Optimale beveiliging van gevoelige persoonsinformatie

Brunel is sinds 1975 uitgegroeid tot een wereldspeler op het gebied van detachering en consultancy. Er wordt veel gecommuniceerd door de 200 medewerkers en 10.000 gedetacheerden. Gevoelige persoonsinformatie komt veelal via de mail. Tijd dus om deze data optimaal te beschermen.

Mimecast: dé oplossing voor mailsecurity

Om aan de hoge verwachtingen van Brunel te kunnen voldoen introduceerden wij Mimecast. Deze oplossing scant mail in de cloud buiten de IT omgeving van Brunel, zodat phishing-emails en cyberaanvallen vooraf worden gedetecteerd en geweerd. Mimecast staat voor:

  • Email beveiliging
  • Continuïteit
  • Archivering via één platform

Gestroomlijnde overstap

Dankzij de kennis en ervaring van ons team waren wij in staat om Mimecast op grote schaal te implementeren. Onze professionals wisten Brunel, gemakkelijk en snel, over te zetten naar Mimecast, zonder dat de eindgebruiker hier last van had.


Uit onderzoek van EMC door Vanson Bourne blijkt dat Nederlandse bedrijven in één jaar 3,3 miljard euro zijn misgelopen door dataverlies vanuit onbeveiligde IT-systemen. Het is niet meer de vraag of de IT-volwassenheid van jouw organisatie up-to-date moet zijn, maar hoe dit gerealiseerd gaat worden. Tijd om de risico’s te verlagen met onze 6 tips.

1) Vergrendel alle apparaten

Cybercriminelen willen maar één ding… jouw gevoelige data in handen krijgen. Start daarom met de vergrendeling van alle devices met een sterk wachtwoord. Vergrendeling van jouw devices is als het ware het eerste slot op de deur, maar geldt wel als een tijdelijke oplossing omdat cybercriminelen dit kunnen kraken. Zorg ervoor dat jouw wachtwoordbeleid hierop is berekend door een account bijvoorbeeld te blokkeren als iemand drie keer een verkeerd wachtwoord opgeeft. Het is nog beter om te kiezen voor biometrische alternatieven als gezichtsherkenning of een vingerafdruk. Deze zijn heel persoonlijk, apparaat-gebonden en niet te kraken.
Doe dit niet alleen bij laptops, maar zorg ook dat telefoons, tablets etc. worden vergrendeld. Vul dit verder aan met encryptie, ofwel het versleutelen van de harde schijf! Op deze manier kan de data niet worden uitgelezen op een ander apparaat op het moment dat de harde schijf uit een laptop wordt gestolen. Zo bouw je de drempels in om eventuele online gevaren buiten de deur te houden.

2) Houd de deuren van het netwerk op slot

Zelfs als je geen IT’ er bent is de kans groot dat je het begrip ‘firewall’ kent. Een firewall beschermt devices tegen virussen, cybercriminelen, hackings en nog veel meer. Het is de verdedigingslinie van jouw netwerk. Wanneer je gebruik maakt van Microsoft is de kans groot dat je standaard gebruikmaakt van de softwarematige firewall van Microsoft. Deze wordt veelal geconfigureerd door een IT’er, of misschien heb jij dit zelf gedaan. Maar dit kan niet jouw enige oplossing zijn! Op een kantoor mag de hardwarematige firewall niet ontbreken. Schakel dus altijd een professional in om voor jouw organisatie de beste oplossingen te bepalen.

3) Breng bewustwording

Wist je dat 91% van de ‘succesvolle’ datalekken begint met een directe phishing-aanval? We kunnen dus stellen dat bewustwording van de online gevaren een essentieel onderdeel is van de IT-beveiliging van jouw organisatie. Wanneer medewerkers op de hoogte zijn van alle online gevaren kunnen zij adequaat reageren op eventuele aanvallen. En weten medewerkers wat een datalek precies inhoud? Door hen hierop attent te maken leren zij de valkuilen kennen en trappen zij hier minder snel in.

