Data Loss Prevention (DLP) is een miljardenindustrie. Organisaties zetten geavanceerde tools in die het netwerkverkeer monitoren, e-mails scannen op gevoelige inhoud, USB-sticks blokkeren en documenten in realtime classificeren. Toch blijven datalekken zich voordoen — en de hoofdoorzaak is zelden een ontbrekende DLP-regel.

Het echte probleem is eenvoudiger: de meeste organisaties weten niet welke gegevens ze hebben, waar deze zich bevinden, wie er toegang toe heeft en hoe deze tussen systemen worden uitgewisseld.

U kunt het verlies van iets dat u niet kent, niet voorkomen.

Waarom DLP-implementaties mislukken

Een typische DLP-implementatie verloopt als volgt: het beveiligingsteam koopt een tool, stelt een aantal beleidsregels op (blokkeer creditcardnummers in uitgaande e-mail, markeer bestanden met het label "Vertrouwelijk") en implementeert agents op eindpunten en netwerkgateways.

Binnen enkele weken genereert de tool duizenden waarschuwingen. De meeste zijn valse positieven. De echte risico's – een onbeveiligde Synology NAS met jarenlange klantcontracten, een voormalige medewerker die nog steeds toegang heeft tot het CRM via een vergeten API-sleutel, een dagelijkse back-up die onversleuteld naar een clouddienst stroomt in een rechtsgebied met zwakke privacywetgeving – blijven onopgemerkt omdat de DLP-tool hier geen weet van heeft.

DLP-tools monitoren wat ze kunnen zien. Maar ze kunnen alleen zien wat u hen opdraagt te zoeken. En u kunt hen alleen vertellen waarnaar ze moeten zoeken als u weet wat u in huis heeft.

De vijf zaken die u moet documenteren voordat u DLP implementeert

1. Uw diensten

Elk SaaS-platform, elke clouddienst, elke on-premises applicatie en elke tool van derden die uw gegevens verwerkt. Niet alleen degene die door IT worden beheerd, maar ook degene waar afdelingen zelf een abonnement op hebben genomen.

Voor elke dienst moet u weten: wat deze doet, wie deze levert, waar de gegevens worden opgeslagen (land), welke rol de leverancier speelt (verwerkingsverantwoordelijke versus verwerker) en wat uw exitstrategie is als u moet vertrekken.

2. Uw gegevensitems

Welke categorieën gegevens verwerkt u? Persoonsgegevens van klanten, financiële gegevens, HR-gegevens van werknemers, gezondheidsinformatie, intellectueel eigendom, bedrijfsgeheimen. Elk gegevensitem moet worden geclassificeerd (hoe gevoelig het is), een rechtsgrond hebben (waarom u het verwerkt) en een bewaartermijn (hoe lang u het bewaart).

3. Uw gebruikers en hun toegang

Wie heeft toegang tot wat? Breng elke gebruikersrol in kaart voor elke dienst die zij gebruiken. Dit brengt concentratierisico's aan het licht (één persoon met toegang tot alles) en overbevoegdheden (mensen met toegang die zij niet nodig hebben).

4. Uw apparaten

De laptops, telefoons, tablets en werkstations die uw medewerkers gebruiken om toegang te krijgen tot diensten. Voor elk apparaat: is de schijf versleuteld? Is er MDM? Is het besturingssysteem up-to-date? Is het op afstand wissen mogelijk?

Een DLP-agent op een bedrijfs-laptop is nutteloos als dezelfde gegevens toegankelijk zijn vanaf een onbeheerde persoonlijke telefoon.

5. Uw gegevensoverdrachten

Hoe stromen gegevens tussen diensten? API-integraties, bestandsexporten, doorsturen van e-mail, back-upreplicatie, handmatige downloads. Elke overdracht is een potentieel lekpunt. Grensoverschrijdende overdrachten hebben aanvullende wettelijke vereisten onder de AVG.

