Vijf acties die u kunt ondernemen om AVG-compliant te worden

24 mei 2018 - Vanaf 25 mei 2018 worden bedrijven officieel gecontroleerd of ze voldoen aan de Algemene verordening gegevensbescherming (AVG). De AVG is een verzameling regels die strengere bescherming van data voorschrijft voor inwoners en bedrijven binnen de Europese Unie (EU).

 De AVG vereist daardoor een compleet andere aanpak van security. Het grote voordeel is dat je bedrijf beter beschermd is als u AVG-compliant bent. Hoe u dat doet? Met de juiste technologische keuzes wordt het heel makkelijk om compliant te zijn. Dit zijn de vijf actiepunten die bedrijven kunnen ondernemen om kansen te creëren en compliance-risico’s terug te dringen.
 
1.     Start met een gap-analyse en compliance-assessment
 
Een gap-analyse laat zien in welke mate uw bedrijf al compliant is en welke stappen u nog moet nemen om aan alle regels te voldoen. Zo’n analyse zal eventuele compliance-ontwikkelingen binnen het bedrijf blootleggen, waaronder sterke punten en kansen voor verbetering. Een gap-analyse is de eerste stap tot een compliance-assessment en, uiteindelijk, een compliance-plan.
Hoewel compliance en risico’s verwant zijn, behoeven ze een ander soort aanpak. Een meer diepgaand compliance-risicoassessment helpt het bedrijf de mate van blootstelling aan risico te begrijpen. Dat wil zeggen: hoe waarschijnlijk het is dat een risicogeval plaatsvindt, de redenen dat het plaatsvindt en de mogelijke impact van zo’n gebeurtenis. Daarnaast helpt een goed samengesteld risk-assessment bedrijven prioriteiten te stellen, risico’s aan stakeholders te linken en effectief actie te ondernemen om risico’s te verminderen.
 
2.     Shadow IT en mobiele apparatuur
 
Shadow IT wordt gedefinieerd als alle hard- en software in gebruik bij individuen of afdelingen, die niet officieel worden ondersteund of zijn goedgekeurd door de IT-afdeling, en die dus een groot compliance-risico voor het bedrijf vormen. Voorbeelden van Shadow IT-apps zijn Skype, Evernote en Dropbox.
Als iemand binnen het bedrijf een systeem gebruikt om data op te slaan, valt dit onder de AVG. Niet weten dat het gebruikt wordt en wat er precies wordt opgeslagen, zou kunnen betekenen dat het bedrijf de AVG schendt. Als er data uit dat systeem lekt, maar u hebt er geen weet van, hoe kun u dan compliant zijn en het rapporteren? Hetzelfde geldt voor mobiele devices, die even compliant moeten zijn als desktops en laptops. Dit betekent dat zowel Shadow IT-apps als toegestane apps geïnspecteerd moeten worden.
Wanneer zulke mobiele devices verloren raken of gestolen worden, dan moeten deze gedeactiveerd worden. Het is verstandig om een manier achter de hand te hebben om een gebruiker – ongeacht of dat een werknemer, beheerder, klant of partner is – snel en volledig af te sluiten van alle bedrijfssystemen. Gebruik bijvoorbeeld software die alle data gegarandeerd vernietigt of schakel een datavernietigingsbedrijf in.  
 
3.     De rol van automatisering en RMM-oplossingen
 
IT-automatisering is essentieel om ervoor te zorgen dat alle IT-taken worden uitgevoerd, toegepast op alle apparaten, getraceerd en gerapporteerd. De beste vorm van bescherming is vaak het automatiseren van dagelijkse taken die drukke IT-professionals makkelijk over het hoofd zien. Veel van de technische acties die nodig zijn om data te beschermen, zijn simpelweg best practice-handelingen, maar juist die worden vaak verwaarloosd. Vandaar ook dat de meeste gevallen van inbreuk voortkomen uit alledaagse kwetsbaarheden.
Eén manier om compliance te garanderen, is met een Remote Monitoring en Management-tool (RMM). Deze software geeft beheerders de mogelijkheid om applicaties, servers, workstations en computers op afstand te monitoren en te herstellen. Met de juiste RMM-oplossing zijn IT-professionals te allen tijde op de hoogte van eventuele problemen of veranderingen in de systeemstatus, die een inbreuk suggereren.  
 
4.     Stel patch management in en installeer antimalware
 
Patch management en een up-to-date antimalwareoplossing zijn beide vereist om data-inbreuken en cyberaanvallen te voorkomen en AVG-compliant te zijn. Patching is essentieel, maar vormt tegelijkertijd een grote uitdaging voor bedrijven die vertrouwen op handmatige IT-middelen en de waakzaamheid van end-users. De oplossing is geautomatiseerde patching, zodat patches op alle endpoints en servers geïnstalleerd worden zodra ze beschikbaar zijn. Dit geldt ook voor een oplossing die automatisch updates en beveiliging installeert op alle bedrijfssystemen.
De eerste stap in patch management is een inventarisatie te maken van alle apparatuur inclusief de mobiele devices. Onder deze assetmanagementcontrole valt ook informatie over het besturingssysteem en de status ervan, en de patch- en updatestatus van alle applicaties.
 
5.     Verhoog beveiliging via 2FA/MFA
 
Beheersen wie toegang heeft tot bepaalde data, is een belangrijk onderdeel van compliance. Single sign-on (SSO), two-factor authentication (2FA) en multi-factor authentication (MFA) zijn belangrijke tools om de toegang tot gevoelige informatie goed te reguleren. Deze vormen van toegangsbeheer en controle zijn essentieel om IT-systemen compliant te houden.       
Identity and Access Management (IAM) gaat nog een stap verder dan 2FA/MFA en omvat ook gecentraliseerd beheer van aanmeldingsgegevens, policy-based regels en SSO voor eindgebruikers en partners. Op die manier houdt u interne systemen en klantsystemen beschermd en compliant.  
 

Doorsturen  |  Reageer  |  Nieuwsbrief