-geautoriseerde apparaten: Apparaten zoals USB-apparaten kunnen een groot beveiligingsprobleem veroorzaken als het USB-apparaat geen vertrouwd apparaat is.
  • Fysieke diefstal: Werknemers nemen hun apparaten meestal mee en de dreiging van diefstal neemt toe. Diefstal van apparaten kan voor alle organisaties problemen veroorzaken.

Externe bedreigingen, d.w.z. bedreigingen waarbij een externe entiteit de beveiligingsmaatregelen van een organisatie bewust probeert te omzeilen en zich met kwade bedoelingen ongeautoriseerde toegang tot gevoelige gegevens probeert te verschaffen, zijn onder meer:

  • Hacken
  • Malware
  • Phishingaanvallen

Volg de best practices van de sector

Cyber- en informatiebeveiliging vereisen professionele expertise. Daarom moeten organisaties zich bij het kiezen van de juiste beveiligingsmaatregelen houden aan de best practices van de sector. Zo is encryptie een in de industrie aanvaarde beveiligingsmaatregel.

Organisaties moeten ook rekening houden met bepaalde lokale en internationale normen, zoals:

  • NERC - Bescherming van kritieke infrastructuur
  • NIST - National Institute of Standards and Technology
  • PCI-beveiligingsnormen
  • SANS/CIS 20
  • ISO 27001

Controleer de functies van uw oplossing voor gegevensbeveiliging

Idealiter moet uw beveiligingstool de beschikbaarheid van en toegang tot persoonlijke gegevens tijdig kunnen herstellen in het geval van een fysiek of technisch beveiligingsincident. De tool moet ook in staat zijn om de gegevens onbegrijpelijk te maken voor iedereen die niet bevoegd is om er toegang toe te krijgen.

Een data intelligence-oplossing zoals Securitii wordt aangedreven door een PrivacyOps-framework dat organisaties in staat stelt het volgende te doen:

  • Lokale, hybride en multi-cloud gegevensassets catalogiseren en verzamelen.
  • Zelf de kenmerken van gevoelige gegevens ontdekken.
  • People-Data-Graph gebruiken om persoonlijke gegevens aan de eigenaars te koppelen en om privacygebruiksscenario's te vervullen.
  • Ongestructureerde data detecteren en classificeren voor doeltreffend beheer, bescherming en privacy.
  • Gegevensrisico's voor elke gegevensset markeren met een risicoscore..
  • Beveiligings- en privacyfuncties op een geautomatiseerde manier uitvoeren.

Denk aan de kosten van de implementatie

Een beveiligingsmaatregel hoeft niet exorbitant duur te zijn en organisaties moeten rekening houden met de kosten van de implementatie.

Conclusie

Het implementeren van adequate beveiligingsmaatregelen is een fundamentele vereiste van de meeste privacywetten. Als u dit niet doet, kan uw organisatie worden blootgesteld aan buitensporige boetes en straffen en kunt u het vertrouwen van de consument verliezen. Daarom worden organisaties sterk aangemoedigd om alle maatregelen te nemen die nodig zijn om mogelijke beveiligingsincidenten of gegevensverlies te voorkomen.

Opmerking: Dit blogartikel is geschreven door een gastauteur om onze lezers een gevarieerder aanbod te kunnen geven. De meningen die in dit artikel van de gastauteur worden geuit, zijn uitsluitend die van de auteur en komen niet noodzakelijk overeen met die van GlobalSign.

Share this Post

Recent Blogs