Nogmaals een blogpost over GDPR. Alsof u er de laatste tijd nog niet genoeg mee rond de oren werd geslagen. Maar deze keer gaan we naar de essentie: hoe optimaliseert u nu eigenlijk uw ICT-infrastructuur voor GDPR? Geen boutades, maar handige tips. Vandaag deel 1: infrastructuur en devices.
General Data Protection Regulation – wat is het nu weer?
In het Nederlands klinkt het nog straffer: Algemene Verordening Gegevensbescherming of AVG dus. U hebt er allicht al over gehoord en indien dat niet het geval is, verwijs ik u met veel plezier door naar een aantal andere blogs.
Maar wat moet u er nu mee? De GDPR heeft impact op een aantal zaken. U zal uzelf juridisch in orde moeten stellen met nieuwe of aangepaste contracten en contract-addenda. U zal ook nieuwe afspraken moeten maken met partners, klanten en leveranciers aangaande de verwerking van gegevens.
Maar dat is niet alles. Ook uw ICT infrastructuur zelf zal moeten voldoen aan een aantal minimumvereisten om, zelfs wanneer u alle contracten en juridische elementen zoals een dataregister in regel hebt gebracht, met een gerust hart verder te kunnen werken.
U zal merken dat de GDPR op ICT technisch vlak vooral impact heeft op hoe u die ICT-omgeving en de data die zich op die omgeving bevinden moet gaan beveiligen. Een verhoogde aandacht voor ICT Security is dus onvermijdelijk. Safety First als het ware.
We belichten in dit artikel/reeks graag een vijftal aandachtspunten aangaande uw infrastructuur die u moet bekijken en waar u wellicht aanpassingen aan zal moeten doen. Te beginnen met Infrastuctuur en Devices.
Uw centrale infrastructuur
Voor dit stuk gebruiken we graag het beeld van de burcht. Zoals in de inleiding gezegd, is beveiliging het codewoord wanneer het gaat over ICT en GDPR. Naast het feit dat u enkel over data mag beschikken die voldoet aan de juridische regels, moet u ook garanderen dat u die data voldoende zwaar beveiligt. Daar kan en moet ICT een belangrijke rol in spelen!
Een firewall dus
Als we het hebben over uw centrale ICT infrastructuur dan leek die tot enkele jaren geleden wellicht sterk op de foto van de burcht. Al uw ICT materiaal bevond zich op een door u gecontroleerde plek (uw kantoor) en was enkel toegankelijk voor mensen die u daarvoor specifiek de toestemming gaf.
Net zoals u niet zomaar iedereen door de deur laat binnenwandelen op kantoor doet u hetzelfde met uw digitale ingang (uw internetverbinding). Afhankelijk van uw behoeften zal die snel of traag zijn, enkelvoudig of redundant, maar belangrijk is dat u die toegang beveiligt. Een goede firewall dus. Niet alleen geplaatst en correct geconfigureerd (vergeet ook niet even na te denken over het uitgaande verkeer), maar ook onderhouden, gecontroleerd en up-to-date gehouden.
Een firewall hebben we. Dus wij zijn klaar!
In de huidige technologische context is een firewall om de perimeter van uw ICT omgeving te beveiliging (de omwalling van uw burcht) echter maar een begin. Net zoals die wal om de burcht vandaag de dag wellicht ook niet meer bestand is tegen moderne vormen van oorlogsvoering.
Heel vaak werken we namelijk niet meer vanuit ons fort (het centrale kantoor). Uw mensen werken ook van thuis uit. Maken verbinding met uw netwerk via WiFi. Tonen online demo’s van uw product bij klanten, communiceren via mail, gebruiken allerlei cloud applicaties,… De bedreigingen komen dus uit alle hoeken en de firewall is dus maar het begin. Nog steeds nuttig en vaak noodzakelijk, maar slechts het begin.
Nog een paar basics
We beperken ons nog even tot uw kantooromgeving en de ICT infrastructuur die zich daar bevindt. Naast de firewall om de digitale toegang tot dat netwerk te verdedigen moet u zeker ook nog aandacht voor een aantal andere elementen.
Basisconfiguratie
Uw ICT infrastructuur bestaat uit tientallen, honderden of meer devices. Toestellen die elk hun specifiek nut hebben. Switches, routers, firewalls, servers, WiFi antennes, bekabeling, patchkasten… Noem maar op. Zij zijn allemaal verbonden met het hart van uw ICT infrastructuur en dus op hun beurt eigenlijk allemaal mogelijke toegangen tot uw netwerk.
U zal dus moeten nagaan of al die devices voldoende veilig zijn geconfigureerd. Zijn bijvoorbeeld de paswoorden voor het beheer van die devices (indien ze een beheersinterface hebben) gewijzigd naar iets anders dan het standaard paswoord waarmee ze geleverd worden? Anders is het een koud kunstje om bijvoorbeeld via uw WiFi antenne de configuratie van die antenne aan te passen met minder goeie bedoelingen…
Zorg er ook voor dat al die devices die daarvoor in aanmerking komen op regelmatige basis gecontroleerd worden of de firmware en/of software die erop draait nog altijd up-to-date is. Patches en updates worden uitgebracht door leveranciers om gekende “gaten” in hun systemen dicht te stoppen. Die niet installeren is op termijn dus altijd een vrijgeleide…
Fysieke toegang
Wie kan er allemaal tot bij de kritische infrastructuur komen die zich nog binnen uw kantoor bevindt (de servers, firewall, netwerkinfrastructuur, WiFi Access Points,…). Heeft u daar controle over en is daar voldoende over nagedacht?
