zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Wie doeltreffendheid risk-based security niet kan bewijzen, voldoet niet aan GDPR

29 januari 2018 - Akamai Technologies waarschuwt bedrijven in Europa dat het mislukken van een risk-based aanpak voor het verwerken van persoonsgegevens kan leiden tot een overtreding van de GDPR.

Dit resulteert in hoge boetes. In een risk-based securitybeleid worden veiligheidsrisico’s zoveel mogelijk geëlimineerd.



Beveiligingsprotocollen 
Over vier maanden treedt de GDPR in werking en bedrijven moeten daarom de juiste beveiligingsprotocollen volgen. Ook moeten bedrijven kunnen aantonen dat deze protocollen in het geval van een datalek zijn nageleefd. Akamai adviseert organisaties een goede analyse van hun systemen te maken om zo alle risico’s in kaart te brengen. Vervolgens dienen ze ervoor te zorgen dat alles voldoet aan de GDPR. Akamai erkent dat de term ‘passende’ beveiligingsmaatregelen voor interpretatie vatbaar is. Het advies van Akamai is onderdeel van de meest recente whitepaper van het bedrijf.
 
Best practices
Organisaties doen er goed aan om de best practices uit de industrie te volgen om zo de klantdata te beveiligen. Daarnaast moeten ze ervoor zorgen dat de Data Protection Authority (DPA) alle benodigde informatie ontvangt. Gerhard Giese, Managing Enterprise Security Architects, Akamai Technologies zegt: "Organisaties bevinden zich in een lastige positie. Hoewel GDPR nog openstaat voor interpretatie, moeten ze nu al in actie komen, nog voordat de regelgeving in werking treedt. Als ze niet kunnen aantonen dat ze de juiste maatregelen hebben genomen om persoonsgegevens te beschermen resulteert dit in hoge boetes. Bedrijven kunnen zich niet langer verstoppen voor deze verantwoordelijkheid."
 
Compliant zijn is niet eenvoudig
De whitepaper van Akamai toont aan dat wanneer organisaties hun risk-based beveiligingsstrategieën moeten verdedigen, hun argumenten misschien niet zo sterk zijn als ze zouden moeten zijn. Wanneer niet de meest recente technologieën gebruikt worden of bij gebrek aan up to date security kennis, zullen autoriteiten twijfelen aan hoe risk-based de aanpak daadwerkelijk was.
Giese vervolgt: "Veel organisaties gebruiken technologieën die ze kwetsbaarder maken voor aanvallen dan nodig. Denk bijvoorbeeld aan de risico’s die VPN met zich meebrengt wanneer er onnodig toegang tot het bedrijfsnetwerk wordt geboden. Andere organisaties zijn niet goed in staat om te reageren op problemen en doen er langer over om bedreigingen te herkennen. Bedrijven doen er verstandig aan goed te kijken naar hun beveiligingsoplossingen en zichzelf de vraag te stellen of er een betere manier is om de data die ze verwerken te beschermen. Als er een praktische oplossing is die ze nog niet hebben geïmplementeerd, moeten ze zich afvragen of ze werkelijk kunnen claimen dat ze alle risico’s hebben verminderd."
Lokalisatie zorgt voor nog complexere compliancevereisten, omdat organisaties verplicht zijn te voldoen aan de lokale eisen van de landen waarin ze actief zijn. Op het moment dat landen hun privacywetten vernieuwen, moeten wereldwijd opererende bedrijven op de juiste manier hun processen aanpassen. Hoewel er overeenkomsten zijn in de wetgeving van verschillende landen, maken de nuances het lastiger voor organisaties om te bewijzen dat ze compliant zijn met alle verschillende nationale wetgevingen.
 
Stappen om GDPR compliance te bewijzen
Akamai beveelt vier stappen aan die organisaties kunnen nemen om aan te tonen dat er een adequate risk-based aanpak is voor de bescherming van webapplicaties en websites:
 
1. Leer van de fouten van anderen
Als een organisatie wacht met het reageren op een dreiging tot het moment van een aanval, is de kans op een succesvolle verdediging een stuk kleiner. Security-leveranciers die bedrijven over de hele wereld beveiligen, herkennen dreigingen al in een vroeg stadium en passen hun bevindingen toe op de beveiliging van al hun klanten - voordat er een aanval plaatsvindt.
 
