Sharing IT Best Practices with youSharing IT Best Practices with you
Privacy issues
Het is nooit te vroeg om met de begroting voor het volgende jaar te beginnen. Neem stappen om de data van je bedrijf te beschermen, dat betaalt zich later weer uit. Privacy-issues zijn na al die jaren IT nog steeds niet opgelost. Het wordt tijd om er iets aan te doen. Zet ze voor 2018 op de planning zodat er budget is om ze uit te voeren. De Equifax-data die werd gelekt was geen Big Data. Big Data heeft echter wel belangrijke privacy-issues voor de IT, omdat er zoveel gevoelige data in zoveel bedrijfs-data-repositories voorkomt. Na Equifax kunnen CIO’s er zeker van zijn dat hun CEO’s en MT’s hun werk wat betreft gegevensbescherming nauwkeurig zullen volgen en Big Data is een van de gebieden waar ze de meeste zorgen over hebben.
Welke operationele stappen kunnen er worden genomen om er zeker van te zijn dat Big Data de nodige bescherming krijgt?
Veel cloud-leveranciers kunnen de niveaus van privacy en veiligheid die je voor je Big Data nodig hebt bieden. Neem echter nooit aan dat je cloud-leverancier de best practices ook standaard toepast. Je datamanagers en functioneel applicatiebeheerders dienen de privacybeveiligingen die je Big Data leveranciers bieden, zorgvuldig te evalueren en te bepalen of de beschermingsniveaus voldoen aan je eigen interne governancenormen. Als het beschermingsniveau van een cloud leverancier niet voldoet aan je eigen normen, moet je hem die normen opleggen. Vraag ook je externe IT-auditors om alle beveiligingsmaatregelen van je cloud-based leveranciers als onderdeel van de IT-audits te beoordelen. Data security en beveiligingsniveaus moeten minimaal eens per jaar gecontroleerd worden.
De meeste publieke cloudleveranciers bieden ook particuliere- of wel private cloud services. Het plaatsen van data in een private cloud is duurder dan als je met meerdere klanten in een public cloud zit, maar een private cloud-implementatie scheidt de data van je organisatie wel beter af van anderen. De enige betere afscheiding is je data op je eigen locatie te houden. Dit staat bekend als ‘on premise’, de tegenhanger van cloud.
Je kunt de privacy van je relaties nog zo goed beschermen maar er zullen nog steeds zwakke plekken zijn. Een manier om dit tegen te gaan is de data te anonimiseren. Dit is te bereiken is door het versleutelen van de data-elementen die iemand persoonlijk identificeren. Een andere manier is om de data van personen met vergelijkbare waarden te groeperen. Laten we zeggen dat je het inkomen van personen wil meten. Deze kan je verwerken in een samengestelde inkomstenwaarde die wordt getrokken uit een Big data-analyse. Op die manier creëer je persona’s die een bepaald profiel hebben.
Aangezien organisaties veel data verspreiden over afdelingen en bedrijfsonderdelen, bestaat er altijd een risico dat deze data binnen de afdelingen zodanig wordt gewijzigd dat niet langer aan de privacy-eisen wordt voldaan. De afdeling die verantwoordelijk is voor Big Data governance moet regelmatig de Big Data registreren en bijhouden hoe die door het bedrijf wordt verspreid. De lokale Big Data administratie moet ook periodiek gecontroleerd worden door externe IT-auditors op naleving van de privacy-regelgeving. Als business units en andere niet-IT-afdelingen cloud-based services gebruiken, moet de data privacy naleving van hun leveranciers voldoen aan de bedrijfsnormen. Als er niet wordt nageleefd moet dat onmiddellijk gedocumenteerd en gemeld worden.
Als je er nog geen aandacht aan hebt geschonken wordt het tijd om dat onmiddellijk te doen; de Algemene Gegevensbeschermings Verordening (AVG) of GDPR in het engels, van de Europese Unie. De GDPR, die streeft naar strengere bescherming van de gegevens van particulieren, trad in werking op 25 mei 2018. Volgens een voorspelling van Gartner zullen meer dan 50% van de organisaties die aan de GDPR moeten voldoen, dat in 2018 niet doen. De boetes voor niet-naleving zijn stevig, tot 4% van de jaarlijkse omzet .
Het is de donkere kant van IT maar het is de realiteit: misbruik van kritische data door medewerkers komt voor. Net als onbedoelde en soms doelgerichte verspreiding van gegevens tussen medewerkers en personen buiten de organisatie. Alle reden om een social engineering audit toe te voegen aan je jaarlijkse IT-audit. Een social engineering audit onderzoekt phishing aanvallen, telefonische en fysieke toegangsaanvallen en andere technische en sociale misleidingen die vaak te traceren zijn naar je eigen medewerkers. Je kunt zo mogelijk kwetsbare gebieden ontdekken en de audit ook gebruiken als middel om de medewerkers meer bewust te maken van de gevaren die op de loer liggen.
Discussieer mee op LinkedIn.
Mogelijk is dit een vertaling van Google Translate en kan fouten bevatten. Klik hier om mee te helpen met het verbeteren van vertalingen.