Data-analytics: beveiliging verdient aandacht
Data-analytics biedt kansen voor organisaties, maar kan ook beveiligingsrisico's met zich meebrengen. Via data-analytics is er toegang mogelijk tot enorme hoeveelheden data. Ook zijn dergelijke toepassingen verbonden met interne systemen en clouddiensten. Het is dan ook verstandig kritisch te kijken naar het veiligheidsniveau van de provider. Een aantal tips op een rij.
Organisaties verzamelen en analyseren data op grote schaal. Deze gegevens worden verzameld in uiteenlopende systemen, die zowel on-premise als in de cloud zijn ondergebracht.
Data-analytics-oplossingen zijn met al deze systemen verbonden en een interessant doelwit voor cybercriminelen. Door in te breken op een data-analytics-oplossing, kunnen zij - indien de beveiliging niet goed op orde is - toegang krijgen tot grote delen van de bedrijfsgegevens. Gevoelige informatie kan uitlekken naar bijvoorbeeld concurrenten. Ook kan het imago van de organisatie ernstige schade oplopen.
Voldoen aan de AVG
Ook met het oog op de Algemene Verordening Gegevensbescherming (AVG) is de security van data-analytics-omgevingen van groot belang. De Europese privacywetgeving verplicht organisaties persoonlijke gegevens van Europeanen adequaat te beveiligen.
Deze verplichting geldt voor zowel een zogeheten verwerkingsverantwoordelijke als voor een verwerker. Een verwerkingsverantwoordelijke is een entiteit zoals een bedrijf die beslissingen neemt over de data die worden verzameld en de wijze waarop deze worden ingezet. Een verwerker verzamelt, bewaart en bewerkt de gegevens.
In de praktijk betekent dit dat zowel organisaties als de data-analytics-provider gegevens in overeenstemming met de AVG moeten opslaan en verwerken. Gebeurt dit niet, dan kunnen er hoge boetes opgelegd worden die op kunnen lopen tot 20 miljoen euro, of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger uitvalt.
Drie vormen van beveiliging verdienen bij het selecteren van een data-analytics-provider de aandacht:
1. Systeembeveiliging
Allerlei procedures kunnen helpen de veiligheid van een data-analytics-oplossing te waarborgen. Het is verstandig te controleren of de provider deze procedures hanteert. Zet de leverancier bijvoorbeeld de DREAD-methodologie in om beveiligingsproblemen in de systemen op te sporen? Laat de partij met regelmaat door een externe partij audits of penetratietesten uitvoeren op basis van de richtlijnen van het Open Web Application Security Project (OWASP)?
2. Toegangsbeveiliging
Minstens zo belangrijk is de vraag wie toegang heeft tot de data-analytics-applicatie en de gegevens waarmee deze oplossing werkt. Van belang is dat uitsluitend bevoegde medewerkers toegang hebben en dat zij hier de juiste rechten voor krijgen. De gemiddelde werknemer hoeft bijvoorbeeld niet in staat te zijn om een dashboard aan te passen of een nieuwe databron toe te voegen. Een goed beveiligde data-analytics-oplossing biedt de mogelijkheid deze rechten per gebruiker af te stemmen.
Onderdeel van toegangsbeheer is de mogelijkheid om te bepalen welke data en analyses gebruikers op een dashboard te zien krijgen. Niet alleen wordt de impact verkleind indien een aanvaller onverhoopt toegang weet te krijgen tot een account van een medewerker. Door het dashboard af te stemmen op de informatiebehoeften en functie van een werknemer, kan diens productiviteit ook worden verhoogd.
3. Databeveiliging
Naast het hanteren van veilige procedures en adequaat toegangsbeheer, is de wijze waarop een provider met databeveiliging omgaat van groot belang. Wordt data bijvoorbeeld versleuteld verstuurd tussen databronnen en de data-analytics-oplossing? Op welke wijze worden deze gegevens beschermd wanneer zij door de oplossing worden verwerkt?
Kies een vertrouwde provider
Ondanks dat beveiliging voor vele organisaties niet de kernactiviteit is, is voldoende aandacht met het oog op AVG een must. Zekerheid hebben dat de data-analyticsoplossing én data adequaat beveiligd zijn? Kies dan voor een oplossing van een bewezen en vertrouwde provider zoals Amazon Web Services, Hitachi, Microsoft of Oracle.
Door: Bastiaan Schoonhoven, BU Manager Next Gen Solutions AS bij Tech Data
