Wanneer IT-beveiligingsadviseurs het hebben over bescherming tegen datalekken, bedoelen ze meestal tools: DLP-agents voor eindpunten, Cloud Access Security Brokers (CASB’s), e-mailgateways met inhoudscontrole en apparatuur voor netwerkmonitoring. De totale kosten lopen al snel op tot zes cijfers – en dan heeft u het team om dit alles te beheren nog niet eens ingehuurd.

De meeste kleine en middelgrote bedrijven zien dat prijskaartje en concluderen dat bescherming tegen datalekken niets voor hen is.

Ze hebben het mis – maar niet op de manier waarop de beveiligingsleveranciers dat graag zouden zien.

De 80/20-regel van gegevenslekken

De meest voorkomende oorzaken van gegevenslekken bij het MKB zijn geen geavanceerde cyberaanvallen. Het zijn alledaagse operationele fouten:

  • Een medewerker vertrekt, en zijn of haar toegang wordt nooit ingetrokken. Zij kunnen nog steeds inloggen op het CRM, klantenlijsten downloaden en toegang krijgen tot de bedrijfsmail – weken of maanden na hun vertrek.
  • Een clouddienst is ingesteld op delen met "iedereen met de link". Een Google Drive-map, een Notion-werkruimte, een SharePoint-site – één verkeerd geconfigureerde instelling voor delen en uw gegevens zijn toegankelijk voor iedereen die de URL tegenkomt.
  • Back-ups zijn niet versleuteld. De NAS in de serverruimte bevat een volledige kopie van alles, en de schijfversleuteling is "onbekend" of "niet geconfigureerd".
  • BYOD zonder beleid. Medewerkers hebben toegang tot bedrijfs-e-mail en -bestanden vanaf persoonlijke telefoons zonder versleuteling, schermvergrendeling of de mogelijkheid tot wissen op afstand. Als een telefoon zoekraakt, gaan al die gegevens mee verloren.
  • Geen gegevensverwerkingsovereenkomsten. Een externe dienst verwerkt uw klantgegevens, maar er is geen DPA van kracht. Als zij de gegevens verkeerd behandelen, bent u aansprakelijk — en u weet niet eens welke gegevens zij in hun bezit hebben.

Voor geen van deze zaken is een DLP-tool nodig om het op te lossen. Wat nodig is, is zichtbaarheid.

Wat zichtbaarheid in de praktijk betekent

Zichtbaarheid betekent dat u de antwoorden op vijf vragen kent:

  1. Welke diensten gebruikt mijn organisatie? Niet alleen degene die IT beheert — alle diensten. De projectmanagementtool waarvoor het marketingteam zich heeft aangemeld. De dienst voor het delen van bestanden die het magazijn gebruikt. De berichtenapp waar iedereen tijdens COVID op is overgestapt.

  2. Welke gegevens bevat elke dienst? Namen en adressen van klanten? Financiële gegevens? Gezondheidsgegevens van medewerkers? Vertrouwelijke bedrijfsinformatie? De gevoeligheid van de gegevens bepaalt de ernst van een lek.

  3. Wie heeft toegang tot elke dienst? Welke rollen, welke personen? Zijn er gedeelde accounts? Zijn er accounts die al maanden niet zijn gebruikt?

  4. Welke apparaten worden gebruikt om toegang te krijgen tot gegevens? Bedrijfslaptops met schijfversleuteling en MDM? Persoonlijke telefoons zonder beveiligingsmaatregelen? Gedeelde werkstations in het magazijn?

  5. Waar stromen de gegevens naartoe? Welke diensten sturen gegevens naar andere diensten? Vinden er grensoverschrijdende overdrachten plaats? Zijn back-ups correct geconfigureerd?

Zichtbaarheid omzetten in bescherming

Zodra u deze vijf vragen kunt beantwoorden, kunt u gerichte maatregelen nemen — zonder dat daarvoor een bedrijfsbudget nodig is:

Versleutel wat belangrijk is

Als u weet welke apparaten toegang hebben tot gevoelige gegevens, kunt u ervoor zorgen dat die apparaten worden versleuteld. Schijfversleuteling is gratis op elk modern besturingssysteem (BitLocker op Windows, FileVault op macOS, LUKS op Linux). Het moeilijkste is niet het inschakelen van versleuteling, maar het bepalen welke apparaten prioriteit moeten krijgen.

