Privacy en vulnerability management

Privacy wet

Er is al veel over geschreven. Op 1 januari 2016 gaat de privacy wetgeving (WBP) veranderen en dat heeft enorme gevolgen voor bedrijven. Voorbereiding is van groot belang.

VoorbereidingPrivacy driehoek meldplicht transparantie toegang toezicht CBP AP persoonsgegevens

Die voorbereiding komt er op neer dat organisaties bepaalde informatie beschikbaar moet hebben voor het geval dat de toezichthouder daar om vraagt, met name in een situatie waarbij een “datalek” is opgetreden.

Een datalek wordt veroorzaakt door bijvoorbeeld een inbraak op kantoor, een verloren of gestolen laptop of tablet, een verkeerd geadresseerde email of een hackers aanval. Deze datalekken moeten binnen twee werkdagen worden gemeld aan de toezichthouder. Handhaving zal gebeuren door middel van  hoge (bestuurlijke!) boetes bij non-compliance die kunnen oplopen tot 810.000 Euro of in sommige gevallen 10% van de jaaromzet.

Vulnerability management in de spotlights

Vulnerability management komt door deze nieuwe wetgeving in een ander daglicht te staan. Vulnerability management is simpel gezegd: “het in controle houden van de kwetsbaarheden, configuraties en compliance van je netwerk(en) en de aangesloten apparatuur”. Een vulnerability scan detecteert en analyseert alle devices die op het netwerk zijn aangesloten en waarschuwt als er “vreemde” devices worden ontdekt of als de configuraties zijn veranderd.

Compliance

Tevens helpt een vulnerability management systeem bij het waarborgen van de compliance. De resultaten van vulnerability scans worden door security teams en compliance managers gebruikt om kwetsbaarheden te ontdekken en risico’s te verlagen.

Overzicht van verwerkingen

De nieuwe privacywetgeving vraagt van bedrijven om een goed overzicht te hebben van de dataverwerkingen en de security van je ICT middelen. Een regelmatige vulnerability scan is daarom van groot belang. Tenableis de producent van ’s werelds meest bekende en meest gebruikte vulnerability scanner (Nessus).

Meten is weten

Controle houden begint met het doen van een inventarisatie. Een goed vulnerability management systeem zoals Nessus brengt voor u het complete netwerk en alle aangesloten devices in kaart en rapporteert de gevonden kwetsbaarhedTenable nessus manager buy renew vulnerability managementen en gevaren. Met Nessus Manager kunt u meerdere Nessus scanners vanuit één console controleren die bijvoorbeeld elk hun eigen scan hebben gedaan van een bepaald netwerk segment. Tevens kunt u met behulp van “agents” scans uit laten voeren op de devices die op het moment van een vulnerability scan niet op het netwerk zijn aangesloten. Hiermee krijgt u toch een compleet overzicht van de kwetsbaarheden in uw netwerk.

24/7 monitoren

Continuous monitoring is de meest complete vorm van vulnerability management. Hierbij wordt het netwerk continue (24/7) gemonitord en worden dus 100% van de devices 100% van de tijd gedetecteerd. Netwerken worden steeds dynamischer met veel mobile devices. Continuous monitoring is in deze veranderende omgeving “the way to go” voor het goed onder controle houden van de security van het netwerk.