Iedere organisatie huisvest gevoelige of vertrouwelijke data. Als we als auditors bestandsfolders doorlichten verbaast het ons steeds weer dat slechts 20% van de bedrijven aan gegevensbescherming (DLP) doet. Informatie kan ongelooflijk maar waar zonder beperking verhuizen van de organisatie naar onbewaakte privé Endpoints. We zien zulke data zelfs rondslingeren op burelen op data media. Dat er ook veel toekomstige NIS2 essentiële bedrijven hiertegen zondigen vereist toch een wake up call.
Let wel ik ben niet voor huis, tuin en keuken systemen uitgevonden door een ijverige student developer die wat bij moest verdienen. Voor een auditor is de eerste stelregel. Hoe zit het met het beheer van de encryptie en algoritmes. Zijn deze in beheer van het management of van een ICT werknemer die boos kan opstappen. Het antwoord op die vraag bepaalt of u aan bedrijf continuïteit werkt of aan een digitale Titanic.
We belichten even een A-merk oplossing van Microsoft. De eigenaar van de domeinnaam is de enige gerechtigde voor beheer van het opgezette systeem. Dat is al ‘goed begonnen, half gewonnen’. De autorisatie gebeurt in een combinatie van groepen en gebruikers uit de active directory. De digitale intelligentie van Office en teams en SharePoint zorgt voor een gebruiksvriendelijke bescherming tegen DLP. Dit staat voor Data Loss Prevention oftewel bescherming tegen gegevens verlies.
Wat een waarheid is, is dat zulk een optie niet gratis is. Maar besef dat een kogelvrij vest voor een agent ook niet gratis is. Met wat goede voorbereiding en een logische opzet is jouw organisatie in een minimum van tijd beschermd.
Microsoft zet hiervoor Purview in. Een tool die je DLP regels laat inzetten op je bestanden en die uitmuntende bescherming tegen hacking biedt. Purview zorgt ervoor dat gevoelige en vertrouwelijke gegevens opgespoord worden. Vervolgens worden deze in digitale kluis folders ondergebracht. Alle handelingen met de documenten in Microsoft Teams, Exchange, SharePoint, Onedrive en de Office tools merken niets van de extra beveiligingslaag. Pas als de gebruiker er in zou slagen de data buiten de monitor van de organisatie te brengen, merkt hij dat hij onbruikbare onzin files ziet. Niet alleen de organisatie beschermt zich maar ook de domme handelingen via een onbewaakte digitaal achterpoortje worden zo opgevangen. Je beschermt in feite de gebruiker tegen zichzelf.
Waarom wacht dan nog 80% voor het integreren van deze optie? Er is kennis nodig van AD of AAD en uitmuntende kennis van datatransitie. Men moet een DPIA (Data Protection Impact Assesment) kunnen opstellen.
Om dit alles naar de regels van de kunst te kunnen uitvoeren is er training nodig. De toekomende tijd zal Qfirst samen met Copaco dit trainings traject openstellen voor ICT leveranciers die het label NIS2 compliant krijgen. Na de opleiding kunnen de getrainde ICT bedrijven aan de slag gaan bij hun klanten en worden er audits gedaan of alles verlopen is naar de regels van de kunst.
Bezoek op 29/11 het event van copaco alwaar ons concept uit de doeken wordt gedaan. DLP is een hoeksteen van NIS2 en mijn inziens na MFA en IAM de eerste stap naar een hackvrije organisatie.
https://www.copaco.com/nl-be/ac/copaco-security-event-29-november-2022