4) Zorg voor goed beleid

Tegenwoordig werken we niet meer alleen met de computer, veilig op het kantoor. Er is de mogelijkheid om vanaf elk gewenste plek, via alle devices, aan de slag te gaan. Dat is prettig voor de werkzaamheden, maar lastig voor de beveiliging. Stel daarom een vastomlijnd beleid op over hoe om te gaan met devices. Bepaal vooraf wat wel en niet mag en geef dit duidelijk aan. Bepaal bijvoorbeeld dat data alleen opgeslagen mag worden in beveiligde omgevingen, of dat alleen mag worden gewerkt via beveiligde WIFI. Met een vastomlijnd beleid breng je niet alleen structuur voor IT-beveiliging, maar ook extra bewustwording bij de medewerkers.

5 ) Haal competenties in huis

Niets zo lastig als verantwoordelijk zijn voor een project waar je zelf niet alle kennis van hebt. Weet jij wat er moet gebeuren op het moment dat zich een cyberattack voordoet? Of hoe te handelen na een datalek? In dergelijke gevallen is de kennis van een professionele IT’er essentieel. Naast het oplossen van ad-hoc situaties is de doorlopende kennis van een professioneel belangrijk om jouw netwerken op slot te houden. Cybercriminelen ontwikkelen zich minstens zo snel als IT-beveiligingsoplossingen. Een professional kent de ontwikkelingen en kan hierop participeren.

6) Ken de ontwikkelingen van IT binnen MKB

Kennis van de toekomst van IT binnen MKB geeft je de inzichten om jouw IT-beveiliging optimaal te houden. Natuurlijk hoef jij niet alle ins and outs van IT te kennen, daar heb je professionele IT’ ers voor. Maar met de juiste inzichten ben je niet meer zo afhankelijk van jouw IT’ er. Dan heb je zelf de handvatten om het proces van IT-volwassenheid naar een hoger niveau te tillen.


Nieuwe privacywetgeving

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Door de AVG krijgen personen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Privacyrechten worden versterkt en uitgebreid. De betrokkenen kunnen zich beroepen op rechten zoals het inzien van hun gegevens, het aanpassen en verwijderen hiervan. Organisaties zijn verplicht hierop te reageren. Wanneer dit tot geschillen leidt, kunnen betrokkenen bij de Autoriteit Persoonsgegevens (AP) een klacht indienen of via de rechter een zaak aanspannen.

Wat gaat er veranderen

Zodra de AVG van kracht is, hebben organisaties die persoonsgegevens verwerken meer verplichtingen. De nadruk wordt gelegd op de verantwoordelijkheid van organisaties zelf om gedocumenteerd aan te tonen dat zij zich aan de wet houden (accountability). Organisaties mogen daarnaast alleen persoonsgegevens verwerken als er een gegronde reden is om dit te doen en als dit voor een specifiek doel gebeurt. Het is verboden om deze gegevens voor een ander doel te gebruiken. Tevens moeten organisaties de persoonsgegevens adequaat beschermen door het treffen van technische en organisatorische (beveiligings-)maatregelen. De AVG stelt dat organisaties deze stappen, het invoeren van privacymanagement, op een risicogebaseerde manier dienen aan te pakken. Dat is een vak apart en vraagt om deskundigheid.

Risicogebaseerd denken

De wereld van normeringen en certificeringen is aan het veranderen. Vanuit een wereld waarin voorgeschreven werd hoe processen gedefinieerd moeten worden naar een wereld waarin op basis van kansen en risico’s gekeken wordt naar de specifieke behoeftes van een organisatie in het kader van processen en maatregelen. Van een cultuur met ‘checks and balances’ naar een methodiek waarin men vanuit de doelen van de organisatie de relevante kansen en risico’s identificeert, evalueert en mitigeert. Risicogebaseerd denken en werken vormt de basis voor informatiebeveiliging en wordt nu ook in de AVG erkend als fundamenteel voor een effectief privacymanagement. Volgens QSN wordt het uitgangspunt steeds meer de daadwerkelijke bedrijfssturing en het onderwerp risicomanagement speelt hier een steeds prominentere rol in.

 

 

 

Certificering

Organisaties worden gestimuleerd om een certificering op het gebied van privacymanagement en informatiebeveiliging te behalen. QSN helpt organisaties bij het behalen van certificeringen voor informatieveiligheid, zoals ISO 27001 en NEN 7510, waarbij vertrouwelijkheid van informatie als kernthema terugkomt in de norm. Certificering biedt bij uitstek een antwoord op- en invulling van de plicht om adequate beveiliging van de persoonsgegevens door te voeren. Certificering in privacymanagement biedt een krachtige basis voor de verantwoordingsplicht die geldt voor iedere organisatie die persoonsgegevens verwerkt. Een (gecertificeerd) managementsysteem helpt bij het aantoonbaar maken van de technische en organisatorische maatregelen die een organisatie moet inzetten om aan de AVG te kunnen voldoen. Het managementsysteem helpt om inzicht te krijgen in de risico’s en in de kansen op het gebied van informatieveiligheid. Zodoende kan de organisatie beter inspelen op het belang om persoonsgegevens te beschermen.

