Voordeur en achterdeur op slot?

13 jul

Voordeur en achterdeur op slot?

Door Nieuws Geen reacties

De vakantie staat voor de deur. Half Nederland verlaat straks zijn huis voor langere tijd. En wat is het laatste dat je doet voor je weggaat? De deuren en ramen checken. Voordeur, achterdeur, alles op het dubbele slot en gaan. Logisch, iedereen doet dat.

In IT-land is dat vaak anders. Ja, door de toegenomen aandacht voor het voorkomen van datalekken, zijn veel organisaties (nog meer) gaan nadenken over het beveiligen van hun (klant)gegevens. Dat heeft ertoe geleid dat productieomgevingen steeds moeilijker toegankelijk zijn voor hackers. Een positieve ontwikkeling.

 

Logging en firewalls 

Zo wordt bijvoorbeeld met behulp van autorisatiemanagement de toegang geregeld op gebruikersniveau. Er vindt logging en monitoring plaats zodat afwijkend gedrag wordt opgemerkt. Firewalls zijn ingericht om de omgeving nog verder te beschermen en er vindt regelmatig een Pen-test plaats door een white hacker. Gegevensverkeer is versleuteld en in sommige organisaties wordt de data zelfs encrypted opgeslagen.

Het resultaat van al deze maatregelen? De beveiliging van productieomgevingen is steeds beter op orde. Een dDos aanval is op deze manier niet te voorkomen, maar echt toegang krijgen tot een productieomgeving is de afgelopen jaren steeds moeilijker geworden.

 

Klaar?

Betekent dit dan dat je als organisatie klaar bent? Voorkom je datalekken door alleen te focussen op de productieomgeving?

Helaas is het antwoord daarop negatief. In veel organisaties wordt de data uit een productieomgeving ook in niet productieomgevingen gebruikt. Zo wordt er bijvoorbeeld vaak getest met echte klantgegevens, maar ook voor demo’s, trainingen of analyses blijkt productiedata erg handig…

 

De voordeur en de achterdeur

De consequentie hiervan is dat de data die zo zorgvuldig wordt beschermd in de productieomgeving, in veel gevallen veel makkelijker toegankelijk is via bijvoorbeeld een testomgeving. Met andere woorden: de voordeur zit op slot maar de achterdeur staat wagenwijd open. Dat is vragen om moeilijkheden!

Die achterdeur moet dus ook op slot. Belangrijk daarbij: het is volgens de privacywet niet toegestaan om persoonsgegevens buiten de productieomgeving te gebruiken. Dat betekent dat je de niet-productieomgeving kunt beveiligen wat je wilt – en dat moet je ook zeker doen – maar dat je in overtreding bent zolang er persoonsgegevens in staan. Naast de gebruikelijke maatregelen als autorisatiemanagement en logging, zal je dus moeten zorgen dat de niet-productieomgeving vrij is van persoonsgegevens.

 

Anonimiseren

Hiervoor heb je twee mogelijkheden: je kunt een niet productieomgeving vullen met zelf gecreëerde data (synthetische data) of je vult de omgeving met geanonimiseerde productiegegevens. Het voordeel van het anonimiseren van productiegegevens is dat het sneller gaat en (vaak) goedkoper is dan het creëren van synthetische data. Bovendien is een geanonimiseerde set representatief voor de productieomgeving.

 

Synthetische data

Bij een synthetische set is dit sterk afhankelijk van de gevallen die opgevoerd zijn. Het gebeurt bijvoorbeeld nog steeds regelmatig dat in een productieomgeving situaties voorkomen die eigenlijk niet zouden moeten voorkomen. Denk bijvoorbeeld aan onjuiste postcode/huisnummer combinaties, 9-cijferige telefoonnummers etc. Als je ervan uitgaat dat dergelijke situaties niet voorkomen in productie omdat ze niet mógen voorkomen, dan zullen ze ook niet teruggekomen in de synthetische set. In een geanonimiseerde set komen dit soort gevallen wel terug. De representativiteit van de geanonimiseerde data is daardoor groter.

 

Betekent dit dan dat synthetische data geen waarde heeft? Nee, zeker niet. Geanonimiseerde data is erg waardevol om situaties die al in productie voorkomen te testen. Maar om bijvoorbeeld een nieuw product te testen, heb je hier niet genoeg aan. Dan zul je zelf data moeten creëren. Dat kan data zijn die je van de grond af aan opbouwt, maar uiteraard kan dit ook data zijn, die gebaseerd is op al bestaande data. In veel gevallen blijkt een combinatie van synthetische en geanonimiseerde data dan ook erg goed te werken.

 

Samenvattend…

De toegenomen aandacht voor de beveiliging van (klant)gegevens is een groot goed. Maar als organisatie ben je er dan nog niet. Je zult ook goed moeten nadenken over de beveiliging van de niet-productieomgevingen. Voor dergelijke omgevingen geldt daarnaast dat ze geen (klant)gegevens mogen bevatten die herleidbaar zijn. Ons advies: anonimiseer de herleidbare persoonsgegevens en vul deze geanonimiseerde data waar nodig aan met synthetische data. Dus zet zowel de voordeur als de achterdeur op slot.

Related Posts

26 mrt

EntrD legt stevige basis voor een mooie toekomst

EntrD wil groeien en heeft daarvoor kapitaal gezocht. Dankzij een investering van de Noordelijke Ontwikkelings Maatschappij (NOM) en twee... Lees meer

18 nov

Zó voorkom jij datalekken binnen jouw bedrijf

Er gaat geen dag voorbij of ergens op internet of in de krant wordt wel weer een melding gemaakt... Lees meer

08 feb

Polteq en EntrD samenwerking mbt softwarekwaliteit

Polteq en EntrD gaan samenwerking aan op het gebied van softwarekwaliteit Amersfoort/Heerenveen – Polteq, specialist in softwarekwaliteit en EntrD specialist... Lees meer

01 okt

Pinkroccade Local Government en EntrD samenwerking

Pinkroccade Local Government biedt gemeentes onder de naam iBurgerzaken een applicatie aan waarmee alle burgerzaken gerelateerde acties uitgevoerd kunnen... Lees meer

09 mei

Elke reis begint met de eerste stap

De Algemene Verordening Gegevensbescherming (AVG) houdt de gemoederen bezig en er zijn al heel wat stappenplannen richting compliancy verschenen.... Lees meer

08 okt

Plug & play variant van de Datafactory voor woningcorporaties

(Bijna) alle woningcorporaties kunnen nu gebruik maken van een plug & play variant van de Datafactory! Voor woningcorporaties is een... Lees meer

10 mei

De spelregels rondom persoonsgegevens

Privacy is hot. Zodra er iets misgaat met persoonsgegevens, zitten de media er bovenop. Laatst nog in de gemeente... Lees meer

25 apr

Snel snel snel! – De invloed van agile op testen

Veel organisaties zijn al overgegaan van Prince2 op meer agile ontwikkelmethodes. Nog veel meer organisaties staan op het punt... Lees meer

15 jun

Datamasking op bestands- of op databaseniveau?

We hebben al veel geschreven over de privacywetgeving en wat die betekent voor bijvoorbeeld testen. Datamasking is een oplossing... Lees meer

24 feb

Data alleen waarde als je weet wat je ermee wilt bereiken

Data zijn het nieuwe goud. Maar volgens wet- en regelgeving mag je die privacygevoelige ‘valuta’ niet altijd oneindig lang... Lees meer