Onlangs stond op NU.nl een bericht dat een Amsterdams ziekenhuis een boete van 440.000 euro heeft gehad, omdat het de privacy van patiënten heeft geschonden. Het ziekenhuis heeft niet genoeg maatregelen genomen om de toegang tot gevoelige gegevens te beveiligen. Het is één van de voorbeelden in het nieuws waarbij de beveiliging van gevoelige gegevens bij bedrijven niet op orde is. In zulke gevallen kan het voorkomen dat namen, BSN-nummers, telefoonnummers, woonadressen of medische gegevens gestolen, misbruikt of verkocht worden. We spreken dan van een datalek. Het is duidelijk dat zo’n datalek verre van wenselijk is. Om de kans op een datalek te minimaliseren heeft Navaio Access Insight ontwikkeld. Access Insight is een methode om systematisch toegangen tot applicaties en mogelijk gevoelige data te analyseren. Het is hét middel om autorisatiebeheer onder controle te krijgen.
Beveiliging en autorisatiebeheer
Een datalek kan ontstaan doordat een medewerker een ogenschijnlijk kleine fout maakt. Maar het kan ook ontstaan wanneer hij wordt benaderd door cybercriminelen. Het doel is vaak om de data te verkopen of op een andere manier te misbruiken. Het risico op een datalek wordt groter wanneer men autorisaties, die toegang geven tot data, wel toekent maar nooit op regelmatige basis intrekt. Dit is relevant wanneer een medewerker bijvoorbeeld naar een andere afdeling gaat. Ook de systemen die de toegang tot data beveiligen moeten in orde zijn en voldoen aan de huidige eisen.
Het verwaarlozen van beveiliging en autorisatiebeheer is riskant. We zien dit soort voorbeelden steeds vaker en dat is begrijpelijk. Er is een trend dat steeds meer geadministreerd wordt. Bedrijven beschikken over meer data en daarmee ook over meer gevoelige of confidentiële data. Het gevolg is dat het autorisatiebeheer rondom die data complexer en moeilijker wordt en dat bedrijven te maken hebben met meer bedreigingen, zoals:
- Hackers die inbreken en misbruik willen maken van zwakheden in de beveiliging;
- Menselijke fouten van medewerkers, gemakkelijk te raden wachtwoorden en het klikken op links in phishing mailberichten;
- Medewerkers die onder druk worden gezet om data te stelen voor cybercriminelen.
Alle bovenstaande bedreigingen hebben betrekking op privacygevoelige gegevens van klanten, cliënten, patiënten of medewerkers. Maar ook op bedrijfsgevoelige gegevens zoals financiën, strategieplannen of, bedrijfsgeheimen. Het verwaarlozen van beveiliging en autorisatiebeheer zorgt voor grote problemen. Mogelijke gevolgen kunnen zijn:
- Een boete van het AP;
- Klanten of cliënten die benadeeld kunnen worden waardoor de klant- of cliënt relatie verslechtert;
- Gegevens die onterecht gewijzigd worden;
- Imagoschade;
- Geheime bedrijfsinformatie die gestolen wordt.
Privacy is essentieel
Voor veel bedrijven draait alles om de klant of cliënt. De privacy hiervan is dan ook essentieel. Klant is koning en het beschermen van zijn privacy is troef. Hoe meer gevoelige persoonsdata betrokken is, hoe belangrijker het beschermen hiervan is. Dit is zeker het geval in de dienstverlenende sector zoals in de zorg, bij de overheid en bij de financiële dienstverleners. Een belangrijk onderdeel van het beschermen van privacy is het inrichten of verbeteren van het autorisatiebeheer. Hiervoor moeten flink wat zaken aangepakt worden. Een goede aanpak is om te beginnen met het stellen van de volgende vragen:
- Wie mag welke toegang hebben in welke applicatie en waarom?
Wie zijn de eigenaren van deze applicaties en daarmee verantwoordelijk voor deze toegangen?
Hoe zijn de autorisatieprocessen ingericht?
Hoe is de technische inrichting van autorisaties onder de ‘motorkap’?
Welke risico’s zijn er en welk beleid hoort hierbij?
Vrijblijvend consult
Belangrijk is om te inventariseren en inzichtelijk te maken wie in welke applicatie toegang heeft tot welke gevoelige data. Dit heeft als voordeel dat overige vragen concreter worden en eenvoudiger te beantwoorden zijn. Om de eerste stap te nemen heeft Navaio de assessment methodiek ‘Access Insight’ ontwikkeld. Hierin worden de toegangen geanalyseerd en geordend die medewerkers bezitten in gevoelige applicaties en systemen. De uitkomst van deze analyse wordt gepresenteerd aan de hand van de organisatiestructuur van het bedrijf. De reden hiervoor is dat veel autorisaties organisatie gerelateerd zijn. Een bepaalde autorisatie is vaak bedoeld voor een specifieke afdeling of team.
Maar waar begin je nu exact? Wat zijn de eerste te nemen stappen? Onze expert op het gebied van autorisatiebeheer helpt je graag op weg. Neem contact met ons op voor een vrijblijvend consult en voorkom datalekken.
Leave A Comment