Risicomanagement leidt tot groei

QSN ziet risicomanagement als een structureel onderdeel van de dagelijkse bedrijfssturing. Op basis van de context en strategie van de organisatie worden de relevante doelen en risico’s geïdentificeerd. Daarnaast moeten de benodigde maatregelen worden geïmplementeerd. Belangrijk uitgangspunt is dat er een cultuur binnen de organisatie heerst, dan wel gecreëerd wordt, waarin men alert is op risico’s en hiernaar kan, mag en durft te handelen. Het draait dus om vertrouwen, eigenaarschap (van doel en risico), kennis, kunde en competenties en continu verbeteren. De link naar effectief privacymanagement is hier duidelijk herkenbaar. Juist door vanuit risico’s en kansen over privacy te redeneren, door eigenaarschap te nemen over privacyrisico’s en door in openheid en helder privacybewustzijn te handelen in de dagelijkse praktijk waar met persoonsgegevens wordt gewerkt, staat een organisatie sterk in haar privacybestendigheid.

Concrete hulp nodig voor jouw organisatie?

Wil je ondersteund worden bij het opzetten van een effectief privacy management systeem, waarbij risicogebaseerd werken de basis vormt? Onze consultants helpen graag! QSN kan vanuit haar kernfocus op risicomanagement organisaties bij uitstek begeleiden bij het inventariseren van kansen en risico’s en het definiëren van passende beheersmaatregelen. QSN gelooft en ademt een pragmatische instelling en zorgt bovendien voor een korte doorlooptijd.

Neem contact op via 0252 – 547 000.

Meer weten?

Nieuwsgierig geworden naar wat jouw organisatie te wachten staat bij de invoering van de AVG? Download dan onze Whitepaper: AVG de nieuwe Privacywetgeving. Lees ook de blog over risicomanagement, waarin uiteengezet wordt hoe een organisatie risico’s op een integrale en gestructureerde wijze kan inzetten om te kunnen groeien.

Dit was een gastblog van QSN risicomanagement.

Logo QSN (002)


Een blog van het privacy-team van Dentons Boekel

Graag lichten wij twee belangrijke principes toe met betrekking tot de verwerking van persoonsgegevens onder de Algemene Verordening Gegevensbescherming (de AVGB). Deze principes gaan vanaf 25 mei 2018, voor een flink deel van organisaties, zorgen voor de nodige wijzigingen in het interne beleid en de technische systemen:

  • privacy by design
  • privacy by default

Privacy by design en privacy by default (gegevensbescherming door ontwerp en door standaardinstellingen) dwingen organisaties te waken voor de bescherming van persoonsgegevens. Zowel in het beginstadium van de ontwikkeling van producten en diensten als gedurende het gehele proces van gegevensverwerking.

Privacy by design

Privacy by design speelt een rol op het moment dat er nieuwe diensten en producten worden ontworpen. De AVGB verplicht de verantwoordelijke om al tijdens het ontwikkelen van producten en diensten te zorgen voor passende technische en organisatorische maatregelen. Dit zorgt ervoor dat de gegevensbeschermingsbeginselen worden uitgevoerd en gewaarborgd. Vooral bij IT-producten en diensten moet al tijdens het ontwikkelproces gebruik worden gemaakt van privacy verhogende maatregelen.

Kortom; organisaties moeten kunnen aantonen dat de bescherming van persoonsgegevens een aandachtspunt is geweest vanaf het moment van aanvang van het ontwerpproces. Wanneer pas in een later stadium (met terugwerkende kracht) de relevante producten en diensten in overeenstemming met de vereisten uit de AVGB worden gebracht, zullen hiermee vermoedelijk onnodige kosten gepaard gaan.

