GDPR: zo versterk je de zwakste schakel

Als het gaat om security en privacy zijn mensen vaak de zwakste schakel. Onze GDPR-expert Herman vertelt hoe je intern voor de juiste bewustwording zorgt.

Informatieveiligheid en risicoanalyse zijn belangrijke bouwstenen van de GDPR-wetgeving die eind mei officieel van kracht gaat.

Bij GDPR-audits en -trajecten staan we dan ook uitvoerig stil bij de zwakste schakel in elke organisatie: de menselijke factor. Je mag als bedrijf een hele boekenkast met procedures verzinnen, één werknemer is genoeg om de verschillende beveiligingslagen van een bedrijf in gevaar te brengen.

 

Shoppen met andermans kredietkaart

Voorbeelden zijn er genoeg: het datalek bij NMBS waarbij in 2013 de gegevens van 700.000 klanten op straat belandden, het HR-datalek bij Boeing in 2017 en ga zo maar door.

Of wat dacht je van dergelijke zoekopdrachten?

"Got my new credit card" site:twitter.com

site_twitter_com__got_my_new_credit_card__-_Google_zoeken

 

Versterk de zwakste schakel

Zorg dus voor een goede training van je mensen, op basis van de risico's en het type gegevens waar ze toegang toe hebben. Het versterken van de zwakste schakel is een essentieel onderdeel van een GDPR-traject.

Bij Intracto zien we privacy en informatiebeveiliging als een topprioriteit. Daarom zijn we ook al geruime tijd aan de slag met ons interne traject rond GDPR.

Deze blogpost geeft je alvast een voorbeeld van hoe je in je eigen bedrijf zelf aan de slag kan. Zo pakken wij het aan:

 

1. Informatieve training over de GDPR-wetgeving

We hechten bij Intracto veel belang aan de persoonlijke ontwikkeling van onze mensen en zetten graag in op levenslang leren. De interne lunch & learn-sessies zijn een belangrijk onderdeel van die visie.

Begin februari 2017 organiseerden we al een sessie over GDPR, security en privacy voor het hele bedrijf. In deze blogpost gaf ik toen al aan dat we ons moesten voorbereiden op wat er op ons afkwam.

Sinds die eerste middagsessie hebben we geregeld nieuwe sessies georganiseerd, rond bijvoorbeeld 2-factor-authenticatie (wat toen verplicht is geworden op onze Google Apps-accounts) of wat de impact van de GDPR-wetgeving op onze operationele taken zal zijn.

Ook onze klanten informeerden we regelmatig met enkele praktische seminaries.

gdpr sessies

 

2. Masterclass ethical hacking

Dat we intern waarschuwen voor het gevaar van hacking is leuk, maar geeft niet meteen een shockeffect.

Daarom organiseerden we in samenwerking met Sectricity een masterclass rond ethical hacking, waarbij alles meteen in de praktijk werd getoond:

  • Onveilig http-verkeer onderscheppen op een wifi-netwerk
  • Een computernetwerk laten infecteren door malware Wannacry
  • Open poorten en kwetsbaarheden bij online systemen zoals webcams, databases, PLC's ... zoeken
  • Het gebruik van hackingtools zoals de Wifi Pineapple en Rubber Ducky usb-sticks

 

De masterclass was een echte eyeopener bij heel wat collega's, en deed wonderen voor de bewustwording van onze eigen verantwoordelijkheden.

 

3. Phishing-programma

Phishingmails zijn nog steeds een van de meest gebruikte aanvalsmethodes. Phishingmails lijken van een betrouwbare bron afkomstig te zijn, maar kunnen je gegevens ontfutselen wanneer je op een link of een bijlage klikt.

Zo werden phishingmails bijvoorbeeld gebruikt door de Britse GCHQ bij de Belgacomhack waarbij de pc's van bepaalde Belgacom-medewerkers via een valse LinkedIn-pagina geïnjecteerd werden met malware.

Hieronder zie je een voorbeeld van een recente maar zeer opvallende phishingmail die ik zag voorbijkomen en die malware begint te downloaden na een klik op de link:

phising

 

Ook de masterclass rond ethical hacking werd voorafgegaan door een (onschuldige) phishingmail, als test om te kijken wie er in de val trapt.

Sindsdien zijn onze collega's extra op hun hoede en denken ze wel twee keer na voor ze zomaar op een link of bijlage klikken.

Hieronder zie je een voorbeeld hoe die mail eruitzag. Zou jij er zelf ingelopen zijn?

Suspicious_sign_in_prevented

 

Belangrijke tip: train én test je werknemers.

 

 4. Procedures en informatie samenbrengen

Het nakijken van interne procedures (voor onboarding en uitdiensttreding van werknemers, de werking van telefonische servicedesk ...) helpt om de menselijke schakel in de keten te versterken.

Om een goed zicht te krijgen op de operationele risico's verzamelen we bijvoorbeeld ook alle security-issues die ter sprake gebracht worden bij onze klanten.

Dit verhaal van security en privacy is trouwens geen verhaal dat alleen bij ons SRE-team (Site Reliability Engineering) zit, maar bij een werkgroep die bestaat uit mensen uit de hele organisatie. Van HR over marketing, SRE en de development-teams.

GDPR is immers niet alleen een IT-topic. Doorbreek dus de traditionele grenzen binnen je bedrijf.

  

5. Channel #legal op Slack

We hebben met Laura een eigen digitale juriste in huis. De drempel om vragen te stellen ligt zo natuurlijk een pak lager.

Zoals duizenden andere bedrijven werken ook wij intern onder andere met de communicatietool Slack. In het kanaal #legal kan iedereen al zijn vragen rond privacy, e-commerce, GDPR en andere wetgeving kwijt. Zo kunnen andere collega's meteen inpikken.

 

6. State of the Campus

Elke maandagochtend wordt er een ludieke interne nieuwsbrief uitgestuurd. Daarin mixen we belangrijke info met verwezenlijkingen van collega's en nieuws over nevenactiviteiten. Onze State of the Campus helpt om de ongedwongen en open bedrijfscultuur te versterken.

state-2FA

Deze communicatie is dan ook ideaal om regelmatig eens een securitytip in op te nemen. Zo houden we iedereen scherp op een ongedwongen manier, voorzien van de nodige GIF's.

 

Samengevat

Vergeet dus naast alle bureaucratie in je GDPR-project vooral niet de menselijke schakel ook mee te nemen.

Zwaai niet enkel met strenge arbeidsovereenkomsten, maar laat risico's eens in de praktijk zien en zorg voor de juiste mindset binnen het hele bedrijf.

Aan de slag met marketing automation? Lees hier hoe HubSpot je helpt om te voldoen aan de voorwaarden van de GDPR

Advies nodig?

Hulp nodig bij het opzetten van een awareness-programma of interesse in interne workshops en sessies rond security, privacy en GDPR? We helpen je graag verder.

Contacteer ons

Meer weten? Contacteer ons!