Hoeveel waarde vertegenwoordigt jullie data?

Bij de megahack van afgelopen weekend zijn honderden bedrijven wereldwijd getroffen. De vermoedelijke daders – de Russische hackersgroep REvil, vragen volgens berichten 70 miljoen dollar losgeld. Om de haverklap duiken er in de media berichten op over datalekken bij grote organisaties, ontstaan door (menselijke) fouten of criminele hacks. Altijd is de verontwaardiging groot en de beschuldigingen zijn niet van de lucht. Maar over de oplossing gaat het maar zelden. En dat is jammer, want er is heus iets te doen tegen datalekken en tegen de gevolgen ervan.

Het is een dooddoener, maar hij moet vermeld worden: voorkomen is beter dan genezen. Besef dat de data die binnen je organisatie voorhanden is, een grote waarde vertegenwoordigt. Voor de eigen organisatie, maar ook voor kwaadwillenden. Wil je die gegevens daadwerkelijk beschermen, dan is het goed om naar de datahuishouding te kijken. Dat is in elk geval vrijwel altijd het vertrekpunt voor The Chief Architects als onze hulp wordt ingeroepen – of het nu preventief is of na een datalek of -hack.

Anders kijken naar data

We laten bedrijven en overheden anders kijken naar hun data. Vertaal je business eens naar de gegevens waarmee je werkt: welke data heb je, welke zijn essentieel, waar staan ze en wie kan erbij? Wanneer en hoe gebruik en verwerk je ze, met wie deel je ze? Dat is vaak een eyeopener. Letterlijk, want die aanpak verschaft een hoop inzicht.

Vervolgens classificeren we de data: bijvoorbeeld of het gaat om persoonsgegevens. In dat geval heb je te maken met wet- en regelgeving (waaronder de AVG). Voldoe je daaraan, door de interne en externe procedures? Gaat het om bankgegevens, dan gelden ook weer specifieke voorschriften. Net zo bij koppelingen met overheidsinstanties (bijvoorbeeld de Basisregistratie Personen). Maar ook de eigen financiële administratie vraagt aandacht en bescherming.

Bescherming begint bij de bron

Laat duidelijk zijn: er is geen pakket maatregelen dat voor elke instantie of bedrijf werkt. Het is geen lijstje dat je afvinkt. Elke organisatie is uniek, het is altijd maatwerk. Ik kijk daarom bij elke vraag eerst naar wat er al geregeld is… Vaak kun je daarop voortbouwen, je hoeft niet alles rigoureus overhoop te gooien.

Een stresstest of pentest, het inschakelen van ethical hackers leert al snel of en waar de databescherming tekortschiet. En dus ook hoe je de beveiliging kunt verbeteren. Je begint bij de databronnen, en bouwt vandaaruit de veiligheid op met gelaagdheden. In de vorm van technische maatregelen en aanpassing van de procedures. Waaraan iedereen zich dan ook moet houden!

In paniek door de hype

Dan kom je tot een robuuste en samenhangende beveiliging. Pleisters plakken helpt niet. Net zomin als een extra slot op een deur helpt als die deur zelf van triplex is en dus gemakkelijk in te trappen. Je moet de databescherming vanuit de kern opbouwen.

Maar wel passend bij de organisatie: de beveiliging en procedures mogen het bedrijfsproces niet dwarsbomen. Dat zie je vaak wel gebeuren doordat bestuurders en ondernemers meegaan in de hype. Als een collegabedrijf in het nieuws komt door een datalek, zijn ze bang om zelf ook getroffen te worden. En dus maken ze in paniek verkeerde keuzes. Of ze denken met ingrijpende maatregelen de zaak voor eens en altijd te hebben geregeld.

Nou, één ding is zeker: databescherming is nooit klaar. Het is een voortdurend proces. Dat vraagt een andere mindset: proactief in plaats van reactief. Als je je realiseert dat je data een belangrijke asset is (misschien wel dé belangrijkste), wacht je niet tot iemand anders ermee aan de haal gaat.

Mijn advies is binnen de ICT-afdeling een permanente testomgeving in te richten, waar de databeveiliging aan de nieuwste inzichten wordt getoetst. Bedrijven zijn langzamerhand genoodzaakt om een proeftuin in te richten zodat ze zelf met de nieuwste ransomware kunnen testen en zichzelf kunnen beschermen!

De technieken en trucs die cybercriminelen toepassen, ontwikkelen zich snel. Als je daarbij achterblijft, krijg je vroeg of laat heel veel spijt.