 

 

 

Privacy by default

Privacy by default houdt in dat organisaties verplicht zijn om alleen persoonsgegevens te verwerken die noodzakelijk zijn voor het specifieke doel van de verwerking. Persoonsgegevens mogen in principe niet zonder menselijke tussenkomst voor een onbeperkt aantal personen toegankelijk worden gemaakt.
Dit geldt voor:

  • De hoeveelheid verzamelde persoonsgegevens
  • De mate waarin die gegevens worden verwerkt
  • Het termijn waarvoor deze gegevens worden opgeslagen
  • De toegankelijkheid van de persoonsgegevens

Om dit te bereiken moeten vanaf het begin technische- en organisatorische maatregelen zijn getroffen.

Privacy by default is voornamelijk van belang voor diensten en producten waarbij de betrokkene zelf de keuze heeft om persoonsgegevens te delen.
Het verplicht organisaties tot het beschermen van de persoonsgegevens door de systemen (e.g. websites, applicaties, apparaten) standaard op de meest privacy vriendelijke wijze in te stellen. Vooral bij de verwerking van persoonsgegevens van online en social media platforms speelt dit een grote rol.
Let op; vooraf aangekruiste hokjes (opt-out) en applicaties die bijvoorbeeld automatisch de locaties van klanten volgen, voldoen in principe niet aan de vereisten van privacy by default.

De praktijk

Om de naleving van de AVGB aan te kunnen tonen, moeten organisaties hun beleid aanpassen en maatregelen treffen die voldoen aan de eisen van privacy by design en privacy by default.
Deze maatregelen zijn:

  • Het minimaliseren van de verwerking van persoonsgegevens (niet méér persoonsgegevens verwerken dan noodzakelijk)
  • Het zo spoedig mogelijk pseudonimiseren van persoonsgegevens (waarbij persoonsgegevens worden vervangen door een code)
  • Transparantie met betrekking tot de functies en de verwerking van persoonsgegevens (waaronder richting de betrokkenen)
  • Het in staat stellen van de betrokkenen om controle uit te oefenen op de informatieverwerking

Gedurende het gehele proces, van ontwikkeling tot het gebruik van applicaties, diensten en-of producten waarmee persoonsgegevens zijn gemoeid, moet rekening worden gehouden met het recht op de bescherming van persoonsgegevens. Zorg er dus voor dat de ICT- ontwikkelaar hiervan op de hoogte is.
Op deze manier worden zowel de verantwoordelijken als de verwerkers in staat gesteld om te kunnen voldoen aan hun verplichtingen omtrent de gegevensbescherming.

Een goedgekeurd certificeringmechanisme kan worden gebruikt als element om aan te tonen dat aan de voorschriften van privacy by design en privacy by default is voldaan.

Ten slotte

Zoals eerder besproken zullen de beginselen van privacy by design en privacy by default voor een aantal organisaties zorgen voor de nodige wijzigingen in het interne beleid en de technische systemen.
Het is goed om te weten dat de vereiste veranderingen vóór 25 mei 2018 moeten zijn doorgevoerd.
Vanaf dan zal de Autoriteit Persoonsgegevens actief toezien op de implementatie en naleving van de AVGB.
Organisaties die de AVGB niet (behoorlijk) naleven, lopen het risico op forse boetes.

25 mei 2018 lijkt misschien nog ver weg, maar een goede implementatie kost veel tijd!

Het privacy-team van Dentons Boekel

dentons-boekel-logo-gdpr-get-compliant
Marc Elshof
Barry Breedijk
Celine van Es


Het nieuws staat er de laatste tijd vol mee. Verschillende bedrijven kampen met incidenten binnen de beveiliging van data. De Autoriteit Persoonsgegevens kreeg in het eerste kwartaal van 2017 een fors aantal meer meldingen binnen van datalekken door gemeenten. Zo meldde Nieuwsuur. Het lekken van data gebeurt regelmatig waardoor het beschermen van persoonlijke informatie belangrijker is dan ooit. Maar hoe krijg je als organisatie de gewenste grip op databeveiliging?

