De nieuwe Eurpese cyberwet: NIS 2

Welke maatregelen adviseren ESET en Eversheds Sutherland?

Er wordt genoeg geschreven over de nieuwe Europese Privacywetgeving, welke op 25 mei 2018 in werking is getreden. Het beveiligen van privacygevoelige data speelt een prominente rol in de General Data Protection Regulation (GDPR).

De aangescherpte regelgeving introduceert regels die verwerkers en verantwoordelijken van persoonsgegevens dwingen om organisatorische en technische maatregelen te nemen om deze gegevens te beveiligen. Toch zijn er weinig concrete aanbevelingen te vinden over welke technische maatregelen een bedrijf moet nemen om deze data te beschermen.

Wat betekent de NIS 2 voor bedrijven?

De wet stelt dat privacygevoelige data extra goed beveiligd moeten worden. Daarnaast is ook documentatieplicht en het kunnen voeren van voldoende bewijslast geïntroduceerd voor verwerkers van persoonsgegevens. Dit betekent dat bedrijven moeten kunnen aantonen dat ze er alles aan hebben gedaan om een datalek te voorkomen. Het beste scenario is wanneer kan worden aangetoond waar en wanneer het lek is ontstaan.

De Autoriteit Persoonsgegevens beschrijft drie maatregelen die bedrijven dienen te nemen om gegevens te beschermen, namelijk:

  • Niet meer gegevens gebruiken dan nodig
    De organisatie moet ervoor zorgen dat deze niet méér persoonsgegevens verzamelt en verder gebruikt dan echt nodig is.
  • Toegang tot gegevens beperken
    De organisatie moet de toegang tot persoonsgegevens beperken.
  • Moderne beveiligingstechniek gebruiken
    De organisatie moet persoonsgegevens beveiligen in overeenstemming met de stand van de techniek.

Bron: Autoriteit Persoonsgegevens: "Beveiliging van persoonsgegevens"

Welke technische maatregelen adviseren ESET en Eversheds Sutherland?

Maak gebruik van een centrale beheertool

GDPR streeft niet zozeer naar 100% preventie, maar naar 100% inzicht. Monitoring, administratie en logging zijn hierin van essentieel belang. Wanneer de IT-security oplossing volledig wordt gemonitord, is het mogelijk om de beveiligingsstatus van het netwerk 24/7 in kaart te brengen. Daarnaast hebben bedrijven de mogelijkheid om direct, vanaf één centraal punt in te grijpen.

Hoe draagt dit bij aan compliance?

  • Moderne beveiligingstechniek gebruiken 
  • Permanent garanderen van de beveiliging van persoonsgegevens
  • Actieve monitoring en logging die bijdragen aan bewijslast

Welke oplossing biedt ESET?

    ESET Remote Administrator

    • Stelt bedrijven in staat de ESET security oplossingen vanuit één punt te beheren en te monitoren
    • Verzamelt relevante dreigingsinformatie vanuit de endpoints waarmee het huidige beveiligingsniveau inzichtelijk kan worden gemaakt
    • Laat bij een datalek precies zien wanneer, hoe en via welke endpoint(s) het lek is ontstaan

    Installeer een volledige endpoint security oplossing

    Het gebruik van antivirus oplossingen is jaren één van de aanbevolen basismaatregelen geweest voor databescherming door bijvoorbeeld banken en overheidsinstanties. Antivirus biedt een basisbeveiliging tegen alle vormen van malware die o.a. als doel hebben persoonsgegevens te bemachtigen, aan te passen of te versleutelen.

    De volgende stap voor het beveiligen van het bedrijfsnetwerk is endpoint security. Security leveranciers bieden met hun endpoint security oplossing uitgebreide bescherming tegen bekende en onbekende vormen van malware. De meeste endpoint security oplossingen werken met meerdere detectielagen, wat de kans op een succesvolle malware-aanval drastisch verlaagt. Daarnaast bevat een goede endpoint security oplossing een host-based firewall met een ingebouwd Intrusion Detection System (IDS) en Intrustion Prevention System (IPS), welke door de AVG als tools worden genoemd om incidenten en indringers te detecteren.

    Hoe draagt dit bij aan compliance?

