Met Discovery- en Classificatie-tools worden ook oude IT-omgevingen compliant
GDPR is hier. Als het goed is, bent u nu helemaal klaar met de implementatie van gegevensbescherming en het verbeteren van de systeembeveiliging om te voldoen aan de strenge eisen binnen deze wetgeving. Maar hoe zit het met oude legacy-omgevingen? Zijn ook die inmiddels compliant? Met tools voor het ontdekken en classificeren van data is ook dit te realiseren. Zeker als hierbij ook nog eens deskundige ondersteuning wordt ingeschakeld.
Een vertrouwde VAR kan oplossingsrichtingen adviseren die bij de organisatie past. Zodat de onderneming wordt geholpen de juiste keuzes te maken met betrekking tot het beveiligen van de ICT-infrastructuur.
Een hierbij aangeschafte tool kan deze taak vereenvoudigen en automatiseren. Kennis over de vraag hoe deze tools op de meest effectieve manier kunnen worden gebruikt, kan worden verkregen bij een VAR. Ofwel een Value Added Reseller. Een VAR heeft training en certificering in het product ontvangen en kan ondersteunen bij het gebruik van de toolset nadat deze is geïmplementeerd.
Legacy en GDRP
Met betrekking tot de GDPR (in het Nederlands ook wel bekend als de AVG) zijn ook legacy-systemen als IBM’s i-Series niet vrijgesteld. Ook daar staan immers in veel gevallen persoonsgegevens op. Maar hoe secuur zijn deze gegevens? Zijn er IBM i Webapplicaties die toegankelijk zijn voor klanten? Hoe om te gaan met end-point security? Kortom, hoe wordt een IBM i-omgeving compliant gemaakt?
Legacy-systemen kunnen in de regel erg goed worden beveiligd. De vraag is of dit bij iedere organisatie ook daadwerkelijk het geval is. Dit zal dus formeel moeten worden vastgesteld. De vraag is alleen wel: hoe doen we dat? Meestal draaien deze systemen al jaren zonder dat er wat betreft beveiliging naar omgekeken wordt. Dat betekent helaas ook dat niet altijd even veel aandacht wordt besteed aan de vraag of de beveiliging op het systeem aan de (huidige) regels voldoet. Met de komst van de GDPR is het zeer belangrijk dat deze check wordt gedaan. Gelukkig bestaan er ‘risk assessments’ voor een IBM i die snel kunnen worden uitgevoerd. Deze assessment biedt een prima basis om - eventueel samen met een expert - deze omgeving snel en efficiënt compliant te maken.
Meerdere tools
Er bestaan meerdere tools waarmee persoons- en andere gegevens kunnen worden ontdekt op zowel legacy-systemen als Windows- en Linux-omgevingen. Voor legacy-systemen bestaat deze uit encryptie en preventie. Bij legacy is vaak behoorlijk wat aan gegevens opgeslagen in de hierop geplaatste databases. Vaak bestaat er geen of onvoldoende inzicht in deze oude gegevens. In andere gevallen wordt de relevantie van deze legacy-data onderschat. Met behulp van de juiste tools kunnen deze gegevens echter worden opgespoord. Is deze data vrij toegankelijk, dan zijn dit soort tools in staat deze gegevens te versleutelen of van de juiste autorisatie te voorzien.
Preventie is ook bij legacy-systemen een goede maatregel. Mede doordat de systemen ontwikkeld zijn voor oude netwerktechnologieën (bijvoorbeeld 5252) en pas later functionaliteit voor nieuwere methodes is toegevoegd (denk bijvoorbeeld aan FTP en ODBC). Het gevolg hiervan kan zijn dat de beveiliging niet altijd zo secuur is gemaakt als deze zou moeten zijn. Ook is het voor de IT-afdeling niet altijd (meer) duidelijk welke user-profielen nog actief zijn en welke rechten deze hebben op het systeem en zijn endpoints. Een tool als een actieve firewall die op het legacy-systeem geplaatst wordt zou hiervoor een goede oplossing zijn.
Classificatie en discovery
Een belangrijke rol voor een externe expert is tevens dat deze kan adviseren over tools die gegevens classificeren en die bijvoorbeeld remediëring toepassen binnen het netwerk. Dit proces kan worden toegepast op gegevens op het moment dat ze aangemaakt worden (zeg maar: security by design). Maar het is ook mogelijk om deze regels toe te passen op bestanden die zijn aangemaakt nog voordat de classificatietool werd geïntroduceerd.
Met Data Discovery-tools kan op zoek gegaan worden naar geclassificeerde bestanden op servers en end-points. Een goede tool voor classificatie is in staat ook niet-gelabelde gegevens te ontdekken en te classificeren. Het is immers van groot belang dat er zicht is op de gegevens binnen het netwerk. Is dit zicht niet compleet, dan kunnen zich onaangename verrassingen voordoen.James Cheney is werkzaam bij SRC Secure Solutions
Meer over
Lees ook
Qualys Cloud Platform helpt bij beoordelen en beheren van GDPR-risico’s
Qualys biedt zijn klanten met zijn cloudplatform mogelijkheden om te voldoen aan de eisen van de General Data Protection Regulation (GDPR) van de Europese Unie. Met speciaal voor dit doel ontwikkelde profielen, workflows en rapportages hebben klanten continu inzicht in hun IT-assets en kunnen ze data verzamelen en risico’s evalueren. Hiermee zijn klanten niet alleen GDPR-compliant, maar helpt het ze persoonlijke informatie in IT-omgevingen en bij derde partijen over de gehele wereld voortdurend te beschermen. Als de GDPR van kracht is, moeten organisaties over de gehele wereld de persoonlijk1
GDPR Mobile Readiness Service van MobileIron helpt bedrijven aan GDPR te voldoen
MobileIron, leverancier van beveiligingsoplossingen, lanceert de General Data Protection Regulation (GDPR) Mobile Readiness Service. Via deze dienst helpt het MobileIron Professional Services-team klanten te beoordelen in hoeverre ze klaar zijn om aan de GDPR richtlijnen te voldoen en waar eventuele tekortkomingen liggen. Ook helpen ze bij het ops1
Data-detox: Kaspersky Lab helpt bedrijven data gezond te maken in aanloop naar GDPR deadline
Over ruim een jaar moeten bedrijven binnen de EU voldoen aan de Algemene Verordening Gegevensbescherming (AVG maar beter bekend als de GDPR). Daarom heeft Kaspersky Lab een online hub geïntroduceerd die ondernemingen helpt hun data gezond te maken en zakelijke welvaart op de lange termijn te bewerkstelligen. Met een evaluatietool om te meten in ho1