Data Protection

Het beveiligen van bedrijfsgevoelige informatie is één van de hogere doelen van IT Security. De laatste jaren is in het kielzog van de digitalisering en mobiliteit en de explosieve groei van internettoepassingen het belang van informatiebeveiliging enorm groot geworden.

Oplossingen binnen het gebied Data Protection zijn direct gericht op vraagstukken rondom het bewaken van informatiestromen en opslag. Door middel van technologie kan het gebruik van gevoelige informatie worden gereguleerd (“Data Loss Prevention”) en onbruikbaar worden gemaakt voor onbevoegden (“Encryptie”). De kunst is om dergelijke maatregelen zo in te zetten, dat het de werkbaarheid in minimale mate verstoord en dat is met een juiste selectie van oplossingen heel goed mogelijk.

Om een gedegen beleid op het gebied van informatiebeveiliging te voeren, is allereerst belangrijk om in kaart te brengen welke data bescherming behoeft. Bescherming allereerst tegen onbevoegden van buiten de organisatie, maar ook bescherming tegen oneigenlijke toegang door medewerkers. Wanneer de locatie en hoedanigheid van deze informatie bekend is, kan efficiënt en doeltreffende gewerkt worden aan de benodigde bescherming ervan.

Wanneer duidelijk is welke data beschermd moet worden, is de volgende stap om de bedreigingen te kennen. In het voorkomen van datalekken, komen in algemene zin de volgende uitdagingen naar voren:

  • Ongeoorloofde toegang. Bij data protection wordt snel gedacht aan het voorkomen dat data op straat komt te liggen, maar van een datalek kan al sprake zijn wanneer een stuk tekst door iemand gelezen wordt die daar (nog) geen kennis van zou moeten hebben. De toegang tot de gevoelige data moet daarom goed bewaakt worden en dat betekent ten eerste een gedegen rechtenstructuur. Maar ten tweede heeft Data Protection op dit punt raakvlakken met alle andere vormen van beveiliging, namelijk om onbevoegde buitenstaanders van de data weg te houden. Het bestrijden van hackers is dus net zo goed een vorm van informatiebeveiliging als versleuteling van data, en dus moet informatiebeveiliging niet als een onderdeel maar een doelstelling van IT Security worden gezien.

  • Verzending van informatie via internet. De grenzen van het netwerk vervagen en data gaat de hele wereld over. Dat de geëigende internetprotocollen zoals Web en Email vaak compleet onveilig zijn, betekent dat elke verzending van bedrijfsinformatie zijn risico’s kent, maar de data die u geclassificeerd heeft zou nooit op deze manier uw organisatie moeten kunnen verlaten. Vaak is dit in ongeschreven afspraken vastgelegd maar wordt in de praktijk toch nog veelvuldig gevoelige informatie naar bijvoorbeeld webmail accounts of opslagdiensten verstuurd. Controle van uitgaand internetverkeer is bijna ondenkbaar geworden.

  • Verlies mobiele devices (laptops/tablets/etc.). Mobiele devices bevatten vaak informatie die niet in verkeerde handen mag vallen. Voor tablets geldt dat net zo goed. Het is daarom zaak om de data die op dergelijke devices staat, veilig te stellen in geval van verlies. Dat gebeurt door middel van encryptie, versleuteling en kan tegenwoordig op elk type device worden ingezet. Zonder kennis te hebben van de sleutel, kan een dief of andere onbevoegde de data op een systeem niet uitlezen. Goede encryptie technologieën kunnen ook niet worden gekraakt, wat natuurlijk van essentieel belang is. Een goed afgewogen keuze van technologie is daarom zeer belangrijk.

  • Verlies removable storage. Wie datalek zegt, zegt bijna automatisch “USB-stick”. Het mag duidelijk zijn dat van alle gevoelige datalekken die in de media zijn gekomen tot nu toe het gros veroorzaakt is door een verloren USB-stick. Onbeveiligde USB-sticks zouden daarom niet moeten worden toegestaan in een bedrijfsmatige omgeving, of het zou voorkomen moet worden dat daar bepaalde informatie naartoe kan worden opgeslagen. Het volledig onmogelijk maken van gebruik van USB-sticks voert voor veel organisaties waarschijnlijk te ver; het is immers een zeer efficiënte manier van data verplaatsing. De oplossing is om gebruik te maken van veilige USB-sticks, en tegelijkertijd onveilige USB-sticks te blokkeren.

  • Opslag op / kopiëren naar ongeoorloofde locaties. Indien bepaalde typen gevoelige informatie altijd op 1 plek staat, dan is het in het kader van beheersbaarheid onwenselijk dat diezelfde data om welke reden dan ook verplaatst wordt naar een andere locatie. Die locatie kan overigens weer een USB-stick zijn, wat bijvoorbeeld alleen toegestaan kan worden indien de USB-stick beveiligd is. Maar ook kopiëren naar andere locaties is waarschijnlijk niet wenselijk en zal moeten worden gereguleerd.

  • Print. Zoals gezegd gaat de eerste gedachte bij datalekken uit naar USB-sticks, maar het uitprinten van informatie kan net zo gevaarlijk zijn. Nadat een document is uitgeprint, kan het daarna immers natuurlijk niet meer worden gemonitord. En de kans bestaat dan dat het document in kwestie vervolgens vergeten wordt in bijvoorbeeld de trein. Net zoveel, of misschien zelfs nog meer, risico als het verliezen van een USB stick dus en ook regulering van printen zou dus onderdeel moeten uitmaken van een beveiligingsbeleid.

Bescherming kan ook gecreëerd worden door middel van regulering, bijvoorbeeld van USB gebruik, of het monitoren van datastromen in email- en webverkeer. Door een gestructureerde aanpak op te zetten voor data protectie kan kritische informatie proactief beschermd worden.