Meldplicht Datalekken: Start met Security Monitoring

Meldplicht Datalekken: Start met Security Monitoring

DearBytesBlogMeldplicht Datalekken: Start met Security Monitoring

zaterdag 2 januari 2016

Sinds gisteren, 1 januari 2016, is het zover: de meldplicht datalekken is een feit. We zijn nu allemaal verplicht om datalekken te melden bij de Autoriteit Persoonsgegevens. Die kunnen vervolgens uw beveiliging komen controleren en om goed uit die toets te komen adviseer ik u allereerst de taak van Security Monitoring in te richten.

Wat is een “datalek”?

De meldplicht in de nieuwe Wet bescherming persoonsgegevens draait in de volksmond om “datalekken”. Handig dus om allereerst te weten wat een datalek is:

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens. (bron: cbpweb.nl)

Duidelijk moet zijn dat een “simpele” virusinfectie op een computer in principe ook onder deze definitie valt. De scope van de wet is dus enorm breed en zal veel vaker van toepassing zijn dan de meeste mensen zich realiseren.

Passende beveiliging

Meldplicht Datalekken (NL) Whitepaper.compressed-1De toezichthouder zal onderzoek doen naar aanleiding van dergelijke security incidenten. Dat onderzoek richt zich dan op de beveiliging van persoonsgegevens en moet duidelijk maken in hoeverre het incident voorkomen had kunnen worden en of de organisatie correct heeft gehandeld in relatie tot de wet. Volgens die wet zijn we verplicht om “passende” beveiliging aan te brengen voor de bescherming van persoonsgegevens. De Autoriteit heeft in beleidsregels (PDF) en richtsnoeren (PDF) beschreven wat zij verstaat onder die “passende” beveiliging.

Wij hebben een whitepaper geschreven om die richtlijnen van de autoriteit te vertalen naar nog net even iets concretere maatregelen. Onderaan dit artikel kunt u de whitepaper downloaden. In totaal beschrijven wij 9 maatregelen, die in feite allemaal “nodig” zijn:

  1. Beleidskader: het “wie, wat, waarom” voor uw informatiebeveiliging;
  2. Assessments: stel vast welke algemene en privacy gerelateerde risico’s u loopt;
  3. Bewerkersovereenkomsten met derden: om verantwoordelijkheid voor beveiliging af te wenden;
  4. Beveiligingsbewustzijn: omdat de mens vaak de zwakste schakel is;
  5. Toegangsbeveiliging: zodat alleen bevoegden bij data kunnen;
  6. Security monitoring: Logging, controle en beheer van technische kwetsbaarheden;
  7. Databescherming: voor controle over data en om feitelijke plicht tot melden te ontwijken;
  8. Incidentenbeheer: voor aantoonbaarheid en om te voldoen aan gestelde maximale doorlooptijden;
  9. Controle op (al dan niet technische) naleving: valideren dat maatregelen ook echt werken.

Dat is voor de gemiddelde organisatie best een berg werk. Alles in 1x regelen is onbegonnen werk: dus waar nu te beginnen?

Start met Security Monitoring

opening dearsocAls u het mij vraagt, kunt u het beste starten met maatregel nummer 7: Security Monitoring. En ik zal uitleggen waarom.

Eigenlijk komt het er simpelweg op neer dat informatiebeveiliging een cyclisch proces is. Het volgt de wetten van de Plan-Do-Check-Act methode en dit is ook grofweg wat de Autoriteit verwacht in maatregel 1: Beleidskader. Wat het inrichten van PDCA in informatiebeveiliging gaat betekenen is dat u continu gaat bijsturen. Risico’s in kaart brengen, maatregelen treffen om deze af te wenden, controleren of de maatregelen het gewenste effect hebben en vervolgens bijsturen.

Nu begin ik mijn zinnetje met “risico’s in kaart brengen” en kunt u zich afvragen: moet ik daar dan niet beginnen? Ja, eigenlijk wel, en dit is ook wat wij aanbieden in onze Wbp Quickscan dienst. Maar hoe quick wij ook zijn: er gaat altijd wat tijd overheen voordat er begonnen kan worden met het feitelijk implementeren van maatregelen. En wat we al weten, is dat wat de risico’s ook zijn: er zal altijd gemonitord moeten worden. De Autoriteit verwacht dat u logging heeft van de verwerking van persoonsgegevens en daarin actief controleert of verdacht gedrag optreedt.

Andersom zal security monitoring ook juist inzichten opleveren die helpen bij het vaststellen van risico’s en te treffen maatregelen. Zonder die inzichten kan een risico analyse een vrij abstracte exercitie zijn.

Voorbeeld: met monitoring kan worden vastgesteld dat persoonsgegevens door medewerkers via cloud toepassingen zoals Webmail, Google Apps of Slack worden gedeeld. Misschien is dat niet volgens uw beleid en kunt u mensen daarop aanspreken (maatregel 9: Controle op naleving). Maar misschien heeft u hier helemaal geen beleid voor en moet u dat realiseren (maatregel 1: Beleidskader) en medewerkers nog opleiden (maatregel 4: Beveiligingsbewustzijn).

Kortom: security monitoring kan gezien worden als een spin in het web van “passende beveiliging”. Het inrichten ervan is een doel op zich, maar dient ook andere noodzakelijke doelen. Daarom mijn advies om met monitoring te beginnen.

Security Monitoring Outsourcen

Security Monitoring Service web adv

Omdat security monitoring een behoorlijk specialistische taak is die er niet zomaar even “bij” wordt gedaan, is outsourcing van de taak een voor de hand liggende stap. Daarbij is het wel belangrijk om ook scherp te hebben wat de rol van uw eigen organisatie blijft, namelijk die van regievoerder. Een externe monitoring dienst kan namelijk uit zichzelf niet altijd vaststellen wat de ernst van een bepaald incident is. Met als gevolg dat u te weinig of juist te veel wordt gealarmeerd: beide zeer onwenselijk. Denk maar eens na over het voorbeeld hierboven: u kunt zich vast voorstellen hoe een slecht geïnformeerde security operator hier een verkeerde inschatting zou maken en wat u ervan zou vinden als u daarvoor wakker gebeld zou worden, of niet.

Ofwel: bij het inrichten van security monitoring is het altijd nodig om af te stemmen in welke scenario’s wie uit bed wordt gebeld en in welke situaties niet. Dat noemen we ook wel “use cases”, en het bedenken daarvan is cruciaal om deze taak te laten slagen. In de DearBytes Security Monitoring Service werken we natuurlijk met een set van voorgedefinieerde use cases die hooguit op uw omgeving moeten worden afgestemd. En die set kan oneindig worden uitgebreid om specifieke scenario’s voor uw organisatie te dekken.