Datamapping als basis van DLP

Zodra u over deze documentatie beschikt, verandert alles:

  • DLP-beleidsregels worden doelgericht. In plaats van "blokkeer alle creditcardnummers overal", kunt u zeggen: "controleer uitgaande overdrachten vanuit Dienst X, omdat deze financiële gegevens verwerkt die zijn geclassificeerd als 'Beperkt'."
  • Risicobeoordeling wordt mogelijk. U kunt elke dienst scoren op basis van de gevoeligheid van de gegevens die deze bevat, de apparaten die er toegang toe hebben en de overdrachten waaraan deze deelneemt.
  • Toegangsbeoordelingen worden bruikbaar. U weet wie toegang heeft tot wat, zodat u kunt controleren of dit nog steeds gepast is.
  • Incidentrespons verloopt sneller. Wanneer er iets misgaat, weet u al welke gegevens zich in dat systeem bevonden en wie er toegang toe had kunnen hebben.
  • Naleving wordt een bijproduct. Artikel 30 van de AVG vereist een verwerkingsregister (ROPA). Als u uw datalandschap in kaart heeft gebracht, schrijft het verwerkingsregister zichzelf.

De kosten van het niet in kaart brengen

Organisaties die de datamapping overslaan en direct overgaan op DLP-tools, komen vaak in een van de volgende twee situaties terecht:

  1. Waarschuwingsmoeheid. De DLP-tool genereert zoveel valse positieven dat het beveiligingsteam waarschuwingen gaat negeren – inclusief de echte.
  2. Vals vertrouwen. De DLP-tool is geïmplementeerd en 'werkt', maar dekt slechts 30% van het daadwerkelijke gegevenslandschap. De overige 70% is onzichtbaar en onbeschermd.

Beide situaties zijn erger dan helemaal geen DLP hebben, omdat ze de illusie van veiligheid wekken.

Een praktische aanpak voor het MKB

DLP-suites voor grote ondernemingen kosten honderdduizenden euro's en vereisen speciale teams. Kleine en middelgrote bedrijven hebben een andere aanpak nodig:

  1. Begin met documentatie. Breng uw diensten, gebruikers, gegevensitems, apparaten en overdrachten in kaart. Dit alleen al legt de meeste van uw risico's bloot.
  2. Beoordeel uw risico's. Gebruik de documentatie om elke dienst te beoordelen: wat is het ergste dat er kan gebeuren als deze dienst wordt gecompromitteerd?
  3. Dicht de voor de hand liggende hiaten. Ontbrekende versleuteling, onnodige toegang, onbewaakte back-ups, verlopen DPA's — hiervoor is geen DLP-tool nodig om ze op te lossen.
  4. Overweeg gerichte maatregelen. Zodra u weet waar uw gevoelige gegevens zich bevinden, kunt u gerichte maatregelen toepassen: versleuteling voor data-at-rest, toegangsbeoordelingen voor risicovolle diensten, nalevingscontroles van back-ups voor disaster recovery.
  5. Evalueer regelmatig. Datalandschappen veranderen. Er worden nieuwe diensten geïmplementeerd, mensen komen en gaan, er worden gegevensstromen toegevoegd. Maak hier een kwartaalproces van, geen eenmalig project.

Tools voor datamapping

Readmodel® is speciaal ontworpen voor deze mapping-opdracht. Het biedt meer dan 200 vooraf geconfigureerde servicesjablonen, scoort risico's automatisch op basis van gegevensgevoeligheid en toegangspatronen, controleert de naleving van de back-upstrategie, beoordeelt de apparaatbeveiliging en genereert zowel voor mensen leesbare rapporten als AVG-conforme exports.

De organisaties die gegevensverlies het meest effectief voorkomen, zijn niet degenen met de duurste DLP-tools. Het zijn degenen die weten waar hun gegevens zich bevinden.

Het voorkomen van gegevensverlies begint met datamapping. Al het andere volgt daarna.