De meldplicht datalekken

Dat het aantal meldingen stijgt betekent niet automatisch dat het aantal incidenten de laatste tijd zijn gestegen. Sinds 1 januari 2016 geldt de meldplicht datalekken. Hierdoor zijn er sindsdien meer datalekken aan het licht gekomen. In veel van de gevallen worden er financiële gegevens gelekt. Ook gaat het vaak om burgerservicenummers. Zo verscheen er onlangs in het nieuws dat er door een beveiligingslek bij de Belastingdienst persoonlijke gegevens van meerdere personen op straat zijn beland. Ook konden hackers bij EyeMove toegang krijgen tot ruim 300.000 documenten met persoonlijke gegevens. In de meeste gevallen kunnen de lekken snel gedicht worden, echter is het kwaad in dan al geschied met een melding bij Autoriteit Persoonsgegevens als gevolg.

Onvoldoende controle

Zo blijkt steeds vaker dat bedrijven onvoldoende controle hebben over de beveiliging van hun data. In Nederland maken werknemers regelmatig gebruik van publieke clouddiensten om gemakkelijk documenten en data op te slaan en te delen met collega’s. Vaak is dit vanuit de werkgever niet toegestaan, maar is hier weinig controle op. Het optimaal beveiligen van de systemen die de werknemers gebruiken is voor bedrijven hierdoor niet haalbaar. Om deze reden is het sterk aanbevolen om IT-systemen te gebruiken die speciaal zijn ingericht voor het mobiele werken maar niet publiek zijn.

Nieuwe privacywetgeving

Tijden veranderen. Met de komst van social media, cookies en tracking is bescherming van persoonlijke data onmisbaar geworden. Omdat hier nog niet optimaal rekening mee werd gehouden binnen de wetgeving is in 2016 de nieuwe Algemene Verordening Gegevensbescherming (AVGB) in werking getreden. In het Engels wordt dit de General Data Protection Regulation (GDPR) genoemd. De GDPR is op 1 januari 2016 ingevoerd en zal de Nederlandse Wet Bescherming Persoonsgegevens (WBP) op 25 mei 2018 definitief vervangen. Iedere organisatie in de EU krijgt te maken met deze regelgeving en zij hebben nog tot 25 mei 2018 de tijd om hier volledig aan te voldoen. Vanaf dat moment moet er kunnen worden aangetoond welke maatregelen hiervoor zijn genomen. Zo niet, dan kunnen er hoge boetes volgen.


In 2016 is in heel Europa de General Data Protection Regulation (GDPR) ingevoerd. Op 25 mei 2018 treedt deze definitief in werking en moet elke organisatie in de EU hieraan voldoen. De nieuwe privacywetgeving is een gevolg van de technologische ontwikkelingen van de laatste jaren. De maatschappij hierdoor dusdanig veranderd dat een strenge gegevensbescherming is vereist. Zo komt er voor de betrokkenen een nieuw recht om de hoek kijken: Het recht op vergetelheid. Maar wat houdt dit recht precies in en wat betekent dit voor uw organisatie in 2018?

De uitgangspunten van de GDPR

In Nederland wordt de nieuwe GDPR ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd. Deze privacywetgeving is in het leven geroepen om alle Europese burgers te beschermen tegen het lekken van persoonlijke data. De uitgangspunten van de nieuwe GDPR blijven over het algemeen onveranderd. Samengevat zijn dit de volgende vier principes:

  • Wettelijke grondslag
    Het verwerken van persoonsgegevens mag alleen plaatsvinden wanneer hiervoor toestemming door de betrokkene is verleend.
  • Doelbinding
    Persoonsgegevens mogen alleen verwerkt worden voor de duidelijk omschreven doeleinden.
  • Dataminimalisatie
    Er mogen niet meer persoonsgegevens worden verwerkt dan noodzakelijk.
  • Passende beveiliging
    Bij het verwerken van persoonsgegevens moeten er technische en organisatorische maatregelen worden genomen voor een optimale beveiliging.

Het recht op vergetelheid

Naast de bovengenoemde standaard principes krijgen Europese burgers ook extra rechten. Eén hiervan is het Recht op vergetelheid (artikel 17 AVG). Oftewel, het recht om vergeten te worden. Dit houdt in dat een persoon kan aangeven dat bedrijven niet meer over zijn of haar persoonlijke gegevens mogen beschikken. Het bedrijf in kwestie moet de gegevens verwijderen indien:

  • de persoonsgegevens niet meer nodig zijn voor de vastgestelde doeleinden;
  • de betrokkene geen toestemming meer geeft voor verwerking / bezwaar aantekent;
  • de persoonsgegevens onrechtmatig zijn verwerkt;
  • de persoonsgegevens zijn verwerkt terwijl de betrokkene jonger dan 16 jaar is.

