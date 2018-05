"Compliant zijn op data-gebied is altijd een zorg geweest voor elke organisatie, en een kopzorg voor IT", stelt Doug Bordonaro, chief data evangelist bij ThroughSpot, een leverancier van BI en data-analyse. "Dat is nog steeds zo, maar de onderliggende redenen zijn veranderd."

"Voorheen waren de meeste initiatieven op het gebied van compliance ingegeven door nationale wetgeving die de zorgen over de beveiliging van hardware en software probeerde te vertalen", legt Bordonaro verder uit. "Tegenwoordig moeten bedrijven echter de enorme hoeveelheid data die ze produceren en verzamelen, managen en zorgen voor compliance met oog op wereldwijde wetgeving als GDPR, in plaats van nationale regelgeving."

Wat zijn de grootste compliance-gerelateerde zorgen van de hedendaagse onderneming? We hebben enkele tientallen experts op het gebied van IT, compliance en security gevraagd naar hun insteek en de volgende vijf kopzorgen kwamen daaruit bovendrijven, met daarbij suggesties wat IT-leiders kunnen en moeten zouden doen om te zorgen dat hun organisatie nog steeds voldoet aan regelgeving.

BYOD

"Persoonlijke mobiele apparaten (zoals smartphones en tablets) creëren kwetsbaarheden in de beveiliging", zegt Lisa Hawke, vicepresident van security en compliance bij Everlaw, leverancier van e-discoverysoftware. Maar organisaties "kunnen dit probleem ondervangen door een strak beleid op BYOD in samenhang met technische controlemechanismen. MDM-protocollen zoals Google Mobile Device Management zijn belangrijk in het toezicht hierop omdat ze de mogelijkheid geven op afstand toegang te blokkeren van bepaalde accounts of een apparaat kunnen schoonvegen."

Daarnaast kunnen managers voorkomen dat belangrijke data wordt gecompromitteerd (verloren of gestolen) door "wachtwoorden te verplichten om toegang te krijgen tot apparaten, hoe langer het wachtwoord des te beter", zegt ze. En ze zouden "een tijdgebaseerd tijdelijk wachtwoord-systeem moeten gebruiken, zoals Google Authenticator."

Softwaremanagement (updates en patches)

Het bijhouden van softwareupdates en het patchen van bestaande software als kwetsbaarheden zijn ontdekt, zijn eveneens een belangrijk gegeven voor IT-organisaties.

"In 2017 zijn de ontdekte kwetsbaarheden in commerciële en open source-software meer dan verdubbeld, waardoor CIO's zich ervan moeten verzekeren dat hun software gepatched is om de organisatie niet aan onnodige risico's bloot te stellen", zegt Rami Sass, oprichter en CEO van WhiteSource Software, een open source platform voor security en licentiemanagement. "We herinneren ons allemaal nog de patch-gekte rond Meltdown en Spectre eind 2017."

"Het lek bij Equifax is een ander groot voorbeeld van het importantie van het patchen van kwetsbare componenten, omdat de hoofdoorzaak lag in de exploitatie van een open source-kwetsbaarheid in hun webapplicatie", voegt hij eraan toe. "De kwetsbaarheid was al in maart gepubliceerd, samen met een patch, maar Equifax deed er niets mee en de hacker kon simpelweg het bekende gat benutten. Met kwetsbaarheden in software moeten we blijven beseffen dat de informatie bij een breed publiek bekend is, dus een snelle reactie is cruciaal."

Conclusie: IT-managers moeten zich ervan verzekeren dat hun organisatie gelijk tred houdt met software-updates en direct bekende kwetsbaarheden patchen.

GDPR

"De General Data Protection Regulation wordt 25 mei van kracht en dat gaat voorbij aan alleen data-beveiliging. Het gaat om het gehele aspect in hoe organisaties data gebruiken en verwerken, en over het respecteren van individuele privacy", zegt jurist Daniel Farris, voorzitter van de technologiegroep bij advocatenkantoor Fox Rothschild. "Het heeft een impact op het gehele bedrijf en zal actief management en toezicht vereisen op externe leveranciers."

"Bedrijven die data verzamelen of verwerken van Europese burgers, die diensten of goederen aanbieden in Europa, of persoonlijke data ontvangen, opslaan of verwerken voor zakelijke klanten, zullen eraan moeten voldoen. En voldoen betekent in dit gevoel het bedrijfsbreed in kaart brengen van data, over het algemeen alleen persoonlijke data gebruiken met overduidelijke toestemming van individuen, het managen van leveranciers, regelmatig audit houden via privacycompliance-programma's en het respecteren van 'het recht om vergeten te worden' van mensen", legt hij uit. "Het niet voldoen eraan kan een bedrijf tot 4 procent van de wereldwijde omzet kosten."

Om GDPR te tackelen, "moet je beginnen met het documenteren van de dataverwerking en de daaruit voortvloeiende risico's, waaronder de toepasbare rechten van het data subject, als je dat al niet gedaan hebt", zegt Hawke. "Artikel 30 van de GDPR eist dat elke organisatie die moet voldoen aan de regelgeving vast moet leggen welke activiteiten in de dataverwerking worden afgehandeld."

EDI/vendor-management

"Een groot risico bij veel bedrijven ligt in de Electronic Data Interchanges (EDI) en vendor system integration," zegt Farris. "Een onderzoek van Soha Systems van vorig jaar geeft aan dat liefst 63 procent van de datalekken direct of indirect te maken heeft met externe leveranciers. Sommige van de welbekende datalekken, zoals bij Target (HVAC), Home Depot (POS-software op mobiele apparaten) en Philips (payroll-verwerker), komen vanuit gaten in de producten van externe leveranciers. De grootste uitdaging zit niet alleen in het managen van de infosec bij de leverancier, maar tevens in de compliance van de leverancier aan de privacywetten."

IoT

"Met de groei van IoT is er tevens een explosieve groei van het aantal endpoints en met elkaar verbonden apparaten", zegt Farris. "Tot op heden blijven de securitystandaarden in IoT achter, waardoor een potentieel groot aantal nieuwe kwetsbaarheden ontstaat in de netwerken van organisaties. In tegenstelling tot andere bedreigingen kunnen kwetsbaarheden in die endpoints niet alleen leiden tot financiële schade of reputatieschade, maar tot werkelijke fysieke schade."

"Om ervoor te zorgen dat IoT-systemen in het bedrijf volledig compliant zijn aan de regelgeving zouden CIO's jaarlijks penetratietesten moeten doen", zegt Boris Shiklo, CTO van ScienceSoft, een IT-consultancybedrijf. "Dat zou nog frequenter moeten worden uitgevoerd in het geval er veranderingen zijn in een IoT-architectuur."

Een andere optie is "IoT-apparaten afzonderen in een apart deel van het netwerk, waardoor toegang tot gevoelige data en credentials beperkt wordt", zegt Ofer Amitai, CEO bij Portnox, een leverancier van netwerkbeveiliging.