Wie doeltreffendheid risk-based security niet kan bewijzen, voldoet niet aan GDPR
29 januari 2018 -
Akamai Technologies waarschuwt bedrijven in Europa dat het mislukken van een risk-based aanpak voor het verwerken van persoonsgegevens kan leiden tot een overtreding van de GDPR.
Dit resulteert in hoge boetes. In een risk-based securitybeleid worden veiligheidsrisico’s zoveel mogelijk geëlimineerd.
Beveiligingsprotocollen
Over vier maanden treedt de GDPR in werking en bedrijven moeten daarom de juiste beveiligingsprotocollen volgen. Ook moeten bedrijven kunnen aantonen dat deze protocollen in het geval van een datalek zijn nageleefd. Akamai adviseert organisaties een goede analyse van hun systemen te maken om zo alle risico’s in kaart te brengen. Vervolgens dienen ze ervoor te zorgen dat alles voldoet aan de GDPR. Akamai erkent dat de term ‘passende’ beveiligingsmaatregelen voor interpretatie vatbaar is. Het advies van Akamai is onderdeel van de meest recente whitepaper van het bedrijf.
Best practices
Organisaties doen er goed aan om de best practices uit de industrie te volgen om zo de klantdata te beveiligen. Daarnaast moeten ze ervoor zorgen dat de Data Protection Authority (DPA) alle benodigde informatie ontvangt. Gerhard Giese, Managing Enterprise Security Architects, Akamai Technologies zegt: "Organisaties bevinden zich in een lastige positie. Hoewel GDPR nog openstaat voor interpretatie, moeten ze nu al in actie komen, nog voordat de regelgeving in werking treedt. Als ze niet kunnen aantonen dat ze de juiste maatregelen hebben genomen om persoonsgegevens te beschermen resulteert dit in hoge boetes. Bedrijven kunnen zich niet langer verstoppen voor deze verantwoordelijkheid."
Compliant zijn is niet eenvoudig
De whitepaper van Akamai toont aan dat wanneer organisaties hun risk-based beveiligingsstrategieën moeten verdedigen, hun argumenten misschien niet zo sterk zijn als ze zouden moeten zijn. Wanneer niet de meest recente technologieën gebruikt worden of bij gebrek aan up to date security kennis, zullen autoriteiten twijfelen aan hoe risk-based de aanpak daadwerkelijk was.
Giese vervolgt: "Veel organisaties gebruiken technologieën die ze kwetsbaarder maken voor aanvallen dan nodig. Denk bijvoorbeeld aan de risico’s die VPN met zich meebrengt wanneer er onnodig toegang tot het bedrijfsnetwerk wordt geboden. Andere organisaties zijn niet goed in staat om te reageren op problemen en doen er langer over om bedreigingen te herkennen. Bedrijven doen er verstandig aan goed te kijken naar hun beveiligingsoplossingen en zichzelf de vraag te stellen of er een betere manier is om de data die ze verwerken te beschermen. Als er een praktische oplossing is die ze nog niet hebben geïmplementeerd, moeten ze zich afvragen of ze werkelijk kunnen claimen dat ze alle risico’s hebben verminderd."
Lokalisatie zorgt voor nog complexere compliancevereisten, omdat organisaties verplicht zijn te voldoen aan de lokale eisen van de landen waarin ze actief zijn. Op het moment dat landen hun privacywetten vernieuwen, moeten wereldwijd opererende bedrijven op de juiste manier hun processen aanpassen. Hoewel er overeenkomsten zijn in de wetgeving van verschillende landen, maken de nuances het lastiger voor organisaties om te bewijzen dat ze compliant zijn met alle verschillende nationale wetgevingen.
Stappen om GDPR compliance te bewijzen
Akamai beveelt vier stappen aan die organisaties kunnen nemen om aan te tonen dat er een adequate risk-based aanpak is voor de bescherming van webapplicaties en websites:
1. Leer van de fouten van anderen
Als een organisatie wacht met het reageren op een dreiging tot het moment van een aanval, is de kans op een succesvolle verdediging een stuk kleiner. Security-leveranciers die bedrijven over de hele wereld beveiligen, herkennen dreigingen al in een vroeg stadium en passen hun bevindingen toe op de beveiliging van al hun klanten - voordat er een aanval plaatsvindt.
2. Behoud en documenteer de regelementen van firewalls van webapplicaties
In het geval van een beveiligingslek vraagt de DPA om bewijs van de genomen stappen om de impact te minimaliseren. Voor webapplicaties en websites betekent dit dat de organisatie moet aantonen dat er een effectieve firewall voor applicaties actief is, die doorlopend wordt aangepast aan veranderende bedreigingen.
3. Beheer de toegang van derde partijen tot persoonlijke data
Het verlenen van toegang tot het bedrijfsnetwerk aan derde partijen is vanuit zakelijk oogpunt noodzakelijk. Deze toegang brengt echter risico’s mee voor de persoonlijke data en beveiliging. Het is daarom belangrijk dat er een systeem is dat toegang tot dit netwerk registreert en het risico op ongeautoriseerde toegang vermindert. Op deze manier kunnen organisaties aan de DPA bewijzen dat er noodzakelijke maatregelen zijn genomen.
4. Creëer een buffer tussen het netwerk en mogelijke bedreigingen
Als het netwerk de eerste verdediging is van een organisatie, dan is de dreiging al te dichtbij. Door een buffer, zoals een content delivery netwerk, tussen de infrastructuur van de organisatie en dreigingen te plaatsen, kunnen deze dreigingen worden gesignaleerd voordat ze een probleem worden. Daarnaast is het voor de organisatie dan mogelijk om traffic om te leiden, langs Denial of Service-aanvallen.
