Klik voor meer informatie over auteur Daniel Santry.
De wereldwijde pandemie heeft de manier waarop sommige bedrijven opereren bijna onherkenbaar veranderd. Veel hoofdkantoren van bedrijven hebben het grootste deel van 2020 vrijwel leeg gestaan, en hoewel de situatie in veel delen van de wereld langzaam verandert, heeft werken op afstand een vaste plaats verworven. Moderne communicatiesystemen en clouddiensten hebben een groot deel van deze digitale revolutie mogelijk gemaakt, maar ze hebben ook voor bepaalde uitdagingen gezorgd, niet in de laatste plaats op het gebied van dataveiligheid.
In het licht van de toenemende afhankelijkheid van technologie op afstand, hebben bedrijven vaak hun cybersecuritywerkzaamheden moeten uitbreiden om aan deze nieuwe manier van werken te voldoen. Wat moeten bedrijven doen om ervoor te zorgen dat hun gegevens veilig blijven wanneer zoveel werknemers het merendeel van hun dagelijkse taken vanuit huis uitvoeren?
Registreer nieuwe IT-activa
Er zijn maar weinig IT-afdelingen, zelfs die in de grootste bedrijven die plannen maken voor noodherstel, zouden de omvang of impact van de COVID-19-crisis hebben voorspeld. Als zodanig moest het beleid met betrekking tot de verwijdering van IT-middelen en gegevensbescherming ofwel volledig worden herschreven of aanzienlijk worden bijgewerkt om nieuwe manieren van werken mogelijk te maken. Laptops die door IT-afdelingen worden uitgegeven voor werken op afstand zijn nu misschien de norm, terwijl werknemers vóór de crisis mogelijk geregistreerde desktopterminals gebruikten die via een LAN waren aangesloten.
Onthoud dat het register van vaste activa van IT-apparatuur die voor het werk wordt gebruikt, moet worden bijgewerkt om al deze nieuwe apparaten op te nemen. Laptops en tablets die vanuit het hoofdkantoor worden uitgegeven, zijn slechts twee voorbeelden van wat er moet worden opgenomen om alles up-to-date te houden. Veel thuiswerkers zullen hun eigen computerapparatuur gebruiken. Ze kunnen zelfs hun persoonlijke smartphone gebruiken om toegang te krijgen tot gevoelige gegevens via e-mails, apps of zelfs door rechtstreeks verbinding te maken met bedrijfsservers. Door dergelijke apparaten te registreren, zouden IT-professionals alleen degenen met de juiste authenticatieprocedures moeten kunnen autoriseren om toegang te krijgen tot dergelijke informatie. Onthoud dat mobiele computerapparatuur vaak wordt meegenomen en soms verloren of gestolen, dus als ze voor werk worden gebruikt, moeten ze deel uitmaken van uw IT-register voor vaste activa en als zodanig worden behandeld.
Overweeg de beveiliging van cloudservices
De cloud is een geweldige manier van werken als mensen zich niet in dezelfde fysieke ruimte als elkaar bevinden, maar niet alle cloudservices bieden hetzelfde niveau van cyberbeveiliging als zou moeten. Sommige servers die cloudgebaseerde services bieden, zijn bijvoorbeeld toegankelijk voor onbevoegd personeel. Niet elk stukje software dat ooit is geschreven om een cloudgebaseerde service uit te voeren, heeft de nodige bescherming om de privacy te bieden die je als commerciële organisatie nodig hebt.
Daarom is het vaak het beste om een cloudserviceprovider te kiezen op basis van hun vermogen om uw collega’s een echt veilig platform te bieden. Office 365 is een goed voorbeeld van een cloudgebaseerd documentatiesysteem waar gebruikers met een gerust hart gebruik van kunnen maken, in de wetenschap dat wat ze delen binnen strikte grenzen blijft en dat hun systeem bijgevolg voldoet aan AVG reglement. In wezen zou u moeten zoeken naar een service die gebruikers in uw hele organisatie hetzelfde niveau van cyberbeveiliging biedt. Vertrouwen op persoonlijke e-mailaccounts is waarschijnlijk niet voldoende als u wordt geconfronteerd met een gegevensaudit.
Zorg voor naleving van de AVG
Het vermijden van onveilige cloudservices voor het heen en weer sturen van gevoelige gegevens is een grote stap om ervoor te zorgen dat u in de toekomst geen GDPR-boetes krijgt. Als de toezichthouders u constateren dat u de regels heeft overtreden, kunnen de boetes inderdaad erg hoog zijn en kunnen ze uw bedrijf zelfs financieel verlammen. Het nemen van een noodmaatregel tijdens de huidige crisis zal u niet beschermen tegen dergelijke boetes als blijkt dat uw organisatie nalatig is geweest bij het doorgeven van klantgegevens. Dit is vooral het geval als een van de informatie die u hebt opgeslagen, wordt geacht van persoonlijke aard te zijn, zoals bijvoorbeeld financiële gegevens.
GDPR legt de verantwoordelijkheid op organisaties om hun gegevens te beheren. Zorg ervoor dat thuiswerkende werknemers alleen toegang hebben tot het soort gegevens dat relevant is voor hun baan en ontzeg hen toegang tot wat niet belangrijk is. Dit betekent dat de meest gevoelige vormen van data alleen toegankelijk mogen zijn voor een kleine groep. Als iemand een bepaald record nodig heeft, kan dit worden gedeeld zonder dat hij toegang heeft tot elk record in een bestand. Onthoud dat klanten en klanten nog steeds het recht hebben op toegang tot de informatie die u over hen opslaat, ook onder de AVG. Dit recht blijft bestaan, ongeacht de nieuwe werkwijzen die de pandemie heeft veroorzaakt.
Verwijder op afstand bewaarde gevoelige gegevens
Ten slotte, wanneer het leven weer begint te normaliseren en werknemers terugkomen naar kantoor in plaats van thuis te werken, moeten gegevens op externe apparaten worden opgeschoond. Als gegevens op een apparaat niet langer nodig zijn, mogen deze er niet langer op worden opgeslagen. In sommige gevallen betekent dit het wissen of overschrijven van harde schijven en flash-geheugensticks. In andere gevallen een vollediger proces van data vernietiging kan zijn om ervoor te zorgen dat de belangrijkste gegevens die op afstand werden bewaard, volledig zijn vernietigd.