Toegangsbeheer als onderdeel van GDPR compliancy

Veel bedrijven zijn bezig met de grote voorjaarsschoonmaak om per 25 mei te voldoen aan de General Data Protection Regulation (GDPR). De meeste organisaties zijn al ver met het beschermen van hun gegevens volgens de GDPR. Het onderdeel toegangsbeheer wordt echter vaak over het hoofd gezien. Niet verstandig, want identiteits- en toegangsbeheer is de eerste verdedigingslinie in de bescherming van gevoelige gebruikersgegevens in cloud- en webapplicaties.

Een van de uitdagingen waar bedrijven voor staan zijn cloud gebaseerde applicaties, Ponemon Institute en Gemalto toonden al aan dat medewerkers dagelijks rond de 27 cloud gebaseerde applicaties gebruiken voor hun werk. 42 procent van de IT-professionals verwacht dat cloud-apps het doelwit zijn van cyberaanvallen vanwege slecht toegangsbeheer.

Cloud als uitdaging

Gegevens in de cloud zijn kwetsbaarder voor datalekken vanwege de inconsistente – en vaak ontoereikende – toegangscontroles die worden toegepast op cloud- en webtoegang. Stap 1 om GDPR compliant te worden is dus het zorgen voor toegangsbeleid voor alle cloudapplicaties die medewerkers gebruiken. Hiermee voldoet u dan ook gelijk aan drie artikelen.

  • Artikel 5 en artikel 32 beschrijven de verwerking van persoonsgegevens en vereisen aanvullende beveiliging tegen ongeoorloofde toegang en verlies van zowel interne als externe gebruikers. Dit kan worden bereikt met een toegangsbeleid zoals het instellen van multi-factor authenticatie. Zo weet je zeker dat alleen geautoriseerde gebruikers toegang hebben tot gegevens en zorg je voor extra beveiliging door het gebruik van een sterke authenticatiemethode.
  • Artikel 24 zegt dat organisaties veiligheidsmaatregelen moeten nemen om te reageren op potentiële risico’s en bedreigingen. Dit vraagt om oplossingen die niet alleen de gegevens beveiligen, maar ook de toegang tot bedrijfsnetwerken, de identiteit van gebruikers en ervoor zorgen dat zij inderdaad zijn wie zij beweren te zijn.

 

Van single sign-on naar een goed toegangsbeleid

In de praktijk betekent dit het uitzetten van standaard single sign-on methodes voor applicaties met gevoelige gegevens. Voor het werken met persoonsgegevens is het  elke keer opnieuw invoeren van een authenticatie voor toegang, vereist. Zo wordt bijvoorbeeld gevraagd om een sleutel die telefonisch of per e-mail verstuurd wordt of om een inlogverzoek goed te keuren. Dit zorgt ervoor dat alleen geautoriseerd personeel toegang heeft. En kan ook ingeregeld worden voor externe partijen die toegang moeten hebben tot de gegevens. Belangrijk is dat IT- en beveiligingsprofessionals over het toegangsbeleid communiceren en dit kunnen handhaven. Hiervoor moeten zij inzicht hebben in wie toegang heeft tot de apps, evenals wanneer en hoe de identiteit wordt geverifieerd.

Lagere boetes en minder datalekken

Met behulp van toegangsbeheer wordt het loggen van gebruik inzichtelijk. Op deze wijze kan ook aangetoond worden aan de betreffende autoriteit dat de organisatie alles in het werk heeft gesteld om datalekken te voorkomen en de schade zoveel mogelijk te beperken. Het gebruik van toegangsbeheer voorkomt niet alleen dure boetes of sancties, maar helpt ook identiteitsdiefstal van de meest gevoelige gegevens te voorkomen.

Dit is een ingezonden bijdrage van Jan Smets, Data en Security Expert en Certified Data Protection Officer bij Gemalto. Via deze link vind je meer informatie over de diensten van het bedrijf.