Deze tools helpen controleren en evalueren of je ICT-omgeving echt voldoet aan de AVG
De Algemene Verordening Gegevensbescherming (AVG) schrijft voor dat organisaties de effectiviteit van beveiligingsmaatregelen regelmatig moeten controleren en evalueren.
Hoe staat het met de beveiliging van de ICT in jouw organisatie?
Veel mensen denken dat het wel goed zit, maar helemaal zeker weten ze het niet.
Waar moet je nou precies op letten? Hoe controleer je eigenlijk of het wel goed zit?
Je zou natuurlijk een ethical hacker kunnen inhuren die je bedrijf doorlicht. Maar er zijn ook diverse tools die kunnen helpen.
ICT-beveiliging vaak niet op orde
Uit onderzoek blijkt dat de ICT-beveiliging bij veel organisaties niet op orde is.
De AVG verplicht bedrijven ervoor zorgen dat beveiligingsmaatregelen hypermodern zijn. Het is verplicht om ze regelmatig te actualiseren.
De AVG verplicht ook uitdrukkelijk dat er procedures worden vastgesteld waarmee de doeltreffendheid van de maatregelen regelmatig wordt getoetst en geëvalueerd (artikel 32 van het AVG).
Organisatorische maatregelen in verwerkingsregister vastleggen
De organisatorische maatregelen moeten worden vastgelegd in het verwerkingsregister. Bij een controle moet uit dit register blijken wanneer de organisatie welke maatregelen heeft gecontroleerd en geevalueerd. Dat kan bijvoorbeeld worden onderbouwd met checklists die regelmatig worden nagelopen.
Maar checklists zijn niet altijd afdoende. Om echt zeker te weten of de technische systemen waterdicht zijn is het eigenlijk ook noodzakelijk om technische hulpmiddelen in te zetten. Tools die de ICT-systemen op de proef stellen.
Gegevensverwerkingsprocedures testen
Als een bedrijf bijvoorbeeld de mate van versleuteling van persoonsgegevens wil controleren, zijn speciale hulpmiddelen nuttig om de effectiviteit van versleuteling in de individuele gegevensverwerkingsprocedures te testen.
Met behulp van sommige tools kan een overzicht worden gegenereerd of en in hoeverre de gegevens voor de verschillende gegevensverwerkingslocaties versleuteld zijn.
SSL Server Test
Een tool die de versleuteling van webservers controleert is bijvoorbeels Qualys’ SSL check (SSL Server Test). Deze tool controleert niet alleen of encryptie wordt gebruikt, maar ook hoe sterk de encryptie is.
Bij de toetsing van het vermogen om de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de bij de verwerking betrokken systemen en diensten op de lange termijn, speelt het een rol of er beveiligingslacunes zijn die juist deze punten in gevaar brengen.
Beveiligingslacunes kunnen worden gedetecteerd door scansoftware. Er zijn diverse oplossingen op de markt:
- Open Vulnerability Assessment System (OpenVAS),
- Greenbone,
- Nessus,
- AVDS Vulnerability Assessment and Management,
- Core Vulnerability Insight,
- Qualys Vulnerability Management,
- Rapid7 Nexpose,
- io Vulnerability Management
- F-Secure Radar.
Er is dus geen excuus voor bedrijven als kwetsbaarheden heel laat of helemaal niet zijn ontdekt. Bedrijven die hun ICT-systemen niet regelmatig professioneel (laten) lopen risico. Bij hen bestaat het gevaar dat datadieven of de toezichthouder de kwetsbaarheden wel zullen vinden. Met alle nadelige gevolgen van dien.
Hulpmiddelen die regelmatig en automatisch zwakke punten scannen helpen risico’s tijdig te onderkennen.