INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE FINANCIELE SECTOR

Transcriptie

1 INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE FINANCIELE SECTOR

2 In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Als financiële instelling hoeven we u niet te vertellen dat het - vanuit het oogpunt van risk management - essentieel is te weten hoe het staat met de informatiebeveiliging van de objecten die in uw beheer of bezit zijn. Bovendien bent u het uw klanten verplicht zorgvuldig met hun gegevens om te gaan. En dan is er ook nog de regelgeving: u moet bijvoorbeeld aan de standaard PCI Dss voldoen indien u de naam, het adres, CVC2/CVV2 en/of vervaldatum van creditcards verwerkt in uw systemen. Daarnaast is er sinds 1 januari 2016 de nieuwe meldplicht datalekken ingevoerd. 2

3 NADER TOEGELICHT: MELDPLICHT DATALEKKEN We spreken van een datalek als een organisatie onbedoeld persoonsgegevens vernietigt, wijzigt of toegankelijk maakt. Het gaat dus niet alleen om het lekken van gegevens, ook wanneer gegevens onrechtmatig worden verwerkt moet u melding doen. Sinds 1 januari 2016 bent u verplicht uw datalekken te melden bij het College Bescherming Persoonsgegevens (CBP). De meldplicht valt uiteen in 2 onderdelen: U moet het CBP inlichten over inbreuken op uw beveiliging. Wanneer een inbreuk specifiek betrekking heeft op personen waarvan u data verzamelt, moet u hen informeren. De betrokkene moet dan wel ongunstige gevolgen ondervinden van het datalek. Dit is bijvoorbeeld het geval wanneer er creditcardgegevens zijn gestolen. Gaat het fout, en komen er gegevens op straat terecht, dan moet u dit melden. Doet u dat niet, dan zijn de gevolgen aanzienlijk. Boetes kunnen oplopen tot euro, of 10% van de omzet van uw bedrijf. Wat bedrijven vaak niet beseffen is dat een datalek niet alleen financiële gevolgen kan hebben, maar ook kan leiden tot aanzienlijke reputatie- en imagoschade. 3

4 BEVEILIGINGSTIPS Dit kunt u doen om uw eigen data en die van uw organisatie zo goed mogelijk te beschermen: 1) Installeer nieuwe patches en updates direct, op al uw apparaten. 2) Vertrouw nooit uitsluitend op uw virusscanner. 3) Klik nooit op vreemde links of attachments in s. 4) Besef dat gratis niet bestaat. Diensten die beweren gratis te zijn gebruiken uw gegevens voor andere doeleinden. 5) Maak goede afspraken over hoe uw organisatie omgaat met informatie, en zorg voor handhaving. 6) Probeer zo veel mogelijk advertenties te blokkeren met tools. 7) Versleutel uw informatie zoveel mogelijk. 8) Toon voorbeeldgedrag en wees kritisch over hoe u met informatie omgaat. 9) Probeer zoveel mogelijk diensten te gebruiken die uw anonimiteit online garanderen. 10) Gebruik unieke en lange wachtwoorden en een password manager. 4

