Datalekken: Is een menselijke fout te voorkomen?
Henk Haag

Met enige regelmaat worden er datalekken gemeld, soms ontstaan door een technische en soms door een menselijke fout. Een technische fout komt vaak door slechte beveiliging van de IT-omgeving of het gebruik van verouderde software. Beide zaken, wanneer geïdentificeerd, zijn redelijk eenvoudig te verbeteren. Het beheersen en sturen van menselijk gedrag is echter enorm complex. Immers, fouten worden voornamelijk onderbewust gemaakt. Ter voorbeeld: vorige week nog stuurde een erg enthousiaste medewerker van Gemeente Amstelveen – uiteraard per ongeluk – een adressenbestand met persoonlijke gegevens naar inwoners die meegedacht hebben met de invulling van de nieuwe website. De vraag rijst: kun je een menselijke fout voorkomen?

100% garantie bestaat niet

Uiteraard kunnen we niet alle menselijke fouten voorkomen. Wel kun je als organisatie met technologie dusdanig veel goed regelen, dat je de kans op een datalek door een mensenlijke fout minimaliseert. Zo is er een oplossing die jou helpt voorkomen dat gevoelige informatie doorgestuurd kan worden. Deze technologie heet Azure Information Protection (AZIP) en valt binnen de Microsoft 365 suite. AZIP maakt het mogelijk  documenten en email te beveiligen middels encryptie, classificatie en labels. Dit kan automatisch worden uitgevoerd door beheerders die regels en voorwaarden definiëren, handmatig door medewerkers, of door middel van een combinatie waarbij medewerkers bepaalde aanbevelingen krijgen.  

Met het gebruik van AZIP is het mogelijk om classificaties en labels aan documenten toe te voegen. Door het juist inrichten van AZIP herkent de software privacy gevoelige gegevens zoals creditcardgegevens en BSN nummers en zal hiervoor een ingestelde classificatie en label aan een document of e-mail toewijzen. De standaard labels zijn Persoonlijk, Openbaar, Algemeen, Vertrouwelijk en Uiterst Vertrouwelijk.  

Overzichtelijk classificeren

Wanneer een label en classificatie aan het document of de e-mail zijn toegekend, treden de ingestelde regels in werking. Bij een vertrouwelijk document kan het zijn dat een document of e-mail niet mag worden verstuurd of geprint. Dit geldt voor intern gebruik, maar deze regels gelden ook als een document is gedeeld met (geautoriseerde!) externen. Daarnaast is er een beheerportaal beschikbaar die geclassificeerde documenten en e-mails bewaakt. Zo heb je in één overzicht voorhanden wat er met jouw data gebeurt. Veranderen er zaken in de tussentijd? Bijvoorbeeld aan de hand van personele wijzigingen, dan kun je document autorisatie eenvoudig intrekken.  

Om antwoord te geven op de hoofdvraag van dit blog: “Is een datalek door een menselijke fout te voorkomen?”. Nooit helemaal, maar door Azure Information Protection in te zetten kun je dit wel minimaliseren. Hierbij wil ik toevoegen dat de inzet van technologie alleen onvoldoende is. Deze moet onderdeel zijn van een informatiebeveiligingsbeleid binnen de organisatie. Je moet definiëren wat binnen de organisatie openbare, gevoelige en geheime data is. En bij het maken van de classificatie van jouw data uiteraard nagaan of je voldoet aan de wet- en regelgeving. Als je dit goed doet, heeft de krant minder datalekken om over te schrijven.  

Direct aan de slag?

Om te ontdekken hoe veilig jouw werkomgeving is, is er het Security Assessment. In slechts 5 dagen krijg je in kaart wat de security status (inclusief GDPR/AVG richtlijnen) van jouw organisatie is. Concrete handvatten met mogelijke verbeteringen krijg je na 5 dagen gepresenteerd in een praktisch rapport.  

Ontdek security assessment

SHARE
Derk van der Woude

Lead Security consultant

Ontdek meer
Wil jij ontdekken hoe je met technologie de kans op een datalek kunt verminderen? Onze security expert vertelt je graag meer in ruil voor een kop koffie.
Altijd up to date?
Blijf op de hoogte van de laatste innovaties. Geef aan welke mailings jij maandelijks wil ontvangen. Schrijf je nu in!