Ook geeft het recht op vergetelheid extra plichten voor de verantwoordelijken. Zo moeten zij ervoor zorgen dat het verder verspreiden van de verzamelde persoonsgegevens aan andere partijen niet meer voorkomt. Tenzij de betrokkene hier toestemming voor heeft gegeven.

Dit recht in de praktijk

Binnen de ‘oude’ privacywetgeving was iedereen die gegevens verwerkten verantwoordelijk. In de nieuwe GDPR-wetgeving is dit scherpe randje er enigszins afgehaald. De verantwoordelijken zijn nu verplicht om redelijke maatregelen te nemen wanneer andere partijen niet consequent en verantwoordelijk met persoonsgegevens omgaan.

In de praktijk betekent dit dat degene die de persoonsgegevens verwerkt dient bij te houden aan wie de gegevens worden doorgegeven en om welke gegevens dit gaat. Ook moet er een technisch protocol met het verzoek tot wissing worden ingesteld. Omdat er overal bewijs van moet kunnen worden aangedragen speelt privacy-administratie bij het recht van vergetelheid een belangrijke rol.

Niets doen is geen optie

Organisaties moeten zich goed voorbereiden op de nieuwe GDPR. De regels zijn strikt en iedereen binnen de EU moet zich hieraan houden. Indien u niet goed bent voorbereid op de nieuwe privacywetgeving kunnen sancties in de vorm van boetes enorm hoog uitvallen. Zorg er dus voor dat u vóór 25 mei 2018 uw zaken goed op orde heeft.


Het Martinuscollege over de Security Scan van 2source4

Het Martinuscollege is een algemeen christelijke scholengemeenschap voor het vmbo, mavo, havo, atheneum en gymnasium. De school is gevestigd in Grootebroek en kenmerkt zich door de combinatie van duurzaam onderwijs met een uitdagende aanpak. Dat betekent ook het bieden van een veilige (digitale) plek. Om dit te toetsen nam het Martinuscollege een Security Scan* af bij 2source4. Armand Vilain en Matthijs Rietdijk (beide werkzaam bij systeembeheer) en Paul Göbbels (namens de overkoepelende administratie), vertellen over de samenwerking.

*De Security Scan van 2source4 geeft waardevolle informatie over uw beveiligingsniveau en brengt aandachtspunten naar boven. Zo komt u te weten waar de risico’s en knelpunten in uw netwerk zich bevinden. Hierbij scannen we zowel interne als externe websites, apparaten en netwerken. Wij kijken hierbij onder andere naar software, weerbaarheid, toegang, openbare informatie en risico’s.

Goede connectie met 2source4

“2source4 was ons welbekend. Ze zijn al een aantal jaar leverancier van onze hardware. We hebben meerdere malen per jaar contactmomenten om te bespreken hoe we ervoor staan. Tijdens een van deze momenten is het idee gepresenteerd of wij openstonden om een keer een securitytest af te laten nemen.”

Hoe staan we ervoor?

“Op dat moment waren wij bezig met het optimaliseren van ons privacyregelement, in verband met de Meldplicht Datalekken die op 1 januari 2016 van start ging. Om de bescherming van persoonsgegevens binnen onze school zo goed mogelijk af te dichten, kwam de check-up door middel van een Security Scan dus op een heel goed moment. Daarnaast zijn wij natuurlijk altijd geïnteresseerd in de status van ons beveiligingsniveau en hoe we dat kunnen verbeteren.”

Gedegen voorbereiding

“2source4 gaat heel grondig te werk met de aanpak van de Security Scan. Om te beginnen zijn er een aantal gesprekken geweest om de planning te bespreken. Het is voor ons als school belangrijk dat het op een geschikt moment gebeurt, zodat de leerlingen er zo min mogelijk last van hebben. Hierbij werden wij uitgebreid bevraagd over onze beveiligingssituatie op ICT-gebied en over de fysieke beveiliging van de school zelf. Ook gaven wij daarbij officieel toestemming om mogelijk ‘gehackt te kunnen worden’. Het is prettig dat dit allemaal op een nauwkeurige manier gebeurt. Het blijft toch gevoelige informatie.”

