28 mei 2015

Zes lessen over datasecurity, geleerd tijdens het DDMA Datasecurity Congres

Het is tegenwoordig niet langer de vraag ‘of’ maar ‘wanneer’ organisaties te maken krijgen met een datalek. Hoe bereidt een organisatie zich daarop voor en waar moet je in het geval van een datalek rekening mee houden? Deze vragen stonden centraal op het DDMA Datasecurity Congres van 19 mei. De specialisten van het Nederlands Cyber Security Centrum, de privacy toezichthouder (het College bescherming persoonsgegevens), Deloitte en een aantal hackers gaven zes waardevolle lessen mee.

Les 1: be aware!

De middag werd afgetrapt door Jan-Jan Lowijs en Maarten Aertsen van Deloitte. De heren demonstreerden real life hoe een getargette hack in zijn werk kan gaan. Een door een promotieteam op straat uitgedeelde USB-stick verschaft de hackers toegang tot het systeem van de aangevallen organisatie. De demonstratie toont aan dat het van belang is medewerkers goed te informeren en instrueren op het gebied van informatiebeveiliging. Het creëren van bewustwording (security awareness) binnen je organisatie is minstens net zo belangrijk als het adequaat beveiligen van je computersystemen.

DDMA Security Congres 2015 Presentatie Jan-Jan Lowijs en Maarten Aertsen Deloitte

Download (2 MB)

Les 2: Stel een team datalekken samen

Aan de hand van een fictief hackscenario en een uit het publiek samengesteld team datalekken, maakte Chris van ’t Hof, de moderator van de middag, inzichtelijk dat een datelek meer is dan een IT-probleem. Een datalek kan immers voor de nodige imagoschade zorgen, waardoor crisiscommunicatie van groot belang is. Daarnaast kan het nodig zijn het datalek te melden aan verschillende instanties, zoals het Cbp. Een team datalekken bestaat dus bij voorkeur uit een IT-er, een communicatiespecialist en een jurist. Voor het team datalekken geldt dat voorbereiding op én samenwerking in het geval van een datalek belangrijk is.

Les 3: omarm ethische hackers

Responsible Disclosure is de term die men gebruikt als een melder (een hacker) en de “aangevallen” organisatie in goede samenwerking een datalek openbaar maken. Hiervoor kan je als organisatie richtlijnen opstellen, zodat ethische hackers weten hoe jouw organisatie omspringt met eventuele gedetecteerde datalekken. Ook ethisch hacken is immers een illegale bezigheid. Door beleid te formuleren en ethische hackers onder voorwaarden te vrijwaren van vervolging, kan de datasecurity van je organisatie erop vooruit gaan. Er zijn zelfs bedrijven die hackers belonen voor een melding.

Het Nationaal Cyber Security Centrum (NCSC), verantwoordelijk voor een veilig stabiel geheel aan ICT toepassingen in Nederland, heeft een handige leidraad gepubliceerd om te komen tot een praktijk van Responsible Disclosure.

Les 4: cybersecurity is ook business

Nederland loopt voorop wat betreft digitale ontwikkelingen. Het Nationaal Cyber Security Centrum (NCSC) geeft als advies mee niet alleen te denken in risico’s, maar ook in kansen. Nederland is een internationaal internetknooppunt, heeft de meest competitieve internetmarkt ter wereld en één van de hoogste online gebruikersdichtheden, het behoud van consumentenvertrouwen en vertrouwen in de integriteit van de infrastructuur is noodzakelijk.

“Dus laten we de kansen voor Nederland optimaal benutten en de dreigingen samen voorkomen en bestrijden.” Barend Sluijter (sr. beleidsmedewerker Cyber Security, NCSC)

DDMA Security Congres 2015 Presentatie Barend Sluijter Cyber Security

Download (730 KB)

Les 5: wees op de hoogte van de komende meldplicht

Vermoedelijk is het vanaf januari 2016 verplicht ernstige datalekken te melden aan de toezichthouder het College Bescherming Persoonsgegevens (Cbp), en aan de betrokken personen uit het gelekte bestand. Het nieuwe wetsartikel waarin deze brede meldingsplicht opgenomen is, biedt weinig houvast. Daarom zal het Cbp eind dit jaar richtsnoeren publiceren met praktische handvatten. De beveiligingstips die Udo Oelen ons op het Datasecurity Congres op voorhand meegaf:

Kijk goed naar de risico’s
Maak gebruik van de expertise in de markt
Houd intern een overzicht van datalekken bij

DDMA Security Congres 2015 Presentatie Udo Doelen CBP

Download (206 KB)

ZOEKEN OP DEZE SITESearch for:OVERZICHT ACTUEELNIEUWS – 28 MEI 2015

Les 6: inventariseer je datastromen en ken je beveiligingsniveau

Het Cbp kijkt bij het beoordelen van een datalek onder meer naar nalatigheid. Had uw organisatie de data beter kunnen beveiligen? Om organisaties te helpen hun beveiligingsmaatregelen te beoordelen heeft DDMA het Privacy Waarborg uitgebreid met een controle op databeveiliging: de Security Check. Aan de hand van de Security Check wordt inzichtelijk hoe solide het informatiebeveiligingsbeleid binnen jouw organisatie is.

Daarnaast is het aan te bevelen gebruik maken van de diensten van bijvoorbeeld Radically Open Security voor het laten pentesten van je organisatie.

Kortom: wees voorbereid!

Iedere organisatie en ieder merk moet tegenwoordig rekening houden met de mogelijkheid van een datalek door een gerichte aanval, maar ook door verlies of diefstal. Focus je niet alleen op het voorkomen van datalekken, maar evengoed op het traject dat je als organisatie doorloopt op het moment dat zich een datalek voordoet.

Heb je vragen op het gebied van privacy of security of heb je te kampen met een datalek, schroom niet om contact op te nemen met het DDMA-bureau.