Stef Liethoff
Strategisch adviseur data security bij Ziuz

De algemene data security van bedrijven richt zich vandaag de dag nog te sterk op het beveiligen van het systeem. “Data wordt op allerlei devices gedeeld en gebruikt en bevindt zich allang niet meer alleen binnen een bedrijf”, stelt Stef Liethoff, strategisch adviseur data security bij Ziuz. Daarom hebben hackers het tegenwoordig vooral op gebruikers voorzien.” Het is dan ook van belang om de data zelf te beschermen. “En dan niet alle data, maar alleen privacygevoelige en andere bedrijfsgevoelige informatie. Data kan namelijk wel goed afgeschermd worden, bijvoorbeeld door het te versleutelen. Omdat het niet werkbaar is om alle data af te schermen, moeten bedrijven gaan vaststellen welke data daarvoor in aanmerking komt en wie daar toegang tot krijgt.”

Security awareness

Hackers komen dus binnen via de eindgebruiker en devices. Met security awareness is veel te voorkomen, maar je moet een hack ook snel kunnen detecteren als deze plaatsvindt. Liethoff: “De virusscanner is eigenlijk achterhaalde technologie. Dat behoort tot de oude manier van systeembeveiligen. We moeten veel meer kijken naar gedrag. Wat gebeurt er bijvoorbeeld als een medewerker een besmette pdf binnenhaalt? Het wordt waarschijnlijk niet alleen geopend met Acrobat reader, maar instellingen worden aangepast, codes geïnstalleerd, etc. Er zijn nieuwe beveiligingstechnologieën die juist dit soort afwijkend gedrag opsporen.”

College bescherming persoonsgegevens

Een andere belangrijke ontwikkeling is de Europese privacywetgeving die wordt aangescherpt waardoor datalekken leiden tot hoge boetes. In Nederland ligt er een wetsvoorstel bij de Eerste Kamer voor een meldplicht datalekken die de verantwoordelijke verplicht om het lek te melden bij het College bescherming persoonsgegevens (CBP) en tot het inlichten van betrokkenen. “Blijkt dat organisaties onvoldoende technische en organisatorische maatregelen hebben getroffen om het lek te voorkomen, dan zijn hoge bestuurlijke boetes het gevolg”, besluit Liethoff. “Kortom, bedrijven moeten dus wel hun data op een goede manier gaan beveiligen.”