Proofpoint staat stil bij Data Privacy Day: "Ruim 50% van de datalekken is het gevolg van cyberaanvallen”
Lucia Milica, Global Resident CISO bij Proofpoint
1. Gebruik passende beveiligingsmaatregelen
Hoewel sommige PII gevoeliger is dan andere, blijft het belangrijk om na te denken over de gevolgen als dit soort informatie verloren gaat of wordt geschonden. Hoe gevoeliger de data, hoe beter de beveiliging moet zijn.
Voor een lijst met namen en e-mailadressen van klanten zijn bijvoorbeeld niet dezelfde beveiligingsmaatregelen nodig als voor een lijst met klantnamen en bijbehorende creditcardnummers. Toch moeten beide soorten PII goed beveiligd zijn en alleen worden gedeeld als dat nodig is. Het is zeker geen informatie die openlijk moet worden verspreid, vooral niet binnen concurrerende bedrijven.
2. Verzamel alleen PII die echt nodig is en zorg voor de juiste verwerking en opslag van data
Bedrijven moeten vaak verschillende soorten data verzamelen om klanten effectief van dienst te kunnen zijn. Deze informatie kan bestaan uit mailinglijsten, medische dossiers, betalingsinformatie en unieke ID-nummers. Toch is het verstandig om het verzamelen van PII te beperken tot bedrijfskritische data. Denk goed na over de informatie die er wordt opgevraagd, want het bedrijf is immers verantwoordelijk voor de beveiliging ervan.
Dezelfde zorgvuldige aanpak kan ook worden toegepast op de verwerking en opslag van PII. De risico's voor een organisatie worden groter wanneer de hoeveelheid PII toeneemt. Dus voordat deze data wordt opgeslagen, moet worden nagegaan of deze wel bedrijfskritisch is. Zo niet, is het raadzaam de data veilig te verwijderen en elk contactmoment bij de verwerking van PII te documenteren om alle risico’s goed in te schatten.
Als het bewaren van PII essentieel is, zorg dan voor de juiste beveiligingsmaatregelen, zoals fysieke beveiligingsmaatregelen voor papieren bestanden en een versleutelde, beveiligde server voor elektronische bestanden. Zorg er ook voor dat de opgeslagen data regelmatig wordt geanalyseerd en dat verouderde of onnodige data wordt verwijderd.
3. Pas waar nodig best practices toe
Combineer informatiebeveiliging met programma's voor databeheer waarbij essentiële en gevoelige data worden geïdentificeerd, geclassificeerd en beschermd. Bedrijven kunnen het risico dat data wordt gelekt, verkleinen door technische controles uit te voeren en van dataprivacy een prioriteit te maken.
Versleutel de PII van klanten en bewaar deze op interne servers of in goed gecontroleerde cloudomgevingen. Zorg ervoor dat deze gescheiden zijn van servers die naar buiten gericht zijn. Deze barrières vertragen cybercriminelen die anders eenvoudig toegang tot de organisatie zouden hebben. Plaats een firewall tussen de servers om het aanvallers moeilijker te maken om zich binnen het netwerk van een organisatie te verplaatsen.
Het is essentieel om gebruik te maken van fundamentele beveiligingsmaatregelen, zoals het beschermen van beveiligde systemen met moeilijk te kraken wachtwoorden. Dat geldt ook voor het beveiligen van die wachtwoorden. Laat onbevoegden geen toegang krijgen tot beveiligde gebieden of systemen. Implementeer toegangscontroles zoals multifactor-authenticatie voor systemen die persoonlijke data bevatten. Maak ook niet te snel persoonlijke data over uw klanten, collega's of jezelf bekend via de telefoon of sociale media.