Elke organisatie, ongeacht de grootte of branche, heeft een plan nodig voor de preventie van gegevensverlies (Data Loss Prevention oftewel DLP). Dit omvat alle strategische tools en processen die een bedrijf helpen voorkomen dat hun gegevens verloren gaan, verkeerd worden behandeld of worden benaderd door iemand die geen toegang zou mogen hebben.
Of je nu klantgegevens, intellectueel eigendom of bedrijfsgegevens wilt beschermen, je DLP-beleid moet met grote zorg worden opgesteld en geïmplementeerd. Als je dat niet doet, kan dat een ramp tot gevolg hebben.
Best Practices voor preventie van gegevensverlies
Het kan moeilijk zijn om te weten waar je moet beginnen met DLP, dus het onthouden van een paar belangrijke best practices kan helpen om het succes van elke DLP-strategie op de lange termijn te garanderen:
- Gebruikersrollen toewijzen
- Classificeer je gegevens
- Maak strategische back-ups
- Onnodige gegevens elimineren
- Beleid en procedures verfijnen
Gebruikersrollen toewijzen
Voordat je iets anders doet, is het belangrijk om duidelijk de rollen en verantwoordelijkheden te schetsen voor iedereen in de organisatie die een rol speelt bij de preventie van gegevensverlies. DLP-strategieën omvatten veel dingen, maar enkele van de best practices omvatten het identificeren van degenen in de bedrijfshiërarchie en wat hun verantwoordelijkheden of rollen zijn binnen het DLP-beleid. Je moet bepalen wie het beleid opstelt, wie het reviseert en wie het implementeert.
Deze differentiatie helpt om strak in de hand te houden wie toegang heeft tot je gegevens. Een van de beste manieren om een datalek te voorkomen is het toepassen van het principe van least privilege, waarbij individuele gebruikers alleen toegang hebben tot de informatie die ze nodig hebben om hun werk te doen – niets meer en niets minder. Op die manier is het, als het account van een gebruiker wordt gehackt of anderszins in gevaar komt, eenvoudiger om vast te stellen hoeveel gegevens er gevaar lopen.
Duidelijke gebruikersrollen zorgen er ook voor dat alles soepel blijft lopen in het ergste geval. Bij andere soorten noodsituaties, zoals brand of overstroming, is het gebruikelijk om verantwoordelijkheden toe te wijzen aan individuen zodat iedereen precies weet wat hij moet doen en snel in actie kan komen. Datalekken zijn niet anders. Door deze rollen te definiëren voorkom je situaties waarin miscommunicatie leidt tot verwarring en uiteindelijk tot niets doen.
Classificeer je gegevens
Het is ook cruciaal om je gegevens duidelijk te definiëren. Omdat organisaties steeds meer data-driven worden, is het onvermijdelijk dat sommige soorten gegevens gevoeliger – en waardevoller – zijn dan andere. Door de gevoelige gegevens te scheiden van de niet-gevoelige gegevens, kun je prioriteit geven aan wat het belangrijkst is voor je bedrijf en je risicomanagementprocessen efficiënter maken.
Het is de moeite waard om op te merken dat dit alle gegevens moet omvatten die betrekking hebben op welk aspect van je organisatie dan ook. Denk aan de gegevens die je deelt met en ontvangt van je leveranciers, partners en andere platforms van derden. Alle gegevens die in of uit je systemen stromen lopen het risico verloren te gaan, dus een blik in vogelvlucht is essentieel om er zeker van te zijn dat je geen blinde vlekken over het hoofd ziet. Nadat je je organisatie van boven naar beneden en van links naar rechts hebt gescand, moet je alle gegevens die je hebt geïdentificeerd ordenen op basis van hun relatieve belang.
Het onderscheid tussen gevoelige en niet-gevoelige gegevens leidt natuurlijk tot een onderscheid in de manier waarop deze gegevens worden behandeld. Gevoelige gegevens moeten apart worden opgeslagen van hun niet-gevoelige tegenhanger en moeten ook prioriteit krijgen bij alle inspanningen voor gegevensbescherming. Deze gegevens zijn je kroonjuweel – ze kunnen je organisatie maken of breken en moeten als zodanig worden behandeld.
Maak strategische back-ups
Het is algemeen bekend in de IT branche dat back-ups belangrijk zijn. Zonder back-ups zouden verloren gegevens voorgoed verdwenen zijn en zouden bedrijven moeten vechten om het hoofd boven water te houden. Back-ups maken van je gegevens kan de gevolgen van een beveiligingsincident tot een minimum beperken, maar de kwaliteit van die back-ups bepaalt in welke mate.
