IT-silo’s contra GDPR

Met de Europese verordening GDPR (General Data Protection Regulation) zijn dat soort praktijken voorbij. Organisaties moeten dus af van hun oude IT-infrastructuur en naar een verenigde benadering van IT: bij een datadiefstal kunnen ze anders niet voldoen aan de eisen die de GDPR voorschrijft. Bovendien is voorkomen beter dan genezen – iets dat met een verenigde benadering van IT een stuk gemakkelijker is.

De GDPR verplicht organisaties bij een datadiefstal binnen 72 uur aan te tonen hoe ze waren voorbereid, en waarom de diefstal desondanks heeft kunnen plaatsvinden. Mochten de preventieve maatregelen onvoldoende zijn, dan kan dat – naast het dataverlies en de reputatieschade – een forse boete opleveren. En dan zijn ze nog niet klaar, want ook alle getroffen klanten moeten worden gecontacteerd, er moet een plan voor een oplossing worden opgesteld, er moet een lek worden gedicht, alle gestolen data moeten weer worden afgegrendeld en er moet een diepgaand rapport naar de autoriteiten worden gestuurd. Het is een forse serie taken, verantwoordelijkheden en regels, waaraan bedrijven onmogelijk kunnen voldoen als er nog sprake is van IT-silo’s, van losstaande IT-onderdelen die niet met elkaar communiceren en/of samenwerken.

Twintig stappen

Daarom moeten bedrijven van de silo-structuur afstappen en IT, beveiliging, mensen en processen samenbrengen. Deze verenigde benadering van IT biedt alle teams én de CIO zicht op wat er is gebeurd en op wat er nog moet gebeuren. Daardoor wordt niet een van de tien tot twintig stappen vergeten. Bovendien is dat iets dat ook van pas komt wanneer er geen diefstal plaatsvindt maar een verzoek tot verwijdering van informatie wordt ingediend.

Daarnaast kan automatisering helpen de basale, tijdrovende taken uit te voeren, waardoor mensen de handen vrij krijgen voor de complexere stappen. Datadiefstal is uiteindelijk, simpel gezegd, ook een soort incident. Organisaties moeten daarom ook hierbij gebruik maken van servicemanagementoplossingen en geautomatiseerde, geïntegreerde processen en systemen om dat incident af te handelen. Zo vergroten ze de kans dat de schade beperkt blijft.

Vuistregels

Bij organisaties die hun cyberbeveiliging op orde hebben, is de kans op problemen sowieso kleiner. IT moet daarom ‘secure by design’ zijn: de juiste mensen, gereedschappen en processen moeten voorhanden zijn. Het Center for Internet Security (CIS) formuleert daarom periodiek de basis van goede cyberbeveiliging. Dat komt neer op de volgende vuistregels: organisaties moeten hun digitale bezit goed beveiligingen, kwetsbaarheden zien én patchen en endpoints beveiligen, zowel door beheerrechten in te perken als door goed zicht te houden op de verschillende applicaties. Op die manier wordt niet alleen het aantal zwakke punten sterk teruggebracht, maar kunnen bedrijven ook aanvallen die wel weten door te dringen, actief bestrijden. Training is: als e-mails met eventuele malware of phishing door gebruikers kunnen worden herkend voor ze deze openen, is het risico op datadiefstal een stuk kleiner.

Boetes

De nieuwe wet geeft een duidelijk beeld van wat wel en niet kan, dus theoretisch gezien zou elke organisatie aan de richtlijnen moeten kunnen voldoen. Maar hoge boetes gaan er zeker worden uitgeschreven. En dan wil je tegen de instanties toch niet zeggen dat je IT-infrastructuur bestaat uit losstaande onderdelen die niet samenwerken en dat je daarom de veiligheid van persoonsgegevens niet hebt kunnen waarborgen.