Stap 1. Maak een overzicht van welke data je hebt en waar dit staat
“Dit moet vanuit de AVG, maar zeker ook als het om financiële- of gezondheidsdata gaat is dit belangrijk”, zegt Smets. “Zo’n register aanleggen doe je bijvoorbeeld gemakkelijk in een excelsheet: ‘Ik heb dat stukje informatie daar staan, dat heeft dit risico en daar hangen volgende voorwaarden aan vast.’ Vanuit daar kun je verder werken.”
Stap 2. Kijk welke data beveiligd moeten worden
“Vanuit hier kun je kiezen wat er beveiligd moet worden en wat niet. Sommigen bouwen muren om die informatie, firewalls, om te zorgen dat niemand bij de desbetreffende informatie kan, maar een goeie dief kan er wellicht toch bij. Kies er daarom voor om de data te versleutelen middels encryptie.”
Lees ook: Duurzaam ondernemen en werken in de cloud
Stap 3. Zorg voor een veilig beheer van de encryptiesleutels
“Door middel van encryptiesleutels kun je de data weer leesbaar maken. Die sleutels moeten wel goed en veilig beheerd worden, want ze zijn de toegang tot die data. Zorg daarom voor een veilig beheer.”
Stap 4. Kies wie er toegang krijgen tot die encryptiesleutels
“En dan is de grote vraag: wie krijgen er toegang tot die sleutels? Kies daarbij voor multifactor authenticatie. Eénfactor-authenticatie is op één manier bewijzen dat jij bent wie je zegt te zijn, door middel van een wachtwoord. Bij multfactor authenticatie zijn er meerdere lagen. Je moet ook een code invoeren via een smartphone of ander extra apparaatje, zoals de Random Reader van Rabobank. In de huidige tijd worden er veel usernames en passwords gelekt. Er zijn websites waar je terecht kunt met lijsten, die vervolgens weer op een andere website uitgeprobeerd zouden kunnen worden. Met een simpel wachtwoord voldoe je vandaag de dag echt niet meer.”
Lees ook: Wanneer het loont om met je bedrijf in de cloud te gaan werken
Stap 5. Blijf updaten
“Blijf al je software van updates voorzien. Heel veel mensen wachten hier te lang mee. Het zal je verbazen, maar 1 op de 10 organisaties werkt nog met Windows XP, terwijl Windows XP sinds april 2014 geen updates meer ontvangt. Dreigingen die gevonden worden, kunnen hiervoor dus niet meer worden opgelost. Het is heel gevaarlijk om hier nog mee te werken.”
Stap 6. Evalueer en herhaal
“Kijk naar alle voorgaande stappen. Wat heb ik gedaan en zijn dat goede procedures? Misschien is goed om het een en ander aan te passen. Daarbij komt er eens in de zoveel tijd een nieuwe applicatie bij. Voldoet jouw oplossing dan nog?”
De meest gemaakte fout
De meest gemaakte fout volgens Smets, is dat sommigen niet of te laat besluiten gespecialiseerde hulp in te schakelen. “Velen maken aannames, en assumptions are the mother of all fuckups. Veiligheid staat vaak niet hoog genoeg in het vaandel. Het is net als bij een verzekering. Het is gemakkelijk om het niet te nemen en de kans dat je huis afbrandt is klein, maar als het wel gebeurt zijn de gevolgen nauwelijks te overzien.”
Velen maken aannames, en assumptions are the mother of all fuckups
Jan Smets, cloudexpert bij Gemalto