Je back-upstrategie is belangrijk: je moet een balans vinden tussen de breedte en diepte van je back-ups. Het is belangrijk om een scheiding van systemen te hebben. Maar hoe minder systemen je hebt, hoe beter. Je wilt geen systeem van ‘eilandjes’ creëren dat voor meer complicaties zorgt. Je wilt een systeem in lagen opbouwen om te zorgen voor een meer kogelvrij systeem om gegevensverlies te voorkomen. Afhankelijk van je niveau van paranoia, hoe meer lagen je toevoegt, hoe kogelvrijer je systeem wordt.
Daarnaast moet je strategisch bepalen hoe vaak je back-ups maakt. Als je niet vaak genoeg back-ups maakt, kun je gaten creëren in de gegevens die je opslaat. De meeste experts raden aan om minstens één keer per week back-ups te maken, maar dagelijkse back-ups verdienen de voorkeur. Een back-up- en hersteloplossing zoals Veeam kan je helpen dit proces automatisch te beheren. De kosten van het dagelijks back-uppen van je gegevens zijn het meer dan waard in een rampscenario. In deze gevallen is het beter om het zekere voor het onzekere te nemen.
Onnodige gegevens elimineren
De trend naar kunstmatige intelligentie en automatisering zou kunnen suggereren dat alle gegevens goede gegevens zijn en dat meer gegevens altijd het beste is. Dit is absoluut niet waar – gegevens zijn alleen waardevol als ze een duidelijk omschreven doel dienen. Een overschot aan gegevens kan de productiviteit en efficiëntie juist belemmeren en creëert een aanzienlijk risico op gegevensverlies.
Daarom is het belangrijk om overtollige gegevens aan te pakken die geen specifiek doel dienen. Als het erop lijkt dat bepaalde gegevens worden verzameld en opgeslagen omdat ze nu eenmaal beschikbaar zijn, dan doen ze waarschijnlijk meer kwaad dan goed. Het maakt niet alleen je gegevenslandschap onoverzichtelijk, maar leidt ook af van de belangrijkste gegevens en creëert een grotere kans op gegevensverlies.
Minimaliseer je risico door overbodig gewicht te elimineren. Als de gegevens niet helpen om het bedrijf op de een of andere manier vooruit te helpen, gooi ze dan weg. Het lijkt misschien voor de hand liggend, maar je kunt geen gegevens kwijtraken die er niet zijn.
Verfijn je beleid en procedures
Een van de belangrijkste best practices om in gedachten te houden bij het implementeren van een DLP-programma is dat er nooit een moment komt waarop je je handen kunt afstoffen en de klus als geklaard kunt beschouwen. Zolang de gegevens bestaan, moet je ze actief beschermen en voorkomen dat ze verloren gaan.
Op dezelfde manier moet de specifieke implementatie van je DLP-strategie worden afgestemd op en een afspiegeling zijn van elke ontwikkeling van je bedrijf. Wanneer je bedrijf groeit en uitbreidt, moet je plan voor gegevensverliespreventie ook van vorm veranderen. Je beleid en procedures voldoen vandaag misschien aan de behoeften van je bedrijf, maar dat betekent niet dat ze morgen niet kunnen veranderen.
De implementatie van DLP niet altijd eenduidig of lineair is. Het beschermen van gegevens is geen oplossing van de ene dag op de andere, maar eerder een proces van het implementeren van de juiste controles en procedures met betrekking tot de verwerking ervan. Hiervoor moet je vaak actief nadenken over alle manieren waarop je datagerichte mechanismen en je bedrijfsbehoeften elkaar kruisen, maar in veel opzichten is dat juist de bedoeling van het proces. Beveiliging is een reis, geen bestemming.
Het risico van slechte DLP-strategieën
Wanneer je het voordeel van een goed geïmplementeerde DLP-strategie afweegt, is het belangrijk om ook de risico’s van het alternatief te overwegen. Datalekken kunnen schadelijk zijn voor het bedrijfsresultaat – de gemiddelde kosten van een datalek voor bedrijven wereldwijd bedragen volgens PurpleSec $3,86 miljoen. Deze impact omvat natuurlijk kwantificeerbare financiële verliezen, maar ook de onherstelbare schade aan de reputatie van het bedrijf als het in het vizier komt van een succesvolle inbreuk. Een sterke strategie voor de preventie van gegevensverlies kan de gevolgen van een rampzalige situatie als deze helpen voorkomen.