 

“De Security Scan kwam precies op het goede moment”

 

Op zoek naar de gaten in het netwerk

“Eén van de engineers van 2source4 gaat vervolgens gedurende een week op onderzoek uit. Hij kijkt waar hij het netwerk binnen kan dringen en waar beveiligingslekken aanwezig zijn, zowel intern als extern. De scan zelf bestaat uit twee delen. Eén daarvan is zonder voorkennis kijken of het gemakkelijk is om in onze systemen te komen. Dit gebeurt dan op een moment dat niemand weet. Het andere deel bestaat uit het testen met bepaalde wachtwoorden om in ons interne netwerk te komen, welke software daarop draait en hoe gezond deze systemen nog zijn.

Verbeterpunten uit de Security Scan

Bij het afnemen van de Security Scan kwamen diverse risicopunten naar voren, waaronder:

  • zwakke encryptie in een managementplatform
  • kwetsbare software in netwerkcamera’s en het liftsysteem
  • zwakke plekken in websites en -applicaties
  • een lek in de extra beveiliging van de werkstations

“Onbewust zijn dit punten die al in ons achterhoofd zaten, maar die wegzakken op het moment dat je met dagelijkse werkzaamheden bezig bent. Tijdens zo’n scan word je dan weer met je neus op de feiten gedrukt. Dankzij een tussentijdse rapportage konden wij de meeste zaken dan ook direct aanpakken.

 

“De Security Scan drukt je met de neus op de feiten”

 

Open kaart

“De communicatie met de engineer van 2source4 was uitstekend. Hij is een meerwaarde omdat hij zijn technische kennis op een toegankelijke manier weet te brengen. Met de meeste processen konden we meekijken. Hij liet zien welke technieken hij gebruikte, wat hij tevoorschijn kon halen, welke informatie op internet te vinden was en hoe gemakkelijk hackers ongewenst kunnen inloggen in onze website. Dat heeft ons overtuigd van de kennis die 2source4 meebrengt. Je ziet het letterlijk voor je eigen ogen gebeuren. Dat is heel leerzaam en biedt nieuwe inzichten. Gelukkig was de conclusie van 2source4 dat wij onze beveiliging goed op orde hadden. Beter dan de meeste scholen. Dat was prettig om bevestigd te zien in de uitgebreide eindrapportage. We hebben onze systemen nu nog beter kunnen dichttimmeren.”

Armand Vilain, Matthijs Rietdijk en Paul Göbbels Systeembeheer Martinuscollege

Ook een Security Scan voor uw organisatie?

Onze Security Scan geeft een uitgebreid beeld van de beveiliging in uw organisatie. De scan bestaat uit:

  • Interne en externe scan van websites, apparaten en netwerken;
  • Analyseren van de scanresultaten en nagaan of er verouderde software draait;
  • Actief aanvallen van de gevonden lekken, om de werkwijze van aanvallers te illustreren;
  • Testen van de weerbaarheid van web services (bijv. het simuleren van (D)DoS;
  • Fysiek controleren van toegang;
  • Uitzoeken van de hoeveelheid organisatie-gerelateerde openbare informatie;
  • Het illustreren van een aanval met bewustwording als doel;
  • De bevindingen rangschikken op urgentie;
  • Risicoprofiel opstellen en kosten/baten analyse maken;
  • Presenteren van de onderzoeksresultaten;
  • Het ontwikkelingsteam ondersteunen in het verhelpen.

Neem voor meer informatie contact op met Paul Vreeker,  Wij staan u graag te woord!

 


Mobile Device Management versus Mobile Application Management

Bij de ontwikkeling van een enterprise mobility strategie zijn beveiliging, gebruikerservaring, IT werkzaamheden en BYOD van invloed op de managementkeuze. Daarin wordt steeds meer de verschuiving gemaakt van Mobile Device Management naar een synergetische combinatie met Mobile Application Management. MAM is de toekomst vanaf het punt waar MDM stopt.

Enterprise Mobility Management

Digitale mobiliteit en BYOD gaat anno nu over veel meer dan alleen het beschikbaar stellen van website-informatie op smartphones en tablets. Mobiele devices zijn tot veel meer in staat. Deze kunnen niet alleen informatie tonen, maar ook applicaties en gegevens openen, opslaan en verzenden. Ze doen daarmee niet onder voor traditionele computers. Daarmee gelden ze als extra communicatiemiddel en werkuitrusting en worden ze steeds meer onderdeel van een standaard werkomgeving. Om Enterprise Mobility te stimuleren en optimaal te kunnen gebruiken, is het belangrijk dat IT mensen de vrijheid geeft om al hun applicaties en gegevens dan ook daadwerkelijk te kunnen benaderen vanaf elk device. MAM gaat hierin een stap verder dan MDM, omdat het specifieke applicaties kan beheren in plaats van het gehele device.

