Beknopt overzicht van de beveiligingsrichtlijnen voor uw pc’s en printers

Bescherm uw data en voldoe aan de nieuwe richtlijnen door de beveiliging van uw pc’s en printers te verbeteren.

De gevolgen van een dataschending voor een klant of bedrijf kunnen desastreus zijn voor zowel kleine als grote bedrijven. De schadelijke gevolgen voor reputatie, klant en bedrijfswinst zijn slechts het topje van de ijsberg. Bedrijven lopen het risico enorme boetes opgelegd te krijgen als gevolg van strikte nieuwe compliancerichtlijnen. Nu firewalls niet langer volstaan om uw data te beschermen, moeten bedrijven meerdere beschermingslagen implementeren voor elk endpoint in het netwerk, van pc’s tot printers, om zichzelf te beschermen en aan de compliancerichtlijnen te voldoen.

In onze huidige, op techniek gerichte wereld, creëert de enorme groei van het aantal apparaten complexe infrastructuren met tal van apparaten en platformen, aangezien bedrijven blijven focussen op de totstandkoming van een mobiele organisatie om in de behoeften van de werknemers te voorzien. Al deze apparaten zijn toegangs- en vertrekpunten voor bedrijfsgegevens en dat heeft een hoge beveiligingsprijs. Een van de allergrootste uitdagingen van huidige bedrijven is evenwel hoe zij hun data kunnen bewaken en beveiligen zonder impact op de bedrijfsprocessen. Steeds vaker worden data bewaard en verwerkt buiten de grenzen van de firewall en dit maakt de opdracht om data te beveiligen nog complexer voor de verdedigers van het netwerk.

De toename van het aantal cyberaanvallen heeft geleid tot een hausse aan strikte nieuwe databeschermingsrichtlijnen, die van belang zijn voor bedrijven overal ter wereld. Nieuwe richtlijnen zoals de gegevensbeschermingswet van de EU (de GDPR) zijn niet alleen relevant voor organisaties binnen de EU, maar gelden voor elk bedrijf dat gegevens van EU-burgers verzamelt.

De EU GDPR stelt bedrijven aanzienlijke boetes in het vooruitzicht als blijkt dat zij non-compliant zijn wanneer een aanval heeft plaatsgevonden. Deze boetes komen bovenop de financiële ramp die de dataschending zelf al heeft aangericht. Andere richtlijnen, zoals de EU-richtlijn inzake beveiliging van netwerk- en informatiesystemen (NIS) stellen nieuwe netwerk- en informatiebeveiligingseisen aan aanbieders van essentiële diensten en digitale dienstverleners (DSP’s). Van organisaties wordt geëist dat zij bepaalde beveiligingsincidenten rapporteren aan bevoegde autoriteiten of Computer Security Incident Response Teams (CSIRT’s).

In bepaalde landen worden deze richtlijnen al ingevoerd voordat ze officieel van kracht worden. In Nederland bijvoorbeeld geldt al sinds januari 2016 de Wet meldplicht datalekken, die bedrijven verplicht schendingen te rapporteren aan een nieuw gevormde onafhankelijke Autoriteit Persoonsgegevens. Nalatigheid kan leiden tot administratieve geldboetes tot een hoogte van €810.000 of 10% van de netto jaaromzet. De druk is hoog.

Voornaamste voorschriften van de Europese GDPR

Bedrijven moeten aan de richtlijnen voldoen als zij data verzamelen in de EU
Elk bedrijf dat in de EU persoonsgegevens verzamelt en gebruikt, moet aan de richtlijnen voldoen. Hiertoe behoren mensen die goederen en diensten kopen en die het gedrag van klanten bijhouden met als doel deze data te benutten. Bijvoorbeeld, als uw bedrijf het internetgedrag van klanten volgt om deze beter te kunnen benaderen. Zelfs als uw bedrijf buiten de EU gevestigd is, moet elk apparaat dat toegang heeft tot klantgegevens veilig zijn.

Bedrijven dienen alles nauwgezet te documenteren
Deze vereisten in verband met het bijhouden van documentatie, het uitvoeren van impactbeoordelingen en het rapporteren van schendingen zijn tijdrovend. Telkens als een nieuw apparaat wordt toegevoegd aan het netwerk, moet dit beveiligd zijn overeenkomstig uw beleid en worden bewaakt door een SIEM (Systems Information and Event Management) tool teneinde problemen op te sporen, herstel mogelijk te maken en compliancerapportage te ondersteunen.

Bedrijven moeten een schending binnen 72 uur melden
Bedrijven moeten de Toezichthouder Gegevensbescherming onverwijld, indien mogelijk binnen 72 uur, inlichten. Als zij dit niet doen, dienen zij een met redenen omklede rechtvaardiging te geven. Deze nieuwe vereiste is geïntroduceerd om het recht te beschermen van individuen om te weten wat er gebeurt met hun persoonsgegevens en te begrijpen of organisaties die hun gegevens bezitten de juiste procedures, tools en producten hanteren om klantengegevens te bewaken, risico’s te identificeren en aanvallen af te slaan teneinde de gegevens van klanten te beschermen.

Bedrijven krijgen zware boetes opgelegd als zij zich niet aan de richtlijnen houden
De nieuwe verordening introduceert een trapsgewijze aanpak voor boetes en de ernst van de schending bepaalt de hoogte van de boete. De maximale geldboete kan oplopen tot 4% van de jaaromzet van een bedrijf met een maximum van 20 miljoen euro1. Zoals gezegd is in sommige landen, zoals Nederland, een nog progressiever sanctiesysteem geïntroduceerd – met een maximum van 11% van de jaaromzet².


 

Wat kunnen IT-teams doen om pc’s en printers compliant te maken?

Als het de bescherming van pc’s en printers betreft, zijn er praktische stappen om te zorgen dat endpoints compliant zijn, als voorbereiding op de invoering van deze nieuwe richtlijnen./em>

1. Een nalevingsgerichte controle voorbereiden.
Om een nalevingsgerichte controle voor te bereiden, moeten IT-teams zorgen dat zij effectief hun hele IT-infrastructuur kunnen bewaken, inclusief endpointapparaten zoals pc’s en printers. Zij moeten ook regelmatig evaluaties plannen om te zorgen dat elk endpointapparaat, inclusief het hele printerpark, compliant is met het beleid.

2. Een volledige controle uitvoeren.
IT-teams moeten elk apparaat dat hun bedrijf en hun klantgegevens kan benaderen identificeren en het ingebouwde veiligheidsniveau daarvan bepalen. Het verdient ook aanbeveling dat zij een printerparkbeveiligingstool gebruiken die nieuwe apparaten onmiddellijk kan identificeren en automatisch het beveiligingsbeleid van het bedrijf daarop kan instellen.

3. Beveiliging doelbewust integreren.
IT-teams moeten het juiste IT-beleid implementeren en zorgen dat de compliance-vereisten geen sluitpost zijn maar een intrinsieke manier om nieuwe apparaten en diensten in het netwerk te introduceren. Zorg dat u in staat bent om elk apparaat, inclusief uw printers, te bewaken en informatie over afwijkingen of incidenten in te voeren in het netwerkbrede kwetsbaarhedenrapport en bewakingstools, zoals bijvoorbeeld een SIEM-tool.