Data Loss Prevention, praktische maatregelen

januari 17, 2011 at 11:30 am (Achtergrond, Cloud computing, Oplossingen, Problemen) (, , , , , )

Waarom zou je aan Data Loss Prevention (DLP) doen, hoe kun je gegevens nu verliezen, hoe voorkom je dat en waar zitten de knelpunten.

Een doorsnede van de verhalen van leveranciers afgezet tegen de praktijk van een informatiebeveiliger.

Redenen om aan DLP te doen.

Er zijn verschillende redenen om maatregelen met betrekking tot DLP te treffen, maar die hangen af  van een aantal factoren. Als je organisatie aan de beurs genoteerd is heb je te maken met specifieke regelgeving. Afhankelijk van de aard van je bedrijf heb je mogelijk bedrijfsgeheimen die je liever voor jezelf houdt. Daarnaast heb je als organisatie een bepaalde verantwoordelijkheid tegenover je klanten, je aandeelhouders en je personeel. Een mooi woord daarvoor is ‘due diligence’, goed ondernemerschap.

Dataverlies

Een organisatie kan gegevens op veel verschillende manieren verliezen. Bij de meeste daarvan merk je het op zijn best als het al te laat is. Gegevens lekken op allerlei manieren uit je bedrijfsomgeving, door pc’s, laptops en werkstations uit het bedrijfsnetwerk die zijn besmet met kwaadaardige software.

Datadragers, zoals USB apparaten, mobiele apparaten (pda’s, telefoons, tablet pc’s, etc.), CD/DVD roms, backuptapes, oude en af te voeren hardware of papier kunnen allen vertrouwelijke informatie bevatten die niet buiten de organisatie bekend mag worden.

Je business partners (software ontwikkelaars, ondersteuners, onderaannemers) kunnen je gegevens kwijtraken, bijvoorbeeld door ontevreden werknemers in hun organisatie.

Je eigen medewerkers kunnen bedrijfsgeheimen op straat leggen door (te) veel informatie te delen via social media (Facebook, Hyves, LinkedIn, Twitter, Yammer, BrightIdea, etc.). Data die onbeschermd verstuurd wordt via Internet of traditionele post kan worden onderschept en in verkeerde handen komen.

Cloud computing providers (ASP en SAAS providers) kunnen configuratie fouten maken in hun software, te laat zijn met het doorvoeren van security updates, backup en restore procedures slecht uitvoeren waardoor je gegevens verloren kunnen gaan, zelf onvoldoende uitwijkmogelijkheden hebben waardoor bij een brand jouw gegevens verloren gaan, gegevens niet goed verwijderen van defecte hardware of failliet gaan waardoor je niet meer bij je gegevens kunt.

Tot slot loop je het risico dat informatie bij onbekende derden terecht komt als je werken op afstand (telewerken, het nieuwe werken) toestaat. Al met al genoeg mogelijkheden om als organisatie dataverlies te lijden. Gelukkig is voor een groot deel van deze bedreigingen tegenmaatregelen bedenken.

Tegenmaatregelen

De meeste maatregelen kun je eenvoudig zelf bedenken. Over het algemeen komt het er op neer dat je wat sterker gaat controleren op de naleving van de maatregelen die je al hebt. Een mooi woord hiervoor is governance. Denk daarbij aan het gecontroleerd uitvoeren van changes op de firewall, alle laptops voorzien van een volledig versleutelde harde schijf , beperking van de rechten tot het versturen van gegevens, (betere) afspraken met leveranciers, et cetera.

Om een echte stap voorwaarts te maken en de kans aanzienlijk te verkleinen dat geclassificeerde gegevens de bedrijfsomgeving verlaten, zul je je aandacht moeten richten op de gebruikers. Maak duidelijk welke belangen zij en de organisatie hebben om voorzichtig met vertrouwelijke informatie om te gaan. Geef aan wat de mogelijkheden zijn, welke gereedschappen hiervoor gebruikt kunnen worden en welke consequenties er zijn verbonden aan het niet nakomen van de afspraken. Train je personeel regelmatig in het gebruik van de middelen. Een voorbeeld hiervan is het opstellen van een bedrijfspolicy hoe om te gaan met social media (Facebook, LinkedIn, Hyves, Twitter en dergelijke).  Maak duidelijk dat de organisatie achter het gebruik op de juiste wijze staat.  Bied informatie en advies hoe om te gaan met social media in relatie met het werk.