    • Moderne beveiligingstechniek gebruiken (AP)
    • Toegang tot gegevens beperken (AP): Door een lagenmodel toe te passen wordt ongeautoriseerde toegang tot gegevens tegengegaan
    • Permanent garanderen van de beveiliging van persoonsgegevens

    Welke oplossing biedt ESET?

      ESET Endpoint Security

      • Combineert meerdere proactieve en geavanceerde lagen van beveiliging om cyberaanvallen te detecteren en te blokkeren
      • Network Attack Protection vormt een extra beveiligingslaag op netwerkniveau tegen het verspreiden van malware, netwerkaanvallen en misbruik van bekende kwetsbaarheden
      • ESET’s Host-based Intrusion Prevention System monitort de systeemactiviteit en herkent en blokkeert verdacht systeemgedrag om indringing te voorkomen

      Voeg extra toegangscontrole en authenticatie toe

      De meest gebruikte methode voor authenticatie is het gebruik van een gebruikersnaam in combinatie met een wachtwoord. Techbedrijven als Google, Apple en Facebook hebben de volgende stap ingeluid door hier een extra stap aan toe te voegen. We spreken dan van meerfactorauthenticatie: een vorm van (toegangs)beveiliging waarbij de gebruiker zich met een combinatie van minimaal twee verschillende typen authenticatiefactoren moet authentiseren om toegang te krijgen tot een computer, (besturings)systeem of applicatie.

      Drie mogelijke authenticatiefactoren zijn:

      • Iets dat de gebruiker weet (bijvoorbeeld een wachtwoord)
      • Iets dat de gebruiker heeft (bijvoorbeeld een telefoon of token)
      • Iets dat de gebruiker is (bijvoorbeeld een vingerafdruk)

      Meerfactorauthenticatie is één van de security maatregelen met het hoogste rendement: eenvoudig te implementeren en effectief in het minimaliseren van de kans op ongeautoriseerde toegang tot (bedrijfs)accounts.

      Hoe draagt dit bij aan compliance?

      • Toegang tot gegevens beperken (AP)
      • Moderne beveiligingstechniek gebruiken (AP)

      Welke oplossing biedt ESET?

        ESET Secure Authentication

        • Legt een extra authenticatielaag op systemen waar gevoelige data wordt verwerkt en voorkomt misbruik van accounts
        • Logt authenticatieverzoeken
        • Heeft een snelle en eenvoudige implementatie

        Beveilig privacygevoelige data met encryptie

        Het versleutelen of encrypten van data is één van de meest effectieve methodes om privacygevoelige data te beveiligen. Een goed encryptiealgoritme is namelijk nagenoeg niet te kraken en garandeert zo de permanente veiligheid en integriteit van de gegevens. In de GDPR wordt het toepassen van pseudonimisering en vesleuteling expliciet genoemd als passende technische maatregel om de risico’s van datalekken en profiling te beperken.

        Hoe draagt dit bij aan compliance?

        • Moderne beveiligingstechniek gebruiken (AP)
        • Permanent garanderen van de beveiliging van persoonsgegevens
        • Actieve monitoring en logging, wat bijdraagt aan bewijslast
        • Toegang tot gegevens beperken (AP)

          Welke oplossing biedt ESET?

          • Versleutelt harde schijven in laptops en desktops en verwijderbare media zoals USB-sticks of externe harde schijven volledig
          • Monitort en logt versleutelde systemen om compliance ten alle tijden aan te kunnen tonen
          • Werkt met behulp van centraal beheerde en gedeelde encryptiesleutels, waarmee toegang beperkt wordt tot de gebruikers die dit specifiek toegewezen hebben gekregen

          GDPR Technology Packs: optimale beveiliging van privacygevoelige data

          Met de combinatie van:

          beschikt u over de optimale combinatie van technologische oplossingen om privacygevoelige data te beveiligen.

          Met de GDPR Technology Packs combineert u ESET Secure Authentication en/of ESET Endpoint Encryption extra voordelig met de zakelijke bundels van ESET: ESET Endpoint Protection Advanced, ESET Secure Business of ESET Secure Enterprise.

          Hulp nodig bij het samenstellen van uw GDPR Technology Pack? Vraag vrijblijvend een trial of offerte aan.