5 HOE STAAT UW ORGANISATIE ER NU VOOR? Om u voor te bereiden op deze meldplicht en voor het creëren van een effectief securitybeleid, is het noodzakelijk in kaart te brengen welke middelen u in huis heeft, maar ook welke risico s en bedreigingen die middelen met zich meebrengen. Ons cybersecurity model kan hierbij helpen, door een antwoord te formuleren op de volgende vragen: 1 Wat heeft u nu in huis? Hoe verandert dit morgen, of in de toekomst? Denk bijvoorbeeld aan een overzicht van alle software binnen uw bedrijf. Houd daarvoor bij wanneer software gedateerd of volledig verouderd is. Zo kunt u actie ondernemen wanneer het tijd is om software te updaten, te vervangen of wanneer software niet meer wordt ondersteund door de leverancier. Op die manier houdt u de risico s op dit gebied minimaal. 2 Wie hebben (al dan niet tijdelijk) toegang tot de data op uw systemen? Proactieve monitoring is van groot belang: houd bij of er sprake is van abnormaal gedrag van zowel gebruikers als systemen. Door gedrag continu te monitoren, worden eventuele afwijkingen snel herkend en kunt u daar tijdig en adequaat op reageren. 3 Wie of wat bedreigt u (zowel intern als extern)? Breng in kaart waar, hoe en op welke manier u risico loopt. Maak hierbij onderscheid tussen risico s die kunnen ontstaan door menselijk falen binnen uw organisatie, en risico s van kwaadwillenden die u bewust schade proberen toe te brengen. 4 Heeft u voldoende inzicht in de aard van deze bedreigingen? Door de aard en achtergrond van eventuele bedreigingen in kaart te brengen, kunt u betere maatregelen nemen om dergelijke situaties te voorkomen. 5 Wat moet u doen wanneer er iets fout gaat? Wie heeft welke verantwoordelijkheden op het moment dat er iets fout gaat? Het is belangrijk een procedure vast te leggen waarin staat wie wat moet doen in het geval er toch iets fout gaat, zodat op zo n moment snel actie ondernomen kan worden en u niet voor verrassingen komt te staan. 6 Zijn alle managers en andere belanghebbenden op de hoogte van deze informatie? Om een optimaal draagvlak te creëren en ervoor te zorgen dat procedures optimaal geïmplementeerd kunnen worden, is het belangrijk deze informatie op alle niveaus in het bedrijf te verspreiden. 7 Welke verbeteringen kunt u op basis van al deze informatie doorvoeren binnen uw bedrijf of instelling? U kunt de informatie die u nu heeft verzameld gebruiken om direct verbeteringen door te voeren die u helpen eventuele risico s te minimaliseren. 5

6 WELOVERWOGEN INVESTEREN IN INFORMATIEBEVEILIGING: HET GORDON LOEB MODEL Onderzoekers Gordon en Loeb stellen dat organisaties nooit meer dan 37% van de verwachte schade van een datalek in ITbeveiliging zouden moeten investeren, en dat we ons geld tegen lage kosten moeten steken in goed te beveiligen projecten. Met behulp van het Gordon Loeb model 1 kunt u een analyse maken voor de optimale investering in informatiebeveiliging. Het uitgangspunt: 100% beveiliging bestaat niet. De theorie baseert zich verder op 3 componenten: de potentiele verliezen door een aanval (oftewel de potentiele besparingen die er zijn wanneer die aanval niet plaatsvindt), de lekken en bedreigingen en de productiviteit van de investering. Dit zijn de stappen die kunt u nemen om dit model in de praktijk te brengen: Schat in wat de mogelijke schade is van een aanval en doe dit voor alle datasets en systemen die u wilt beschermen. Bepaal of uw datasets van hoge, gemiddelde of lage waarde zijn. Bepaal de waarschijnlijkheid van diefstal voor elke dataset; is deze hoog, gemiddeld of laag? Maak een schema met alle mogelijke combinaties van punt 1 t/m 3. Focus u vervolgens op de projecten die u de hoogste netto baten opleveren: welke relatief lage investering voorkomt voor u de hoogste potentiele verliezen? 1: 6