Trek onnodige rechten in

Als u weet wie toegang heeft tot wat, kunt u periodieke toegangsbeoordelingen uitvoeren. Verwijder de toegang voor vertrokken medewerkers. Beperk de toegang voor mensen die van functie zijn veranderd. Schaf gedeelde accounts af.

Toegangscontroles kosten geen geld. Ze kosten aandacht – en die aandacht is alleen mogelijk als u een duidelijk beeld heeft van wie toegang heeft tot wat.

Beveilig uw back-ups

Als u uw back-upstromen heeft gedocumenteerd – waar back-ups naartoe gaan, hoe vaak, of ze versleuteld zijn, of ze offsite zijn – kunt u de naleving van een goede back-upstrategie controleren.

Een 3-2-1-back-upstrategie (3 kopieën, 2 verschillende mediatypen, 1 offsite) is de industriestandaard. Maar deze werkt alleen als u deze daadwerkelijk hebt gedocumenteerd en geverifieerd.

Pak risico's van leveranciers aan

Als u uw diensten van derden in kaart hebt gebracht, kunt u controleren: is er een DPA van kracht? Wanneer verloopt deze? Wat is het lock-in-niveau van de leverancier? Kunt u uw gegevens exporteren?

Een leverancier zonder DPA vormt per definitie een risico op gegevenslekken — u hebt geen contractuele controle over wat zij met uw gegevens doen.

Beoordeel en prioriteer

Niet alle risico's zijn gelijk. Een dienst die bijzondere persoonsgegevens verwerkt die worden geraadpleegd vanaf onversleutelde BYOD-apparaten, vormt een groter risico dan een interne projectmanagementtool die door drie personen wordt gebruikt.

Met risicoscores kunt u zich concentreren op wat het belangrijkst is. Classificeer elke dienst op basis van de gevoeligheid van de gegevens, toegangspatronen, apparaatbeveiliging en naleving van back-upvoorschriften. Pak eerst de items met een hoog risico aan.

Hoe een echt programma voor bescherming tegen gegevenslekken eruitziet voor een MKB-bedrijf

  1. Week 1: Breng alle diensten in kaart, met behulp van sjablonen voor veelgebruikte diensten (Microsoft 365, Google Workspace, Salesforce, enz.).
  2. Week 2: Koppel gebruikers aan diensten. Leg vast welke rollen toegang hebben tot welke systemen.
  3. Week 3: Beoordeel apparaten. Leg versleuteling, MDM en updateregels vast.
  4. Week 4: Documenteer gegevensitems met classificaties, rechtsgronden en bewaartermijnen.
  5. Maand 2: Breng gegevensoverdrachten en back-upstromen in kaart. Beoordeel de naleving van de back-upstrategie.
  6. Maand 3: Voer uw eerste toegangsbeoordeling uit. Los de voor de hand liggende hiaten op.
  7. Doorlopend: Evalueer elk kwartaal. Werk bij wanneer diensten, personen of gegevens veranderen.

Totale kosten: uw tijd plus een documentatietool. Geen DLP-agents, geen CASB's, geen contracten van zes cijfers.

De tool die dit beheersbaar maakt

Readmodel® is speciaal voor deze aanpak ontwikkeld. Het biedt meer dan 200 servicesjablonen zodat u niet helemaal vanaf nul hoeft te beginnen, brengt gegevensstromen in kaart met een interactieve grafiek, scoort risico's automatisch op basis van de gevoeligheid van gegevens en beveiligingsmaatregelen, controleert de naleving van de back-upstrategie aan de hand van normen zoals 3-2-1, beoordeelt de beveiligingsstatus van apparaten en genereert door AI aangestuurde analyserapporten.

Het risicoregister laat u precies zien waar uw risico's op datalekken liggen — gesorteerd op ernst, met concrete actiepunten. Het verwerkingsregister zorgt als bijkomend voordeel voor naleving van de AVG.

U heeft geen bedrijfsbudget nodig voor effectieve bescherming tegen datalekken. U moet weten wat u in huis heeft. Al het andere volgt daaruit.