WiFi
Indien u beschikt over WiFi toegang tot het netwerk voor uw medewerkers, wees u er dan van bewust dat dat signaal wellicht niet stop aan de muren van uw kantoor. Is uw WiFi omgeving dus voldoende beveiligd? Weet u wie er allemaal toegang heeft tot uw WiFi netwerk, of heeft u die code al uitgedeeld aan klanten, leveranciers,…
Indien u WiFi wil aanbieden in uw kantoor voor derden (mensen die geen medewerker zijn van u) om ze toegang te geven tot internet, is die toegang dan voldoende afgeschermd van uw interne netwerkomgeving?
Antivirus / Antimalware / updates / encryptie
Het updaten en up-to-date houden van al uw systemen hebben we al vermeld, maar omdat het zo belangrijk is, zullen we dat nog wel een paar keer herhalen.
Daarnaast is het een klassieker en ook nog altijd nodig om goed werkende antimalware (iets breder dan antivirus) te installeren op alle devices die hiervoor geschikt zijn (servers, clients, mobiele devices,…).
En encryptie ten slotte zou ook waar mogelijk moeten worden toegepast. Op de disken in uw storage systeem, maar ook de trafiek over wifi netwerk bijvoorbeeld. En eentje die in deze context al eens vergeten wordt: uw back-up. Want ook die bevat (als het goed is) al uw gegevens dus ook de data die onderhevig is aan de GDPR…
Zorg dat uw plan B klaar ligt
Zelfs als alle bovenstaande zaken helemaal in orde zijn kan het misgaan. Een virus is soms sneller dan de antivirus bijvoorbeeld. Zorg dus dat er altijd een plan B klaar ligt in de vorm van een business continuity plan en een goed werkende en volledig geteste backup en recovery procedure.
Het werkpaard / uw toestellen
Na het beeld van de burcht, nu het beeld van het werkpaard. Het werkpaard waar u dagdagelijks mee aan de slag gaat. Of, en dat is al meteen een element van de complexiteit, de werkpaarden. Want meer dan waarschijnlijk beschikt u over meer dan één “persoonlijk” device dat op één of andere manier verbinding maakt met het netwerk en waarmee u toegang heeft tot uw bedrijfsdata (dus ook de gdpr gevoelige).
Ik heb alles in de cloud – dus ik ben klaar
Niet helemaal. Was het maar waar. Zelfs bedrijven die quasi met alles in de cloud zitten zullen wellicht nog wel iets aan basisinfrastructuur over hebben (internettoegang bijvoorbeeld, of de WiFi). Voor die componenten die overblijven moet dus wel degelijk bovenstaande in acht worden genomen.
Daarnaast is het zo dat ook bij Cloud applicaties best wordt nagekeken of alles wel ok is met betrekking tot de gdpr. Maan uw cloud leveranciers dus aan tot actie, vraag welke clausules aan de contracten worden toegevoegd, vraag hoe uw data wordt beveiligd, zowel op de servers van uw cloud leverancier (in rest) als wanneer u de data gebruikt en ze dus over internet worden getransporteerd (in transit).
Neem dit criterium trouwens ook gewoon mee bij de selectie van nieuwe partners en cloud providers. Indien ze op bovenstaande vragen geen correct antwoord kunnen bieden is het wellicht niet de geschikte partij om uw data aan toe te vertrouwen!
Basisconfiguratie
Net zoals bij de componenten van uw centrale infrastructuur moet er ook op het vlak van de devices met de basics begonnen worden.
Dat wil dus ook hier zeggen dat u de toestellen up-to-date moet houden. Installeer dus de patches en updates van de leveranciers (soft- én hardware!) op regelmatige basis zodat u zeker bent van de hoogste beveiliging op dat vlak.
Kies ook hier voor de juiste antimalware oplossing om problemen met virussen en ander fraais te vermijden (in combinatie met correct en tijdig uitgevoerde updates).
Kies ook voor encryptie waar mogelijk. Beschikt uw toestel over een harde schijf? Encrypteer dan gewoon de volledige harde schijf, u merkt er als gebruiker niets van en als de disk ooit in verkeerde handen valt bent u in ieder geval zeker dat de data die er zich op bevindt niet zomaar leesbaar zal zijn. Pas encryptie trouwens ook altijd toe op mobiele datadragers zoals USB-sticks of mobiele harde schijven!
Algemeen beheer van uw devices
Als u al uw devices correct en veilig hebt geconfigureerd bent u echter nog altijd niet klaar. Weet u, als eigenaar of beheerder van uw netwerk wel met welke toestellen uw gebruikers allemaal verbinding maken met uw gegevens?
Hebt u daar een volledige lijst van en voldoen al die toestellen aan de minimumvereisten van een professioneel veilig toestel (encrypteerbaar, mogelijkheid om het toestel remote te blokkeren of te wissen,…).
De technologie laat intussen toe om te controleren welke devices u toelaat op uw infrastructuur en de welke niet. In het kader van de GDPR wordt het ook nodig die technologie te implementeren en te gebruiken.
Klaar om dit in de praktijk te brengen?
Aurelium helpt MKB's bij het in kaart brengen van GDPR-risico's en stelt een actieplan op en voert het samen met u uit om GDPR-compliancy te bereiken voor uw bedrijf. Contacteer ons vrijblijvend voor een offerte en aanpak!
