Het is AVG wat de klok slaat! En nu dan…
20 juni 2018 09:27
De afgelopen maanden ben ik letterlijk gebombardeerd door mailtjes over de AVG. Vrijwel elke dag verwijderde ik tientallen mailtjes met allemaal dezelfde boodschap; zorg dat je klaar bent voor de AVG, want 25 mei komt eraan. Nu is het dan eindelijk zover, het is 25 mei geweest en eindelijk komt er wat rust in de mailstroom. Over tot de orde van de dag dan maar? Nou niet echt, want privacy en vooral de beveiliging daarvan is een continu proces.
Door de AVG worden ondernemers echter wel bewust dat er iets moet gebeuren met privacy, maar belangrijker nog met beveiliging van de IT-systemen. Inbreuken op beveiliging van IT-systemen, datalekken, privacy schendingen en gijzelingen van computersystemen komen veelvuldig in het nieuws.
Gijzeling van data
Voor de gijzeling van een computersysteem is een ingrijpende gebeurtenis die voorkomen kan worden. Zo las ik afgelopen week het verhaal van een ondernemer waarbij gijzelsoftware ervoor zorgde dat er dagen niet gewerkt kon worden. Naar eigen zeggen kon de automatiseerder hem niet of onvoldoende helpen en uiteindelijk is er losgeld betaald om weer aan de slag te kunnen.
Wat kunnen we hieruit leren? Hoogstwaarschijnlijk was de beveiliging van de systemen en server(s) niet in orde, immers de gijzelsoftware heeft overal toegang gekregen om de data te encrypten. Daarnaast waren de back-up, of de retentietijd van de back-up, ook niet opgewassen tegen het geweld van de gijzelsoftware. Daarnaast was er ook geen calamiteitenplan aanwezig hoe om te gaan met uitval van cruciale systemen.
Werken in de Cloud
De ondernemer zelf had een mooie visie, ga meer in de Cloud werken om ervoor te zorgen dat dit niet weer kan gebeuren. Natuurlijk ben ik het volledig met hem eens, ons bedrijf is een Cloud provider en we raden natuurlijk iedereen aan in de Cloud te gaan werken.
Maar klopt het ook echt dat het werken in de Cloud veiliger is dan een server op locatie?
Niet per definitie natuurlijk, het hangt ervan af hoe de beveiliging geregeld is, maar niet alleen de beveiliging is van belang, ook redundantie van systemen, monitoring en opslag van back-up zijn van een doorslaggevende factor.
Van belang is kritisch te kijken naar de bestaande IT-omgeving en de leveranciers die deze aanbieden. Als een leverancier het niet zo nauw neemt met de geldende regels, dan kan de gehele keten hier last van hebben en neemt de kans op een eventuele boete toe.
Het beste is een leverancier te nemen die in ieder geval beschikt over belangrijke certificeringen voor informatiebeveiliging, de ISO27001 (en NEN7510 voor de zorg) en vraag hiervan de Verklaring van Toepasselijkheid op om te zien wat er precies gecertificeerd is.
Vraag daarnaast ook hoe de beveiliging op de systemen geregeld is, wordt er een least privilege systeem toegepast waarbij gebruikers alleen die rechten hebben die ze ook echt nodig hebben? Wordt er gebruik gemaakt van gerenommeerde antivirus/anti-spam oplossingen en is er een systeem aanwezig waarbij software niet opgestart kan worden zonder uitdrukkelijke toestemming? Als daarnaast de back-up ook goed geregeld is (geografisch gescheiden opgeslagen in een ander datacenter) en de retentietijden hiervan acceptabel zijn (het liefst 30 dagen of langer) dan ziet het er allemaal goed uit.
Maak een plan van aanpak
Het is van groot belang niet toe te kijken en af te wachten of er iets gebeurt, zoals eerder gezegd is beveiliging een continu proces. Maak daarom een plan van aanpak en zorg dat deze bijgewerkt blijft. Heeft u hierbij hulp nodig of heeft u vragen over het werken in de Cloud, neem dan gerust eens contact op. U kunt mij bereiken per telefoon op 085-27 32 282 of per e-mail op d.doeve@icsolutions.nl
Contact
IC Solutions
Dennis Doeve
Kopersteden 22-3
7547 TK Enschede
Reacties op dit artikel
Reactie plaatsen? Log in met uw account.