Mobile Device Management

Mobile Device Management werd in het vorige decennium geassocieerd met de Blackberry. Kreeg u een Blackberry van uw werkgever, dan was deze eigendom van het bedrijf en werd beheerd door MDM. Wie nog een privételefoon had, zeulde dus twee telefoons mee. Met de opkomst en inbreng van de iPhone en Android als privételefoon veranderde dit. Werknemers brachten daarmee persoonlijke devices in de werkomgeving, die gebruikt werden voor zakelijke doeleinden. Ook het gebruik van applicaties op deze apparaten moet gemanaged worden. Hier komt de meerwaarde van MAM naar voren. Er is dus behoefte aan management van specifieke applicaties en functies. Hiermee komt er onderscheid in controle over persoonlijke apps, bestanden, foto’s en wachtwoorden.

Andere denk- en werkwijze

In de praktijk komt dit neer op een combinatie van Mobile Device Management en Mobile Application Management. Het gaat er namelijk niet om wie welk device gebruikt, maar wie welke data en applicaties mag gebruiken, vanaf welke plek en in welk gebruikersprofiel. Veel organisaties hebben deze logische strategische vervolgstap nog niet gemaakt. Het is goed om bij deze overgang kleine stappen te zetten en om te kijken wat medewerkers in het dagelijks leven nodig hebben om van daaruit gericht te faciliteren.

Beveiliging

Met de explosieve toename van het aantal mobiele devices, neemt ook de kans toe dat zakelijke informatie verloren gaat of in verkeerde handen terecht komt. Om te voorkomen dat medewerkers zelf aan de gang gaan met het nieuwe werken op allerhande devices, is het belangrijk dat er een juiste bescherming is van bedrijfsgegevens. Tegelijkertijd moeten mensen productief kunnen zijn, ook op apparaten waar zakelijke en persoonlijke applicaties samengaan. MAM completeert MDM hierin met een tweede, meer fijnmazige beveiligingslaag waarmee applicaties op afstand gemonitord, gewist, geüpdatet en gepusht kunnen worden.

Gebruikerservaring

Met de komst van mobiele devices is er een krachtige manier ontstaan om consumentenapparatuur bedrijfsmatig te gebruiken. Dit zorgt voor een uitdaging op het gebied van IT, die zowel moet zorgen voor vrijheid als veiligheid in gebruik. Bij het bepalen van de gebruikersstrategie en met de ontwikkeling van MAM is de weg vrij om een optimale gebruikservaring voorop te stellen. Denk aan nuttige mogelijkheden als:

  • Toegang verlenen tot applicaties en gegevens op elk device, compleet met persoonlijke instellingen.
  • Deels zelfcontrole over de apps, zodat gebruikers zelf kunnen downloaden en aanmelden.
  • Bedrijfsdevices waarop mensen makkelijk kunnen overschakelen als ze apps op hun device niet kunnen gebruiken vanwege veiligheidseisen.
  • Automatisering van controles op delen en beheren van gegevens, zodat mensen dit niet handmatig hoeven uit te voeren.
  • Toegestane functies per app bepalen, zodat printen, fotograferen en dataopslag niet in zijn geheel uitgeschakeld worden.
  • Mogelijkheden creëren om makkelijk bestanden te kunnen delen en synchroniseren vanaf elk device.

Mobile Application Management heeft zich snel ontwikkeld en is een essentieel onderdeel geworden van bedrijfs-IT. Het is goed om in het achterhoofd te houden dat gebruikers en IT verschillende eisen hebben en dat dit tezamen uw bedrijfsmobiliteitsstrategie bepaalt. Gebruikers verwachten eenvoudig en snel gebruik van een hoger niveau dan hun persoonlijke apps. IT zet daar de juiste veiligheid, controle en regelgeving tegenover met zo min mogelijk beperkingen. Met de juiste balans zorgen nieuwe technologieën voor het optimale gebruikersgemak en bent u klaar voor de mobiliteitsvragen van de toekomst.