Bij het beveiligen van systemen en software streeft men ernaar om deze te beschermen tegen twee categorieën van eventualiteiten (1) ongeoorloofde of onrechtmatige toegang en verwerking (2) onopzettelijk verlies, vernietiging of schade.
Tegelijkertijd willen we benadrukken dat beveiliging effectief maken een alomvattende aanpak vereist en niet effectief kan zijn zonder de menselijke factor de aandacht te geven die deze verdient.
Ongeautoriseerde of onwettige toegang en verwerking
Voor de eerste categorie zorgt men er allereerst voor dat de fysieke toegang tot het systeem en de software wordt gecontroleerd en beperkt wordt tot alleen die partijen die strikt noodzakelijk toegang nodig hebben. Voorbeelden variëren van het regelen van de toegang tot het kantoor met een badgesysteem, alleen het afdelingshoofd heeft de sleutels van de archiefkasten, tot het alleen toelaten van specifiek personeelsleden tot de serverruimte. Overweeg om voor de eerste verdedigingslinie terdege de toegang te beperken en te controleren om zodoende je te beschermen tegen ongeoorloofde of onwettige toegang en verwerking.
De tweede verdedigingslinie is het beperken en controleren van de toegang zodra fysieke toegang tot het systeem of de software is verkregen. Met andere woorden, de toegang op het systeem of in de software beperken en controleren door gebruikersauthenticatie te gebruiken (bijv. gebruikersnamen en wachtwoorden, twee-factor authenticatie) en gebruikersrechten te beperken (bijv. de gebruiker kan alleen een dossier bekijken, geen wijzigingen aanbrengen of het dossier afdrukken).
Beide verdedigingslinies zijn van cruciaal belang en er zijn al boetes opgelegd wegens onvoldoende toegangscontrole, zelfs zonder externe datalek!
Per ongeluk verlies, vernietiging of schade
Persoonsgegevens zijn een kostbaar goed en moeten met grote zorg worden behandeld en zorgvuldig worden bewaard. Dit betekent dat men het ook moet beschermen tegen onopzettelijk verlies, vernietiging of beschadiging. Deze gebeurtenissen kunnen zich voordoen door systeem-, software- of operationele storingen (bijv. een laptop verliezen, een telefoon laten vallen, een harde schijf die crasht enz.), maar ook door een inbreuk op de beveiliging door kwaadwillende actoren (bijv. ransomware-aanval).
Men kan systemen en software beschermen tegen verlies, vernietiging of beschadiging door ervoor te zorgen dat men back-ups van informatie heeft en dat verloren systemen adequate toegangscontrole hebben en dat tevens de persoonlijke gegevens in de verloren systemen steeds zijn versleuteld.
Bescherming tegen kwaadwillende actoren, d.w.z. hackers, is een complex onderwerp. Ervoor zorgen dat u sterke wachtwoorden afdwingt, virusscansoftware hebt en externe toegang via een VPN oplegt, is een goed begin, maar u moet verder gaan dan het voor de hand liggende om het risico met een hoge mate van vertrouwen te verminderen. Om succesvol te zijn, is een holistische en alomvattende benadering van beveiliging over al zijn categorieën nodig; uw verdediging is slechts zo sterk als de zwakste schakel.
Alomvattende aanpak en de menselijke factor
De beste aanpak voor het uitvoeren van veilige operaties is om een holistische en uitgebreide benadering van systeem- en softwarebeveiliging te hebben. Met andere woorden, u kunt niet zomaar een beetje aan beveiliging doen, u zult er voldoende middelen en tijd aan moeten besteden om alle aspecten af te dekken. Dit omvat ook het sensibiliseren en opleiden van personeel, aangezien de mens vaak de zwakste schakel is. In deze moderne tijd waarin de meeste systemen zijn verbonden met het internet, is het van cruciaal belang dat al het personeel regelmatig gesensibiliseerd en opgeleid wordt. Het wordt aanbevolen dat u een gedragscode implementeert die beveiliging en privacy omvat, bovenop de andere gangbare ethische bedrijfspraktijken.
De passende beveiligingsmaatregelen op systeem en software niveau moeten worden gecombineerd met specifieke maatregelen om de gegevens in deze systemen en software te beveiligen. We hebben die samengevat in Data-beveiliging – waar te starten .