7 PRIVACY POLICY Een paar uitzonderingen daargelaten, moet in ieder bedrijf een privacy policy aanwezig zijn. Daarin staat waarom er gegevens worden verzameld, wat ermee gebeurt en hoe die data worden behandeld. U bent verantwoordelijk voor de bij u aanwezige gegevens en de beveiliging daarvan, ook wanneer een andere partij die gegevens voor u bewerkt. Het is dus belangrijk de rol van een databewerker bij een datalek goed vast te leggen, bij voorkeur in een bewerkersovereenkomst. Naast het inventariseren en updaten van deze zaken, is het ook belangrijk rekening te houden met de ingevoerde meldplicht. Hiervoor moet u een aantal stappen hebben ondernomen: Zorg ervoor dat u duidelijke afspraken heeft gemaakt met uw bewerkers over deze meldplicht. Heeft u met alle partijen een bewerkersovereenkomst afgesloten? Zijn eventuele bestaande bewerkersovereenkomsten up-to-date en bevatten zij een bepaling over datalekken? Sluit met iedere partij waarmee u samenwerkt een NDA (Non Disclosure Agreement)/geheimhoudingsverklaring af, waarin u persoonsgegevens benoemt en vastlegt dat deze niet door derden gebruikt mogen worden. Leg ook de procedure vast wanneer er onverhoopt toch een melding gedaan moet worden aan het CBP. Wie heeft welke rol en verantwoordelijkheden in dat geval? In deze procedure moet ook staan wanneer u de betrokkenen van wie u data verzamelt, inlicht. Bepaal daarnaast ook of u eventueel de media inlicht, en zorg voor een procedure voor het geval er vanuit de media vragen komen over het incident. 7

8 HET BELANG VAN GOEDE COMMUNICATIE EN AWARENESS Ondanks alle denkbare maatregelen is 100% veiligheid helaas een sprookje. Het belangrijkst is dat u probeert de lat voor kwaadwillenden zo hoog mogelijk te leggen, en dat u andere soorten risico s zoveel mogelijk probeert te verkleinen. Het is daarnaast essentieel dat u investeert in het vergroten van de bewustwording van uw mensen op dit gebied. Zo blijkt uit onderzoek van TNS NIPO dat het gebruik van te makkelijke wachtwoorden een grote achilleshiel vormt binnen bedrijven. 2 Ook is er nog winst te behalen door medewerkers bewust te maken van bijvoorbeeld het veilig gebruiken van openbare WiFiverbindingen, het gebruik van eigen devices op kantoor, het goed afsluiten van programma s en het veilig achterlaten van hun werkplek. Ook is het belangrijk hen phishing-mails te helpen herkennen en hen handvatten te bieden over hoe zij hiermee om dienen te gaan. 2: 8

9 HOE KAN GUARDIAN360 U HELPEN? De dienstverlening van Guardian360 kan u helpen bij het voldoen aan de meldplicht datalekken. Dat doen we door u Securityas-a-Service te leveren. Ieder uur scannen we uw systemen, op dezelfde manier als een hacker dat zou doen. Dat doen we vanaf het internet en indien gewenst, ook vanuit uw eigen netwerk. We scannen alles met een IP-adres en webapplicaties, en proberen daarnaast zo snel mogelijk hackers te betrappen. Gebeurt er niets, dan hoort u ons niet. Is het wel nodig, dan komen we direct in actie. We testen sowieso non-intrusive; we verstoren uw normale werkproces en de performance van uw apparatuur, netwerken en applicaties niet. Ook melden we eventuele kwetsbaarheden en toetsen we deze aan verschillende normenkaders (onder andere ISO27002:2013, NEN7510 en Logius/DigiD). Dat is hard nodig, want de risico s en kwetsbaarheden waar we mee te maken hebben veranderen dagelijks. Bovendien is het zelf bijhouden en regelmatig testen vrijwel onmogelijk, en een jaarlijkse penetration test betekent dat u 364 dagen per jaar geen actueel beeld hebt van de beveiliging van uw IT-omgeving. Ook heeft u dan geen idee of u al dan niet compliant bent. Daarnaast helpen we u bij uw proactieve monitoring, en geven we u op een duidelijk en gebruiksvriendelijk portal doorlopend inzicht in de bedreigingen die we voor u gevonden hebben. U kunt daardoor sneller handelen wanneer er een kwetsbaarheid gesignaleerd wordt, daarnaast kunt u gemakkelijk aan derden- denk aan patiënten, IT-auditors en accountants - aantonen dat u in control bent. 9

10 Guardian360 Schouwburgplein CL Rotterdam Postbus CR Rotterdam +31(0) Guardian360.nl Guardian360 10