Wat zijn “redelijke” maatregelen om datalekken te voorkomen?

28 feb 2018
wat zijn nou redelijke maatregelen ter voorkoming van datalekken? Stel een helder beleid en procedures op en train medewerkers.

tref redelijk maatregelen in voorbereiding op de avg om datalekken te voorkomen

Nog minder dan 100 dagen en dan wordt de AVG, de Algemene Verordening Gegevensbescherming, van kracht. Met deze privacywetgeving worden EU-burgers nog beter beschermd en krijgen zij meer rechten. Organisaties krijgen daardoor meer verantwoordelijkheden om de privacy van iedereen waar zij gegevens van verwerken te kunnen waarborgen.

De gevolgen van het niet goed naleven van deze wetgeving of het ontstaan van een datalek kunnen groot zijn. Boetes kunnen oplopen tot astronomisch hoge bedragen, om nog niet te spreken over de reputatieschade en schade door downtime. Een foutje waardoor een datalek kan ontstaan is echter zo gemaakt. Denk aan het klikken op een phishinglink of een bestand met persoonsgegevens dat gedeeld wordt met de verkeerde persoon. Bij het bepalen van eventuele represailles kijken de autoriteiten onder andere of er redelijke maatregelen getroffen zijn om incidenten te voorkomen. Maar wat zijn “redelijke” maatregelen precies?

Verschillen per organisatie

Wat redelijk is voor de ene organisatie is, hoeft niet redelijk te zijn voor een andere organisatie. Voor elke organisatie is het belangrijk om te starten met een risicoanalyse om de risicogebieden van de organisatie in kaart te brengen. Daarna is het zaak om de risico’s te prioriteren en een plan op te stellen met een adequaat beleid, procedures, tools en strategieën om deze risicogebieden aan te pakken. Niet elke organisatie kan alle zaken in één keer uitvoeren.

Grondbeginselen

Op het gebied van cyber- en informatieveiligheid en preventieve maatregelen om datalekken te voorkomen zijn er een paar grondbeginselen die elke organisatie zou moeten checken.

  • Is er helder gedefinieerd cybersecurity beleid en zijn er specifieke cybersecurity procedures? Denk bijvoorbeeld aan het opstellen van een duidelijk protocol rondom datalekken.
  • Worden medewerkers opgeleid op het gebied van het beleid en de procedures van de organisatie? Weten medewerkers bijvoorbeeld hoe ze een incident moeten melden en wat zij moeten doen als ze het vermoeden hebben dat er sprake is van een datalek?
  • Worden medewerkers getraind om incidenten te herkennen en te voorkomen? Kunnen zij phishing herkennen en weten ze hoe te handelen bij andere vormen van social engineering?
  • Worden er regels omtrent wachtwoordgebruik opgelegd? Denk hierbij aan het verplichten van lange wachtwoorden of -zinnen en de “ouderwetse” complexe wachtwoorden.
  • Worden aanvullende veiligheidsmaatregelen, zoals multifactor-authenticatie, afgedwongen?
  • Hebben medewerkers voldoende tools om hun werkzaamheden veilig uit te voeren? Denk aan beschikking hebben over een door de organisatie goedgekeurde file sharing service.

Laat zien dat het onderwerp de aandacht krijgt die het nodig heeft

Ook al voldoe je als organisatie aan alle bovenstaande punten, een incident kan zich altijd voordoen. In zo’n geval is het vele malen beter om te kunnen laten zien dat het onderwerp de aandacht krijgt die het nodig heeft. Met goed ingerichte processen, specifieke procedures en trainingen voor medewerkers geef je als organisatie het signaal af dat je alles binnen je macht gedaan hebt om incidenten te voorkomen en dreigingen tegen te gaan. Dan spreken we over redelijkheid. Het mag dan niet 100% incidentproof zijn, maar de maatregelen zijn “redelijk”. Als na een incident niet getoond kan worden wat er gedaan is, zeg je in feite dat het onderwerp niet belangrijk genoeg was. De autoriteiten rekenen dat zwaar aan.

NextTech Security: specialist op het gebied van bewustwording

Vertonen uw medewerkers het juiste gedrag en weten zij wat hun verantwoordelijkheden zijn op het gebied van informatiebeveiliging? NextTech Security is specialist op het gebied van Security Awareness. Wij testen het gedrag van uw medewerkers, geven u inzicht in het huidige veiligheidsniveau van uw organisatie en richten ons op het creëren van bewustwording en gedragsverandering bij uw medewerkers. Dit doen we onder andere met onze e-learningprogramma’s en een doorlopende benadering vanuit de vakgebieden security, communicatie en onderwijs. Maak van uw medewerkers de sterkste schakel in informatiebeveiliging!

Stuur een e-mail naar info@nexttech.nl of bel ons op 088-018 1600 voor meer info. Kijk ook eens op nexttech.nl/onze-aanpak voor het complete overzicht van onze onderzoeken en leermethoden.

Terug naar het overzicht