2. Behoud en documenteer de regelementen van firewalls van webapplicaties
In het geval van een beveiligingslek vraagt de DPA om bewijs van de genomen stappen om de impact te minimaliseren. Voor webapplicaties en websites betekent dit dat de organisatie moet aantonen dat er een effectieve firewall voor applicaties actief is, die doorlopend wordt aangepast aan veranderende bedreigingen.
 
3. Beheer de toegang van derde partijen tot persoonlijke data
Het verlenen van toegang tot het bedrijfsnetwerk aan derde partijen is vanuit zakelijk oogpunt noodzakelijk. Deze toegang brengt echter risico’s mee voor de persoonlijke data en beveiliging. Het is daarom belangrijk dat er een systeem is dat toegang tot dit netwerk registreert en het risico op ongeautoriseerde toegang vermindert. Op deze manier kunnen organisaties aan de DPA bewijzen dat er noodzakelijke maatregelen zijn genomen.
 
4. Creëer een buffer tussen het netwerk en mogelijke bedreigingen
Als het netwerk de eerste verdediging is van een organisatie, dan is de dreiging al te dichtbij. Door een buffer, zoals een content delivery netwerk, tussen de infrastructuur van de organisatie en dreigingen te plaatsen, kunnen deze dreigingen worden gesignaleerd voordat ze een probleem worden. Daarnaast is het voor de organisatie dan mogelijk om traffic om te leiden, langs Denial of Service-aanvallen.
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Tien MVO-managers op de shortlist voor titel ‘MVO Manager van het Jaar 2019’
 Slechts 28 procent bedrijven beveiligt code signing machine-identiteiten
 Zeven toffe producten die het milieu een handje helpen
 

Gerelateerde nieuwsitems

 AVG/GDPR niet alleen een IT-aangelegenheid’
 Organisaties positief over AVG/GDPR maar gemiste kans dreigt
 ‘State of the Art’ uit GDPR-regelgeving zaait verwarring
 Organisaties missen inzicht in consequenties GDPR
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
advertorial
Leer in 2 dagen ontspannen en overtuigend te presenteren
Spreekangst wordt ontrafeld en geëlimineerd. Ruim 14.000 professionals volgden eerder de 'Sneltraining ‘Spreken in het openbaar’ van Pieter Frijters. Rebels, open en ‘out of the box’. Kijk op Spreek.nl of bel 0182 631 232.
Lees verder
Meer dan 100 gratis checklists voor ondernemers. Op Brisk Magazine, internetmagazine voor ondernemers.
Structureer je online marketing activiteiten
Werkstress: voorkomen is beter dan een burn-out!
reacties
Kan IT de populariteit van Virtual Reality bijhouden?  (1) 
Hostingbranche ziet public cloud niet als bedreiging (1) 
Drie manieren om te beleggen voor uw pensioen (1) 
Organisaties wapenen zich steeds beter tegen aanvallen met bots en scrapers  (1) 
Huisdierbezit populair (1) 
Consumenten nog niet overtuigd van de voordelen van Artificial Intelligence  (1) 
Nederlander positief over milieuzones, maar snakt naar duidelijkere regels (1) 
top10
Waarom bedrijfscultuur een strategisch doel moet zijn
Leiders besteden maar dertien minuten per dag aan persoonlijke ontwikkeling
Zorgmedewerkers hebben weinig vertrouwen in actieplan (Ont)Regel de zorg
Alarmerende schaarste op de IT arbeidsmarkt
Bedrijven betalen loyale IT’er minder dan jobhopper
Ondanks salariskloof vrouwen positiever over arbeidsmarkt
Veelgebruikte systemen voor e-mailbeveiliging niet effectief
Optimisme over werkgelegenheid houdt aan
5G-opname nog sneller dan verwacht
Snelgroeiende fintech sector maakt juristen nog schaarser
meer top 10