Nieuw raamwerk gelanceerd om beveiligingshacks te beperken
Na recente beveiligingsinbraken bij Amerikaanse Email Service Providers (ESPs) is er een discussie ontstaan over de veiligheid van systemen en wat de “weakest link” is in de beveiliging van persoonsgegevens. De grote vraag is daarbij natuurlijk ook: Wat kun je doen om dit type problemen in de toekomst te voorkomen? De Amerikaanse Online Trust Alliance (OTA) geeft met haar ‘security by design’ framework een kader voor bedrijven om zowel hun systeem als hun eigen procedures eens goed tegen het licht te houden.
De gehele keten
In het ‘security by design’ framework heeft de Amerikaanse Online Trust Alliance (OTA) een document met richtlijnen om te helpen de veiligheid te verbeteren in de gehele keten (of zoals ze het zelf noemen het interactieve messaging ecosysteem). Bedrijven, leveranciers en gebruikers hebben allemaal een aandeel in het behoud van vertrouwen van de consument. Zowel veiligheid als privacy moeten serieus worden genomen en daarbij kunnen we niet wachten op regelgeving van de overheid.
De doelstellingen van het Security by Design framework
1. Biedt een toetsingskader voor bedrijven om samen hun interne systemen, processen en werkwijzes, te herzien samen met die van hun dienstverleners.
2. Versnellen van de invoering van een holistische beveiligingstrategie, met inbegrip van best practices op gebied van veiligheid en privacy voor het omgaan en gebruik van klantgegevens door merken en dienstverleners, met het doel om het consumentenvertrouwen te vergroten.
Security by Design Stappenplan
Naast een lijst met zelfassesment vragen en een best practices checklist, bevat het Security by Design framework ook het volgende stappenplan:
- Stel een cross-functioneel security team samen onder leiding van een Chief Security Officer (of gelijkwaardig) verantwoordelijk is voor de veiligheid en hier gezag over heeft.
- Breng de workflows van gegevens in kaart binnen uw organisatie en die van uw leveranciers om zwakke punten te identificeren. Bekijk hoe je omgaat met data vanaf het verzamelen van de gegevens tot opslag, verzending, het gebruik en vernietiging. Definiëer wie toegang moet hebben tot de gegevens, hoe en waarom.
- Neem mijlpalen op in elk development project voor veiligheidsreviews. In alle fases vanaf de ontwikkeling van functionele specificaties, tot testfase tot lancering.
- Doe een audit van uw netwerk infrastructuur, waarbij zowel intern als extern gerichte sites in kaart brengt zowel als alle verbindingspunten. Implementeer processen om de veiligheid van het netwerk en de data-assets te monitoren om onbevoegde toegang of vreemde wijzigingen in gebruik te detecteren.
- Stel een team samen en ontwikkel een plan om met incidenten om te gaan. Hierin staan vooraf gedefinieerde acties en communicatie strategieën die worden doorlopen mocht een beveiligingsinbraak optreden.
Een stap in de goede richting
Het Security by design raamwerk is niet zaligmakend, maar geeft wel goede handvatten voor bedrijven om aan de slag te gaan met hun veiligheid van hun gegevens. Het is een zeer goede stap richting een cultuur waarin zowel privacy als veiligheid serieus worden genomen en dat is een must in een tijd van datagedreven en cross-channel communicatie. Als u zelf nog niet actief bezig was met de beveiliging van persoonsgegevens, dit is uw wake-up-call.