Zorg voor tools waarmee data kan worden versleuteld voordat deze wordt verzonden. Regel in de ICT infrastructuur het logmanagement grondig in. Log niet alleen de noodzakelijke handelingen, maar controleer de logging op ongewenste activiteiten en neem zonodig gepaste maatregelen. Filter email- en internetverkeer (geautomatiseerd) op inhoud, bijvoorbeeld het gebruik van tevoren vastgestelde termen of zinsneden.

Maatregelen in de praktijk

Ga na of de tegenmaatregelen in verhouding zijn met de (bedrijfs)risico’s. Schaf eventueel een integrale DLP oplossing aan. Een dergelijk pakket software is aan te sluiten op de ICT infrastructuur en dekt de technische maatregelen af. Houd in het achterhoofd dat de menselijke factor met deze oplossing niet wordt meegenomen.

Maatregelen ter verhoging van het gebruikersbewustzijn bestaan uit trainingen en voorlichting over de genomen (zichtbare) maatregelen. Bied de gebruikers gereedschappen zoals winzip of winrar om beveiligde bestanden te kunnen maken.

Pas de contracten aan voor de afvoer van hardware en archiefvernietiging. Stel eisen inzake DLP aan cloud service providers en application service providers (SAAS / ASP).

Aandachtspunten

Als organisatie moet je niet de illusie hebben dat je hiermee verlies van gegevens totaal kunt voorkomen. Het achterlaten van een tas of koffer met dossiers in de trein sluit je niet uit.

Je kunt wel je gebruikers trainen en zorgen dat zij op een bewuste wijze met de bescherming van bedrijfsgegevens omgaan. Mocht zich een incident voordoen dan kan niemand zich beroepen op zijn onwetendheid.

Advertenties

Permalink Geef een reactie

Need to know – nice to know

april 4, 2010 at 9:45 pm (Achtergrond, Oplossingen) (, , , )

Lang niet alle informatie binnen een bedrijf of organisatie is voor iedereen bestemd. Denk aan de personeelsdossiers, R&D afdeling of de financiële gegevens. Binnen applicaties, zoals een management informatiesysteem, geldt hetzelfde. Lang niet alle gegevens mogen of hoeven voor iedereen beschikbaar te zijn. Meestal is daar wel iets voor geregeld en hebben gebruikers een account met daaraan gekoppeld de rollen die bepalen waar iemand inzage heeft. In een iets betere situatie is aan die account een wachtwoord gekoppeld, zodat een aanvaller net wat meer informatie nodig heeft voordat hij bij de vertrouwelijke gegevens van de organisatie kan komen.

Bedrijven en organisaties die wat langer hebben nagedacht over gegevens en toegang beschikken over een autorisatiematrix. Hierin staan rollen, rechten en functies aangegeven. Uit dit schema moet blijken dat een gebruiker geen conflicterende rechten heeft, zoals zowel goedkeuringsrechten als betaalrechten voor facturen.

Het komt veel voor dat de autorisatiematrix bestaat en van origine goed is ingeregeld. Dat er later bij een audit negatieve bevindingen worden afgegeven heeft alles te maken met onvoldoende of geen beheer van de autorisatiematrix. Vaak gaat dit al fout doordat de accounts van vertrokken of overgeplaatste medewerkers niet worden verwijderd. Mensen die hun carrière binnen het bedrijf hebben gemaakt verzamelen in de loop van de tijd veel aanvullende rechten. Regelmatig komt het voor dat een nieuwe medewerker een kopie van de rechtenverzameling van zijn voorganger krijgt, zodat hij in ieder geval genoeg rechten heeft om zijn werk te kunnen doen. Nadeel van deze werkwijze is dat er binnen de kortste keren geen overzicht meer is van de rechtenstructuur. De autorisatiematrix is nutteloos geworden en de organisatie loopt risico’s bij zijn informatiebeheer.

Om de zaak weer in de hand te krijgen moet een onevenredig grote inspanning worden verricht. Eerst moet worden bepaald aan welke functies welke rollen moeten zijn gekoppeld, daarna moeten de rechten per rol worden vastgesteld en tot slot moeten de rechten en rollen door de beheerders worden toegekend. Als klap op de vuurpijl moet het beheer worden ingeregeld.

Deze werkzaamheden kan een organisatie voorkomen door een goed beheer van de autorisatiematrix, het tijdig verwijderen van overbodige accounts en het intrekken van rechten bij functiewijzigingen.

Zo gaat een organisatie met zijn informatiebeheer van nice to know naar need to know.

Permalink 1 reactie